For 2 år siden trådte den nye persondataforordning i kraft. GDPR blev det nye sort og de fleste organisationer, offentlige som private, fik travlt med at tilsikre opbevaringen af personoplysninger i henhold til GDPR-lovgivningen. Brugere af service management software stod overfor nye udfordringer, idet indtastede data ikke umiddelbart kan slettes. Flere virksomheder har desværre fået bøder af anseelig størrelse, på grund af ulovlig håndtering af personoplysninger.

iSpoc a/s valgte i 2017 i samarbejde med brugere af Service Management softwaren, IHLP® at finde ud af, hvordan et service Management værktøj bedst muligt kunne bidrage til GDPR- kompatibel håndtering af personoplysninger i systemet.
Udfordringen var, at de mange funktioner og de mange workflows og sagstyper der håndteres igennem et Service Management software er vidt forskellige og personoplysninger registreres og sendes på mange forskellige måder og af mange forskellige brugere.

 

Hvad har vi lært?

Erfaringer fra mange installationer har lært os følgende:
1) Stort set alle organisationer håndterer personoplysninger – men ikke alle erkender det. En forespørgsel i Servicedesken med angivelse af personnummer, password, brugernavn etc. Eller kommentarer på en sag om personlig/private forhold i forbindelse med en given personalesag. Data af denne art skal slettes når de ikke længere har relevans
2) Vi mennesker begår fejl. Selvom vi gør vores bedste, sker det, at man enten fejlindtaster eller overser personoplysninger, som derfor ikke bliver slettet.

Det kan være helt ned til enkelte systemer og software, der fælder en virksomhed. Det er derfor vigtigt at virksomheder sikrer sig, at de softwareløsninger der benyttes, er kompatible med GDPR-reglerne. For det er deres ansvar at kunne påvise det.

 

En løsning
Løsningen i IHLP® indeholder kravene til at brugerdefinere, hvad der skal anonymiseres på hver type af sager, der potentielt kan indeholde personoplysninger. Det gør sig gældende for feltindhold, filvedhæftninger, billeder, tilknyttede formularer og CI’s (Configuration items i CMDB). Anonymiseringen udføres på selve sagen, formular eller CI og data fjernes også på databasen. Selve sagen bibeholdes naturligvis for at opnå en korrekt rapportering. Man undgår menneskelige fejl, da systemet ved, hvilke datafelter i sagen, der skal slettes efter et givent tidsrum, hvor data ikke længere må opbevares iflg. gældende lovgivning.
Hvis der sker en fejl, hvor personoplysninger indføres i et ”forkert” felt, kan man via løsningen definere, at data i feltet skal slettes efterfølgende. Derved sikres det, at løsningen kan håndtere alle situationer, hvor sletning skal gennemføres.

 

Konklusion

I anvendelsen af Service Management værktøjer vil der med stor sikkerhed optræde personoplysninger med mellemrum.
Fejl sker! Personoplysninger indtastes ved en fejl eller registreres i forkerte felter, måske de bliver fremsendt i en mail. Disse personoplysninger slettes ikke igen let.
For at efterleve GDPR-reglerne må man i Service Management sammenhænge stille krav til at softwaren faciliterer sletning af personoplysninger på en let og overskuelig måde.