Sikkert nok? Blogg om informasjonssikkerhet

GDPR: Hva skjer etter 25. mai 2018?

[fa icon="calendar"] 29. mai 2018 / av Jakob Holm Hansen

  • Etter 25. mai kan bedrifter bli rammet av 'mentale tømmermenn' når det gjelder informasjonssikkerhet
  • For hva må gjøres fremover nå når forberedelsene er over og reglene har trådt i kraft?
  • En sikkerhetsekspert fra Neupart kommer med gode råd og anbefaler blant annet at det fremtidige informasjonssikkerhetsarbeidet organiseres og samles i et årshjul

Lettelse? Panikk? Forvirring?

Det kan dukke opp mange følelser etter tiltredelsesdatoen for GDPR den 25. mai 2018. For etter det intensive arbeidet med å være klar til GDPR, er forberedelsene nå definitivt overstått, og reglene har trådt i kraft.

Så hva skjer nå? Hva skjer når de eksterne konsulentene er borte og bedriften er overlatt til seg selv? Kan man bare klappe hverandre på skuldrene og glede seg over at arbeidet endelig er fullført, eller er det i virkeligheten først nå det begynner for alvor?

“GDPR er ikke et prosjekt. Det er et program som fortsetter. Også etter den 25. mai,” sier Lone Forland, som er produktspesialist i Neupart. I løpet av de siste månedene og årene har norske bedrifter investert store summer for å styrke en lang rekke sikkerhetsprosesser i sin organisasjon. “Alt det gode sikkerhetsarbeidet som er blitt gjennomført, må ikke gå i vasken. Det må vedlikeholdes slik at GDPR blir integrert i bedriftens generelle informasjonssikkerhet. Dette er oppgaven fra nå av.”

Bruk årshjul for overholdelse og dokumentasjon

Denne oppgaven løses enklest og mest oversiktlig i et årshjul.

“Et årshjul fungerer omtrent som en god, gammeldags kalender. I en kalender noterer man hvilke avtaler og oppgaver man har i årets måneder, slik at man alltid har oversikten. Det samme prinsippet gjelder for et sikkerhetsårshjul. Det er noen repeterende oppgaver knyttet til GDPR, og dem legger man inn i et årshjul, slik at man alltid har orden på sikkerhetsarbeidet. Fordelen ved et årshjul er at det også visuelt indikerer at arbeidet fortsetter og fortsetter – måned etter måned, år etter år”, sier Lone Forland.

Fra oppbygging til oppdatering

Det arbeidet som har tatt så mye tid frem til 25. mai, har vært et oppbygningsarbeid. Rutiner er utarbeidet, GAP-analyser er gjort, behandlingsaktiviteter er beskrevet, osv. Det videre arbeidet med GDPR blir primært et oppdateringsarbeid.

“Alle bedrifter forandrer seg. Det er utskiftinger av ansatte, produkter som utvikles, forretningsmodeller endres, avdelinger slås sammen og så videre. Alle disse forandringene har betydning for hvorfor og hvordan personopplysninger blir håndtert i bedriften. Og derfor må årshjulet oppdateres løpende slik at overholdelse av GDPR og dokumentasjonen av overholdelsen alltid stemmer med virkeligheten", sier Lone Forland.

Opprett et godt team

For å unngå at en DPO eller en annen hovedansvarlig for GDPR blir overbelastet i oppdateringsarbeidet, anbefaler hun at bedriften setter sammen et team som kan utføre de nødvendige oppgavene på bestemte tidspunkt gjennom året.

“Det er fremdeles DPO'en, eller den ansvarlige, som har hovedansvaret for at oppgavene blir løst. Men han eller hun behøver ikke å løse dem selv. Oppgavene kan med fordel delegeres til et team av medarbeidere. Dette teamet bør bestå av IT-sjefen og sjefene i de avdelingene der personopplysninger behandles. I tillegg er det lurt å ha med en kollega fra kommunikasjonsavdelingen (hvis en slik finnes), for de er dyktige når det gjelder å utarbeide bevissthetskampanjer, noe det også stilles krav om i GDPR.”

Tre typiske fallgruver

Lone Forland avrunder med å advare mot noen av de fallgruvene i det kontinuerlige arbeidet med GDPR. For det første må man passe på å ikke plasserer alle oppdateringsoppgavene i samme måned, slik at organisasjonen blir 'satt ut av drift'. Oppgavene må spres utover året, og det må tas hensyn til kalenderen til de berørte medarbeiderne slik at de ikke presses unødig.

For det andre må man huske på at en kollega i utgangspunktet er blitt HR-sjef, kundesjef, økonomisjef, osv., fordi de liker sine respektive fagområder. De har ikke selv valgt GDPR-oppgavene. Derfor er det lurt å bruke litt ekstra tid på å forklare bakgrunnen for GDPR og minne om hvor viktig det er å passe ekstra godt på personopplysninger. For kollegenes skyld, for bedriftens skyld og for deres egen skyld, så de ikke personlig blir årsak til at det skjer brudd på personopplysningssikkerheten.

“Og så må man forsøke å unngå dobbeltarbeid. Det er ikke lurt å operere med to forskjellige beredskapsplaner for informasjonssikkerhetsarbeidet. Én for GDPR og én for den tradisjonelle informasjonssikkerheten. Fra og med i dag er GDPR en integrert del av bedriftens informasjonssikkerhet, og derfor skal alle oppgaver, bestemmelser og prosesser innarbeides i ett, samlet årshjul”, avslutter Lone Forland.

 

 

Informasjonssikkerhetsoppgavene etter 25. mai 2018

 
 
  • Lag ett – og bare ett – årshjul, der du plotter inn alle nye og gamle informasjonssikkerhetsoppgaver fordelt på årets måneder
  • Opprett et team av medarbeidere som kan hjelpe til å utføre oppgavene i henhold til årshjulet
  • Fortell medarbeiderne klart og tydelig hvordan dere i fremtiden kommer til å arbeide med informasjonssikkerhet og hvilket ansvar hver enkelt har
 

 

Prøv styringssystem for informasjonssikkerhet gratis i 30 dager!

Neuparts verktøy Secure ISMS og Secure GDPR gir systemstøtte til arbeidet med årshjul og den kontinuerlige overholdelsen av GDPR, sikkerhetsstandarder og selskapets egne retningslinjer.

Få tilgang til demo her

 

Sikkert nok?

Neupart blogg er gode råd og kunnskap om effektiv IT-sikkerhet, IT-sikkerhetsstrategier, risikostyring, etterlevelse av standarder og andre krav, beredskapsplanlegging, ISO2700x, EU personvern, PCI DSS, etc.

Populære innlegg