Cases

GDPR implementeringsprojekt hos en af Danmarks største medicinalvirksomheder

I maj 2018 trådte EU’s nye persondataforordning (GDPR) i kraft. Den nye EU persondataforordning sætter større krav til beskyttelse af den registreredes data, oplysningspligt ved sikkerhedsbrud, privatlivspolitik, databeskyttelsesrådgivning og dokumentationskrav. 

Da den nye persondataforordning kommer til at påvirke hele Medicinalvirksomheden, skulle man igangsætte en ny GDPR implementeringsproces for at være forberedt til maj 2018. For at blive compliant med alle de nye krav i EU persondataforordningen havde Medicinalvirksomheden behov for at udarbejde et sammenhængende overblik over arbejdsgange, processer, applikationer og data, der bruges i organisationen. 

Udfordring

I maj 2018 trådte EU's nye persondataforordning (GDPR) i kraft. Den nye EU persondataforordning sætter større krav til beskyttelse af den registreredes data, oplysningspligt ved sikkerhedsbrud, privatlivspolitik, databeskyttelsesrådgivning og dokumentationskrav. Medicinalvirksomheden havde i denne forbindelse behov for, at få skabt overblik og forståelse for vigtigheden af at have et sammenhængende overblik over arbejdsgange, processer, applikationer og data, der involverer håndtering af persondata.

Løsning

Projektet har skabt et solidt fundament for det efterfølgende implementeringsprojekt og tilhørende projekter, der skal give Medicinalvirksomheden en ny og operationel tilstand, der sikrer efterlevelse af EU persondataforordningen nu og i fremtiden. Ydermere er projektet med til at sikre, at Medicinalvirksomhedens forvaltning af persondata er sikker, effektiv og i overensstemmelse med persondataforordningen.

Trin til løsningen

ChangeGroup blev valgt til at lede og styre GDPR implementeringsprojektet. 

Trin 1:

I første del af projektet var ChangeGroup ansvarlig for at gennemføre en foranalyse, hvor man kortlagde Medicinalvirksomhedens aktuelle anvendelse og behandling af persondata. Det indebar dokumentation af kravene i persondataforordningen, der var fundamentet for udviklingen af en risikobaseret dokumentation af Medicinalvirksomhedens aktuelle compliance ift. persondataforordningen (risikovurdering), hvor man kortlagde og beskrev Medicinalvirksomhedens arbejdsgange, processer, applikationer og data der bruges i organisationen ift. persondata. 

Trin 2:

På baggrund af kortlægningen og risikovurderingen, designede og beskrev ChangeGroup et oplæg til rolle- og ansvarsfordeling i organisationen i relation til persondataforordningen. 

Det indebar også etablering af den overordnede tilgang og model til forandringsledelsen, der beskrev den organisatoriske forankring af de opgaver, der følger af persondataforordningen. 

Trin 3:

På den baggrund udviklede og designede ChangeGroup en risikohåndteringsplan med prioriterede, konkrete initiativer til håndtering af gap’s, og leverede et oplæg til en implementeringsplan og business case for implementeringsprojektet med 9 compliancespor. 

Kundens resultat 

Projektet har skabt et solidt fundament for det efterfølgende implementeringsprojekt og tilhørende projekter, der skal give Medicinalvirksomheden en ny og operationel tilstand, der sikrer efterlevelse af EU persondataforordningen nu og i fremtiden. Projektet er med til at sikre, at Medicinalvirksomhedens forvaltning af persondata er sikker, effektiv og i overensstemmelse med persondataforordningen. 

Første del af projektet betyder, at Medicinalvirksomheden nu er klar og i gang med anden del af projektet: Den konkrete eksekvering og implementering af projektet, hvor ChangeGroup projektleder og driver 8 compliancespor: 

  1. Udarbejdelse af klar struktur for persondata, fx koncernstruktur ift. persondata,  dataklassifikationsmodel 
  2. Skriftlige retningslinjer skal opdateres, udvides, justeres mht. Persondata, fx  politikker og forretningsgange 
  3. Aftaler skal gennemgås, udarbejdes og opdateres hvor nødvendigt, fx  ansættelseskontrakter, partner og leverandør aftaler 
  4. Kultur omkring håndtering af persondata, fx håndtering af persondata i det daglige  arbejde 
  5. Opgradering af systemer, fx omkring adgangsstyring og sletning 
  6. Justering af processer og manuelle arbejdsgange 
  7. Fysisk indretning af kontorer gennemgås og justeres 
  8. Sikring af in-house kompetencer, fx udnævnelse af DPO (data protection officer) og den enkelte leders og medarbejders ansvar ift. håndtering af persondata 

Ekspertiseområder