GDPR i affärsverksamhet (Infrastruktur) – Vilka är rättigheterna?

I den här artikeln ska vi fortsätta att titta på GDPR. Förra gången blickade vi tillbaka på historien och bakgrunden till regleringen, dess ursprung och existensberättigande. Den här gången ska vi föra ett helt annat samtal och titta specifikt på ICT-infrastruktursupport.

Vad är infrastruktursupport?

När jag säger infrastruktur menar jag affärsbiten inom professionella tjänster. Jag talar inte om tillverkning eller OEM eller maskinvara. I det här fallet handlar infrastruktur om underhåll och supportverksamhet liksom helpdesktjänster och slutanvändarsupport. Ibland kallas dessa för Managed Service Providers.

Infrastruktursupport innebär att du köper en tjänst och får någon som underhåller eller fixar datorn åt dig.

Bakgrunden till infrastruktursupport

De flesta företag har idag någon som de anlitar för infrastrukturbehov. Mindre företag kanske använder Lasse i porten bredvid som har lite ledig tid då och då. En del företag bygger upp interna IT-avdelningar, medan andra väljer att outsourca det till gig-ekonomin. Problemet är att de flesta användare inte vet hur man ska använda systemet eller laga det när det är trasigt.

Vad gör du när någonting händer? Du ringer förmodligen en IT-avdelning och förlitar dig på att få support av dem. Personen som svarar i telefon skriver ner information i fakturerings- och spårningssyfte. I ITIL kan de hänvisa tillbaka till CMDB. Den information som samlas in är i själva verket information för identifiering av telekommunikation: Vem som ringde, när de ringde, från vilket nummer de ringde, samtalets längd etc.

Föreställ dig nu en situation då dina telefonloggar visas för den telekomoperatör du samarbetar med. Det skulle vara en katastrof. Varför är användarna inte intresserade när läsrättigheterna är offentliga? Visste du om det här?

I och med ICT-infrastruktursupporten tar återförsäljarna numera hänsyn till den aspekten. Om du har goda idéer kan du dela med dig av dem i kommentarsfältet i slutet av artikeln.

Visste du om det här? Vet du att informationen kan hamna på en faktura eller en offentlig rapport som har visats för många olika personer?

Vad är den registrerade?

Jag har redan tagit upp den registrerades rättigheter och kommer nu att titta närmare på själva databiten hos den registrerade i min nästa artikel.

Det korta svaret är att den registrerade är DU och jag. Enligt GDPR-ideologin ska informationen vara transparent. I många fall är den det, vilket gör att du kan gå igenom dina förfrågningar och spåra vem som gjorde vad med dem. I detta fall får någon annan tillgång till uppgifterna igen. Jag anser att det bör finnas ett tydligt utlåtande i återförsäljaravtalet som anger vem som har tillåtelse att se förfrågan. Om så inte är fallet är med din nuvarande återförsäljare rekommenderar jag att du ber om det.

Om vi tittar på det ur ett CMBD-perspektiv: om datorn är registrerad på en viss användare och förfrågningarna kommer till den datorn, hur kan man då bara radera namnet på användaren? Förfrågan skulle tappas bort.

Rapportering

Slutligen handlar det också om rapportering. En god vän till mig gör rapporter för ledningen på ett återförsäljarföretag. Jag intervjuade honom om hans erfarenheter, och efter en timme drog han följande slutsats: ”Nu när du säger det så tror jag att behöver ta upp det här vid fikabordet.” Enligt min erfarenhet tar inte ens högt kvalificerade proffs efterlevnaden på allvar när de bör göra det.

Om du använder rapporter bör du verkligen försöka vara uppmärksam på detaljerna nästa gång. Oftast är dessa rapporteringssystem inrättade för att du faktiskt ska kunna organisera data och kunna välja vad du vill se. Om du börjar se ägare av förfrågningar eller Dator-ID:n bör du reflektera över det. Inkräktar du på någons rättigheter att förbli anonym? Hur anonymt är det att säga att en viss person hade skadlig programvara på sin dator för att hon såg sidor som hon inte skulle se på datorn.

Slutsats

Jag skulle kunna fortsätta hur länge som helst. Jag skulle väldigt gärna vilja höra vilka åsikter återförsäljare av ICT-infrastrukturverksamhet har nedan. Vilka ämnen tycker du är viktiga i din verksamhet? Är det oroande med mobila enheter eller är det BYOD som gör efterlevnaden av GDPR svår?

Det finns alternativ som vi bör överväga, som dekryptering av data och åtkomstkontroll. För det första skulle jag vilja påpeka hur viktigt det är att säkra din lagring, exempelvis genom att använda en bitlocker och master-lösenord. Efter att ha grubblat över ämnet inser jag att jag inte har någon lösning på hur man ska efterleva kraven med denna infrastruktur. Med åtkomstkontroll finns det heller ingen lösning. Det kan vara frestande att låta lösenordet vara kvar efter flera omstarter. Du kanske behöver ge någon person utifrån tillgång till uppgifterna. Det är inte ett hållbart alternativ. Om du har några bra idéer är jag beredd att lyssna!

Besök www.techprivacy.com för ytterligare information. Jag tycker att sidan är väldigt användbar, och hoppas att du också tycker det.

Nästa artikel kommer att publiceras tisdagen den 20 februari – Håll utkik efter mitt senaste bidrag i GDPR-serien: GDPR i affärsverksamhet (Softa)!