Er din Service Desk klar til GDPR?

Der bliver talt og skrevet meget om GDPR (General Data Protection Regulation) disse dage. Mange mennesker er især nysgerrige på, hvad GDPR kommer til at betyde for lige netop mig mit job.

Derfor har vi i vores GDPR-føljeton valgt at beskæftige os med, hvilken betydning, GDPR får for forskellige grupper af medarbejdere.

I denne artikel har vi fokus på Service Desk medarbejderen, som – måske uden at være bevidst om det – håndterer mange personfølsomme data og derved nemt kan komme til at begå en fatal fejl uden den rette viden.

At være medarbejder i en Service Desk funktion kræver en viden – dels om, hvilke data, der kan klassificeres som personfølsomme, samt hvordan disse skal håndteres, for at en virksomhed kan kalde sig GDPR-compliant.

Virksomhedernes udfordringer

Som ITSM-konsulenter er vi i daglig kontakt med mange virksomheder.

Her oplever vi især tre overordnede problemstillinger i forhold til GDPR-compliance:

  • Mange service desk medarbejdere ved for lidt eller slet intet om, hvad de må skrive i den aktuelle situation.
  • Nogle mener, Persondataforordningen er et IT-anliggende – andre, at det er et ledelses-anliggende. Faktum er, at meget få virksomheder har en god dialog mellem IT og ledelse om spørgsmålet.
  • Mange virksomheder har ikke nok fokus på spørgsmålet, med henblik på at blive klar inden 25. maj 2018.

Et tænkt eksempel

Lad os illustrere udfordringen for Service Desk funktionen med et tænkt eksempel, der nemt kunne finde sted i virkeligheden:

En regnskabsmedarbejder – Poul Plovmand – fejlmelder sin PC og bliver i den forbindelse ringet op af en kollega i Service Desk for nogle uddybende spørgsmål. I den forbindelse nævner Poul Plovmand, at han lige nu er sygemeldt med halsbetændelse. Uden at tænke nærmere over det, skriver Service Desk medarbejderen i sit notat: “Poul Plovmand er hjemme med halsbetændelse og skal først bruge sin PC i starten af næste uge, når han er raskmeldt.”

Men allerede her er der faktisk afgivet en personfølsom oplysning, idet Poul Plovmands helbredsoplysninger slet ikke må føres til protokols på denne måde.

Selv en simpel halsbetændelse udgør nemlig dét, der klassificeres som en personfølsom oplysning – en oplysning om helbredsforhold.

Behandling af følsomme oplysninger er i udgangspunktet forbudt – medmindre der er et klart formål med dem. Det kan der sagtens være i mange tilfælde – men i situationen med Poul Plovmand er hans halsbetændelse egentlig ret irrelevant for fejlmeldingen af hans PC.

Oplysningernes karakter

Groft sagt skelnes mellem almindelige oplysninger, semi-følsomme oplysninger og personfølsomme oplysninger.

Almindelige oplysninger er

  • Identifikationsoplysninger (navn, adresse, tlf.nr, fødselsdato)
  • Familieforhold
  • Ansøgning og cv (uddannelse, eksamensoplysninger, tidligere beskæftigelse)
  • Løn, arbejdstider, fravær, sygedage (men ikke årsagen til sygefraværet)
  • Kontonummer
  • Skat og gæld

Semi-følsomme oplysninger er

  • Oplysninger om strafbare forhold

Følsomme oplysninger er

  • Oplysninger om helbredsforhold
  • Fagforening
  • Racemæssig eller etnisk baggrund
  • Politisk, religiøs eller filosofisk overbevisning
  • Seksuelle forhold
  • Genetiske data

At blive GDPR-compliant

I det vigtige arbejde med GDPR-compliance anbefaler vi GDPR Ready-modulet i ServiceNow.

Her kan man f.eks. både lave interne audits, samt én samlet procedure for kontrol, når en arbejdsgang går igen i flere sammenhænge – populært kaldet “Control once, satisfy many”.

Vores projektplan for GDPR-compliance indeholder samtlige processer, der er nødvendige for at blive compliant:

  • Indledende møder ( r )
  • GDPR-overblik
  • Interessentanalyse
  • Registrering af personfølsomme data
  • Procedure for eksport af data
  • Data- og deletion Policy
  • Ejerskab for persondata-registrering
  • Anonymisering
  • Selvbetjeningsportal
  • Request Management Workflows
  • Test og tilretning
  • Evaluering
  • Go live
  • Kommunikation og uddannelse

Herved undgår vi “missing links” i form af medarbejdere, der ikke er tilstrækkeligt klædt på til at møde den nye virkelighed, der træder i kraft 25. maj 2018.

Håndtering af persondata er et anliggende for hele virksomheden og det er ikke for tidligt at indtænke samtlige dele af virksomheden i sin plan for GDPR-compliance.

Har du spørgsmål vedrørende GDPR, sidder vores dygtige konsulenter klar til at hjælpe dig på +45 70 230 231 og info@businessnow.dk

Forfatter:

Lasse Wilén Kristensen

Service Management konsulent (Partner)
+45 61 78 29 89
lw@businessnow.dk

Af Lasse Wilén Kristensen, Partner, BusinessNow P/S