Ignorer kommandoer på båndet
Gå til hovedindhold
< BACK

NNIT's GDPR Agile Delivery Model

Der er nu kun to måneder til deadline for overholdelse af EU's persondataforordning (GDPR), der træder i kraft d. 25. maj. Og så er det allervigtigste spørgsmål, "når vi at blive klar"? Hvis du kan svare "ja" til dette, behøver du ikke læse videre, men hvis du svarer "nej" eller det mere almindelige svar, "Det ved jeg ikke", så kan du nok få brug for at læse artiklen til ende. For tiden møder vi kunder, der hører til under en af de følgende tre kategorier:

 

1. Data Privacy Impact Assessment (DPIA) gennemført/igangværende løsningsprojekter:

  • DPIA er gennemført, og der er en god forståelse af problemområderne. Et eller flere løsningsprojekter er sat i værk.

  • Denne type kunder beder typisk NNIT om hjælp til sparring og rådgivning i forhold til løsninger og fremgangsmåder samt hjælp til drøftelser med leverandører.

  • Denne kategori af kunder kan opdeles i yderligere 2 kategorier af virksomheder, der enten ønsker at indføre politikker, procedurer, teknologi og governance på minimalt niveau, eller virksomheder, der bruger GDPR som en mulighed for at omstrukturere alle deres kontrolområder.

 

Figur 1: GDPR-kontrol som et spindelvæv

 

2. DPIA gennemført/ikke sikker på, hvilke løsningsprojekter der skal sættes i værk:

  • Disse kunder har gennemført en DPIA og har en idé om, hvad deres problemområder er, men de har svært ved at komme videre til løsningsfasen.

  • NNIT hjælper dem med rådgivning, udvælgelse af leverandører/løsninger og teknologisk rådgivning samt at sikre, at alle beslutninger i virksomheden (f.eks. om procesoptimering) tages i betragtning i teknologien og løsningerne.

 

3. DPIA ubekendt/løsningsprojekter ubekendt:

  • Disse kunder har ikke noget klart overblik over problemområderne, er ikke sikre på, hvilke tekniske kontroller de har på plads, eller hvad deres næste skridt er.

 

NNIT's DPIA-metode og -værktøj inddrager interessenter fra virksomheden, it og juridisk afdeling, og NNIT's GDPR Agile Delivery Model gør det samme. Højre hånd (virksomheden), venstre hånd (teknologien) og midten (governance) skal arbejde sammen, og den eneste måde at nærme sig målet på er at blive agil her kort tid inden d. 25. maj.

Vi starter som regel kunderne op på trin 2 og 3 samtidigt og tager en hurtig sprint på 1 uge, hvor vi sikrer, at beslutningerne eller resultaterne fra disse trin hele tiden kontrolleres i forhold til nye resultater/risici fra trin 1.

 

           Figur 2: GDPR AGILE DELIVERY MODEL


TRIN 1: GENNEMGANG AF DATA PRIVACY IMPACT ASSESSMENT (DPIA)

  • Kortlægning af data gennemgås – processer/systemer/PII-data/databehandlere

  • Udfør evt. kortlægning af nye data/ekstra data

  • Sørg for, at der er validering fra it og juridisk afdeling i kortlægningen af data

  • Identificering af problemområder og mulige løsninger (nye og eksisterende)

 

TRIN 2: DESIGN OG PLANLÆGNING AF LØSNING

  • Overordnet handlingsplan for omfattede kontrolområder: business cases (omfang/omkostning/tidsplan/fordele)

  • Workshops om løsningsdesign: Konsekvensanalyse af mulige konsekvenser i forhold til identificerede risici og minimumskrav for sikkerhed

  • "Tough Prioritization" – isolerer eller eliminerer systemer og processer, som ikke kan gemmes – planlæg deres udfasning

  • Opret en opdelt tidsplan samt skøn og planlægning af implementeringsfasen - tilpasset efter risikovilligheden

  • Hvert løsningsspor skal have dedikerede SMART-mål – (specifikt, målbart, ansvarsfordelt, realistisk og tidsbestemt)

  • Organisatorisk change management: Kommunikation, bevidsthed, undervisning, m.m. Sørg for, at dine medarbejdere ved, hvordan de skal svare kunderne og finde relevante GDPR-ressourcer og -oplysninger.

  • Feedback til trin 1 – sørg for, at handlingerne vil mindske huller/problemområder – feed forward til trin 3.

 

TRIN 3: IMPLEMENTERING AF LØSNING

  • Sørg for at implementere platformsløsninger frem for programløsninger – lukker flere huller på én gang

  • Compliance governance – hvordan vil du håndtere henvendelser fra registrerede personer og myndigheder før og efter d. 25. maj?

  • Gennemgang af compliance-processer: retsgrundlag, dataproportionalitet m.m.

  • Databehandleraftaler på plads og opdateret

  • De registreredes rettigheder: identifikation, fangst, flytning og sletning af data

  • Sørg for, at processerne til opdagelse og databrud er klar til at blive brugt og testet

  • Feedback til trin 1 og 2 – sørg for, at de implementerede løsninger mindsker hullerne, og hvis de ikke gør, skal det besluttes, hvad der ellers mangler at blive gjort.

 

NNIT er klar til at hjælpe dig gennem disse 3 trin. Som full service-udbyder har vi virksomhedskonsulenter, tekniske konsulenter og en lang række leverandører og udbydere, som kan hjælpe dig hurtigt i gang med dit GDPR-program. Nedenfor finder du nogle vigtige punkter, som du kan tage med dig.

 

Vigtige punkter

  • Vær realistisk – det er begrænset, hvad du kan nå fra nu og indtil d. 25. maj.

  • Denne proces skal være iterativ og risikodrevet og involvere både virksomheden, it og juridisk afdeling

  • Det er kun dig, der kan definere det "aktuelle tekniske niveau" og "passende løsninger" (artikel 32)

  • Hvert spor skal have SMART-mål

  • Den registreredes rettigheder: før du foretager dig noget – sørg for at få bekræftet den registreredes identitet – hvis du leverer data eller sletter data, der omhandler den forkerte person, er du lige vidt

  • Lav en aftale med dine nuværende teknologileverandører – kan de hjælpe?

  • Manuelle processer gælder lige så meget som automatiserede processer – sørg blot for, at der er et tydeligt revisionsspor

 

 

Steve Peacock+45 30778428sepc@nnit.comGDPR Consulting Directorhttps://www.linkedin.com/in/steve-peacock-8102631/Steve Peacock

 

 

Healthcarehttp://www.nnit.dk/Sider/healthcare.aspxHealthcare
IT skaber sammenhæng for patienterhttp://www.nnit.dk/Sider/IT-skaber-sammenhæng-for-patienter.aspxIT skaber sammenhæng for patienter
GDPR & Compliance Rådgivninghttp://www.nnit.dk/cybersecurity/Sider/eu-gdpr.aspxGDPR & Compliance Rådgivning
Cybersikkerhed – tendenser og trusler i 2018http://www.nnit.dk/ArtiklerOgOfferings/Sider/Cybersikkerhed-–-tendenser-og-trusler-i-2018.aspxCybersikkerhed – tendenser og trusler i 2018
Hurtig GDPR-compliance med dataoprydning i tre bølgerhttp://www.nnit.dk/KundeCases/Sider/Hurtig-GDPR-compliance-med-dataoprydning-i-tre-bølger.aspxHurtig GDPR-compliance med dataoprydning i tre bølger
NNIT styrker compliance med ny identitets- og adgangsstyring til it-systemerhttp://www.nnit.dk/ArtiklerOgOfferings/Sider/NNIT-styrker-compliance-med-ny-identitets--og-adgangsstyring-til-it-systemer.aspxNNIT styrker compliance med ny identitets- og adgangsstyring til it-systemer
Hurtig GDPR-compliance med dataoprydning i tre bølgerhttp://www.nnit.dk/ArtiklerOgOfferings/Sider/Hurtig-GDPR-compliance-med-dataoprydning-i-tre-bølger.aspxHurtig GDPR-compliance med dataoprydning i tre bølger
Implementering af EU Persondataforordningenhttp://www.nnit.dk/ArtiklerOgOfferings/Sider/NNIT_EU_Persondataforordning_artikel.aspxImplementering af EU Persondataforordningen
Rejsen mod GDPR-compliancehttp://www.nnit.dk/ArtiklerOgOfferings/Sider/Rejsen-mod-GDPR-compliance.aspxRejsen mod GDPR-compliance
GDPR Journey Maphttp://www.nnit.dk/cybersecurity/Sider/GDPR-Journey-Map.aspxGDPR Journey Map