Ignorer kommandoer på båndet
Gå til hovedindhold
< BACK

Rejsen mod GDPR-compliance

Sikring af organisationens GDPR-compliance kan være en uoverskuelig opgave med mange aspekter. Lad os guide jer gennem jeres GDPR-rejse og fordelene ved compliance.

"Er du klar til GDPR?" er et ofte stillet spørgsmål for tiden. Hos NNIT ved vi, at kun få organisationer er i stand til at svare ja. Så i stedet for spørger vi, "Hvor er du på din GDPR-rejse?".

Rejsen mod GDPR-compliance kan virke lang og kompliceret. Ikke desto mindre er der nogle væsentlige tiltag, man kan igangsætte, for at gøre rejsen lettere.

Ved I, hvor jeres data er?

Forestil jer, at I ejer en flyvemaskine, men I mangler oplysninger om modellen, typen og endda hvor den befinder sig. Hvordan ville I vedligeholde den – eller endda sikre den? På samme måde skal I med dataoplysninger kende dataenes type, klassificering og placering; ellers kan I ikke beskytte dem.

Derfor skal I for alle jeres Personally Identifiable Information (PII)-data kunne identificere datafelter, dataformater, overførselsmetoder og placeringer. Dette kan gøres ved at udføre Privacy Impact Assessments (PIA) for at identificere de potentielle risici og tilsvarende huller i foranstaltningerne.  

Har I lagt en prioriteret plan for at lukke disse huller?

Når I har fundet jeres data og identificeret organisationens mangler i sikkerhedsforanstaltningerne, står I sandsynligvis over for en uoverskuelig opgave.

For at opnå compliance skal I nu sætte jer ind i et hav af opgaver, og det kan være svært at prioritere dem.

En Strategic Security Assessment kan hjælpe jer med at få overblikket og kortlægge det videre forløb.

Har I indført de nødvendige foranstaltninger?

Når I har identificeret hullerne i forhold til compliance og lagt en prioriteret plan, er I nået til det punkt, hvor I skal finde de foranstaltninger, der kan lukke disse huller.

Foranstaltninger findes i forskellige kategorier og omfatter personer, processer og teknologier. Foranstaltninger i forhold til teknologi omfatter Encryption, Logging, Breach Response, Data Access Governance og Identity & Access Management.

Fælles for alle teknologierne er, at for at kunne få fuld udnyttelse af dem, skal I integrere dem i virksomhedskulturen og træne medarbejderne i organisationen i at arbejde med dem. I skal også sikre, at I har fastlagt en proces omkring, hvordan I arbejder inden for lovgivningen og teknologien.

Ved I, hvem der har adgang til hvad, hvornår og hvorfor?

Identity & Access Management (IAM) er en foranstaltning, som er vigtigt i forhold til alle de andre foranstaltninger, I kommer til at implementere på jeres GDPR-rejse. Det sjette princip i GDPR – "Behandles på en måde, der sikrer tilstrækkelig sikkerhed" – kombineret med artikel 32 "Behandlingssikkerhed" kræver databeskyttelse gennem design og databeskyttelse gennem standardindstillinger.

Derfor er opdelingen af opgaver kombineret med adgangskontroller (både for administratorer og medarbejdere), need-to-know-principper og dataminimering af afgørende betydning, og man vil ikke kun se på Identity and Access Management teknologier, men også på de tilhørende governance-processer og -procedurer.

Ved I, hvordan I skal reagere på et brud inden for 72 timer?

En tommelfingerregel i dagens digitale miljø er at forvente sikkerhedsbrud. Ingen organisationer er fuldstændigt sikrede mod digitale trusler – og ved at være forberedt på sikkerhedsbrud, vil I have jeres strategier på plads, så I kan håndtere angreb hurtigt og effektivt. 

I bør overveje at udvide jeres eksisterende nødberedskabsplaner med et afsnit om GDPR. Forbered jeres kommunikationsmeddelelser på forhånd og få jeres juridiske team til at gennemgå dem. For komplekse PII-systemer, beskriv hvordan I vil identificere de registrerede personer, der er omfattet af bruddet. Afprøv jeres kommunikationsplan i god tid og test jeres GDPR-beredskab, som I ville med alle andre nødberedskabsplaner.

Tillykke!

På dette sted på rejsen har jeres organisation fået noget af det vigtigste på plads, som vil få jer tættere på GDPR-compliance – og på at høste de efterfølgende fordele.

Udover den juridiske compliance vil I opnå en vigtig dataminimering. Dette betyder intet overskydende antal ukendte data i fildelinger, hvilket igen betyder færre krav til opbevaring og licenser samt lavere omkostninger.

Opdelingen af opgaver og bedre adgangskontroller er også med til at mindske en hel del risici. I vil få det fulde overblik over, hvem der gør hvad, hvornår og hvorfor. Og endelig vil jeres kunder og medarbejderes øgede tillid være med til at give jer en fordel.

Følg sporene på vores GDPR Journey Map og se hvad der er jeres næste skridt på rejsen.

 

 

Lars Koch Hviid+4530758399lkhv@nnit.com ​​​​Senior IT Security Architect https://dk.linkedin.com/in/larshviidLars Koch Hviid

 

 

Healthcarehttp://www.nnit.dk/Sider/healthcare.aspxHealthcare
IT skaber sammenhæng for patienterhttp://www.nnit.dk/Sider/IT-skaber-sammenhæng-for-patienter.aspxIT skaber sammenhæng for patienter
GDPR & Compliance Rådgivninghttp://www.nnit.dk/cybersecurity/Sider/eu-gdpr.aspxGDPR & Compliance Rådgivning
Cybersikkerhed – tendenser og trusler i 2018http://www.nnit.dk/ArtiklerOgOfferings/Sider/Cybersikkerhed-–-tendenser-og-trusler-i-2018.aspxCybersikkerhed – tendenser og trusler i 2018
Hurtig GDPR-compliance med dataoprydning i tre bølgerhttp://www.nnit.dk/KundeCases/Sider/Hurtig-GDPR-compliance-med-dataoprydning-i-tre-bølger.aspxHurtig GDPR-compliance med dataoprydning i tre bølger
NNIT styrker compliance med ny identitets- og adgangsstyring til it-systemerhttp://www.nnit.dk/ArtiklerOgOfferings/Sider/NNIT-styrker-compliance-med-ny-identitets--og-adgangsstyring-til-it-systemer.aspxNNIT styrker compliance med ny identitets- og adgangsstyring til it-systemer
Hurtig GDPR-compliance med dataoprydning i tre bølgerhttp://www.nnit.dk/ArtiklerOgOfferings/Sider/Hurtig-GDPR-compliance-med-dataoprydning-i-tre-bølger.aspxHurtig GDPR-compliance med dataoprydning i tre bølger
NNIT's GDPR Agile Delivery Modelhttp://www.nnit.dk/ArtiklerOgOfferings/Sider/NNIT's-EU-GDPR-Agile-Delivery-Model.aspxNNIT's GDPR Agile Delivery Model
Implementering af EU Persondataforordningenhttp://www.nnit.dk/ArtiklerOgOfferings/Sider/NNIT_EU_Persondataforordning_artikel.aspxImplementering af EU Persondataforordningen
GDPR Journey Maphttp://www.nnit.dk/cybersecurity/Sider/GDPR-Journey-Map.aspxGDPR Journey Map