9 GDPR aktiviteter, der bringer din virksomhed sikkert i mål

Det er en kompleks opgave at leve op til kravene i EU persondataforordningen. Det kræver både tilpasninger i den måde virksomheden gennemfører forandringer på, samt justeringer af virksomhedens driftsrutiner. Virksomheden skal grundlæggende vende sig til, at persondata fremadrettet er et ”styringsobjekt” ligesom ”kunder”, ”medarbejdere” og ”IT-systemer” er det.

Fundamentet for en systematisk efterlevelse af forordningen er et effektivt og sammenhængende ledelsessystem, der løbende sikrer, at ledelsen har et overblik over, hvordan persondata forvaltes i virksomheden, samt hvilke trusler, sårbarheder og risici, der knytter sig til brugen af persondata.

Ovenpå dette fundament skal virksomheden tilpasse sine interne politikker og indarbejde rollerne som dataansvarlig, databehandler (og evt. DPO) i organisationen. Virksomheden skal vende sig til at udarbejde risikovurderinger, når der skal gennemføres forandringer, og til at arbejde på en ensartet måde med styring og eksekvering af forandringer i virksomheden for hele tiden at havekontrol med ”in-flowet” af nye persondata.

Compliance med persondataforordning er ikke et projekt, der sluttede maj 2018

Det er helt afgørende, at GDPR-projektet har leveret et ”system” bestående af politikker, processer og forskellige typer af dokumentation, der fortsat ”lever” i organisationen efter den 25. maj 2018. For de fleste virksomheder har det krævet et stærkt fokus på forandringsledelse gennem hele projektforløbet. Udover forandringsledelse bygger vores model på discipliner som informationssikkerhed (ISO 27000-serien), ITIL service management og enterprise arkitektur.

9 trin til compliance

Vores implementeringsmodel tager dig sikkert igennem alle hjørner af forordningens krav og sikrer, at din forretning efterlever de nye regler. De 9 trin omhandler:

Strategiske styringsredskaber

Fundamentet for efterlevelse af persondataforordningen er et ”klassisk” ledelsessystem til styring af informationssikkerhed baseret på standarden ISO 27001.

Rollen som dataansvarlig

Din virksomhed skal forvalte persondata ud fra et livscyklus-perspektiv. Det betyder, at der skal være indarbejdede arbejdsgange, som understøtter at persondata skabes, vedligeholdes og slettes.

Taktiske styringsredskaber

Din virksomhed skal på ethvert tidspunkt kunne dokumentere forvaltningen af persondata. Det kræver etablering af diverse former for dokumentation, herunder et privatlivsbibliotek og et samtykkeregister, som løbende skal kunne vedligeholdelse.

Risikostyring

Din virksomheden skal kunne dokumentere, at man har taget højde for beskyttelsen af de registreredes privatliv, når man gennemfører ændringer. Det kræver risikovurderinger med fokus på fortrolighed og integritet.

Databehandleraftaler

Virksomheden skal indgå databehandleraftale, når behandlingen foretages af en anden juridisk enhed. Det kræver ensartede aftaleformater, som sikrer ensartethed i måden man indgår og følger op på aftaler med databehandlere.

EA-dokumentation

Din virksomhed skal have et sammenhængende overblik over forretningsprocesser, applikationer, persondata og infrastruktur, der kan vedligeholdes. Det kræver at dokumentationen baseres på standarder, så dokumentationen bliver personuafhængig.

De registreredes rettigheder

Etablering af proceskæde der håndterer henvendelser fra registrerede, der gerne vil slettes eller flyttes. Udarbejdelse af vejledninger og forretningsgange, der sikrer at dette følges.

Operationelle styringsredskaber

Din virksomhed skal sikre, at der er arbejdsgange til håndtering af brud på persondatasikkerheden. Arbejdsgangene skal bl.a. sikre, at Datatilsynet (og evt. den registrerede) orienteres i særlige tilfælde.

Forandringsledelse

Din virksomheden skal sikre, at alle i virksomheden er bevidste om persondatas betydning. Det opnås gennem en styret forankringsproces ved evt. brug af ADKAR, adfærdsdesign, nudging mv.

Vil du vide mere om EU persondataforordningen

Bo Kinch Andersen