Om et lille år træder EU's Databeskyttelsesforordning i kraft. Det er god tid – hvis du vel at mærke bruger den rigtigt. Her er tre gode råd, der hjælper dig med at prioritere indsatsen, så du kommer i mål inden 25. maj 2018.
GDPR handler om, at alle, der håndterer persondata, skal vænne sig til at gøre det rigtige. Men når det kommer til compliance, handler GDPR i høj grad om at vænne sig til at gøre det nødvendige. Ikke mere, ikke mindre.
I NorthGRC har vi identificeret tre områder, der kan spare dig tid, penge og bekymringer:
Databeskyttelsesforordningen stiller ikke krav om, at I skal udarbejde en dataflowanalyse. Alligevel er der virksomheder, der er i fuld gang med det omfattende og tidskrævende arbejde. Med risiko for at de spilder tid og penge, der passende kunne være brugt på andre GDPR-forberedelser.
Databeskyttelsesforordningen stiller kun krav om, at I udarbejder en fortegnelse over alle jeres behandlingsaktiviteter. Det er en langt mere overskuelig opgave.
Brug overblikket fra fortegnelsen over jeres behandlingsaktiviteter til at trimme jeres GDPR-projekt ned.
Det kan være, at I opbevarer persondata, I slet ikke behøver at opbevare. Der er eksempelvis virksomheder, der har haft tradition for at bruge CPR-numre som unikke nøgler til deres dokumenter. Hvis man i stedet for CPR-numre anvendte unikke tal (som ex. medarbejdernumre), kunne man undgå at sikre data i henhold til forordningen og dermed skære en hel proces væk.
Vi ser også eksempler på, at de samme persondata bliver delt mellem flere personer i flere afdelinger i flere processer i flere systemer. Eksempelvis en sygemelding, der får lov til at cirkulere rundt blandt kollegerne, inden den havner rette sted. Hvis I som standard samler persondata hos én person i én afdeling i én proces i ét system, er det med til at begrænse GDPR-projektets omfang.
Der er ingen grund til at smide ting ud, der virker. Det mundheld gælder også sikringen af jeres data.
Hvis I eksempelvis anvender ISO 27001 til styring af informationssikkerheden, er det en overkommelig opgave at bygge GDPR-tiltag ovenpå det fundament. Der er ingen grund til at starte helt forfra.
Der er mange andre sikkerhedsstandarder, der mod en forholdsvis lille investering kan tilrettes, så I efterlever kravene i GDPR. Og tilretning er trods alt en hurtigere, nemmere og billigere opgave end udskiftning og implementering af et helt nyt system med tilhørende politikker og processer.