Seriøs GDPR-compliance kræver et seriøst GDPR-værktøj

GDPR-reglerne dækker over en lang række forpligtelser. Herunder nævnes blot nogle af de væsentligste.

• Din organisation skal kunne dokumentere, at alle behandlingsaktiviteter sker på et lovligt grundlag.
• Din organisation skal føre fortegnelser over alle behandlingsaktiviteter.
• Din organisation skal sikre – og kunne dokumentere – at alle de personer, hvis personoplysninger I behandler, er blevet oplyst om, hvordan I behandler oplysningerne og til hvilke formål.
• Din organisation skal kunne dokumentere, hvilke tekniske og organisatoriske foranstaltninger I har implementeret for at sikre et passende niveau for behandlingssikkerheden.
• Din organisation skal kunne dokumentere, at der sker auditering af anvendte databehandlere for at sikre, at de også er i stand til at understøtte jeres efterlevelse af databeskyttelsesreglerne.

Når du behandler persondata, skal du altid vurdere, om der er en risiko for at overtræde de registreredes rettigheder og implementere de rette foranstaltninger for at sikre, det ikke sker.

Som dataansvarlig skal du allerede inden, du foretager en behandling af personoplysninger, kortlægge risikoen for de registreredes rettigheder og vurdere, hvad den kan medføre, hvis scenariet udspiller sig i virkeligheden.

Dernæst skal du afveje risiciene i forhold til de forholdsregler, der bliver truffet for at beskytte de registreredes rettigheder. En forholdsregel kan fx kryptering af kommunikation.

 En risikovurdering består af flere trin:

• Du skaber overblik over alle informationsaktiver såsom it-systemer, kommunikationskanaler mv, hvor du behandler personoplysninger og kortlægger alle de risici, som behandlingen medfører.
• Du fastlægger og vurderer konsekvensen for hvert informationsaktiv (høj, medium, lav) ved tab af aktivets fortrolighed, integritet og tilgængelighed (FIT).
• Du identificerer de trusler, som informationsaktiverne står overfor og giver din vurdering af, hvad sandsynligheden er for, at truslen bliver realiseret (høj, medium, lav).
• Du vurderer, hvad der er passende tekniske og organisatoriske foranstaltninger til at nedbringe sårbarheden og igangsætter mitigerende handlinger, så du kan arbejde hen mod at overholde persondataforordningen
• Du kortlægger de eksisterende sikkerhedsforanstaltninger og dokumenterer, hvordan de bidrager til at reducere sandsynlighed og konsekvens.

Med hjælp fra vores GDPR-software kan din organisation leve op til databeskyttelsesreglerne. Din organisations efterlevelse af GDPR har ikke blot betydning for databeskyttelsen, men også for jeres indsigt i, hvordan data flyder internt hos jer.

Complianceløsningen kan dermed hjælpe jer rundt i krogene af organisationen og måske endda give jer et endnu bedre indblik i egen organisation, end I allerede har. Jeres brug af GDPR-complianceløsningen kan dermed både sikre jer efterlevelse af lovpligtige regler og kan anvendes som led i jeres forretningsoptimering.

Desuden kan jeres efterlevelse af GDPR-reglerne give organisationen en konkurrencefordel, da I viser omverdenen, at I tager datasikkerhed alvorligt. Det kan endda bruges som en blåstempling i markedsføringen af jeres organisation.

Endelig kan jeres efterlevelse af persondataforordningen gøre det nemmere at opnå standarder som ISO- certificeringer og certificeringer fra IT-revisorer.

En gap-analyse har flere formål. Den hjælper med at klarlægge virksomhedens overholdelse af alle direkte pligter i persondataforordningen og belyser dermed, hvor der er gaps.

Derudover giver gap-analysen et godt udgangspunkt for at kunne prioritere, hvor du bør investere tid og ressourcer for at opnå compliance med GDPR-indsatsen.

Der er typisk 3 spørgsmål, du skal besvare i en gap-analyse:

• Hvor står vi nu?
• Hvor skal vi hen?
• Hvor langt er vi fra målet?

Gap-analysen giver et præcist overblik over hvilke gaps dvs. huller, I mangler at lukke for at komme i mål.