Med et årshjul for informasjonssikkerhet kan du sikre at de rette sikkerhetsprosessene er på plass, og at bedriftens interne ressurser har tid til å løse de mange andre oppgavene som trenger seg på.
Med en blanding av iver etter å gjøre det riktig og frykt for å gjøre noe galt, utarbeider mange virksomheter langt flere protokoller over behandlingsaktiviteter enn de trenger. Her beskriver vår ekspert hvordan man kan gruppere behandlingsaktivitetene og dermed spare mye (bortkastet) arbeid.
Har virksomheten gjort alt den kan for å beskytte den registrerte før, under og etter en sikkerhetshendelse? Det er til syvende og sist dette spørsmålet private og offentlige virksomheter må stille seg selv, når ansvar skal plasseres og eventuelle sanksjoner skal bestemmes, etter et brudd på personopplysningssikkerheten.
I vår nye veiledning; GDPR – Håndtering av brudd på personopplysningssikkerheten i tre faser, gir vi vår anbefaling om hvordan du skal forberede og forankre passende tiltak, inkludert regelmessige treningsrutiner og en tredelt handlingsplan. Du får også med de formelle kravene til brudd.
For noen selskaper er utarbeidelsen av en DPIA høyt på listen over GDPR-oppgaver som må vurderes. Men for mange kan en DPIA godt vente – eller i det minste forenkles, så den ikke krever for mye ressurser. Vår CEO forteller når og hvordan det må gjøres en konsekvensanalyse av virksomhetens databehandlingsoppgaver.
GDPR er et godt eksempel på hvor viktig det er å definere en oppgave før man begynner å løse den.
EU Personvernforordningen handler i sin essens om at virksomheter må beskytte sine persondata. Men for å komme fram til et svar på hvordan en virksomhet skal beskytte persondata, er man nødt til å vite hvorfor virksomheten sitter inne med nettopp disse persondataene. Årsaken må med andre ord klarlegges forut for håndteringen.
GDPR: Du trenger ikke lage en dataflytanalyse – en oversikt over behandlingsaktivitetene dine er nok
Henger du fast i utarbeidelsen av GDPR dataflytanalysen? Les da videre her. Du trenger nemlig ikke gjøre mer enn det som er nødvendig. Og en dataflytanalyse er ikke nødvendig.
Det er ikke noen som helt vet hvordan ryktet har oppstått, men på et tidspunkt var det en utbredt oppfatning i profesjonelle kretser at det skulle utarbeides såkalte dataflytanalyser som en del av GDPR-forberedelsen.
Det har formentlig startet som en overfortolkning av lovteksten, og så har denne oppfatningen bare blitt hengende. Men faktum er at EUs personvernforordning ikke krever at det skal utarbeides en dataflytanalyse. Det står der at man skal lage en oversikt over behandlingsaktiviteter, og det er noe annet.
Personvernforordningen går ut på at alle som håndterer persondata, skal venne seg til å gjøre det riktige. Men når det kommer til etterlevelse, går forordningen i høy grad ut på å venne seg til å gjøre det nødvendige. Ikke mer, ikke mindre.
Vi har identifisert tre områder som kan spare deg tid, penger og bekymringer:
