Nu er forberedelserne til Persondataforordningen, der træder i kraft 25. maj 2018, jo ikke en elefant…

Men i størrelse, omfang og ikke mindst ødelæggelses-potentiale (konsekvenser ved overtrædelse) i en virksomhed, er opgaven bestemt af elefantstørrelse, men selv en elefant kan ”spises”, hvis man lægger en plan og tager den bid for bid.

Opskriften for projekt persondatabeskyttelse kan se sådan ud:

• Erkendelse
• Afsæt ressourcer
• Få et overblik over virksomhedens/foreningens data
• Kategorisér virksomhedens/foreningens data
• Få klarhed over reglerne
• Få udarbejdet en risiko-vurdering
• Få udarbejdet politikker/instrukser
• Ud fra risiko-vurderingen udarbejdes en implementeringsplan,
• Evaluering, opfølgning og ajourføring

Brug for hjælp?

Som freelance konsulent, kan TD Consult kan hjælpe dig og din virksomhed i alle faser af Projekt Persondatasikkerhed i det omfang og på de områder, hvor virksomheden ikke selv har ressourcerne.

Kontakt mig på tove@tdconsult.dk eller på +45 40 25 46 26 for en uforpligtende snak.

1. Erkendelse

Erkend, at hele virksomheden eller foreningen skal arbejde på at blive klar til de nye persondataregler. Alle niveau’er i virksomheden/foreningens organisation bør inddrages i arbejdet med databeskyttelse, det gamle udtryk: ” en kæde er ikke stærkere end det svageste led” har aldrig været mere aktuel.

2. Afsæt ressourcer

Herunder hører:

A. Har virksomheden/foreningen selv de tidsmæssige ressourcer eller skal virksomheden/foreningen entrere med ekstern hjælp, og i hvilket omfang?

B. Økonomiske ressourcer til evt. ekstern hjælp, men også til uddannelse af personale generelt og evt.
compliance-officer.

C. Tidsmæssige ressourcer til uddannelse af personale.

3. Få et overblik over virksomhedens eller foreningens data

Hvilke typer personrelaterede oplysninger behandler (opbevarer/benytter) virksomheden/foreningen, Start med at kortlægge hvilke typer data virksomheden/foreningen behandler, en sådan kortlægning skal indeholde:

A. Hvilke data har virksomheden/foreningen? Der skal udarbejdes en fuldstændig liste over hvilke typer data, virksomheden/foreningen har, såvel lokalt på egne computere som på eksterne servere, i cloud-løsninger og hos outsourcing-partnere (Kunders adresser, kontaktpersoner hos leverandører og kunder, personale-oplysninger, modtagere af nyhedsbreve m.fl.)

B. I hvilke systemer (CRM, mail, fysisk arkiv, back-up)?

C. I hvilke formater (elektronisk, fysisk) ligger disse data?

D. Hvor kommer disse data fra? Hvordan har virksomheden/foreningen fået disse data?

E. Hvad bruges disse data til? – I hvilke processer er disse data involveret?

F. Hvad er det retlige/saglige grundlag for behandling af disse data?

G. Hvor længe opbevares disse data?

H. Hvor tit og hvordan verificeres/ajourføres disse data?

I. Hvordan og hvornår slettes/fjernes disse data?

TD Consult har udarbejdet en formular, der sikrer indsamling af relevante oplysninger omkring
virksomhedens eller foreningens data, letter arbejdet med kategorisering af data’ene og endelig danner basis for en risiko-vurdering.

5. Få klarhed over reglerne

Med overblikket over virksomheden eller foreningens data, og de processer disse er involveret i, kan det klarlægges, hvilke krav i den gældende og kommende lovgivning virksomheden eller foreningen skal opfylde.

TD Consult kan hjælpe virksomheden eller foreningen med både at få klarhed over hvilke data, der er omfattede af hvilke regler og hvad virksomheden skal gøre for at efterleve disse regler.

6. Få udarbejdet en risikovurdering, der skal vise:

1. hvor virksomheden eller foreningen allerede lever op til kravene og reglerne.

2. hvor der er plads til forbedring.

3. om virksomheden eller foreningen lever op til de mere almene krav; f.eks. uddannelse af personale, oplysningspligt, databehandlerkontrakter m.v.

Virksomheden eller foreningen bør være opmærksom på, at virksomheden eller foreningen er forpligtet til at dokumentere hvordan risici’ene er vurderet og overvejet, i særdeleshed de risici, virksomheden eller foreningen vælger ikke at fokusere på. Udgangspunktet er, at virksomheden eller foreningen skal gøre, hvad der er nødvendigt for at nedbringe evt. risici for de registrerede.

TD Consult har udarbejdet en formular, der sikrer indsamling af de relevante oplysninger omkring virksomhedens eller foreningens data, letter arbejdet med kategorisering af data’ene og endelig danner basis for en risiko-vurdering.

7. Få udarbejdet politikker og instrukser for:

• Håndtering af persondata/persondatasikkerhed
• Opbevaringsperiode(r)
• Sletning/makulering
• Besvarelse af anmodning om indsigt
• Håndtering af brud på datasikkerheden
• Uddannelse/instruktion af
• personaleHjemmearbejdspladser herunder også brug af Smartphones og tablets/Ipads
• Brug af internet og e-mail

TD Consult har, i kraft af sit samarbejde med Sytorus, skabeloner til flere af de forskellige politikker.

8. Ud fra risikovurderingen udarbejdes en implementeringsplan

Implementeringsplanen skal tage højde for de afdækkede mangler OGSÅ evt. (efter-)uddannelse af personale. HUSK at planlægge hvordan der løbende skal følges op på implementeringen, herunder at definere og beskrive virksomhedens kontrolmål og kontrolforanstaltninger.

9. Evaluering, opfølgning og ajourføring

Efterfølgende evaluering og opfølgning er med til

1. at understrege vigtigheden af persondatasikkerhed i virksomheden/foreningen og

2. at dokumentere compliance (som er et af kravene efter 25-05-2018).

Ligesom en bil skal til regelmæssigt eftersyn, bør tiltag’ene omkring persondatasikkerhed også ”synes” med regelmæssige mellemrum for at tilpasse persondatasikkerheden til virksomhedens eller foreningens vækst og udvikling, og ikke mindst til den nyeste udvikling af såvel regler som retspraksis på området.