Her finder du fem artikler om GDPR og data, som kan inspirere dig og hjælpe din organisation på vej.
Du er altid velkommen til at booke et møde med mig direkte HER, eller skriv til mig på abs@dataandmore.com , hvis du vil høre mere eller ønsker at samarbejde med os.
.
Andreas Strøbek, partner, Data & More
PS: Er du nysgerrig på din compliance med GDPR - så tilbyder vi en gratis datascanning af dine data (se sidst i teksten).
A: Har du styr på dine fildelingssystemer?
Mangler du information om, hvad der findes i dine fildelingssystemer? Er du bekymret for databrud eller indberetninger til den svenske myndighed for beskyttelse af personlige oplysninger (IMY)? Vil du sikre dig, at du overholder lovgivningen på området?
Kun få mennesker kan med god samvittighed være enige i følgende udsagn:
- Vi gemmer ikke ulovlige data.
- Hvis der sker et databrud i vores fildelingssystemer, ved vi præcis, hvilke (personlige) data der kan være blevet eksponeret.
- Hvis der kommer et ransomware-angreb på vores fildelingssystemer, er der ingen risiko for, at vores virksomhedshemmeligheder bliver stjålet.
- Hvis vi er underlagt tilsyn af den svenske databeskyttelsesmyndighed, kan vi hurtigt finde relevante data i vores fildelingssystem.
Fildeling er som en stor kælder: Man behøver aldrig at gøre rent dernede - der er altid plads til en papkasse mere. År efter år fyldes kælderen med flere papkasser, indtil nogle papkasser har stået der så længe, at ingen længere ved, hvad der er i dem - eller hvem der har lagt dem derned.
Men så kom GDPR, ransomware og databrud. Alt i alt et behov for at rydde op i al den arv og gæld, der har hobet sig op, og som vi sammen har bidraget til år efter år.
Desværre er problemet langt større, end man skulle tro. Data & More håndterer dagligt over 2.000.000.000 datasæt (Excel-ark, PDF'er, Word-dokumenter, PowerPoints osv.) for at hjælpe organisationer med at overholde lovgivningen og sikre respekt for data. Og det viser sig, at 3-7 % af alle data uden for HR-, sagsbehandlings- og økonomisystemer er ulovlige og bør slettes.
3-7% lyder måske ikke af meget, men når en organisation med 100 ansatte har omkring 150.000 ulovlige datasæt - så forstår du problemets omfang (gang antallet af ansatte, hvis du har flere...). Og bare ét datasæt (f.eks. et Excel-ark) kan indeholde en masse personlige data og følsomme oplysninger. Her er nogle eksempler fra det virkelige liv:
- Et stort forsikrings- og pensionsselskab havde et fem år gammelt Excel-ark i deres fildelingssystem, som indeholdt oplysninger om deres kunder, finansielle oplysninger, sygdomme, familieoplysninger, personnumre osv. Vi taler om dybt personlige og følsomme data om hundredtusindvis af mennesker, som var tilgængelige for alle medarbejdere i årtier.
- Eller hvad med en kommune, der i forbindelse med deres årlige budgetlægning havde gamle Excel-filer med oplysninger om handicappede børn i kommunen og relaterede omkostninger liggende i den fælles fildeling.
- Eller virksomheden, der gemte fotos af gamle kunders pas og kørekort, som skulle have været slettet for længe siden.
Jeg kunne blive ved, men pointen er, at vi af respekt for hinandens data bør sørge for at rense vores data, før de deles med andre - eller sættes til salg. Det er ikke et problem, der forsvinder af sig selv.
Heldigvis findes der løsninger, der kan hjælpe med de tunge løft, da manuel oprydning er en umulig opgave. Ved f.eks. at bruge en datascanner til automatisk at scanne data kan man få et reelt overblik over, præcis hvad fildelingssystemet indeholder, uden at stresse medarbejderne. På den måde tiltrækker man i det mindste ledelsens opmærksomhed og får forhåbentlig støtte til at løse problemet. Det er trods alt vores egne data, vi taler om.
B: På vej mod cloud storage?
Hvis du planlægger at flytte dine data til cloud storage (eller skifte platform) - så er det en god idé at rydde op i de data, som du ikke længere har brug for eller ret til at gemme. At rydde op i gamle, unødvendige data er ikke bare en logisk ting at gøre - der er faktisk en hel del gode grunde til det. Her er nogle af dem:
1 - Du sparer penge
For det første sparer rengøring penge. Cloud-tjenester koster penge - og prisen er ofte baseret på, hvor mange data du gemmer, og hvor ofte du har adgang til dem. Hvis du rydder op og fjerner alle de gamle data, du ikke har brug for - ja, så har du færre data at flytte. Det betyder, at både omkostningerne er lavere, når du flytter dine data, og for selve lagringen i skyen. Tænk på det som ikke at skulle betale husleje og ikke at skulle opbevare ting, du alligevel aldrig bruger.
2 - For miljøets skyld
Flytning og lagring af data går ud over miljøet. Enhver håndtering eller lagring af en e-mail, en vedhæftet fil, filer på drev osv. kræver strøm. Hvor meget Co2 afhænger af flere faktorer, men ifølge Berners Lees bog "The Carbon Footprint of Everything" er mængden af Co2 mellem 30 g og 5 kg for kun 100 e-mails ... Læg derefter sammen, hvor mange e-mails du har - og husk dine data på fildeling.
3 - Minimer forretningsrisikoen
Opbevaring af gamle data udgør en høj forretningsrisiko, da de ofte indeholder personfølsomme og forretningskritiske data. At opbevare disse data, som du ikke længere har brug for, og som er gemt de forkerte steder, eller som måske endda er dybt ulovlige ifølge Datatilsynet, er en betydelig forretningsrisiko. Mange indberetninger til Datatilsynet kommer faktisk fra medarbejderne selv, som langt fra er tilfredse med, hvordan organisationen (ledelsen) prioriterer compliance med lovgivningen. Og hvis der sker et databrud, og der ikke er overblik over organisationens data - så kan det ende med, at masser af dine og mine data pludselig bliver solgt videre.
4 - Gør det effektivt og spar tid
Rengøring bliver ofte ikke gjort, fordi det simpelthen tager for lang tid. Og i en travl hverdag er det ikke lige det, der står øverst på to-do-listen. Men Datatilsynets krav om sletning har betydet, at der er kommet nye typer løsninger på markedet - løsninger, som effektivt kan scanne, identificere og slette data enten ved at inddrage medarbejderen eller automatisk, alt efter hvordan man ønsker at håndtere sletningen. Og hvis man ser på, hvor meget tid man sparer som organisation, er det ofte en god løsning på et ellers irriterende og vanskeligt problem.
5 - Minimer tiden til at flytte dine data
Jo flere data du har, jo længere tid vil det tage at flytte dem. Ved at skille dig af med de data, du ikke har brug for, kan hele processen gøres hurtigere. Det betyder mindre nedetid for din organisation og en hurtigere overgang til det nye sæt.
6 - Husk alle data - ikke kun de overfladiske
Du skal have styr på alle dine data, og ikke kun dem, der er lette at slette. Der kan være masser af data, der skal slettes, i e-mails, vedhæftede pdf'er, billeder, Excel-ark og selvfølgelig i almindelige dokumenter. En enkelt Powerpoint-præsentation med flotte grafer og budgetforslag for 2019 kan f.eks. indeholde et indlejret ark med alle kommunens udgifter (inklusive cpr-numre og detaljerede oplysninger) om kommunens handicappede borgere.
7 - Fastlæg roller og ansvar omkring data
At flytte data til skyen er også en god chance for at få styr på dine data. Med tiden er dit fil-drev sikkert blevet et rod af forældede filer, dubletter, fejlplaceringer osv. Ved at rydde op, før du flytter dine data, sikrer du, at kun relevante data flyttes - men du bør også fastlægge roller og ansvar for datahåndtering.
8 - Undgå at alting bliver sandt
I forbindelse med flytningen skal man selvfølgelig have etableret metoder, værktøjer og uddelegeret ansvar for at sikre, at det ikke sker igen. Sverige er et stort set digitaliseret land, og mængden af data i organisationer stiger hver dag.
Kort sagt - ryd op i dine data, før du flytter dem til skyen - det giver mening, du sparer tid og penge, og det er godt for miljøet. Og endelig skal du fastlægge de nødvendige foranstaltninger, så det ikke sker igen. Vi har et fælles ansvar for at rydde op i vores gamle arv og gæld - selv i en travl hverdag. Meget af det er trods alt dine og mine data.
C: Får succes med Microsoft Purview
Mange mennesker prøver Microsoft Purview for at få bedre styr på deres data, men må opgive at bruge det efter et stykke tid. Men der er faktisk håb! De største udfordringer med Purview kan opsummeres i et par sætninger - og heldigvis kan de alle løses:
På Purview skal man selv bygge og vedligeholde en kompleks søgemaskine, som altid vil have en høj fejlprocent - og som også er utrolig langsom til at søge i data. Og hvis der er fejl eller ændringer, skal man starte forfra. Ikke alle relevante data kan håndteres af Purview - og når man endelig vil slette data, sletter man i blinde uden at vide, om Purview har gjort det ordentligt.
Disse områder er ofte forhindringer for organisationer, der ønsker kontrol over deres egne data. Jeg har derfor formuleret de ting, som Purview har problemer med - og de løsninger, der er tilgængelige.
Så hvor fejler Purview ?
1. Dårlig identifikation af data
Purview kommer med nogle foruddefinerede søgninger. De er langt fra, hvad der er brug for, og de er heller ikke særlig præcise. Man skal derfor selv sætte alle de mange tusinde typer af søgninger op, som er nødvendige for at overholde for eksempel GDPR og snart NIS2. Det er ikke en dealbreaker - men det er et kæmpe arbejde, som kræver et helt team af både sprogeksperter og MS-konsulenter. For hvert sprog, man bruger i organisationen, skal der selvfølgelig også laves et separat sæt til dette sprog. Og så skal man også sørge for, at f.eks. et tysk serienummer ikke bliver forvekslet med det danske personnummer. Desværre er kompleksiteten i at sikre præcise søgninger både en enorm opgave og kritisk for succes.
2. Meget langsom scanning
Purview er en (ekstremt) langsom datascanner - så du kan nemt komme til at vente i årevis på, at dine data bliver scannet. Hvis du har 250 medarbejdere med ca. 100.000 datafiler hver (e-mails, vedhæftede filer, filer osv.), vil det tage ca. 365 dage at scanne alle data (ganget op, hvis I er flere). Og det er bare en scanning. Da du kun kan køre én scanning med en varighed på 7 dage ad gangen, bliver det også en projekttung proces at færdiggøre scanningen af alle data.
3. Rescanning er ofte nødvendig
Selvfølgelig skal du justere dine søgninger, når du f.eks. bliver klogere på dine egne data, når du ved mere om, hvad du vil scanne efter, hvis du vil minimere falske positiver osv. Hver ændring kræver en ny scanning af alle organisationens data (se ovenfor).
4. Mærkning - men kun på nogle få data
Etikettering er en meget central funktion i Purview. Det er derfor vigtigt, at de rigtige data markeres med en etiket, så de kan håndteres korrekt bagefter. Det er dog kun nogle få udvalgte data, som Purview kan scanne og mærke. Resten af organisationens data er så stadig umærkede.
5. Rengøring med lukkede øjne
Det er de færreste, der tør rydde deres data med lukkede øjne uden at vide præcis, hvad de sletter (data, der ofte endda er valgt forkert). Men det gør man i Purview. Medarbejderen/dataejeren er ikke involveret - og i stedet træffes beslutningen om at iværksætte sletning fra et centraliseret team. Det kan i sig selv have store forretningsmæssige konsekvenser, når vigtige data går tabt.
Men når det er sagt, er der mulighed for at blive ved med at Purview, øge lanceringen og få succes:
Data & More's løsning kan overvinde alle disse udfordringer (og flere til), hvor Purview kommer til kort. Du kan f.eks. bruge Data & More's løsning som en stand-alone-løsning eller som en supplerende løsning, der håndterer det tungeste arbejde. På den måde kan organisationen hurtigt begynde at bruge Purview til sine kernekompetencer.
Lidt om Data & More's løsning:
- Løsningen er klar til brug. Der er ikke behov for konfiguration, programmering osv.
- Den indeholder hundredtusindvis af foruddefinerede og testede søgninger på flere sprog.
- Løsningen scanner hurtigt og kan håndtere enorme mængder data (petabytes)
- Hvis søgningerne ændrer sig, behøver du ikke at scanne igen.
- Løsningen har altid kontrol over alle data i alle forbundne datakilder - inklusive nye data.
- Der kan sættes labels på alle typer data - som så kan bruges af f.eks. Purview, DLP osv.
Medarbejderen bliver automatisk involveret, hvis det er nødvendigt
Medarbejderen kan dobbelttjekke, hvad der er sat til sletning, før det slettes
Løsningen kan finde udvalgte data på få sekunder (f.eks. i tilfælde af adgangsanmodninger) på tværs af alle data
Grundlæggende gør Data & More's løsning det hårde arbejde - nemlig hurtigt og effektivt at scanne alle data og anvende de rigtige markeringer - på de rigtige data - i alle relevante datakilder. Og involverer medarbejderen, hvis data også skal slettes. I løbet af de sidste par år har Data & More udviklet og vedligeholder løbende klassificering til GDPR, CCPA, PIPEPA osv. baseret på milliarder af datasæt (e-mails, vedhæftede filer, filer osv.) hver dag - og det kan bruges direkte med Purview.
På den måde får Purview det optimale udgangspunkt for at lykkes.
D: AI også Microsoft CoPilot
Når man f.eks. bruger Microsoft CoPilot (eller andre former for AI), bliver data ofte distribueret. Men hvis du ikke har kontrol over dine data, kan du risikere at distribuere store mængder data til f.eks. Data, som ikke bør deles, og endda data, som måske burde have været slettet for længe siden.
Én ting er at blive udsat for et databrud udefra på grund af f.eks. manglende sikkerhed. En anden ting er bevidst at lægge sin organisations data ud, ofte inklusive andres personlige og følsomme data, uden at sikre sig, at man ved præcis, hvilke data man deler.
Hvis du er det mindste usikker på, præcis hvilke data du deler - så sørg for at tjekke dine egne og andres data, før du deler dem.
E: Dataläck (databrud)?!
Sørg for, at dine beredskabsplaner indeholder oplysninger om, hvordan du vil sikre hurtig og præcis indsigt i lækkede data på en effektiv måde, hvis du får et databrud.
Det giver dig mulighed for hurtigt at kommunikere og håndtere databruddet i forhold til de berørte privatpersoner baseret på faktuelle oplysninger om indholdet af datalækket.
Data & More hjælper hurtigt og effektivt organisationer, der har et databrud, ved at sikre fuld gennemsigtighed i præcis hvilke personligt identificerbare og følsomme data, der er blevet lækket. Vi kan selvfølgelig også hjælpe med at finde ud af, hvilke forretningskritiske oplysninger der er blevet lækket.
Men et godt råd er stadig det velkendte "Tøm bilen før tyven" - så sørg for at rydde op i dine data på forhånd. Så er skaden så meget mindre - hvis det skulle ske.
Læs mere her: https: //dataandmore.com/sv/data-breach/
Få indsigt i dine data compliance risiko - effektivt og gratis
Organisationer har ikke været gode til at rydde op i gamle data. Der bliver stadig gemt masser af data, som skulle have været slettet for længe siden i henhold til GDPR - og der kommer nye data til hver dag. Det er ulempen ved at leve i et digitalt samfund. Vi bliver alle påvirket af dette som enkeltpersoner, når vores personlige og følsomme oplysninger indgår i et databrud - eller som organisation, når databeskyttelsesmyndigheden kommer på besøg, eller du ender i medierne.
For at hjælpe med at sikre organisationer og os alle som enkeltpersoner tilbyder vi nu gratis scanninger. Det er præcis den samme type løsning, som vi ellers sælger - og som håndterer over 2.000.000.000 e-mails, vedhæftede filer, dokumenter osv. hver dag. Det er bare gratis.
- Kom i gang på få minutter - ingen installation nødvendig
- Automatisk scanning af din organisations e-mails (op til 250 konti)
- Scanningen er baseret på myndighedernes GDPR-regler
- Løsningen leder efter indhold med høj risiko, som ville være katastrofalt i tilfælde af et databrud.
- Faktuel risikooversigt, der kan downloades
- Ingen i din organisation har adgang til de scannede oplysninger - ikke engang dig selv
- Følg dine nøgletal, tendenser og risici over tid.
- Leverandøren er fra Skandinavien og er ISAE 3402- og GDPR 3000-certificeret.
- Alle juridiske dokumenter (databehandlingsaftale osv.) er inkluderet
Selve scanningen kan tage 2-4 uger afhængigt af, hvor mange konti der skal scannes, og hvor meget data der er. Hvis du er interesseret i en hurtigere eller større scanning - eller hvis der er andre typer data, du gerne vil have scannet, så skriv til mig på abs@dataandmore.com
- Automatiserede data Compliance: Identificerer og sletter ikke-kompatible privatlivsdata med slutbrugervalidering.
- Afhjælpning af databrud: Identificerer og rapporterer om registrerede, der er involveret i et brud på datasikkerheden, og sikrer korrekt datavalidering.
- Copilot Privatliv: Forhindrer Microsoft Copilot i utilsigtet at få adgang til følsomme oplysninger ved at mærke privatlivsdata med Microsofts følsomhedsmærker.
- Data & More for Purview: Forbedrer Purview med fuld GDPR-privatlivsklassifikation og sætter automatisk Microsoft-privatlivsfølsomhedsmærker på data.
- AI Enterprise Data Platform: Bruger vores klassifikationsteknologi til at identificere og udnytte data fra store ustrukturerede arkiver til store sprogmodeller (LLM).