Sikker nok?

GDPR: Tre råd der hjælper dig prioritere indsatsen

[fa icon="calendar"] 8. juni 2017 / af Jakob Holm Hansen

Om et lille år træder EU's Databeskyttelsesforordning i kraft. Det er god tid – hvis du vel at mærke bruger den rigtigt. Her er tre gode råd, der hjælper dig med at prioritere indsatsen, så du kommer i mål inden 25. maj 2018.

GDPR handler om, at alle, der håndterer persondata, skal vænne sig til at gøre det rigtige. Men når det kommer til compliance, handler GDPR i høj grad om at vænne sig til at gøre det nødvendige. Ikke mere, ikke mindre.

I Neupart har vi identificeret tre områder, der kan spare dig tid, penge og bekymringer:

1. Drop dataflowanalysen

Databeskyttelsesforordningen stiller ikke krav om, at I skal udarbejde en dataflowanalyse. Alligevel er der virksomheder, der er i fuld gang med det omfattende og tidskrævende arbejde. Med risiko for at de spilder tid og penge, der passende kunne være brugt på andre GDPR-forberedelser.

Databeskyttelsesforordningen stiller kun krav om, at I udarbejder en fortegnelse over alle jeres behandlingsaktiviteter. Det er en langt mere overskuelig opgave.

2. Trim projektet ned

Brug overblikket fra fortegnelsen over jeres behandlingsaktiviteter til at trimme jeres GDPR-projekt ned.

Det kan være, at I opbevarer persondata, I slet ikke behøver at opbevare. Der er eksempelvis virksomheder, der har haft tradition for at bruge CPR-numre som unikke nøgler til deres dokumenter. Hvis man i stedet for CPR-numre anvendte unikke tal (som ex. medarbejdernumre), kunne man undgå at sikre data i henhold til forordningen og dermed skære en hel proces væk.

Vi ser også eksempler på, at de samme persondata bliver delt mellem flere personer i flere afdelinger i flere processer i flere systemer. Eksempelvis en sygemelding, der får lov til at cirkulere rundt blandt kollegerne, inden den havner rette sted. Hvis I som standard samler persondata hos én person i én afdeling i én proces i ét system, er det med til at begrænse GDPR-projektets omfang.

3. Genbrug sikkerhedsstandarder

Der er ingen grund til at smide ting ud, der virker. Det mundheld gælder også sikringen af jeres data.

Hvis I eksempelvis anvender ISO 27001 til styring af informationssikkerheden, er det en overkommelig opgave at bygge GDPR-tiltag ovenpå det fundament. Der er ingen grund til at starte helt forfra.

Der er mange andre sikkerhedsstandarder, der mod en forholdsvis lille investering kan tilrettes, så I efterlever kravene i GDPR. Og tilretning er trods alt en hurtigere, nemmere og billigere opgave end udskiftning og implementering af et helt nyt system med tilhørende politikker og processer.

Yderligere om persondatabeskyttelse

På vores halvdagsseminar den 13. juni skal vi netop tale om implementering af EUs Databeskyttelses- forordning. Her får du bl.a. overblik over, hvordan I tilrettelægger processen med at blive compliant inden maj 2018 og hvordan I dokumenterer efterlevelse.

Se programmet og tilmeld dig her

 

Seminar om implementering af EU Persondataforordningen

Emner: GDPR, Databeskyttelsesforordningen

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.