Det følger af databeskyttelsesforordningens artikel 32, stk. 1, litra b, at relevante foranstaltninger til sikring af et sikkerhedsniveau, der passer til de vurderede risici, kan omfatte evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester.
Ændringsstyring er altid relevant ved ændringer i et it-miljø, software, organisationen, forretningsprocesser, mv. – også selv om udviklingen ikke sker inhouse. Ved outsourcet it kan krav til ændringsstyring med fordel inkluderes i it-kontrakter og databehandleraftaler. Ændringsstyring kan også være relevant ved ændringer i procedurer og organisation.
Her følger et par eksempler på scenarier, hvor der skal være styr på ændringsstyringen:
- Hvis organisationen – evt. i samarbejde med en databehandler – foretager ændringer i it-systemer, arbejdsprocedurer, mv., så er forordningens artikel 32, stk. 1, litra b, relevant, idet enhver ændring i it-systemer, arbejdsprocedurer mv. kan introducere fejl, der påvirker fortrolighed, integritet, tilgængelighed eller robusthed.
- Ændring af et it-system kan introducere fejl, hvis det bevirker, at arbejdsprocedurerne ikke længere passer til it-systemet. Omvendt skal ændringer i procedurer ske med forståelse for, hvordan it-systemet fungerer, for at det ikke skal introducere fejl.
Ændringer i organisationen kan ligeledes introducere fejl, hvis nye medarbejdere sættes til et arbejde, de ikke først er blevet ordentligt uddannet til, eller som ligger langt fra medarbejderens normale fokusområde – eksempelvis hvis en pædagog får til opgave at lave sagsbehandling i et it-system, der ikke er intuitivt, som medarbejderen ikke er uddannet i, eller som ikke er sikret imod brugerfejl.
Ovenstående viser, at udviklingen/ændring af både it-systemer, procedurer og organisation skal ske med fokus på behandlingssikkerhed, og it-system, procedurer, og organisation skal passe sammen. Databeskyttelsesforordningen artikel 25 har til formål at sikre databeskyttelse tænkt ind i designet, og ikke kun designet af it-systemer, men også af organisationen og i organisationens arbejdsprocesser/procedurer.