Sikkert nok? Blogg om informasjonssikkerhet

Kontinuerlig samsvar med GDPR

[fa icon="calendar"] 25. april 2017 / av Jakob Holm Hansen

Det gjelder å bestige dette samsvarsfjellet, gang på gang.

Opnå kontinuerlig samsvar med GDPR (personvernforordningen)

Vi har hatt GDPR i ett år nå, og alle har (fortsatt) panikk. Det å begynne å handle i samsvar og fortsette
å gjøre det, er to svært forskjellige ting. I denne bloggposten, vil jeg peke på forskjellen mellom de to, samt hvordan utfordringene underveis kan håndteres.

I nesten ett år har vi alle hørt at EUs personvernforordning (GDPR) er her, og at vi må leve opp til en rekke nye krav. Skremselspropagandaen har også fortalt oss om de enorme bøtene vi kommer til å få, samt hvor langt unna vi alle er fra å handle i samsvar med regelverket.

Det har vært mye snakk om hvilke krav vi kommer til å møte, men ikke så mye snakk om hvordan man faktisk gjennomfører planer om iverksetting. I tillegg har mye av snakket vært basert på tolkninger av forordningen og - i mange tilfeller - en ubegrunnet over-implementering av forordningen.

 Et eksempel på dette, er de nyutviklede, detaljerte dataflytskjemaene vi har hørt vi må opprette (vanligvis kommer dette tilfeldigvis fra konsulenter som kan fakturere timevis for å opprette et slikt skjema for oss) - selv om ikke forordningen nevner dataflytskjema én eneste gang.

Samsvar: Et unnvikende mål

Hos Neupart forsøker vi å fremme en pragmatisk tilnærming. Fordi det de fleste ikke innser, er at dette beryktede samsvarsfjellet vi bestiger under implementeringen, må vi bestige hvert eneste år. Grunnen er at vi må handle i samsvar med regelverket i en verden i stadig endring:

  • Organisasjonen endres
  • Vi får ny informasjon og kunnskap
  • Teknologien endres
  • Måten vi benytter teknologi på, endres
  • Kundene/innbyggerne endres
  • Omgivelsene endres

Med andre ord, fortsatt samsvar er å sikte mot et mål i bevegelse. Og siden vi må finne opp styring og samsvar på nytt, må vi sørge for at tilnærmingen er pragmatisk, fleksibel og mulig å opprettholde. Dessverre har det vært veldig lite snakk om hvordan man kan sørge for kontinuerlig samsvar. Etter min oppfatning, finnes det bare én måte vi kan bruke for kontinuerlig samsvar: Oversikt!

Oversikt er alt

Oversikt er grunnlaget til kontinuerlig samsvar med GDPR. Hvis vi ikke vet hvilke prosesser som skal gjennomføres og hvilken status og kvalitet de prosessene har, roter vi egentlig bare rundt i mørket uten å kunne lykkes.

Når vi bygger på det oversiktsgrunnlaget, gjør vi mye for å håndtere hele styrings- og samsvarsprogrammet ditt i ett system som er bygget nettopp for dette. Det i seg selv vil hjelpe deg å få den kritiske oversikten, men det vil også øke effektiviteten din vesentlig ved å utføre ulike aktiviteter i samsvarsprogrammet.

Det er grunnen til at vi har opprettet vår nye Secure GDPR-programvare; for å gi deg den kritiske oversikten. Programvaren vil dessuten effektivt hjelpe deg å overholde samsvar ved å gi deg følgende:

  • Et dashbord for DPO eller iverksettingsteamet, ved at de får en samsvarsoversikt
  • Kvalitetsinnhold, slik at du ikke må begynne fra start
  • En måte for å kartlegge oversikt (eller dataflyt hvis du vil) av persondata i din organisasjon
  • DPIA-funksjonalitet
  • Registrering og håndtering av brudd på datasikkerhet
  • Gapanalyser av ditt samsvarsnivå
  • Quizer og opplæringsfilmer for ansatte og ledere

Det er selvfølgelig mulig å bygge samsvarsprogrammet ditt inn i dokumenter og regneark i stedet, men det blir veldig vanskelig å oppdatere programmet senere - vi vet alle hvor raskt man mister oversikten av hva som finnes i de ulike dokumentene som flere har tilgang til og kan redigere. Det er den triste sannheten som konsulentfirmaer ikke vil fortelle deg når de drar etter implementeringsprosjektet. De vil bare la deg stå igjen med en diger haug av - grusomt papir.

 

Emner: compliance, eu gdpr, personvernforordningen

Sikkert nok?

Neupart blogg er gode råd og kunnskap om effektiv IT-sikkerhet, IT-sikkerhetsstrategier, risikostyring, etterlevelse av standarder og andre krav, beredskapsplanlegging, ISO2700x, EU personvern, PCI DSS, etc.

Populære innlegg