Cases

GDPR implementeringsprojekt hos en af Danmarks største detailvirksomheder

EU’s nye persondataforordning ville komme til at påvirke hele detailvirksomheden, og koncernen skulle derfor i gang med en ny implementeringsproces for at være forberedt til ikraftsættelsen maj 2018. For at blive ‘compliant’ med alle kravene i EU’s persondataforordning, havde detailvirksomheden behov for at få udarbejdet et sammenhængende overblik over arbejdsgange, processer, applikationer og data, der bruges i de underliggende organisationer, virksomheder og foreninger.  

Derudover skulle der udarbejdes en systematisk/dokumenteret risikotænkning i forbindelse med projekter/opgaver, herunder udarbejdelse og implementering af nye informationspolitikker, regler, retningslinjer og vejledninger jf. den nye persondataforordning og den danske Databeskyttelseslov, samt sikre fælles standarder for indgåelse og registrering af databehandleraftaler. 

Udfordring

Detailvirksomheden ønskede at blive compliant med kravene i EU's persondataforordning. Virksomheden havde i den forbindelse behov for, at få udarbejdet et sammenhængende overblik over arbejdsgange, processer, applikationer og data, der bruges i de underliggende organisationer, virksomheder og foreninger. Ydermere skulle der sikres fælles standarder for indgåelse og registrering af databehandleraftaler.

Løsning

Projektet har skabt et solidt fundament for det efterfølgende implementeringsprojekt, der skal give detailvirksomheden en ny og operationel tilstand, der sikrer efterlevelse af EU persondataforordningen nu og i fremtiden. Ydermere er projektet med til at sikre, at detailvirksomhedens forvaltning af persondata er sikker, effektiv og i overensstemmelse med EU persondataforordningen.

Trin til løsningen

ChangeGroup fik ansvaret for at gennemføre foranalysen og kravsafdækningen samt efterfølgende at være ‘Subject Matter Expert’ på hele implementeringsprojektet. 

Trin 1:

I første del af projektet foretog ChangeGroup en kortlægning af detailvirksomhedens aktuelle informationssikkerhed, herunder anvendelse og behandling af persondata. Det indebar dokumentation af kravene i persondataforordningen og en risikobaseret dokumentation af detailvirksomhedens aktuelle compliance ift. persondataforordningen (risikovurdering). 

Trin 2:

Dernæst udarbejdede ChangeGroup et oplæg til rolle- og ansvarsfordeling i organisationen i relation til persondataforordningen, samt udviklede en overordnet model, der beskriver den organisatoriske forankring af de opgaver, der følger af persondataforordningen, herunder oplæg til gennemførsel af Awareness kampagner og forandringsledelse. 

Trin 3:

Slutteligt udarbejdede ChangeGroup en risikohåndteringsplan med prioriterede, konkrete initiativer til håndtering af gap’s i forhold til detailvirksomhedens aktuelle anvendelse, samt informationssikkerhedspolitikker, regler, retningslinjer og vejledninger. 

På baggrund af risikohåndteringsplanen og gap analysen, udarbejdede ChangeGroup et oplæg til implementeringsplan og business case for implementeringsprogrammet, der indeholder ni compliancespor, der skulle sikre compliance med den nye EU persondataforordning. 

Kundens resultat 

Foranalysen identificerede ni compliancespor, som detailvirksomheden og ChangeGroup efterfølgende kunne bruge til at kortlægge og implementere det kørende implementeringsprojekt.  

De ni spor indeholder:

  1. ISMS+ på koncernniveau
  2. Den dataansvarliges rolle og opgaver (politikker, regler, retningslinjer og vejledninger)
  3. Persondata som forvaltningsprojekt
  4. Risikovurdering- og styring i projekter
  5. Databehandleraftaler
  6. EA-dokumentation
  7. De registreredes rettigheder
  8. Privacy i drift (kontroller og tilsyn)
  9. Tværgående forandringsledelse

Derudover har foranalysen skabt et solidt fundament for det nuværende implementeringsprojekt med underliggende implementerings- og forandringsprojekter indenfor informationssikkerhedspolitikker, regler, retningslinjer, og vejledninger, der giver detailvirksomheden en ny og operationel tilstand, der sikrer at forvaltning af persondata er sikker, effektiv og i overensstemmelse med EU persondataforordningen.  

Ekspertiseområder