Fundamentet for en systematisk efterlevelse af forordningen er et effektivt og sammenhængende ledelsessystem (fx ISO 27001), der løbende sikrer, at ledelsen har et overblik over, hvordan persondata forvaltes i virksomheden, samt hvilke trusler, sårbarheder og risici, der knytter sig til brugen af persondata.
Risikovurdering og informationssikkerhed
Ovenpå dette fundament skal virksomheden tilpasse sine interne politikker, retningslinjer, kontroller og indarbejde rollerne som dataansvarlig, databehandler (og evt. DPO) i organisationen (fx ISO 27002). Virksomheden skal vende sig til at udarbejde risikovurderinger (fx ISO 27005), når der skal gennemføres forandringer, og til at arbejde på en ensartet måde med styring og eksekvering af forandringer i virksomheden for hele tiden at havekontrol med ”in-flowet” af nye persondata.
Compliance med persondataforordning er ikke et projekt, der slutter
Det er helt afgørende, at GDPR-projektet har leveret et ”system” bestående af politikker, processer og forskellige typer af dokumentation. For de fleste virksomheder har det krævet et stærkt fokus på forandringsledelse gennem hele projektforløbet. Udover forandringsledelse bygger vores model på discipliner som informationssikkerhed (fx ISO 27000-serien), ITIL service management og enterprise arkitektur.
9 trin til compliance
Vores implementeringsmodel tager dig sikkert igennem alle hjørner af forordningens krav og sikrer, at din forretning efterlever de nye regler. De 9 trin omhandler:
Strategiske styringsredskaber
Fundamentet for efterlevelse af persondataforordningen er et ”klassisk” ledelsessystem til styring af informationssikkerhed baseret på fx standarden ISO 27001.
Rollen som dataansvarlig
Din virksomhed skal forvalte persondata ud fra et livscyklus-perspektiv. Det betyder, at der skal være indarbejdede arbejdsgange, som understøtter at persondata skabes, vedligeholdes og slettes.
Taktiske styringsredskaber
Din virksomhed skal på ethvert tidspunkt kunne dokumentere forvaltningen af persondata. Det kræver etablering af diverse former for dokumentation, herunder et privatlivsbibliotek og et samtykkeregister, som løbende skal kunne vedligeholdelse.
Risikostyring
Din virksomheden skal kunne dokumentere, at man har taget højde for beskyttelsen af de registreredes privatliv, når man gennemfører ændringer. Det kræver risikovurderinger med fokus på fortrolighed og integritet.
Databehandleraftaler
Virksomheden skal indgå databehandleraftale, når behandlingen foretages af en anden juridisk enhed. Det kræver ensartede aftaleformater, som sikrer ensartethed i måden man indgår og følger op på aftaler med databehandlere.
EA-dokumentation
Din virksomhed skal have et sammenhængende overblik over forretningsprocesser, applikationer, persondata og infrastruktur, der kan vedligeholdes. Det kræver at dokumentationen baseres på standarder, så dokumentationen bliver personuafhængig.
De registreredes rettigheder
Etablering af proceskæde der håndterer henvendelser fra registrerede, der gerne vil slettes eller flyttes. Udarbejdelse af vejledninger og forretningsgange, der sikrer at dette følges.
Operationelle styringsredskaber
Din virksomhed skal sikre, at der er arbejdsgange til håndtering af brud på persondatasikkerheden. Arbejdsgangene skal bl.a. sikre, at Datatilsynet (og evt. den registrerede) orienteres i særlige tilfælde.
Forandringsledelse (change management)
Din virksomheden skal sikre, at alle i virksomheden er bevidste om persondatas betydning. Det opnås gennem en styret forankringsproces ved evt. brug af change management (fx ADKAR), adfærdsdesign, nudging mv.
