Hvordan ITIL-rammeverket kan støtte implementering av GDPR

Mange bedrifter jeg møter på kurs forteller at de er i siste innspurt med GDPR. Da blir jeg skeptisk. Enten har de ikke forstått omfanget, eller så har de ikke forstått poenget. Det er nemlig ingen siste innspurt i GDPR. GDPR er en prosess og handler om å sette alt i system, det handler om å jobbe systematisk, og ikke minst handler det om å få personvern inn i ryggmargen til alle ansatte. På hvilken måte er ITIL-rammeverket viktig for å få til dette?

Dette er del to i en artikkelserie om hvordan ITIL-rammeverket kan støtte etterlevelse av de nye personvernreglene. Første del oppsummerte de viktigste kravene i GDPR. Vi så at de nye personvernreglene er ganske omfattende, og at GDPR ikke bare stiller krav til personvern, men også til hvordan kravene skal etterleves. Det må i tillegg samles bevis for etterlevelse. Dette krever veletablerte rutiner og prosesser samt systematisk dokumentasjon og logging. For virksomheter av en viss størrelse vil det være umulig å demonstrere etterlevelse uten et velfungerende styringssystem i bunnen.

Og det er jo nettopp det ITIL-rammeverket er ¬– et styringssystem for IT-tjenester. Virksomheter som følger ITIL har allerede mange av de grunnleggende styringsmekanismene på plass. Før vi ser på hvordan GDPR-krav kan integreres i eksisterende prosesser og styringsmekanismer, vil jeg at du skal prøve å leve deg inn i følgende scenario:

Jobbtilbud som DPO?
Tenk deg at du har satt deg godt inn i de nye personvernreglene og har søkt jobb som personvernombud / Data Protection Officer (DPO). Du har fått to jobbtilbud:

Begge bedriftene er innovative og fremgangsrike, og har vokst fra 50 til 500 ansatte på to år. For å gjøre det enkelt driver begge selskapene med salg og support av avansert IoT-utstyr til privatmarkedet, som for eksempel robotstøvsugere, intelligente komfyrer, lås og alarm for inngangsdører, alle med sensorer koblet til internet. Begge har en rekke underleverandører som produserer utstyret de selger, men vedlikehold og førstelinje-support håndterer de selv. Begge bedriftene har nylig satt i gang et GDPR-prosjekt som nå er i kartleggingsfasen, og erkjennelsen er at begge håndterer store mengder med persondata.

I den ene bedriften har de aldri hatt fokus på å definere felles rutiner og prosesser. De stoler på sine ansatte, og de ansatte gjør ting på sin egen måte. Kundene opplever imidlertid at det er svært varierende hva slags støtte og support de får fra selskapet. Derfor tar de godt vare på telefonnummeret til de teknikerne som er gode. Underleverandørene blir fulgt opp på forskjellig måte. Endringskontroll og slike ting blir overlatt til de ulike underleverandørene. De ansatte føler at de er en del av et innovativt og dynamisk miljø, selv om det også til tider kan være svært utfordrende med mange diskusjoner om hvordan ting bør gjøres. Det har lenge vært på planen at de mest suksessrike prosjektlederne skal kjøre kurs for nye prosjektledere, for å utvikle en god praksis i bedriften, men tiden strekker ikke til.

I den andre bedriften har de definert og dokumentert sine virksomhetsprosesser. IT-avdelingen følger ITIL-rammeverket og har en rekke prosesser på plass. De har en tjenestekatalog som viser spekteret av tjenester, og for alle store kunder har de en SLA som beskriver tjenesteleveransen. De har en god servicedesk, og en velfungerende Incident Management-prosess. I Change Management-prosessen har de regelmessige CAB-møter, der den velfungerende konfigurasjonsdatabasen er til uvurderlig hjelp hver gang de skal behandle en Request for Change (RFC) og vurdere risikoen av en endring. Informasjonssikkerhet er et eget punkt på sjekklisten. Supplier manager er fast medlem på CAB-møter, og av og til kjøres utvidede CAB-møter der endringsledere fra underleverandører er med.

Hvilken bedrift har du størst tro på når det gjelder å få på plass rutiner og prosesser for å ivareta personvern? I hvilken av bedriftene vil det være enklest å være DPO?

Hva vil det si å ha styring?
De nye personvernreglene er kommet for å bli. Det er noe vi skal leve med de neste 20 åra. Bedriftene må kunne demonstrere etterlevelse. Dette krever en prosessorientert, systematisk måte å jobbe på, der du planlegger, gjennomfører en stund, måler resultater og gjør forbedringer. For å klare dette må kravene ivaretas i bedriftens styringssystem.

ITIL-rammeverket gir en oppskrift på et styringssystem for IT-organisasjoner. ITIL er basert på god praksis innen styring av IT-tjenester og brukes over hele verden. Dette er ganske unikt. Det finnes for eksempel ikke noen tilsvarende bransjestandard for kvalitet innen HR.

Vi skal nå ta en rask gjennomgang av hver livssyklusfase i ITIL og hvordan GDPR-krav kan integreres. Hensikten er ikke å gi et fullstendig bilde, men å gi eksempler på hvordan ITIL-rammeverket kan brukes som et fundament for GDPR. I tillegg vil jeg anbefale å ta en titt på ISO 27001-standarden som viser hva som skal til for å bli sertifisert på informasjonssikkerhet. Har din virksomhet velfungerende ITIL-prosesser, med god integrering av GDPR-krav, så er dere trolig halvveis til ISO 27001 allerede!

Livssyklusfasene i ITIL
Livssyklustankegangen i ITIL er et kvalitetshjul i seg selv. Gjennom de fem livssyklusfasene Service Strategy, Service Design, Service Transition, Service Operation og Continual Service Improvement følger vi en IT-tjeneste fra den blir født som en strategisk beslutning, gjennom design og utvikling, til produksjonssetting over til drift og forbedring, til den en gang fases ut og erstattes av nye tjenester.

Figuren under illustrerer hvordan ulike GDPR-krav kan integreres i de ulike livsyklusfasene i ITIL. I den videre teksten vil jeg ta for meg ITIL-rammeverket fase for fase, og gi noen konkrete eksempler. Gjennomgangen er hovedsakelig rettet mot dere som kjenner ITIL-rammeverket relativt godt fra før. Der jeg bruker ordet «krav» henvises det til GDPR-krav.

Figur: Oversikt over hvordan GDPR-krav kan integreres i de ulike prosessene i ITIL-rammeverket.

Figur: Oversikt over hvordan GDPR-krav kan integreres i de ulike prosessene i ITIL-rammeverket.

Service Strategy
I strategifasen legges overordnede føringer for IT-tjenestene. Her tas også strategiske beslutninger om outsourcing eller insourcing av IT-tjenester. Rollene som databehandler og behandlingsansvarlig må etableres. Ledelsen må iverksette en kartlegging av persondata, og avgjøre om det skal opprettes en stilling som personvernombud (DPO).

Portfolio Management-prosessen må ivareta GDPR-kravet om at ingen nye tjenester som inneholder persondata settes i gang uten en risikoanalyse. Dersom tjenesten iht. GDPR er en høyrisikotjeneste (f.eks. store mengder sensitive data eller systematisk overvåking), må tjenesten underlegges et regime med jevnlige fokuserte risikovurderinger (DPIA).

Service Design
I Service Design-fasen i ITIL defineres en hel rekke prosesser som er essensielle for å kunne ivareta GDPR-krav. Her må vi sørge for at «Privacy by design and by default» sitter i panna på dem som anskaffer eller utvikler nye IT-tjenester.

IT Security Management-prosessen utformer sikkerhetspolicy og legger overordnede føringer for informasjonssikkerhetsarbeidet. I denne prosessen jobber folk som er drillet i å ivareta GDPR-kravene om konfidensialitet, integritet og tilgjengelighet (CIA). Ansvaret for utforming av personvernerklæringer hører naturlig hjemme her. De vil også være godt egnet til å lede et GDPR-prosjekt. De som jobber i denne prosessen er nemlig vant til å gjøre kartlegging av verdier (mapping) og jevnlige risikovurderinger innen informasjonssikkerhet, både for persondata og annen virksomhetskritisk informasjon.

Ifølge ITIL har denne prosessen ansvar for at alle ansatte får tilstrekkelig opplæring i informasjonssikkerhet, inkludert håndtering av persondata. Det er også viktig at de holder seg oppdatert angående trusselbildet, og at de samarbeider med de andre ITIL-prosessene for at nødvendige sikkerhetstiltak ivaretas. Sjekklistene i ISO 27001 er et nyttig hjelpemiddel for å integrere sikkerhet i eksisterende arbeidsrutiner og prosesser.

• IT Service Continuity Management er også en prosess der kartlegging og risikovurdering står sentralt. Denne prosessen planlegger for at det utenkelige kan skje, for eksempel brann, flom eller terrorangrep. De gjør Business Impact Assessment for å identifisere mulige konsekvenser, og iverksetter tiltak for at virksomheten skal kunne overleve en katastrofe. Sikring av persondata må være et tema i alle beredskapsplaner. Krisesituasjoner gir mange nye utfordringer knyttet til å ivareta personopplysninger.

Supplier Management må bygge GDPR-krav inn i kontraktmaler, og i sjekklister for valg underleverandør. De må etablere databehandleravtaler og vite at det etter de nye reglene er solidarisk ansvar i leverandørkjeder. Jevnlige risikogjennomganger er en del av leverandør¬oppfølgingen. Ikke minst må de være bevisst hvilke GDPR-krav som gjelder for å kunne overføre personopplysninger til tredjeland.

Resten av Service Design-prosessene spiller også viktige roller i GDPR-implementeringen:

Availability Management ivaretar sikring av persondata i robust design av tjenestene.
Capacity Management overvåker servere, og kan oppdage unormal aktivitet.
Service Catalogue Management beskriver IT-tjenestene i kundens språk. Om tjenesten samler inn persondata, kan det være nødvendig å innhente samtykker.
Service Level Management avtaler sikkerhetsnivå for hver tjeneste med kunden.

Service Transition
I Service Transition-fasen finner vi prosessene som sørger for en sikker overgang til drift. Mange som jobber etter ITIL benytter et Service Management-verktøy med integrert konfigurasjonsdatabase (CMDB). Flere bedrifter jeg har jobbet med har gjort et smart grep med å etablere GDPR-relaterte felter på konfigurasjonselementene. Da kan du for eksempel få ut en rapport med oversikt over alle servere der sensitive personopplysninger er lagret. Dette er nyttig informasjon både for ledelsen og for de andre prosessene.

GDPR krever for eksempel risikovurdering før endringer i tjenester der persondata er involvert. I Change Management-prosessen er det helt naturlig å ha fokus på dette. Dersom de ved et oppslag i konfigurasjons¬databasen kan se at tjenesten inneholder sensitive data, blir det enklere å ivareta kravet.
Release og deployment-prosessen har også flere viktige GDPR-aspekter å ivareta. Ett av dem er utfordringen med å bruke ekte personopplysninger som testdata. Da må i så fall test- og utviklingsmiljøer sikres på samme måte som driftsmiljøet.

Service Operation
Så har vi den daglige driften. Prosessene i denne fasen må ha GDPR-kravene i ryggmargen, og sørge for at persondata behandles på en trygg måte i en travel arbeidshverdag.

Tilgangskontroll-prosessen ivaretar kravene om konfidensialitet og integritet, ved å sørge for at kun de som skal ha tilgang får tilgang. Denne prosessen må ha en tett knytning til HR-prosessene for å kunne ha kontroll på «Joiners, Movers and Leavers».
Event Management kan hjelpe til med GDPR ved å sette opp overvåking og alarmer for å oppdage innbruddsforsøk på maskiner og utstyr.
De som jobber på Service Desk må være bevisst på GDPR i sin daglige kontakt med brukerne. I Incident Management prosessen må de trenes i å gjenkjenne, logge og rapportere på sikkerhetshendelser. Ved alvorlige brudd på GDPR må de snarest kontakte DPO for etterforskning og varling til datatilsynet og berørte parter.
Backup og restore er et eget GDPR-kapittel for seg selv. I mange av backup-systemene vi har i dag er det ikke mulig å ivareta individets rettighet til å få sine data slettet. Et annet viktig område for personvern er rutinene rundt avhending av utstyr.

Continual Service Improvement (CSI)
GDPR setter krav til en risikobasert tilnærming til GDPR. For de fleste virksomheter er det så mye som må på plass at de færreste vil klare å tilfredsstille reglene, hverken før 25. mai eller 1. juli i år. Og heller ikke før 1. juli neste år. Her handler det om å drive risikostyring i praksis. Ledere må til enhver tid prioritere det som er viktigst, og de må forstå ordet risikoaksept.

I kravet om en risikobasert arbeidsmåte ligger en forventning om kontinuerlig forbedring. Dette er selve essensen i ethvert styringssystem, og kjernen i PDCA-hjulet. I ITIL-rammeverket er en hel bok tilegnet metoder og verktøy for kontinuerlig forbedring.
Virksomheter som har en velfungerende CSI-prosess på plass, er vant til å jobbe strukturert og målbevisst med forbedringer. Når de setter fokus på GDPR-forbedringer i CSI-prosessen, vil de ligge et hestehode foran de som ikke er vant til å jobbe på denne måten.

Oppsummerende ord
Til slutt vil jeg minne om at denne artikkelen er ikke ment som en fasit, og den gir heller ikke et fullstendig bilde. ITIL-rammeverket brukes på mange ulike måter, og hver virksomhet må finne ut hvordan GDPR-krav best kan ivaretas i egen organisasjon.

I bedrifter jeg jobber med får jeg stadig høre at ITIL-prosessene ikke lenger får nok fokus fra ledelsen. Det er synd. ITIL-rammeverket er uten tvil det mest brukte rammeverket i verden for styring av IT-tjenester, og består av sunn fornuft satt i system. Det er en mal for et styringssystem, der virksomhetene tar i bruk de prosessene de har behov for, og tilpasser til eget behov for å få ønsket styring. Andre rammeverk som LeanIT, SIAM, BizDevOps, VeriSM mm, bruker ITIL-rammeverket som fundament.

Det som er sikkert er at GDPR har fått fokus fra ledelsen. La oss nå bruke dette momentet til å få frem verdien og styrken i ITIL, og vise hvordan ITIL-prosessene kan bidra til å ivareta GDPR-krav.

Signe-Marie Hernes Bjerke (Sigma)

Signe-Marie Hernes Bjerke (Sigma) jobbet i DNV GL (tidl. Det Norske Veritas) i 16 år før hun høsten 2016 startet for seg selv i Teambyggerne AS. Der er hun travelt opptatt som kursleder for en rekke ulike kurs, coach for både ledere og medarbeidere, og fasilitator for store og små samlinger. Med andre ord: Hun jobber med det hun elsker å jobbe med.

Sigma har lang erfaring innen informasjonssikkerhet, kvalitetssikring, risikostyring, måling og forbedring, både på forretningsnivå og innen IT.
Bak seg har hun altså mange år i DNV GL. Der begynte hun å jobbe med GDPR allerede i 2014. Målet for DNV GL var å tilfredsstille EU-kravene til Binding Corporate Rules ("BCRs" to allow multinational corporations to make intra-organizational transfers of personal data across borders in compliance with GDPR). Kartlegging av persondata og etablering av rutiner og rammeverk for behandling av persondata i tråd med de nye reglene var en viktig del av prosjektet. Sigma har gjennomført kvalitetssikring av en rekke prosjekter, prosesser og ledelsessystemer hos eksterne kunder, og hjulpet ulike virksomheter med å få på plass rutiner og rammeverk for informa¬sjonssikkerhet iht. ISO 27000. Hun er ITIL Expert, Lean Black Belt forbedringsleder og har vært med på å lage eksamens¬oppgaver i ITIL, informasjonssikkerhet og Cyber Security som er brukt over hele verden.

Sigma er opptatt av menneskene. Hun er en allsidig fasilitator og teambygger, og en rutinert pedagog. Hun holder blant annet kurs i ITIL, Lean, risikostyring og fasilitering. På hennes kurs kan du forvente aktivitet og interaksjon. Hun er Lead trainer i Glasspaper for GDPR og de nye personvernreglene.