Sikker nok? Blog om informationssikkerhed

GDPR: Du har bestået testen - hvad nu?

[fa icon="calendar"] 26. februar 2018 / af Jakob Holm Hansen

Forestil dig dette: Det er slutningen af maj 2018 og du har nået målet - din organisation efterlever databeskyttelsesforordningen. Men hvordan kan I være sikre på, at I bliver ved med at efterleve den?

Der er ingen tvivl om, at implementeringen af forordningen var et stort projekt, som krævede en indsats fra mange forskellige medarbejdere. Men nu hvor den 25. maj er kommet og gået og målet er nået, skal dine kollegaer tilbage til deres andre opgaver. Hvordan kan du sikre, at I bliver ved med at efterleve forordningen - når du nu pludselig kun har halvt så mange mennesker og ressourcer?

Lone Forland, produktspecialist og undervisninsansvarlig hos Neupart mener, at løsningen er at lave et årshjul. Det er nemmere sagt end gjort, og tanken om at lave et “compliance-årshjul” kan godt virke lidt overvældende. Men det behøver det ikke at være, så længe man bryder opgaven ned i mindre dele,” forklarer Lone Forland.

Hent vores 7-trins vejledning til implementering af EU Persondataforordningen

GDPR compliance - trin for trin

Lone sammenligner det med, når du har et rengøringsprojekt: “Forestil dig at du har en to-do liste hvor der kun står gør huset rent. Det virker simpelt nok, men du ved alligevel ikke helt, hvor du skal starte, og så bliver det hele lidt uoverskueligt. Men hvis du bryder opgaven ned i mindre dele, såsom støvsugning, opvask, osv., og så delegerer nogle af disse opgaver ud til andre i husstanden, så bliver det pludselig lidt mere overskueligt.”

Når du planlægger dit årshjul, kan du bruge den samme tilgang: i stedet for bare at skrive “ efterlevelse af GDPR” på din to-do liste, kan du bryde det ned i mindre opgaver, såsom “opdatér behandlingsaktiviteter”, “gap-analyse”, “awareness-kampagne om makulering” osv. Om nødvendigt kan disse opgaver endda brydes op i endnu mindre opgaver. Endnu vigtigere er det, at disse opgaver bliver uddelegeret til de rigtige mennesker, så hele projektet ikke hviler på en enkelt person (dig). Ved at bruge denne metode vil en opgave fx hedde “Chefen for HR opdaterer behandlingsaktiviteten “Ansættelse”.

Integrering af dit årshjul

Når du har en ide om, hvad dit projekt indeholder, er næste skridt at skemalægge opgaverne. Det er her dit årshjul begynder at ligne noget, men her er der også størst fare for, at tingene begynder at halte. Det kan være på grund af mangel på tid, eller fordi dine kollegaer har andre projekter at se til. Lone Forland har tre tips til, hvordan du kan være sikker på, at dit årshjul kommer op at køre og bliver holdt vedlige.

  • Uddelegering: Lone Forland understreger, at det ikke er nok at definere en opgave. Nogen skal have ansvaret for den: “Et simpelt eksempel er: Tjek opt-in felter på vores hjemmesides markedsførings-formular. Giv opgaven til Matthias i marketing, og vær sikker på, at Matthias har tid og ressourcer til at vedligeholde formularerne, så de altid lever op til databeskyttelsesforordningen.”
  • Koordinering: Når du uddelegerer opgaver, er det vigtigt at tage hensyn til dine kollegaers andre arbejdsopgaver. “For eksempel, hvis marketingafdelingen har en vigtig kampagne til foråret, vil de højst sandsynligvis ikke prioritere databeskyttelsesopgaver lige dér. Så er det bedre at lægge opgaverne på et andet tidspunkt på året,” forklarer Lone Forland.
  • Genbrug: Til sidst understreger Lone Forland, at man skal genbruge eksisterende dokumentation og processer: “Lad være med at bygge endnu en silo af regler og procedurer. Brug de eksisterende procedurer og anden dokumentation, hvor det er muligt. Det minimerer dobbeltarbejde og gør, at efterlevelse af forordningen bliver en integreret del af jeres informationssikkerhedsarbejde”

 Deltag på ISO 27001 ISMS demo webinar

Emner: GDPR, Databeskyttelsesforordningen

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.

Populære indlæg