For at videreudvikle sin forretning, var det nødvendigt for en af Danmarks største detailvirksomheder, at have fokus på digital transformation samt håndtering af persondata. For at efterleve GDPR-kravene besluttede virksomheden at gennemføre et program, der skulle implementere et sammenhængende ledelsessystem til styring og governance af informations- og privatlivssikkerheden.
Situation
For at efterleve GDPR-kravene var det nødvendigt for virksomheden, at have fokus på digital transformation samt håndtering af persondata.
Løsning
Projektet har medført et kvalitativt løft i virksomhedens måde at styre informations- og privatlivssikkerheden på.
Resultat
Projektet har medført et kvalitativt løft i virksomhedens måde at styre informations- og privatlivssikkerheden på. Styringen bygger i dag på en indarbejdet governance-model, hvor ledelsessystemets roller har hver deres velafgrænsede del af ansvaret for den samlede styring. Information fra de nye årshjulsdrevne opfølgningsprocesser samt fra brudhåndteringsprocessen opsamles systematisk og omsættes til handlingsanvisende ledelsesinformation. IT- og GDPR risikovurderingen udarbejdes og vedligeholdes systematisk, og der er skabt et konsistent overblik over aktuelle risici i virksomhedens forretningsområder, der kan bruges til at prioritere virksomhedens indsatser i forhold til informations- og privatlivssikkerheden.
Programmet har således indfriet virksomhedens ambition om at sætte en høj standard for styringen af persondataområdet inden for detailhandelsområdet i Danmark.
Trin til løsningen
ChangeGroup blev valgt til at lede og styre governance-projektet.
Trin 1:
I første del af projektet udviklede og tilpassede ChangeGroup en governance-model til projekt- og programledelse med fokus på styring af informations- og privatlivssikkerhed. Modellen omfattede etablering af en organisatorisk enhed, som varetog ansvaret for at koordinere den samlede indsats på persondataområdet. Governance-modellen indebar også, at der i alle forretningsområder blev udpeget en ”leder med lokalt dataansvar”. Her udviklede ChangeGroup et årshjulskoncept til governance for lederens årshjuls-drevne opgaver.
Trin 2:
For at sikre en mere systematisk styring af informations- og privatlivssikkerheden i forbindelse med forretningsinitiativer, udviklede ChangeGroup en lang række understøttende koncepter, modeller og vejledninger, blandt andet til udarbejdelse af GDPR-dokumentation.
Governance-modellen omfattede også nye opgaver til eksisterende supportfunktioner samt for IT-operations. Ledelsessystemet blev bundet sammen af et nyt compliance-datawarehouse, som dannede grundlag for den løbende indsamling, behandling og rapportering af compliance-relateret information til ledelsen.
Trin 3:
Slutteligt udarbejdede ChangeGroup en uddannelses- og kommunikationsstrategi, der omfattede fastlæggelse af kommunikationsindhold og formater til ledelsessystemets forskellige roller. ChangeGroup reviderede uddannelsesmateriale, der blandt andet omfattede e-learning, flyers, posters, foldere og manualer.
