- Efter den 25. maj kan virksomheder godt blive ramt af mentale informationssikkerhedstømmermænd
- For hvad er den fremtidige opgave, nu hvor forberedelserne er forbi, og reglerne er trådt i kraft?
- En sikkerhedsekspert fra Neupart kommer med gode råd og anbefaler blandt andet, at det fremtidige informationssikkerhedsarbejde bliver organiseret og samlet i ét årshjul
Lettelse? Panik? Forvirring?
Der kan dukke mange følelser op ovenpå tiltrædelsesdatoen for Databeskyttelsesforordningen (GDPR) den 25. maj 2018. For efter det intensive arbejde med at blive klar til GDPR, er forberedelserne nu endegyldigt overstået, og reglerne er trådt i kraft.
Og hvad så nu? Hvad skal der ske, når de eksterne konsulenter er gået hjem, og virksomheden er overladt til sig selv? Kan man klappe hinanden på skuldrene og glæde sig over, at arbejdet endelig er afsluttet, eller er det i virkeligheden først lige begyndt?
“GDPR er ikke et projekt. Det er et program, der fortsætter. Også efter den 25. maj,” siger Lone Forland, som er produktspecialist i Neupart. Gennem de seneste måneder og år har danske virksomheder investeret store summer i at styrke en lang række sikkerhedsprocesser i deres organisation. “Alt det gode sikkerhedsarbejde, der er blevet foretaget, skal ikke tabes på gulvet. Det skal vedligeholdes, så GDPR bliver integreret i virksomhedernes generelle informationssikkerhed. Det er opgaven herfra.”
Brug årshjul til efterlevelse og dokumentation
Den opgave håndteres bedst, nemmest og mest overskueligt i et årshjul.
“Et årshjul fungerer lidt ligesom en god gammeldags kalender. I en kalender noterer man, hvilke aftaler og opgaver man har i årets måneder, så man altid har et overblik. Det er samme princip i et sikkerhedsårshjul. Der er nogle tilbagevendende opgaver forbundet med GDPR, og dem lægger man ind i et årshjul, så man altid har styr på sit sikkerhedsarbejde. Det gode ved et årshjul er, at det rent visuelt indikerer, at arbejdet bliver ved og ved – måned efter måned, år efter år,” siger Lone Forland.
Fra opbygning til opdatering
Det arbejde, som har fyldt meget op til den 25. maj, har været et opbygningsarbejde. Politikker er blevet nedfældet, gap-analyser er blevet foretaget, behandlingsaktiviteter er blevet beskrevet osv. Det fremadrettede arbejde med GDPR bliver primært et opdateringsarbejde.
“Alle virksomheder forandrer sig. Der sker udskiftninger på medarbejderfronten, produkter udvikler sig, forretningsmodeller ændrer sig, virksomheder fusionerer, der sker sammenlægninger af afdelinger og så videre. Alle disse forandringer har betydning for, hvorfor og hvordan persondata bliver håndteret i virksomheden. Og derfor skal årshjulet løbende opdateres, så efterlevelsen og dokumentationen for efterlevelse af GDPR altid flugter med virkeligheden,” siger Lone Forland.
Etablér et godt team
For at undgå at en DPO eller anden primært ansvarlig for GDPR bliver begravet i opdateringsarbejdet, anbefaler hun, at virksomheden samler et team, der kan udføre de påkrævede opgaver på bestemte tidspunkter af året.
“Det er stadig DPO’en eller den ansvarlige, der står på mål for, at opgaverne bliver løst. Men vedkommende behøver ikke selv at løse dem. Opgaverne kan med fordel uddelegeres til et team af kollegaer. Det team bør bestå af it-chefen og cheferne fra de afdelinger, hvor der bliver behandlet persondata. Derudover er det en god ide at have en kollega fra kommunikation med, fordi de er gode til at skrue awareness-kampagner sammen, som der også stilles krav om i GDPR.”
Tre typiske faldgruber
Lone Forland runder af med at advare mod nogle af de faldgruber, der ligger i det kontinuerlige arbejde med GDPR. For det første skal man være opmærksom på ikke at lægge alle opdateringsopgaver i samme måned, så organisationen bliver lagt ned. Opgaverne skal spredes ud over året, og der skal tages højde for de berørte medarbejderes kalendere, så de ikke bliver presset unødigt.
For det andet skal man huske, at en kollega først og fremmest er blevet HR-chef, kundechef, økonomichef osv., fordi de godt kan lide deres respektive fagområder. De har ikke tilvalgt GDPR-opgaverne. Derfor gør man klogt i at bruge ekstra god tid på at forklare baggrunden for GDPR og minde om vigtigheden af at passe rigtig godt på persondata. For kollegernes skyld, for virksomhedens skyld og for deres egen skyld, så de ikke personligt bliver årsag til, at der sker et brud på persondatasikkerheden.
“Endelig skal man undgå at lave dobbeltarbejde ved eksempelvis at operere med to forskellige beredskabsplaner for informationssikkerhedsarbejdet. Én for GDPR og én for den traditionelle informationssikkerhed. Fra og med i dag er GDPR en integreret del af virksomhedens informationssikkerhed, og derfor skal alle opgaver, politikker og processer arbejdes ind i ét samlet årshjul,” slutter Lone Forland.
Informationssikkerhedsopgaven efter 25. maj 2018 |
||
|