Tjeklisten: Er du klar til GDPR?

24-04-2018
Ved du, om din virksomhed er klar til EU’s nye persondataforordning, som træder i kraft den 25. maj? It- og digitaliseringschef Jesper Aarestrup fra Statsforvaltningen giver dig her de fem vigtigste tjekpunkter fra deres forberedelser – har du styr på dem alle?

​For offentlige organisationer og virksomheder har EU’s nye persondataforordning – der også går under navnet GDPR – den konsekvens, at kravene til behandling af data skærpes i forhold til den eksisterende persondatalov, og potentielle bødeforlæg øges markant.

Ifølge Jesper Aarestrup, som er it- og digitaliseringschef og projektleder for hele persondataprojektet i Statsforvaltningen, er det vigtigt, at de nye dokumentationskrav bliver dybt forankret i organisationen, og at arbejdsgangen ligger klar ved et eventuelt databrud. Til daglig behandler statsforvaltningen nemlig sager, hvor de indsamler meget personfølsomme data, fx i forbindelse med skilsmisser. Det stiller store krav til datasikkerheden.


Jesper Aarestrup, it- og digitaliseringschef og projektleder, Statsforvaltningen

 ”I Danmark er der generel stor tillid til, at vi behandler borgernes oplysninger ordentligt, så vi gør meget ud af at vise dem, at vi passer på deres data. Grundet det meget personfølsomme data er der for os nogle helt særlige krav, som vi skal imødekomme,” siger Jesper Aarestrup og fortsætter:

”Derfor arbejder vi strategisk med de udfordringer, den nye persondataforordning og persondatalov giver, og hele forløbet har været en læringsfase, hvor vi har gjort en række observationer, andre også kan drage nytte af.”

Her får du de fem vigtigste tjekpunkter, som Statsforvaltningen fandt på deres rejse mod den nye forordning.

1. Kend din forretning

Til at starte med lavede Statsforvaltningen en modenhedsanalyse for at finde ud af, hvor langt de var i processen. Som konsekvens af modenhedsanalysen blev der udpeget roller og afdelinger, som skulle være ansvarlige for implementering af de mangler, som analysen viste.

En særlig vigtig rolle i dette setup er DPO´en (Data Protection Officer), som er Datatilsynets indgang til organisationen. Det er vigtigt, at der er opbakning fra ledelsen til at kunne afsætte tid til at DPO’erne kan komme i dybden samt sikre en forståelse for og en forankring af de forandringer, der kommer i deres afdelinger. Det er desuden en stor hjælp i selve implementeringen af persondataprojektet og gør også DPO’ens arbejde lettere i det lange løb.

2. Få overblik over alt data

Hele processen tager tid, og det er en kæmpe opgave at skabe overblik over alt den data, som flyder i organisationen. Det erfarede de hurtigt i Statsforvaltningen.

”Vi startede med en data mapping i hele organisationen. Efter at have kørt første runde med data mapping, rejste der sig så mange spørgsmål, at vi nu er i gang med at køre anden runde."

”Vi startede med en data mapping i hele organisationen. Efter at have kørt første runde med data mapping, rejste der sig så mange spørgsmål, at vi nu er i gang med at køre anden runde. Her går vi endnu mere i dybden med vores data og helt ned i vores sagsprocesser,” fortæller Jesper Aarestrup, og fortsætter:

”Vi benyttede et eksternt bureau til at hjælpe os videre, og de hjalp os med at udarbejde fortegnelsen samt det værktøj, hvori vi samler vores data. Fortegnelsen er opdelt efter forretningsområder og indeholder for hvert område en oversigt over persondatatyper, der behandles, hvilken hjemmel de behandles efter, hvor de opbevares, og hvornår de slettes.”

Jesper Aarestrup fremhæver, at selvom øvelsen med data var stor, så har den givet et godt kendskab til, hvordan forretningen hænger sammen. Der skal nemlig også skabes sammenhæng mellem fortegnelsen og de konkrete ting, der ender ud i en liste med mangler (gaps).

3. Hav et godt forankret informationssikkerheds-setup

Forud for persondataprojektet, GDPR, har Statsforvaltningen også kørt et andet projekt, ISO27001 – en informationssikkerhedsstandard. Her gav det ifølge Jesper Aarestrup mening at sidestille de to projekter:

”Vi samlede behovene fra begge systemer i en ramme og fik overblik over, hvilke kontroller de hver især medfører, og hvor de overlapper hinanden. Nogle af de ting, som vi skulle tjekke op på i forbindelse med ISO27001, var de samme ved GDPR, så det lettede arbejdet og gav et godt overblik at samle dem i én ramme”.

4. Skab awareness

Ifølge Jesper Aarestrup er awareness i hele organisationen alfa omega for at lykkes med at omstille sig til den nye persondataforordning:

”Firewalls og andre tekniske systemer har ikke den store effekt, hvis der ikke findes en integreret sikkerhedskultur i organisationen. Man skal klarlægge, hvilke risici der findes, og hvad retningslinjerne er i den forbindelse".

”Firewalls og andre tekniske systemer har ikke den store effekt, hvis der ikke findes en integreret sikkerhedskultur i organisationen. Man skal klarlægge, hvilke risici der findes, og hvad retningslinjerne er i den forbindelse, fx hvad den enkelte skal gøre, hvis man finder et usb-stik på gaden, eller en mail med personfølsomme data bliver sendt til den forkerte modtager ”.​

Awareness-strategien bliver snart rullet ud i hele Statsforvaltningen:

”For at udbrede awareness udruller vi snart et introduktionsprogram, hvor det blandt andet bliver givet en individuel introduktion til, hvad forordningen vil betyde for medarbejderne i deres arbejde. Programmet indeholder også et e-learningskursus med en afsluttende test, som alle skal bestå,” siger Jesper Aarestrup. 

5. Find en god samarbejdspartner

I Statsforvaltningen har de haft glæde af at bruge en ekstern samarbejdspartner, som forstod deres behov og havde fokus på de ting, som var vigtige i lige netop deres organisation. Fx var det vigtigt for Statsforvaltningen at finde en samarbejdspartner med en pragmatisk tilgang, hvor produkterne var noget, som skulle kunne leve i forretningen.

Ifølge Jesper Aarestrup er en god samarbejdspartner er guld værd i sådan et projekt, da det er en tung og krævende opgave at løfte alene. Han mener dog også, at opgaven kan løftes alene, hvis man har ressourcerne og det nødvendige kendskab til at skabe opgaven:

”Det kræver et stort engagement af både projektets medlemmer og resten af organisationen. En god samarbejdspartner kan derfor også være internt, hvor alle er med til at løfte sammen i flok og være konstruktive i deres bidrag til processen.”

​​​​​​

Skabelon til databehandleraftale

Vidste du, at SKI har udarbejdet en skabelon til en databehandleraftale, som du kan vælge at anvende på allerede eksisterende rammeaftaler. Du kan hente skabelonen til en databehandleraftale her.  Du finder desuden skabelonen under aftaledokumenter på de relevante it-aftaler på ski.dk, når du er logget ind.