Teams GDPR system 

Din organisations efterlevelse af GDPR har ikke blot betydning for databeskyttelsen, men også for jeres indsigt i, hvordan data flyder internt hos jer. Efterlevelse af GDPR-reglerne vil give organisationen en konkurrencefordel, da I viser omverdenen, at I tager datasikkerhed alvorligt. Det kan endda bruges som en blåstempling i markedsføringen af jeres organisation.

Endelig kan jeres overholdelse af GDPR, gøre det nemmere at opnå standarder som ISO- certificeringer og certificeringer fra IT-revisorer.

GDPR-reglerne dækker over en lang række forpligtelser. Herunder nævnes blot nogle af de væsentligste.

Din organisation skal kunne dokumentere, at alle behandlingsaktiviteter sker på et lovligt grundlag.

Din organisation skal føre fortegnelser over alle behandlingsaktiviteter.

Din organisation skal sikre – og kunne dokumentere – at alle de personer, hvis personoplysninger I behandler, er blevet oplyst om, hvordan I behandler oplysningerne og til hvilke formål.

Din organisation skal kunne dokumentere, hvilke tekniske og organisatoriske foranstaltninger I har implementeret for at sikre et passende niveau for behandlingssikkerheden.

Din organisation skal kunne dokumentere, at der sker auditering af anvendte databehandlere for at sikre, at de også er i stand til at understøtte jeres efterlevelse af databeskyttelsesreglerne.

Et system er et sted hvor du behandler personoplysninger. Det vil typisk være et it-system, men kan ligeledes være et arkivskab eller lignende. Du skal kunne redegøre for, hvor data befinder sig; herunder om det befinder sig hos den dataansvarlige selv (dig), hos leverandør (databehandleren) 

En behandlingsaktivitet er en aktivitet hvori du behandler personoplysninger. Den kortlægning som du har lavet af systemer leverandører og de enkelte personoplysninger er grundlaget, som dokumentationen af dine behandlinger skal stå på.

En leverandør er virksomhed eller lignende som leverer et produkt eller service til dig. JURITAS sørger for at oprette alle dine leverandører, så du dermed får styr på hvilke der er databehandlere, vedhæfte databehandleraftaler og andre dokumenter, samt få overblik over databehandlernes geografiske lokation for databehandlingen m.m.

En dataansvarlig er den fysiske eller juridiske person, offentlige myndighed mv., der bestemmer, med hvilke formål personoplysningerne må behandles (formålet), og hvordan personoplysningerne må behandles (hjælpemidlerne), herunder af hvem personoplysningerne må behandles.

Det er vigtigt, at du finder ud af, om du er dataansvarlig eller databehandler, fordi kravene til dataansvarlige og databehandlere er forskellige. En databehandler er modsat en dataansvarlig en fysisk eller juridisk person, offentlige myndighed mv., der behandler personoplysninger på vegne af den dataansvarlige. Databehandleren bestemmer i modsætning til den dataansvarlige hverken hvordan eller med hvilke formål, der må behandles
personoplysninger. Grundreglen er at hvis man behandler personoplysninger under instruks for den dataansvarlige er man databehandler. 

Med en fortegnelse slår I to fluer med ét smæk. I opfylder jeres ansvar efter GDPR – og ikke mindst gør I resten af jeres GDPR-liv nemmere. For fortegnelsen giver jer overblik. Når I først har den grundlæggende fortegnelse på plads, kan I langt lettere opfylde andre krav, GDPR stiller til jer, blandt andet at føre en hændelseslog. Det er noget, som Datatilsynet interesserer sig for.

Når du behandler persondata, skal du altid vurdere, om der er en risiko for at overtræde de registreredes rettigheder og implementere de rette foranstaltninger for at sikre, det ikke sker.

Som dataansvarlig skal du allerede inden, du foretager en behandling af personoplysninger, kortlægge risikoen for de registreredes rettigheder og vurdere, hvad den kan medføre, hvis scenariet udspiller sig i virkeligheden.

Dernæst skal du afveje risiciene i forhold til de forholdsregler, der bliver truffet for at beskytte de registreredes rettigheder. En forholdsregel kan fx kryptering af kommunikation.

 EN RISIKOVURDERING BESTÅR AF FLERE TRIN:

Du skaber overblik over alle informationsaktiver såsom it-systemer, kommunikationskanaler mv, hvor du behandler personoplysninger og kortlægger alle de risici, som behandlingen medfører.

Du fastlægger og vurderer konsekvensen for hvert informationsaktiv (høj, medium, lav) ved tab af aktivets fortrolighed, integritet og tilgængelighed (FIT).

Du identificerer de trusler, som informationsaktiverne står overfor og giver din vurdering af, hvad sandsynligheden er for, at truslen bliver realiseret (høj, medium, lav).

Du vurderer, hvad der er passende tekniske og organisatoriske foranstaltninger til at nedbringe sårbarheden og igangsætter mitigerende handlinger, så du kan arbejde hen mod at overholde persondataforordningen

Du kortlægger de eksisterende sikkerhedsforanstaltninger og dokumenterer, hvordan de bidrager til at reducere sandsynlighed og konsekvens.

En gap-analyse har flere formål. Den hjælper med at klarlægge virksomhedens overholdelse af alle direkte pligter i persondataforordningen og belyser dermed, hvor der er gaps.

Derudover giver gap-analysen et godt udgangspunkt for at kunne prioritere, hvor du bør investere tid og ressourcer for at opnå compliance med GDPR-indsatsen.

DER ER TYPISK 3 SPØRGSMÅL, DU SKAL BESVARE I EN GAP-ANALYSE:

Hvor står vi nu?

Hvor skal vi hen?

Hvor langt er vi fra målet?

Gap-analysen giver et præcist overblik over hvilke gaps dvs. huller, I mangler at lukke for at komme i mål.