Blog

Home / Blog

Hvordan spiser man en elefant? Og kan man virkelig det?

by | Nov 6, 2017

Nu er forberedelserne til Persondataforordningen, der tr√¶der i kraft 25. maj 2018, jo ikke en elefant…

Men i st√łrrelse, omfang og ikke mindst √łdel√¶ggelses-potentiale (konsekvenser ved overtr√¶delse) i en virksomhed, er opgaven bestemt af elefantst√łrrelse, men selv en elefant kan ‚ÄĚspises‚ÄĚ, hvis man l√¶gger en plan og tager den bid for bid.

Opskriften for projekt persondatabeskyttelse kan se sådan ud:
  • Erkendelse
  • Afs√¶t ressourcer
  • F√• et overblik over virksomhedens/foreningens data
  • Kategoris√©r virksomhedens/foreningens data
  • F√• klarhed over reglerne
  • F√• udarbejdet en risiko-vurdering
  • F√• udarbejdet politikker/instrukser
  • Ud fra risiko-vurderingen udarbejdes en implementeringsplan,
  • Evaluering, opf√łlgning og ajourf√łring

Brug for hjælp?

Som freelance konsulent, kan TD Consult kan hjælpe dig og din virksomhed i alle faser af Projekt Persondatasikkerhed i det omfang og på de områder, hvor virksomheden ikke selv har ressourcerne.

Kontakt mig på tove@tdconsult.dk eller på +45 40 25 46 26 for en uforpligtende snak.

1. Erkendelse

Erkend, at hele virksomheden eller foreningen skal arbejde p√• at blive klar til de nye persondataregler. Alle niveau‚Äôer i virksomheden/foreningens organisation b√łr inddrages i arbejdet med databeskyttelse, det gamle udtryk: ‚ÄĚ en k√¶de er ikke st√¶rkere end det svageste led‚ÄĚ har aldrig v√¶ret mere aktuel.

2. Afsæt ressourcer

Herunder h√łrer:

A. Har virksomheden/foreningen selv de tidsmæssige ressourcer eller skal virksomheden/foreningen entrere med ekstern hjælp, og i hvilket omfang?

B. √ėkonomiske ressourcer til evt. ekstern hj√¶lp, men ogs√• til uddannelse af personale generelt og evt.
compliance-officer.

C. Tidsmæssige ressourcer til uddannelse af personale.

3. Få et overblik over virksomhedens eller foreningens data

Hvilke typer personrelaterede oplysninger behandler (opbevarer/benytter) virksomheden/foreningen, Start med at kortlægge hvilke typer data virksomheden/foreningen behandler, en sådan kortlægning skal indeholde:

A. Hvilke data har virksomheden/foreningen? Der skal udarbejdes en fuldst√¶ndig liste over hvilke typer data, virksomheden/foreningen har, s√•vel lokalt p√• egne computere som p√• eksterne servere, i cloud-l√łsninger og hos outsourcing-partnere (Kunders adresser, kontaktpersoner hos leverand√łrer og kunder, personale-oplysninger, modtagere af nyhedsbreve m.fl.)

B. I hvilke systemer (CRM, mail, fysisk arkiv, back-up)?

C. I hvilke formater (elektronisk, fysisk) ligger disse data?

D. Hvor kommer disse data fra? Hvordan har virksomheden/foreningen fået disse data?

E. Hvad bruges disse data til? – I hvilke processer er disse data involveret?

F. Hvad er det retlige/saglige grundlag for behandling af disse data?

G. Hvor længe opbevares disse data?

H. Hvor tit og hvordan verificeres/ajourf√łres disse data?

I. Hvordan og hvornår slettes/fjernes disse data?

TD Consult har udarbejdet en formular, der sikrer indsamling af relevante oplysninger omkring
virksomhedens eller foreningens data, letter arbejdet med kategorisering af data’ene og endelig danner basis for en risiko-vurdering.

5. Få klarhed over reglerne

Med overblikket over virksomheden eller foreningens data, og de processer disse er involveret i, kan det klarlægges, hvilke krav i den gældende og kommende lovgivning virksomheden eller foreningen skal opfylde.

TD Consult kan hj√¶lpe virksomheden eller foreningen med b√•de at f√• klarhed over hvilke data, der er omfattede af hvilke regler og hvad virksomheden skal g√łre for at efterleve disse regler.

 

6. Få udarbejdet en risikovurdering, der skal vise:

1. hvor virksomheden eller foreningen allerede lever op til kravene og reglerne.

2. hvor der er plads til forbedring.

3. om virksomheden eller foreningen lever op til de mere almene krav; f.eks. uddannelse af personale, oplysningspligt, databehandlerkontrakter m.v.

Virksomheden eller foreningen b√łr v√¶re opm√¶rksom p√•, at virksomheden eller foreningen er forpligtet til at dokumentere hvordan risici‚Äôene er vurderet og overvejet, i s√¶rdeleshed de risici, virksomheden eller foreningen v√¶lger ikke at fokusere p√•. Udgangspunktet er, at virksomheden eller foreningen skal g√łre, hvad der er n√łdvendigt for at nedbringe evt. risici for de registrerede.

TD Consult har udarbejdet en formular, der sikrer indsamling af de relevante oplysninger omkring virksomhedens eller foreningens data, letter arbejdet med kategorisering af data’ene og endelig danner basis for en risiko-vurdering.

7. Få udarbejdet politikker og instrukser for:
  • H√•ndtering af persondata/persondatasikkerhed
  • Opbevaringsperiode(r)
  • Sletning/makulering
  • Besvarelse af anmodning om indsigt
  • H√•ndtering af brud p√• datasikkerheden
  • Uddannelse/instruktion af
  • personaleHjemmearbejdspladser herunder ogs√• brug af Smartphones og tablets/Ipads
  • Brug af internet og e-mail

TD Consult har, i kraft af sit samarbejde med Sytorus, skabeloner til flere af de forskellige politikker.

 

8. Ud fra risikovurderingen udarbejdes en implementeringsplan

Implementeringsplanen skal tage h√łjde for de afd√¶kkede mangler OGS√Ö evt. (efter-)uddannelse af personale. HUSK at planl√¶gge hvordan der l√łbende skal f√łlges op p√• implementeringen, herunder at definere og beskrive virksomhedens kontrolm√•l og kontrolforanstaltninger.

9. Evaluering, opf√łlgning og ajourf√łring

Efterf√łlgende evaluering og opf√łlgning er med til

1. at understrege vigtigheden af persondatasikkerhed i virksomheden/foreningen og

2. at dokumentere compliance (som er et af kravene efter 25-05-2018).

Ligesom en bil skal til regelm√¶ssigt eftersyn, b√łr tiltag‚Äôene omkring persondatasikkerhed ogs√• ‚ÄĚsynes‚ÄĚ med regelm√¶ssige mellemrum for at tilpasse persondatasikkerheden til virksomhedens eller foreningens v√¶kst og udvikling, og ikke mindst til den nyeste udvikling af s√•vel regler som retspraksis p√• omr√•det.

0 Comments