Persondataforordningen kræver overholdelse af reglerne omkring behandling af persondata. Persondata er alle data, der er personhenførbare til en fysisk levende person og gælder for data, der er gemt automatisk eller i registre (også fysiske registre).
Det at arbejde med persondataforordningen er i høj grad en compliance øvelse, som går på at sikre efterlevelse af reglerne - men det er også samtidig en teknisk og procedural sikkerhedsøvelse. Faktisk kan man opdele compliance med persondataforordningen i følgende generelle emner:
- Er virksomheden omfattet af persondataforordningen
- Retsmidler, ansvar og sanktioner
- Datasikkerhed og databeskyttelse (herunder organisatorisk sikkerhed (alle skal ikke have adgang til alt)
- Opfyldelse af den registreredes rettigheder
Det er en overordnet grovinddeling. I denne blog post vil jeg fokusere på forretningsprocesserne og hvordan process mining kan have en rolle. Eller sagt på en anden måde, så vil jeg have fokus på hvad virksomhederne skal gøre i forhold til analyse, dokumentation og tilpasning af forretningsprocesser og IT systemer og ikke fokusere på jura eller IT sikkerhed - men stadig med det overordnede fokus: Kan man med fordel gøre brug af process mining.
Man skal være opmærksom på, at dokumentation er meget centralt i forhold til forordningen og man kan som udgangspunkt sige, at hvis noget ikke er dokumenteret, så er det som udgangspunkt ikke håndteret.
For at svare på spørgsmålet om virksomheden er compliant med persondataforordningen, er der en række principper, der skal efterleves. Det første der skal konstateres er om virksomheden er omfattet af persondataforordningen. Dernæst ser vi på hvad virksomheden i så fald skal gøre og her er mit fokus, som sagt, på IT systemer og forretningsprocesser i relation til om man med fordel kan bruge process mining.
Nedenfor ses et overordnet forretnings-beslutningsdiagram, der kan afdække om virksomheden er omfattet af persondataforordningen (klik på link til pdf udgave for stor størrelse). Bemærk at diagrammet udelukkende indeholder beslutningsfigurer og ikke en eneste procesfigur. Det er fordi konstateringen af om virksomheden er omfattet af persondataforordningen er en juridisk/beslutningsmæssig vurdering, og der indgår som sådan ikke en forretningsproces i dette forhold. I diagrammet er der henvisninger til de relevante Artikler i persondataforordningen, hvor flere detaljer kan findes.
Download Underlagt persondataforordningen (pdf fil der kan vise diagrammet i større format)
Lad os antage at virksomheden er omfattet af persondataforordningen. Spørgsmålet er nu: hvad skal virksomheden så gøre?
Den dataansvarlige skal sikre at (ikke udtømmende liste):
- Når data indsamles, oplyses der om formålet med indsamlingen af persondata (Artikel 13+14)
- Persondata kun benyttes til det oplyste formål (Artikel 5)
- Persondata kun benyttes hvis nødvendigt (Artikel 5)
- Persondata kun opbevares, sålænge det er nødvendigt (Artikel 5)
- Persondata slettes eller anonymiseres når påkrævet og uden unødig forsinkelse (Artikel 17)
- Persondata kan udleveres i maskinlæsbart format (Artikel 20)
- Sikre at persondata er up-to-date før de benyttes (Artikel 5)
- Dokumentere behandling og overholdelse af lov (Artikel 24)
- En registrerets persondata kan findes frem og dokumenteres. Den registrerede har ret til indsigt omkring registrerede oplysninger og behandling af disse (Artikel 15)
- En registrerets persondata kan findes frem og rettes. Den registrerede har ret til ajourføring/rettelse af urigtige data (Artikel 16)
- En registrerets persondata kan findes frem og slettes. Den registrerede har ret til sletning - man har retten til at blive glemt (Artikel 17)
- En registrerets persondata kan blokeres for behandling. Den registrerede har ret til begrænsning af behandling af ens data under visse omstændigheder (Artikel 18)
For at sikre ovenstående er den dataansvarlige nødt til at:
- Vide hvilke persondata der gemmes og behandles
- Vide hvor persondata gemmes og behandles (i denne blog post ses bort fra kravene til hvilke geografiske lokationer data gemmes for udelukkende at fokusere på det procesmæssige aspekt)
- Sikre at kravene til behandling af data overholdes
I nedenstående vil jeg komme ind på hvordan disse 3 genrelle krav til den dataansvarlige kan tilgås og hvordan process mining kan være et vigtigt og effektivt værktøj i den forbindelse.
Ad 1) Vide hvilke persondata der gemmes og behandles
Her er virksomheden nødt til at vide hvilke persondata, der gemmes og behandles. I dette trin er det nok at vide præcist hvilke data, der gemmes og behandles samt typen af persondata (samt hvor data er indsamlet - Se præcise krav til dokumentation af hvilke person data der gemmes og behandles i persondataforordningen).
Dokumentationen af dette kunne godt tilvejebringes via den dokumentation, der allerede måtte ligge, eller man kunne fx lave data mining på dataelement titler, der indeholder henvisninger til noget, der kunne være personhenførbart som fx navn, titel, adresse etc. Bemærk dog, at data ikke altid gemmes i dataelementer og tabeller med sigende navne.
Nedenfor vises et eksempel på tabeller, der er identificeret som indeholdende persondata. Via denne dokumentation kan vi nu påvise hvilke persondata, der gemmes (database diagrammet nedenfor er ikke normaliseret til 3. normalform, men blot lavet som eksempel).
Ad 2) Vide hvor persondata gemmes og behandles
I Ad 1) er det et eksempel på dokumentation af hvilke persondata der gemmes. Men det er nødvendigt at vide og dokumentere hvor persondata gemmes, og hvor de benyttes. En person skal for eksempel kunne henvende sig og få oplyst hvilke data, der er gemt om vedkommende og hvad de benyttes til - her er det ikke sikkert, det er tilstrækkeligt at dokumentere de oplysninger, der er gemt. Endvidere kan man blive pålagt at ophøre med behandlingen af persondata for en bestemt person - i det tilfælde er det afgørende ikke alene at vide hvilke persondata der gemmes, men også at vide hvor de bruges. Desuden skal det dokumenteres hvor data fysisk gemmes geografisk, dette ligger dog udenfor scope her.
Dokumentationen af hvor persondata benyttes kan tilvejebringes ved at knytte persondata oplysninger til forretningsprocesser. For at gøre dette er man nødt til først at dokumentere forretningsprocesserne. Dette kan gøres ved den traditionelle metode med workshops, interviews, brownpapers etc. Man kunne også benytte process mining til at identificere forretningsprocessen.
Nedenfor ses et diagram, der vises processen for en indkøbsproces, som er genereret med process mining:
Dette diagram viser processen, men det fremgår ikke, hvor der gøres brug af persondata. Hvis man antager, at man udfra en viden om hvilken roller, der udfører hvert procestrin let kan identificere hvilke steder, der behandles persondata, kunne diagrammet genereres med den information og se således ud (efter processtrin navnet vises rollen, der udfører aktiviteten adskilt af "//":
Hvis vi zoomer lidt ind på processen, er det lettere at se dokumentationen af hvilken rolle, der udfører hvert trin:
Man kan nu filtrere procestrin væk, der udføres af roller, som ikke behandler persondata i forbindelse med deres behandling - fx Supplier, Purchasing Agent og Financial Manager.
Det giver et procesdiagram over de procestrin hvor der behandles persondata, der ser således ud:
I listeform er det følgende procestrin, hvor der behandles persondata:
Ovenstående er lavet ud fra et data udtræk, der indeholdt information om hver enkelt case inklusiv rollen, der udfører hvert trin. Hvis man til hvert procestrin også udtrækker information fra IT systemet omkring hvilke persondata, der er blevet behandlet i det pågældende procestrin, kan det give en mere præcis dokumentation af, hvor persondata er blevet behandlet.
Et dataudtræk kunne nu se således ud:
Læg mærke til, at udtrækket af data nu indeholder de persondata, der benyttes i hvert proces trin. Nedenfor er der zoomet ind på et udsnit af de data og de er markeret med gul:
Hvis vi så manipulerer udtrækket og sætter et true/false flag ud for hvert proces trin, der angiver om proces trinnet behandler persondata, er det let at lave process mining på udtrækket og få vist præcist hvilke proces trin, der involverer persondata - som vist nedenfor:
Ved at logge brugen af persondata i systemet og medtage de oplysninger i udtrækket der foretages process mining på, er det nu nemt at finde yderligere informationer. Hvis K. Larsen henvender sig med spørgsmål om hvilke oplysninger, der er registreret om hende og hvor de bruges, kan dette overblik skabes øjeblikkeligt. Et udsnit af et eksempel er vist nedenfor:
Her kan man endvidere straks se, hvem der har behandlet data og hvornår, samt hvilke data der er behandlet.
Hvis nu man tog skridtet videre, kunne man også logge i systemet hvilke Views, der er involveret i hvert proces trin, eller ligefrem hvilke objekter/funktioner, der læser, opretter, ændrer eller sletter persondata. Det ville give et lynhurtigt overblik over hvilke views i systemet, der behandler persondata og dermed hvilke views, der skal laves begrænsninger i, hvis der for eksempel skal stoppes for behandlingen af persondata for bestemte personer.
Ad 3) Sikre at kravene til behandling af data overholdes
Man skal som databehandler sikre, at kravene til behandling af data overholdes. Som det ses i ovenstående, er process mining et særdeles velegnet værktøj til at sikre dette.
Som nogle af fordelene, ved at benytte process mining til overholdelse af persondataforordningen, kan nævnes:
- Forretningsproces overblikket kan automatisk genereres på baggrund af data, der allerede findes i IT systemerne
- Dokumentation af hvilke persondata der benyttes hvornår, kan indbygges i systemerne og dermed er dokumentationen dynamisk og automatisk altid ajourført
- Det kan let dokumenteres, hvem der behandler persondata og hvornår det er sket
- Det kan let dokumenteres hvilke views i systemet, der behandler persondata og som måske skal begrænse behandlingen af bestemte personer
- Det kan let dokumenteres om data er slettet
John Hansen - GDPR Certificeret gennem Kromann-Reumert