EU Persondataforordningen

Bliv klar til EU persondataforordningen

EU persondataforordningen sætter fornyet fokus på virksomheders behandling af persondata og databeskyttelse. Nye krav til blandt andet datasikkerhed og dokumentation får stor indflydelse på styringsgrundlaget for projekter, informationssikkerhed, risikovurdering, kontrol, udvikling og drift.

Op til 75 % af nordiske organisationer er i risiko for at blive mødt med en sanktion efter de nye regler i EU persondataforordningen, viser en ny undersøgelse fra Kromann Reumert. Andre vigtige undersøgelser viser, at mere end 52 % af virksomhederne ikke har gjort noget for at forberede sig på de nye krav i forordningen, og at 36 % var uvidende om dens eksistens.

Hvorfor er EU persondataforordningen vigtig?

Overtrædelse af reglerne i EU persondataforordningen kan få store konsekvenser for din virksomhed. Risikoen ved ikke at være i compliance med EU persondataforordningen ændrer sig nemlig i forhold til den gældende persondatalovgivning. Fremadrettet kan det blive meget dyrt, hvis man ikke overholder de persondataretslige regler. Når den nye forordning fra EU træder i kraft til maj 2018, vil der i fremtiden gælde et bødeniveau på helt op til 20 mio. euro eller 4 % af den samlede globale årlige koncernomsætning, hvis det beløb er højere. Det aktuelle bødeniveau for overtrædelser af persondataloven i Danmark er på 3.000-10.000 kr. – med en enkelt historisk bøde på 25.000 kr.

Sikkerhed giver flere kunder.

Datasikkerhed bliver et konkurrenceparameter. Foruden erstatningskrav og bøde, kan det få negative konsekvenser for tilliden til din virksomhed og dens renommé, hvis der ikke er styr på datasikkerheden. Hvis kunder, brugere, leverandører ikke har tillid til din virksomheds datasikkerhed, så er de mindre villige til at videregive data. Høj datasikkerhed kan omvendt betyde flere kunder, og dermed adgang til større datamængder, som både vil løfte kvaliteten af dine kundedata, og samtidig kan forbedre din virksomheds mulighed for at udvikle nye, datadrevne forretningsmodeller.

Compliance med den nye EU persondataforordning er ikke et projekt der slutter maj 2018

Først og fremmest skal topledelsen forstå, at det er startskuddet til en lang rejse – det handler ikke kun om, at sikre, at virksomheden på effektiv vis lever op til de nye krav og regler, når EU persondataforordningen træder i kraft til maj 2018 – det handler om at sikre, at virksomheden kan efterleve forordningens krav på ethvert tidspunkt i fremtiden.

10% jura. 90% IT og forretning.

Dernæst handler det i høj grad om at erkende, at persondata er informationsaktiver, som skal beskyttes inden for den samme ledelsesmæssige ramme, som virksomheden i øvrigt anvender til at styre informationssikkerheden med. Virksomheden skal ikke opbygge et parallelt system til håndtering af persondata. Det centrale element i beskyttelsen af persondata er en risikovurdering, der løbende opdateres med information fra virksomhedens drift, og fra forskellige eksterne kilder. Beskyttelsen af persondata er således en disciplin, der kræver forretningsindsigt og viden om informationssikkerhed.

Hvordan kommer din virksomhed i gang? – foranalyse

1. Identificér regler og krav

Klarlæg hvilke juridiske regler og operationelle krav forordningen stiller til virksomheden. Derved afdækker I de scenarier, hvor I kommer til at anvende den nye EU persondataforordning – f.eks. en person henvender sig og vil have udleveret sine data; der er sket et persondata sikkerhedsbrud eller lign. Og det er her juristerne kommer ind i billedet.

2. Afdæk processer og IT-landskab

Afdæk eksisterende processer, datastrømme og systemer, hvor persondata indsamles og behandles. Man kan opdele denne analysefase i to dele; den procesdrevne og den datadrevne. Og det er her discipliner som forretnings- og procesanalyse og enterprise arkitektur kommer ind i billedet.

3. Analysér hullerne

Den sidste indledende fase går ud på at analysere, hvordan gældende og nye regler overholdes i dag. Her foretages en gap-analyse og udarbejdes en risikovurdering, hvor man foretager en vurdering af, hvor godt virksomheden beskytter sine persondata – både generelt i forhold til det man kunne kalde best practice krav (her vil ISO 27001 være en oplagt reference), og specifikt i forhold til kravene i EU persondataforordningen. Med afsæt i gap-analysen og risikovurderingen udarbejdes en handlings- og risikohåndteringsplan, som indeholder en prioritering af indsatsområder med henblik på etablering af ledelsessystem, risikostyring og styrkelsen af informationssikkerheden.

For mange virksomheder vil denne fase afføde nye krav til processer, it-landskab, egenkontrol og dokumentation. Og kræve igangsættelse af nye initiativer og projekter, f.eks.:

  • Implementering af nye kontroller
  • Justering af processer og manuelle arbejdsgange
  • Opgradering af systemer
  • Overvågning af eksisterende kontroller
  • Sagsbehandling (ift. registrerede)
  • Kulturforandring omkring håndtering af persondata
  • Gennemgang og justering af fysisk indretning af kontorer

Vi hjælper virksomheder med at blive compliant

Hos ChangeGroup hjælper vi flere kunder med, at blive compliant med EU persondataforordningen. 50 af vores dygtige konsulenter er certificeret i EU persondataforordningen. Vores rådgivere og subject matter experts hjælper med at kortlægge, hvordan EU persondataforordningens krav vil påvirke virksomheden. Det skaber et solidt afsæt for implementeringsprojektet, hvor vores dygtige projektledere, forandringsledere og proces- og forretningsanalytikere hjælper med at gennemføre de mange implementeringsinitiativer fra foranalysen.

Vi kan bl.a. hjælpe med:

Foranalysen – der skaber et solidt afsæt og en konkret handlingsplan for implementeringsprojektet

  • Kortlægning af virksomhedens aktuelle anvendelse/behandling af persondata
  • Sammenhængende beskrivelse af kravene i persondataforordningen
  • Risikobaseret gap-analyse af virksomhedens aktuelle compliance ift. persondataforordningen samt ift. best-practice kontroller (ISO 27001)
  • Risikohåndteringsplan med konkrete, prioriterede initiativer til håndteringen af gap’s
  • Anbefalinger vedrørende den interne rolle- og ansvarsfordeling for så vidt angår de fremtidige forvaltningsopgaver, som følge af persondataforordningen
  • Handlingsplan for det efterfølgende implementeringsarbejde

Dokumentation og implementering

  • Dokumentation og implementering af nye kontroller, processer, procedurer og manuelle arbejdsgange
  • Justering og opgradering af arkitektur, infrastruktur og systemer
  • Overvågning af eksisterende kontroller
  • Sagsbehandling (ift. registrerede)
  • Rådgivning (DPO)
  • Kulturforandring omkring håndtering af persondata
  • Gennemgang og justering af fysisk indretning af kontorer

Ledelsesværktøj til at vedligeholde dokumentation, følge op på hændelser og ændringer – og beslutte korrigerende tiltag.

Kontakt os:

Vil du høre mere om, hvordan vi hjælper vores kunder med at blive compliant med EU persondataforordningen?

Kontakt Ronny Larsen, salgschef

Mobil: +45 2044 6520

Email: rl@changegroup.dk

Læs mere…