Sikker nok? Blog om informationssikkerhed

Kontinuerlig efterlevelse af GDPR

[fa icon="calendar"] 25. april 2017 / af Jakob Holm Hansen

- At bestige compliance-bjerget, igen og igen

Det er et år siden vi lærte om databeskyttelsesforordningen, og alle er (stadigvæk) i panik. At efterleve forordningen, og at blive ved med at efterleve den, er to forskellige ting. I dette blogindlæg vil jeg udpege forskellen mellem de to, samt give et bud på, hvordan udfordringerne kan håndteres undervejs.

I næsten et år har vi vidst, at EU’s databeskyttelsesforordning vil træde i kraft, og at vi skal leve op til en række nye krav, når det sker. Vi har fået malet skræmmebilleder af de enorme bøder vi kan risikere, og vi har fået fortalt at vi er MEGET langt fra at efterleve forordningen.

Der har været rigtigt meget snak om, hvilke krav der bliver stillet, men ikke så meget om, hvordan man faktisk gennemfører implementeringen af den nye forordning. Endvidere har rigtigt meget af snakken været baseret på fortolkninger af forordningen og – i mange tilfælde – en ubegrundet over-implementering af forordningen.  

Et eksempel på dette er de overdrevent detaljerede data flow-skemaer som vi er blevet fortalt at vi må udarbejde (i øvrigt ofte fra konsulenter, som kan fakturere mange timer, for at udarbejde disse skemaer for os) – selv om forordningen ikke nævner data flow-skemaer en eneste gang.

Efterlevelse: Et flygtigt mål

Hos Neupart går vi ind for den pragmatiske tilgang. Det, som ofte bliver overset er nemlig, at det berygtede compliance-bjerg ikke kun skal bestiges under implementeringen, men hvert eneste år. For vi må efterleve forordningen i en verden, som udvikler sig konstant:

  • Virksomheder ændrer sig
  • Vi får ny viden og information
  • Teknologier ændrer sig
  • Den måde vi bruger teknologi på, ændrer sig
  • Vores kundebase ændrer sig
  • Omgivelserne ændrer sig

Med andre ord: kontinuerlig efterlevelse er et mål i konstant bevægelse. Og når vi må revurdere vores regler og efterlevelse, må vi sørge for at vores fremgangsmåde er pragmatisk, fleksibel og vedligeholdelsesvenlig. Desværre har der været meget lidt snak om, hvordan man kan sikre sig kontinuerlig efterlevelse. Efter min opfattelse, er der kun en vej mod kontinuerlig efterlevelse: Overblik!

Overblik er alt

Et godt overblik er fundamentet til kontinuerlig efterlevelse. Hvis vi ikke ved, hvilke processer, der skal gennemføres og hvilken status og kvalitet disse processer har, famler vi egentlig bare rundt i mørket uden en chance for succes.

Ud fra grundtanken om overblik, mener vi, at den bedste måde at håndtere governance og efterlevelse på, er et compliance-program decideret designet til dette formål. Dette vil først og fremmest hjælpe dig at med at få det vigtige overblik, men vil samtidig gøre det lettere og mere effektivt at udføre de forskellige aktiviteter i efterlevelsesfasen.

Dette er grunden til, at vi har udviklet vores nye Secure GDPR-værktøj: At give dig det vigtige overblik.

Modulet vil desuden hjælpe dig til effektiv efterlevelse ved at give dig:

  • et dashboard til DPO’en eller implementeringsholdet, så de får overblik over efterlevelsen
  • kvalitetsindhold og skabeloner, så I ikke starter med et blankt stykke papir
  • en metode til at kortlægge persondata  i din organisation (eller dataflow, om du vil)
  • DPIA-funktionalitet
  • registrering og håndtering af datasikkerhedsbrud
  • gap-analyser af dit efterlevelsesniveau
  • quizzer og undervisningsfilm til medarbejdere og ledere

Det er selvfølgeligt muligt at bygge dit efterlevelsesprogram op i dokumenter og regneark i stedet, men det bliver meget vanskeligt at opdatere disse senere – vi ved alle, hvor hurtigt man mister overblikket over, hvad der findes i forskellige dokumenter, som flere har adgang til og kan redigere. Det er den grimme sandhed som konsulentfirmaerne ikke fortæller dig om, når de er færdige med deres implementeringsprojekt og har efterladt dig med en stor, stinkende bunke af – papir.

Yderligere om databeskyttelse 

Webinar: EU Persondatabeskyttelse - hvor svært kan det være? (sådan efterlever du) 

Seminar: Overblik, implementering og kontinuerlig efterlevelse

Vejledning: Implementering af EU Persondataforordningen

Emner: eu persondataforordning, GDPR, Databeskyttelse

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.

Populære indlæg