IAM – en hjälpande hand i GDPR-arbetet
IAM och GDPR är två förkortningar som kanske sällan för tankarna till att det är två ingredienser som tillsammans blir en bra kaka. I detta inlägg kommer vi berätta mer om detta och belysa hur IAM kan underlätta i en organisations dataskyddsarbete.
IAM, som vi i vårt första blogginlägg i denna serie har gått igenom, handlar om att ge rätt person rätt tillgång vid rätt tillfälle, och med det skapa tillförlitlighet och säkerhet. Vem har tillgång till vad, och varför? GDPR ställer krav på skydd av personuppgifter och vi har i detta inlägg valt att belysa några av de grundläggande principerna i regelverket för att se hur IAM kan hjälpa till i arbetet med dataskydd.
Uppgiftsminimering gör det enkelt att välja vilken information om användare som ska till vilket system
Till hjälp i detta blogginlägg har vi Johanna Grundberg som är jurist hos oss på Knowit och är specialiserad på just dataskydd.
Johanna, hur brukar du hjälpa kunder att efterleva principen om uppgiftsminimering i enlighet med GDPR?
– Först kanske jag ska berätta vad uppgiftsminimering innebär. Verksamheten som behandlar personuppgifter får endast behandla de uppgifter som behövs för att uppfylla aktuellt ändamål. Med andra ord behöver man fundera på varför man behöver uppgifterna och endast behandla så mycket eller så lite uppgifter som behövs. I praktiken hjälper jag kunder med att förstå att man sällan behöver en användares adress eller personnummer när man skapar ett användarkonto, då ska dessa uppgifter inte användas.
GDPR ställer alltså krav på att den som sätter upp användarkonton i ett system funderar över vilken information kommer sparas i systemet och om den information som sparas är nödvändig för det som verksamheten ska göra. Om system pratar med varandra eller speglar varandra kan detta bli extra komplext. Behöver vi samma information på två ställen eller inte?
IAM kan hjälpa till med att hantera uppgiftsminimering på ett smidigt och automatiserat vis. I nutida digitala landskap finns en uppsjö av system. Det kan vara allt från intranät, faktureringssystem, lönesystem eller administrationssystem. I dessa system finns personuppgifter i större eller mindre omfattning samt med ett större eller mindre skyddsvärde. Med hjälp av IAM kan vi styra vilken information som finns i vilka system. Exempelvis kanske det i ett lönesystem behöva finnas personnummer för att kunna säkerställa att rätt person får rätt lön, medan ett intranät endast kräver en epost-adress.
Utan ett IAM-system i bruk i organisationen sköts administration av uppgifter oftast manuellt. Den anställde läggs in i varje system av en administratör som skriver in personuppgifter. Ibland kan ett befintligt användarkonto kopieras för att skapa ett nytt, med syftet att ge det nya användarkontot samma rättigheter som det befintliga. Den här metoden är tidskrävande, gör det svårt att veta vilka personuppgifter som hamnar var och riskerar att en person får mer behörigheter än vad som krävs.
Genom att använda ett IAM-system kan vi få struktur på informationen i systemet. Vi kan välja vilken information som ska till vilket system. Ska endast mejladress finnas i systemet? Perfekt, då får systemet endast tillgång till mejladressen för den anställde som ska ha en behörighet dit. Uppgiftsminimeringen tillgodoses genom en automatiserad process av regler som skapas en gång. Likaså kan vi få översikt över vilka som har behörighet till systemet och varför, och därför ta reda på varför behandlingen av dessa uppgifter i systemet har gjorts från första början.
Är huvudvärk vid begäran om tillgång, rättelse och radering är ett minne blott med IAM-verktyg?
Johanna, hur brukar du hantera förfrågningar gällande tillgång, rättelse och radering?
– Det finns en del utmaningar när ett dataskyddsombud (DSO) eller kundtjänst får en förfrågan om att en person vill få sina uppgifter raderade eller rättade. Detsamma gäller när en person vill få tillgång till sina personuppgifter. GDPR kräver att personen ska få svar skyndsamt. En av utmaningarna är därmed att snabbt reda ut i vilka system personens personuppgifter finns. I vissa fall får den som ska hantera förfrågan prata med flera personer innan den förstår i vilka system uppgifterna lagras och även efter det kan det vara svårt att veta om listan med de system där personens uppgifter finns lagrade är fullständig.
Ett IAM-system som hanterar identiteter och information kopplat till anställda kan hjälpa till med allt från registrering till radering. Manuella dataskyddsprocesser som till exempel begäran om rättelse, borttagning eller tillgång kan effektiviseras genom delvis automation och att de producerar samma resultat, varje gång. Systemet hanterar även konton, vilket betyder att alla andra system som är påkopplade blir uppdaterade om kontona förändras. Det blir också betydligt lättare att avgöra vilken information som finns i alla system då IAM-systemet har en uppdaterad lista på vilka användare finns. Det här frigör utrymme för dataskyddsavdelningen att fokusera på annat. Systemet finns där för att stödja organisationen i dess dataskyddsarbete.
Vi ser också hur IAM underlättar i att ge personer rätt behörigheter. GDPR ställer krav på att skydda personuppgifterna från obehörig åtkomst. Att med lätthet kunna spåra varför en användare har behörigheter till ett system och på så sätt tillskansa sig personuppgifter är inte bara bra ur en säkerhetssynpunkt men även ur ett dataskyddsperspektiv. Vi kan med exakthet säga varför individen har möjlighet att komma åt exempelvis lönesystem. Är individen anställd på löneavdelningen? Är den IT-support? Tekniker? IAM-systemet ger ett kvitto och garanti på hur systemet ser ut och vilka faktorer individens tillgång till lönesystemet beror på. Skulle något se fel ut, exempelvis om en person som inte bör ha tillgång har det, rättar systemet till det automatiskt. IAM-systemet garanterar alltså att rätt person har rätt tillgång till rätt information, av rätt anledning.
Detta inlägg är det sjätte i Knowits bloggserie om IAM. Du hittar övriga inlägg i serien här:
1: IAM – En förkortning med stor betydelse
3: Auktorisation – Vad får du göra?
4: IGA – En viktig del av säkerhetsarbetet
8: Identiteter i det digitala samhället
Adam Björkman är IAM-expert och arbetar som lösningsarkitekt och teknisk specialist för både strategiska och operativa frågor inom IAM. Johanna Grundberg är jurist och specialiserad på dataskydd.