GDPR-drift i praksis

Implementering

Implementering betyder i al sin enkelhed etablering af et årshjul, der sikrer, at jeres organisation efterlever netop de love, regler og standarder, der er kortlagt og godkendt af ledelsen.

Complianceorganisation

Årshjulet er en række konkrete forskelligartede opgaver, der skal løses hen over året. For at løse opgaverne i årshjulet skal der etableres en complianceorganisation. Det er således meget sjældent at en enkelt person kan løse alle opgaverne i jeres årshjul.

UNITAS anvender som udgangspunkt kun kendte og gennemtestede metoder, så vi bruger gerne en RACI-model, når vi sammensætter complianceorganisationer. Se eventuelt mere her.

Årshjul

En opgave i et konkret årshjul kan tage lang tid i en organisation, men kun kort tid i en anden. Og visse årshjul vil indeholde unikke opgaver, man slet ikke ser andre steder. Under alle omstændigheder vil opgaverne i jeres årshjul som regel inkludere flere af følgende:

  • Opdatering af dokumentation
  • Databehandleraftaler: Udarbejdelse, forhandling og indgåelse
  • Besvare anmodninger fra de registrerede/aktindsigtsanmodninger fra borgere
  • Anskaffelse af it-systemer (cloud services, it-kontrakt, databehandleraftale, kontrol af sikkerhed mv.)
  • Kvalitetssikring af it-udvikling (sikkerhed og privacy by design and by default)
  • Informationssikkerhed, CIS 20/CIS Controls-analyse osv.
  • Tjek af sikkerhed og omfang af indsamlingen af oplysninger fra borgere på forskellige myndighedsområder
  • Kvalitetssikring af markedsføringsindsats, herunder hjemmeside, webshop, kundeklub og lignende
  • Udarbejdelse af procedurer og privatlivspolitikker (HR, udvikling, salg mv.)
  • Bistand ved brud samt anmeldelse til Datatilsynet og underretning til de registrerede
  • Cloud control, herunder ikke mindst tredjelandsoverførsel og fastsættelse af rette supplerende foranstaltninger
  • Slettepolitik og kontrol af sletning – sikre vi ikke dataophober ulovligt
  • Awarenesstræning – vores medarbejdere skal løbende kompetenceudvikles
  • Penetrationstest af systemer, herunder hjemmeside og webshop
  • Håndtering af påbud, forbud og eventuel søgning af tilladelser fra tilsynsmyndigheder

Henfaldstid

1 år efter et complianceniveau på 100 % er etableret, ligger niveauet ikke over 50 %, hvis intet er foretaget. Det er vores tommelfingerregel.

Det kan godt være, at de rette rammer for at opnå compliance er korrekt fastlagt i årshjulet, men da systemanvendelsen, det generelle trusselsbillede og systemerne selv ændrer sig over tid, vil eksempelvis risikovurderinger løbende blive forældede. God sikkerhed i dag er ikke nødvendigvis god sikkerhed i morgen.

Forretningsrisiko

Falder complianceniveauet stiger forretningsrisikoen. Det kan med andre ord blive dyrt i bøder, omdømmetab og omkostninger til genopretning, hvis uheldet er ude.

Værktøj

Et årshjul skal leve i et compliancesystem. Kun ved at benytte et compliancesystem med automatiserede opfølgningsrutiner, versionsstyring, rolletildeling m.m., kan organisationen være i kontrol og til enhver tid kunne påvise det aktuelle complianceniveau.

Der er mange systemer. UNITAS er ikke bundet op på et bestemt. Vi har erfaring med de fleste compliancesystemer.

Serviceaftale

Har din organisation behov for at opretholde et højt complianceniveau, men står I ikke med de relevante ledige ressourcer til at dække opgaven, kan UNTAS hjælpe jer.

Vores Compliance-as-a-Serviceaftale er skræddersyet til dig, der har behov for let at kunne trække på højt specialiseret arbejdskraft uden at skulle ansætte en række nye medarbejdere med forskellige faglige baggrunde.

UNITAS kan med andre ord være jeres eksterne complianceorganisation i det omfang, det passer jer. Vi dækker alle områderne af, så hvis I har en medarbejder, der kan tage en del, kan vi tage den anden alt efter jeres konkrete behov.