Ændringsstyring (Change Management)

Ved ændringer i it-miljøer, software, organisationen, forretningsprocesser og sagsgange mv. kan der opstå fejl. Fejl kan også opstå steder i et it-miljø, som ikke direkte er berørt af en given ændring, fordi ændringerne udløser afledte fejl i tilknyttede systemer, eller der kan opstå fejl som følge af, at sagsgange ikke bliver tilpasset planlagte ændringer i et it-miljø.

God ændringsstyring indebærer, at sådanne ændringer styres efter fastlagte principper. Hvad ændringsstyring konkret giver anledning til, kan variere fra situation til situation – det centrale er at have faste procedurer for at håndtere og vurdere konsekvenserne ved planlagte ændringer, inden de gennemføres. Man forsøger at forudse fejl, både med henblik på at undgå dem, men også for at have en plan for at håndtere konsekvenserne, hvis der opstår fejl i forbindelse med ændringen. Der er altså tale om en foranstaltning med mange facetter. Hvordan den påvirker risici, afhænger af, hvilken del af ændringsstyringen man taler om.

Fejl kan fx opstå, hvis eksisterende foranstaltninger ikke sikres videreført ved udskiftning af server, fx videreførelse af en adgangsbegrænsning på en mappe på et netværksdrev, der flyttes til anden server.

Andre fejl kan opstå gennem integration mellem it-systemer og automatiserede processer. Ved iværksættelse af dataoverførsler mellem it-systemer skal det eksempelvis sikres, at markering angående ændret navne- / adressebeskyttelse medtages, således at oplysning om beskyttet navn ikke utilsigtet eksponeres i et andet it-system.

Nedenfor følger en række eksempler, hvor bedre ændringsstyring kunne have gjort en forskel:

• I forbindelse med tilflytning til en kommune udsendes et indskrivningsbrev fra skolen til begge forældre. Udsendelse sker automatisk til begge forældre, selv om barnet bor sammen med den ene forælder på beskyttet opholdsadresse, men opholdsadressen er ikke udeladt, hvorved der utilsigtet videregives oplysning om en beskyttet adresse. Dette skyldes, at man ved udvikling af et nyt it-system ikke har taget tilstrækkeligt hensyn til, hvilke personoplysninger der behandles i it-systemet, og hvordan disse oplysninger må anvendes i det nye it-system. Man har automatiseret udsendelsen af breve uden at tage hensyn til individuelle problematiske forhold omkring beskyttelse af nogle af de behandlede personoplysninger.
• Ikke samboende forældre med fælles forældremyndighed gives mulighed for at logge på en selvbetjeningsløsning, så begge forældre kan tilgå breve vedrørende det fælles barn. Der tages ikke højde for, at oplysning om beskyttet adresse, som står på breve, ikke skal kunne tilgås af den anden forælder.
• Kommunen har oplysninger om, at den ene forælder har tilhold mod at opsøge den anden forælder, og at barnets adresse er beskyttet. Alligevel sendes SMS til begge forældre med oplysninger om, hvor og hvornår det fælles barn har en aftale på en tandklinik. Fejlen skyldes manglende opdatering af data mellem it-systemer.
• En blanket til skoleskift giver mulighed for at indtaste et personnummer, hvorefter it-systemet automatisk sender en kvittering til begge forældre med angivelse af adresse. Systemet tager ikke højde for adressebeskyttelse, hvorfor den ene forælder uberettiget kan få den anden forælders beskyttede adresse oplyst ved at indtaste den anden forælders personnummer i blanketten.
• En skole sender SMS til et barns biologiske forældre om et skolearrangement, selv om de biologiske forældre ikke må kende barnets opholdssted. Derved får forældrene oplysning om, hvilken skole barnet går på. En del af problemet er langsom opdatering mellem it-systemer og manglende hensyntagen til opdateringsfrekvenser. Der mangler overblik over, hvilke systemer der modtager hvilke data og med hvilken hastighed.
• En forælder uden forældremyndighed modtager SMS med adressen på barnets skole, selvom barnets opholdssted er beskyttet. Det skyldtes en fejl i opsætning af et it-system, idet en integration mellem it-systemer er blevet gennemført uden fornøden test.
• Navneopråb i klasse (fraværsregistrering) sker med anvendelse af beskyttet navn, fordi data til navneopråbet ikke kommer fra et af de skolesystemer, hvor navnet er erstattet med alias, men i stedet hentes direkte fra CPR.
• Dårlig kodning i it-system medfører, at angivelsen af adressebeskyttelse ikke følger med ved oversendelse af sager fra en myndighed til en anden. Dette indebærer en risiko for, at den modtagende myndighed ved en fejl kommer til at udlevere oplysning om beskyttet adresse, fx ved udlevering af dokumenter i sagen.

Det afdækkes, hvilke behandlingsaktiviteter der bliver påvirket af en eller flere planlagte ændringer i it-miljøet. Det afdækkes også, om ændringen kan påvirke dele af miljøet eller tilknyttede processer og anvendelser af de berørte it-systemer, som ikke direkte er genstand for selve ændringen. På den måde kan det fastlægges, hvilke dele der skal testes i forbindelse med ændringerne.

Alle sandsynlige fejlscenarier sikres afdækket inden iværksættelse af ændringen, ligesom de pågældende fejlscenarier testes i fornødent omfang. Alle fundne fejl vurderes ud fra mulige risici for registreredes rettigheder og frihedsrettigheder, og det vurderes – især af databeskyttelsesrådgiveren (hvis en sådan er udpeget) – om de betyder, at ændringen skal udskydes, indtil fejlen er rettet.

Der iværksættes kontrol af, om eksisterende foranstaltninger videreføres ved systemændring. Blandt andet følgende:

• Der gennemføres tests, som sikrer, at samtlige kontrolforanstaltninger i et it-miljø, som er etableret gennem it-miljøets levetid, videreføres eller erstattes af noget tilsvarende efter en ændring.
• Det kontrolleres, om der foregår logning i det it-system, som skal ændres. En sådan logning skal testes umiddelbart efter ændringen, så det sikres, at der stadig logges som forventet, og at logdata gemmes længe nok og kan tolkes med den aktuelle vejledning eller et dertilhørende it-system. Hvis ikke dette gennemføres, kan en systemændring underminere foranstaltninger som Logning af brugernes anvendelser af personoplysninger og Logning af brugeradministrators handlinger.
• Det kontrolleres, om det it-system, som skal ændres, omfatter områder med begrænset adgang. Hvis det gør, gennemføres tiltag for at sikre, at gældende rettighedsstyring videreføres, nedlægges eller tilpasses i fornødent omfang, ligesom adgangsbegrænsningerne testes umiddelbart efter gennemførslen af ændringerne.
• Rettighedsstyring kan foregå inden for en meget lille gruppe af medarbejdere, der fx har valgt at lave en adgangsbegrænsning på en mappe på et serverdrev. Det er vigtigt at få afdækket og taget højde for sådan decentral rettighedsstyring, inden ændringen af it-systemet påbegyndes.
  • Hvis der anvendes RPA (Robotic Process Automation) eller lignende, kontrolleres, at robot-brugerens adgangsrettigheder stadig er aktuelle, eller om de skal begrænses.
  • Hvis ændringen vedrører direkte adgang til databaser, file stores og lignende udenom sædvanlige applikationer med rettighedsstyring, skal det sikres, at den gældende rettighedsstyring ikke påvirkes af ændringen. Især ved flytning fra test til produktion kan dette blive overset. Typisk skal højst administrator og evt. servicekonto kunne tilgå en database direkte.
• Ved integration mellem it-systemer, og særligt hvor der aktivt udveksles data, afdækkes:
  • om opdateringsfrekvensen er tilstrækkelig,
  • om der overføres tilstrækkelige data,
  • om ændringerne kan få indflydelse på gældende lovkrav til behandling af data, som fx om data anvendes til uhjemlede formål, opbevares i længere end nødvendigt mv.
• Der sikres opmærksomhed på, om ændringer i integrationen kan medføre utilsigtede ændringer i adgangsrettigheder med risiko for at der eksempelvis kan opstå adgang til flere data, end der burde, eller der viser sig at mangle data, som er nødvendige for at styre håndteringen af andre data. Dette kan eksempelvis være en situation, hvor der opleves en fejl på en kommunikationsforbindelse til en datakilde, hvorfor der hurtigt skiftes til en alternativ datakilde. Den alternative kilde har imidlertid forældede data, hvilket indebærer, at der anvendes forældede data i de automatiserede processer.

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, litra b, at relevante foranstaltninger til sikring af et sikkerhedsniveau, der passer til de vurderede risici, kan omfatte evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester.

Ændringsstyring er altid relevant ved ændringer i et it-miljø, software, organisationen, forretningsprocesser, mv. – også selv om udviklingen ikke sker inhouse. Ved outsourcet it kan krav til ændringsstyring med fordel inkluderes i it-kontrakter og databehandleraftaler. Ændringsstyring kan også være relevant ved ændringer i procedurer og organisation.

Her følger et par eksempler på scenarier, hvor der skal være styr på ændringsstyringen: 

1. Hvis organisationen – evt. i samarbejde med en databehandler – foretager ændringer i it-systemer, arbejdsprocedurer, mv., så er forordningens artikel 32, stk. 1, litra b, relevant, idet enhver ændring i it-systemer, arbejdsprocedurer mv. kan introducere fejl, der påvirker fortrolighed, integritet, tilgængelighed eller robusthed.
2. Ændring af et it-system kan introducere fejl, hvis det bevirker, at arbejdsprocedurerne ikke længere passer til it-systemet. Omvendt skal ændringer i procedurer ske med forståelse for, hvordan it-systemet fungerer, for at det ikke skal introducere fejl.

Ændringer i organisationen kan ligeledes introducere fejl, hvis nye medarbejdere sættes til et arbejde, de ikke først er blevet ordentligt uddannet til, eller som ligger langt fra medarbejderens normale fokusområde – eksempelvis hvis en pædagog får til opgave at lave sagsbehandling i et it-system, der ikke er intuitivt, som medarbejderen ikke er uddannet i, eller som ikke er sikret imod brugerfejl.

Ovenstående viser, at udviklingen/ændring af både it-systemer, procedurer og organisation skal ske med fokus på behandlingssikkerhed, og it-system, procedurer, og organisation skal passe sammen. Databeskyttelsesforordningen artikel 25 har til formål at sikre databeskyttelse tænkt ind i designet, og ikke kun designet af it-systemer, men også af organisationen og i organisationens arbejdsprocesser/procedurer.