*

fimmtudagur, 19. júlí 2018
Ragna Kemp Haraldsdóttir
27. júní 2018 10:04

Að loka markinu – um öryggi gagna

Viðkvæmar persónuupplýsingar geta lekið til óviðkomandi aðila, líkt og kjósendur að bókunum borgarfulltrúa.

Aðsend mynd

Skráning, vistun og vinnsla gagna hefur sjaldan eða aldrei vakið eins mikla athygli og síðustu mánuðina. Stjórnun og miðlun gagna er samofin daglegu starfi á flestum vinnustöðum. Án kerfisbundinnar stjórnunar á gögnum er aukin hætta á að persónugreinanlegar upplýsingar sem vistaðar eru í gagnasöfnum vinnustaða rati í rangar hendur, eyðileggist eða glatist.

Nýleg dæmi úr fjölmiðlum sýna að viðkvæmar persónuupplýsingar geta lekið til óviðkomandi aðila, líkt og upplýsingar um fjárhagsaðstoð og sálfræðimeðferð á vegum sveitarfélaga, nemendur fái aðgang að trúnaðargögnum samnemenda, kjósendur að bókunum borgarfulltrúa eða lýsingar á áverkum brotaþola í kynferðisbrotamálum. Að sama skapi getur gögnum verið haldið frá aðilum sem ættu að hafa aðgang að þeim líkt og formleg kvörtunarbréf vegna opinberra embættismanna.

Gögn eru eign vinnustaðarins og eiga heima í skjalasafni hans. Hættan er sú að einungis lítill hluti þeirra skjala, sem starfsfólk vinnur með í daglegu starfi, rati í sameiginlegan gagnagrunn vinnustaðar hvort sem það er í rafrænt skjalastjórnarkerfi, pappírsskjalasafn eða skýjalausn. Öryggi gagna er því í hættu ef enginn er á staðnum til að loka markinu þegar mest liggur við.

Ný persónuverndarlöggjöf er byggð á nýrri persónuverndarreglugerð Evrópusambandsins (e. General Data Protection Regulation (GDPR)) og mun hafa umtalsverð áhrif, bæði fyrir einstaklinga og vinnustaði þegar hún tekur gildi hér á landi en frumvarp þess efnis að innleiða lögin hefur verið samþykkt á Alþingi.

Persónuvernd, hugbúnaðarfyrirtæki og aðrir vinnsluaðilar auk ýmiss konar ráðgjafa hafa boðið áhugasömum upp á fræðslu og fyrirlestra um undirbúning, innleiðingu og nauðsynleg viðbrögð við breyttu starfsumhverfi. Undirbúningur vegna nýju löggjafarinnar er hafinn á fjölmörgum vinnustöðum.

Hann felst í því að setja aðgengilega og auðskiljanlega persónuverndarstefnu og hafa yfirsýn yfir öll þau gögn sem viðkomandi vinnustaður vinnur með og varðar persónuupplýsingar, hvort sem þær eiga við um starfsfólk, viðskiptavini eða aðra hagsmunaaðila. Áhættumat vegna persónuupplýsinga þarf að vinna til að tryggja friðhelgi einstaklinga, persónuvernd skal vera sjálfgefin og innbyggð í öll upplýsingakerfi og í mörgum tilvikum skal skipa persónuverndarfulltrúa.

Fyrirlestrar og kynningarefni um nýju persónuverndarlögin fjalla m.a. um ólík hlutverk ábyrgðaraðila og vinnsluaðila, meðalhóf, réttinn til að gleymast, upplýst samþykki, persónugreinanleg gögn, áhættumat og gerð samninga við vinnsluaðila. Þeir þættir sem snúa að upplýsingaöryggi, notkun samfélagsmiðla, skýjaþjónustu og upplýsingaöryggisstefnum fyrirtækja og stofnana hafa einnig verið í brennidepli.

Ný persónuverndarlöggjöf eykur enn á þörf fyrirtækja og stofnana fyrir kerfisbundna stjórn á skjölum. Upplýsingafræðingar hafa það hlutverk að halda í alla þræði gagna og hafa reynslu og þekkingu til að starfa samkvæmt kröfum alþjóðlegra og íslenskra staðla, svo sem um skjalastjórn, ISO 15489, gæðastjórnun ISO 9001, umhverfisstjórnun ISO 14001, upplýsingaöryggi ISO 27001 og nú síðast jafnlaunastaðli ÍST 85:2012.

Upplýsingafræðingar eru þeir sérfræðingar sem hafa yfirsýn yfir gögn fyrirtækja og stofnana. Þeir bera ýmis starfsheiti, s.s. gagnastjóri (e. data manager), upplýsinga- og skjalastjóri (e. information and records manager), skjalastjóri (e. records manager), upplýsingastjóri (e. information manager) eða þekkingarstjóri (e. knowledge manager). Sérhæfing þeirra felst m.a. í að hafa heildarsýn yfir myndun, móttöku, vistun, skráningu, dreifingu, endurheimt og eyðingu gagna.

Upplýsingafræðingar vinna eftir skýrri stefnu um meðferð gagna, þeir vinna skjalavistunaráætlun þar sem skjalaflokkar viðkomandi fyrirtækja og stofnana eru skipulagðir og lögð fram áætlun um hvaða gögn skuli vista til frambúðar og hvaða gögnum megi eyða – og þá hvenær. Upplýsingafræðingar hjá opinberum stofnunum starfa samkvæmt lögum um opinber skjalasöfn, stjórnsýslulögum, upplýsingalögum og gildandi persónuverndarlögum.

Með faglærðum vinnubrögðum tryggja upplýsingafræðingar að öryggi gagna sé gætt um leið og starfsfólki er auðveldaður réttur aðgangur að þeim gögnum sem það þarf hverju sinni. Þannig er unnið markvisst að því að skjöl hvorki glatist, skemmist né komist í hendur óviðkomandi aðila. Enn fremur er hægt að fyrirbyggja ótímabæra eyðingu skjala.

Mikilvægi upplýsingafræðinga er ótvírætt og vaxandi. Þeirra hlutverk er að styðja fyrirtæki og stofnanir við að uppfylla lagalegar kröfur og skjalfesta ákvarðanatökur þar sem sönnunargildi ákvarðana, gagnsæi og rekjanleiki og um leið trúverðugleiki, er hafður að leiðarljósi.

Upplýsingafræðingar, í þverfagleglu samstarfi við annað sérhæft starfsfólk, svo sem mannauðsstjóra, gæðastjóra og lögfræðinga, geta þannig verndað hagsmuni starfsfólks, viðskiptavina og annarra hagsmunaðila. Upplýsingafræðingar þekkja og skilja lög, reglur og aðferðir sem tengjast persónuvernd og upplýsingaöryggi. Þeir hafa þekkingu á gerð vinnsluskráa um persónugreinanleg gögn og gerð áhættumats um meðferð persónuupplýsinga.

Starfshópur Félags um skjalastjórn um persónuvernd vekur athygli á mikilvægi þeirrar sérþekkingar sem upplýsingafræðingar búa yfir þegar kemur að innleiðingu og eftirfylgd með nýjum persónuverndarlögum á vinnustöðum og hvetur vinnustaði til að nýta þá þekkingu í þeim breytingum sem framundan eru því það getur skipt sköpum að hafa góðan markmann.

Höfundur er aðjúnkt í upplýsingafræði við Háskóla Íslands. Meðhöfundar Rögnu eru Alexandra Þórlindsdóttir, skjalastjóri Dómsmálaráðuneytisins, Ásgerður Kjartansdóttir, skjalastjóri Landsnets, Hrafnhildur Stefánsdóttir, upplýsingastjóri Samtaka atvinnulífsins, Ingibjörg Hrund Þráinsdóttir, gæða- og skjalastjóri VR, Njörður Sigurðsson, sviðsstjóri upplýsinga- og skjalasviðs á Þjóðskjalasafni Íslands og Svanfríður Franklínsdóttir, deildarstjóri útgáfudeildar og skjalasafns á Listasafni Íslands. F.h. Félags um skjalastjórn.

Fréttabréf
Vikulegt fréttabréf Viðskiptablaðsins þar sem greint er frá því helsta sem gerst hefur í íslensku og erlendu viðskiptalífi.