Sikker nok? Blog om informationssikkerhed

GDPR: Hvad skal der ske efter den 25. maj 2018?

[fa icon="calendar"] 28. maj 2018 / af Jakob Holm Hansen

  • Efter den 25. maj kan virksomheder godt blive ramt af mentale informationssikkerhedstømmermænd
  • For hvad er den fremtidige opgave, nu hvor forberedelserne er forbi, og reglerne er trådt i kraft?
  • En sikkerhedsekspert fra Neupart kommer med gode råd og anbefaler blandt andet, at det fremtidige informationssikkerhedsarbejde bliver organiseret og samlet i ét årshjul

Lettelse? Panik? Forvirring?

Der kan dukke mange følelser op ovenpå tiltrædelsesdatoen for Databeskyttelsesforordningen (GDPR) den 25. maj 2018. For efter det intensive arbejde med at blive klar til GDPR, er forberedelserne nu endegyldigt overstået, og reglerne er trådt i kraft.

Og hvad så nu? Hvad skal der ske, når de eksterne konsulenter er gået hjem, og virksomheden er overladt til sig selv? Kan man klappe hinanden på skuldrene og glæde sig over, at arbejdet endelig er afsluttet, eller er det i virkeligheden først lige begyndt?

“GDPR er ikke et projekt. Det er et program, der fortsætter. Også efter den 25. maj,” siger Lone Forland, som er produktspecialist i Neupart. Gennem de seneste måneder og år har danske virksomheder investeret store summer i at styrke en lang række sikkerhedsprocesser i deres organisation. “Alt det gode sikkerhedsarbejde, der er blevet foretaget, skal ikke tabes på gulvet. Det skal vedligeholdes, så GDPR bliver integreret i virksomhedernes generelle informationssikkerhed. Det er opgaven herfra.”

Brug årshjul til efterlevelse og dokumentation

Den opgave håndteres bedst, nemmest og mest overskueligt i et årshjul.

“Et årshjul fungerer lidt ligesom en god gammeldags kalender. I en kalender noterer man, hvilke aftaler og opgaver man har i årets måneder, så man altid har et overblik. Det er samme princip i et sikkerhedsårshjul. Der er nogle tilbagevendende opgaver forbundet med GDPR, og dem lægger man ind i et årshjul, så man altid har styr på sit sikkerhedsarbejde. Det gode ved et årshjul er, at det rent visuelt indikerer, at arbejdet bliver ved og ved – måned efter måned, år efter år,” siger Lone Forland.

Fra opbygning til opdatering

Det arbejde, som har fyldt meget op til den 25. maj, har været et opbygningsarbejde. Politikker er blevet nedfældet, gap-analyser er blevet foretaget, behandlingsaktiviteter er blevet beskrevet osv. Det fremadrettede arbejde med GDPR bliver primært et opdateringsarbejde.

“Alle virksomheder forandrer sig. Der sker udskiftninger på medarbejderfronten, produkter udvikler sig, forretningsmodeller ændrer sig, virksomheder fusionerer, der sker sammenlægninger af afdelinger og så videre. Alle disse forandringer har betydning for, hvorfor og hvordan persondata bliver håndteret i virksomheden. Og derfor skal årshjulet løbende opdateres, så efterlevelsen og dokumentationen for efterlevelse af GDPR altid flugter med virkeligheden,” siger Lone Forland.

Etablér et godt team

For at undgå at en DPO eller anden primært ansvarlig for GDPR bliver begravet i opdateringsarbejdet, anbefaler hun, at virksomheden samler et team, der kan udføre de påkrævede opgaver på bestemte tidspunkter af året.

“Det er stadig DPO’en eller den ansvarlige, der står på mål for, at opgaverne bliver løst. Men vedkommende behøver ikke selv at løse dem. Opgaverne kan med fordel uddelegeres til et team af kollegaer. Det team bør bestå af it-chefen og cheferne fra de afdelinger, hvor der bliver behandlet persondata. Derudover er det en god ide at have en kollega fra kommunikation med, fordi de er gode til at skrue awareness-kampagner sammen, som der også stilles krav om i GDPR.”

Tre typiske faldgruber

Lone Forland runder af med at advare mod nogle af de faldgruber, der ligger i det kontinuerlige arbejde med GDPR. For det første skal man være opmærksom på ikke at lægge alle opdateringsopgaver i samme måned, så organisationen bliver lagt ned. Opgaverne skal spredes ud over året, og der skal tages højde for de berørte medarbejderes kalendere, så de ikke bliver presset unødigt.

For det andet skal man huske, at en kollega først og fremmest er blevet HR-chef, kundechef, økonomichef osv., fordi de godt kan lide deres respektive fagområder. De har ikke tilvalgt GDPR-opgaverne. Derfor gør man klogt i at bruge ekstra god tid på at forklare baggrunden for GDPR og minde om vigtigheden af at passe rigtig godt på persondata. For kollegernes skyld, for virksomhedens skyld og for deres egen skyld, så de ikke personligt bliver årsag til, at der sker et brud på persondatasikkerheden.

“Endelig skal man undgå at lave dobbeltarbejde ved eksempelvis at operere med to forskellige beredskabsplaner for informationssikkerhedsarbejdet. Én for GDPR og én for den traditionelle informationssikkerhed. Fra og med i dag er GDPR en integreret del af virksomhedens informationssikkerhed, og derfor skal alle opgaver, politikker og processer arbejdes ind i ét samlet årshjul,” slutter Lone Forland.

 

 

Informationssikkerhedsopgaven efter 25. maj 2018

 
 
  • Lav ét og kun ét årshjul, hvor du plotter alle nye og gamle 
    informationssikkerhedsopgaver ind fordelt på årets måneder
  • Saml et team af kolleger, der kan hjælpe med at udføre opgaverne i henhold til årshjulet
  • Fortæl kollegaerne klart og tydeligt, hvordan I fremadrettet kommer til at arbejde med informationssikkerhed, og hvad deres ansvar er
 

 

 Deltag på ISO 27001 ISMS demo webinar

Emner: GDPR, kontinuerlig efterlevelse af GDPR

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.

Populære indlæg