Dagen for det sidste punktum i et sandsynligvis langvarigt GDPR-projekt kommer nærmere. Der er styr på data og processer, og dokumentationen fejler ikke noget.
I ved hvor data befinder sig, og hvem der har ansvaret og de tekniske funktioner er tilpasset, så de overholder persondata-forordningen. Du føler dig klar til en hverdag efter den 25. maj.
Hvis det ovenstående er nogenlunde rigtigt, så er I måske i mål. Men er I klar til håndtering af de anmodninger, der kommer udefra?

For at overholde den opdaterede persondataforordning skal virksomheden kunne kortlægge og udlevere data på personer, der har haft digital berøring med organisationen, og efterladt sig spor i form af person-henførbare eller -følsomme data. For de fleste kræver det implementering på tværs af jura, HR og IT, da der kan være tale om ret store og komplekse datamængder.

En supportopgave?

Men lad os lige træde et skridt tilbage, og kigge på hvad en håndtering af GDPR-indsigtsret egentlig er.

Først og fremmest er anmodningerne ikke et begreb, der er beskrevet i detaljer i GDPR-dokumentationen, men man kan se det som en måde at behandle specifikke individers henvendelser i en ITIL Request Fulfilment eller ITIL Request for Service-sammenhæng.

Effektiv behandling af GDPR-anmodninger kræver en planlagt og koordineret indsats, så anmodningerne ikke siver ukoordineret ind gennem forskellige steder i organisationen.
Tænk det som en IT Service Desk-funktion. Personen med anmodningen henvender sig, får et nummer, og venter på at anmodningen behandles i kulissen, inden den udleveres i en fin pakke.
Processerne bagved er ligegyldige for den der har henvendt sig, men essentielle for organisationen.

Alle anmodninger skal behandles.

GDPR handler ikke udelukkende om at dokumentere for at undgå bøder, eller bare “være klar” til den 25. maj. Hvis man ikke er stand til at besvare GDPR-anmodninger på tilfredsstillende vis den 26. maj, kan det hurtigt udvikle sig uoverskueligt.
De færreste er i stand til, eller interesserede i, at have et dedikeret GDPR-team siddende og vente på anmodninger, der måske, måske ikke kommer. Derfor giver det mening at indkode en ny tankegang i de dele af organisationen, der bliver involveret i forespørgslerne, ligesom processerne i videst muligt omfang bør automatiseres.
Vigtigt er, at man bliver i stand til at håndtere såvel en begrænset som en større mængde anmodninger samtidig. Det kan især blive relevant i tilfælde hvor virksomheden har lækket data, eller gjort sig upopulær hos særlige grupper, der nu forsøger at drukne firmaet arbejdsmæssigt i håndteringen af disse anmodninger.

Vores erfaringer fra store GDPR-projekter viser, at mange virksomheder ikke har erkendt behovet for den koordinerede indsats på tværs af organisationen.

En løsning til anmodningshåndtering.

reflectIT kan hjælpe din organisation til at udvikle og implementere de rette processer og den rette ServiceNow løsning. Vores erfaringer stammer fra store internationale virksomheder indenfor både fødevare-, finans- og bankverdenen.

Vi kan implementere GDPR anmodningshåndtering som en Fast-Track-løsning, og gøre jer klar på kort tid.

Vi lover ikke en en løsning, der kan håndtere alt for jer, men vi hjælper med at skabe processer, der gør organisationen i stand til at håndtere anmodningerne, og levere resultaterne til brugerne, uden at drukne organisationen i arbejde.

Indlægget GDPR – retten til indsigt blev vist første gang den ReflectIT.

Der er altid større og hurtigere fisk i farvandet, og en virksomheds prioritet vil altid være ikke at blive spist eller overhalet. Nogle virksomheder gør derfor ikke det store væsen af sig, og lever et langt og lykkeligt liv i relativ ubemærkethed, præget af stor stabilitet og begrænset udvikling. For andre vil det ikke være nok. Og for dem kan TIPA være rammen om en konstant udforskning og optimering af virksomhedens potentiale.

Reel procesvurdering

TIPA giver mulighed for at vurdere og forbedre processer på baggrund af virksomhedens aktuelle planer og behov. Det indeholder standardiserede metoder til reel og uafhængig vurdering af processer med mulighed for uafhængige anbefalinger til forbedringer.

Da der er tale om en ITIL-baseret standard, er TIPA ikke afhængig af en specifik leverandør, men kan til gengæld sikre, at alle dine leverandører bliver målt og vejet på samme skala. Ligesom din egen virksomhed kan benchmarke sig objektivt i forhold til konkurrenter og kollegaer i branchen.

Planlæg og få det optimale resultat

Processer er afhængige af den virkelighed, de opererer i. Det er ikke anderledes for IT-Services, hvor teknologi, organisationsformer, økonomi og forretningsmæssige mål konstant er i bevægelse. Der kan også være udefrakommende vilkår, som ny lovgivning, ændrede forbrugermønstre, eller øget konkurrence, der påvirker virkeligheden.

Uanset årsagen til de ændrede betingelser er de forskellige IT-Services og underlagte processer, nødt til ændre sig med dem. Den løbende tilpasning og optimering hjælper virksomheden med at fastholde og udvikle sin konkurrenceevne.

IT-services og tilknyttede processer bør altid tilpasses på baggrund af en plan, der tager højde for de enkelte elementers kompleksitet og strategiske værdi. Den udvikling bør systematiseres i sammenhæng med virksomhedens overordnede mål og behov. Et TIPA®-Assessment giver et solidt grundlag for at udforme denne plan.

Beskyt din investering

Investeringen i løbende udvikling og optimering af IT Service Management processer sikrer, at virksomheden altid arbejder i retning af større effektivitet og lønsomhed. En TIPA®-Assessment sker ud fra en fastlagt plan og økonomi med en metode og en proces, der indeholder konkrete anbefalinger og målbare resultater, som nemt kan repeteres.

Sikkerhed for ensartede resultater

TIPA® for ITIL® giver dig mulighed for løbende at vurdere procesmodenhed og give anbefalinger til forbedringer, som er baseret på en objektiv standard og fundet via en fast metode og værktøjer.

TIPA® for ITIL® er skabt i takt med at ITIL® er blevet det internationalt anerkendte framework for IT Service Management.

TIPA® er udviklet af Luxembourg Institute for Science and Technology (LIST) og baserer sig på standarderne ISO/IEC 15504-33000 (Process Assessment) og ISO/IEC 20000 (ITSM Quality Standard).

TIPA® giver mulighed for benchmarking ift. andre virksomheder i samme forretningssegment.

En TIPA®-Assessment gennemføres af certificerede Assessors and Lead Assessors.

reflectIT gennemfører maj/juni 2018: TIPA® Assessor for ITIL® og TIPA® Lead Assessor kurser.
Se mere her…..

Indlægget Er din virksomhed rustet til evig forandring? blev vist første gang den ReflectIT.

Mange er stadig i tvivl om, hvad GDPR egentlig betyder for dem, og derfor kan scenarier som ovenstående nemt resultere i hjertebanken og sved på panden for en virksomhedsleder. Og det er helt forståeligt. For fokus i mange af de artikler, som søger at informere om GDPR har været på risikoen for straf frem for mulighederne for at leve op til de faktiske krav. Heldigvis er det langt fra så uoverskueligt, som det kan se ud, og faktisk kan det være en hjælp for en virksomhed, at der kræves en gennemgang og et overordnet blik på de systemer og programmer, som en organisation bruger.

General Data Protection Regulation bliver ofte kaldt GDPR eller slet og ret Persondataforordningen, og det er en lovgivningsramme, som skal sikre, at EU-borgeres private data forbliver private. Den indføres 25. maj i år, og det betyder, at man som virksomhed skal kunne redegøre for, præcis hvilke personfølsomme oplysninger man gemmer om ansatte, kunder, leverandører, samarbejdspartnere og øvrige kontakter, som vi kalder for Data Subjects. Derudover skal man altid kunne forsvare, hvorfor man har brug for netop de oplysninger.

Personfølsomme data

Alle oplysninger, der kan bruges til at identificere en specifik person betragtes som personfølsomme. Det gælder blandt andet personens fulde navn, CPR-nummer, adresse, telefonnummer og e-mailadresse.

Det kan virke vanskeligt at definere et klart skel mellem oplysninger, som er personfølsomme, og dem, som ikke er. Et fornavn er for eksempel ikke personfølsomt i sig selv, men hvis vedkommende er den eneste med netop dét navn, er det pludselig genkendeligt og dermed personfølsomt.

Brug og opbevaring af data

Samtykke er fremadrettet grundlaget for brug af data og en central del af GDPR. Det bliver derfor værdifuldt at designe processerne og efterfølgende systemerne, så der i mindst muligt omfang er behov for samtykke fra Data Subjects, altså dem som afgiver data. Det er vigtigt både for at sikre sig, at man ikke logger flere data, end man har ret til, og for at gøre sine processer så strømlinede og transparente som muligt.

Du må i udgangspunktet bruge indsamlede data til alle legale formål, så længe Data Subject har givet tilsagn til netop disse formål. Dog er retten til at få sine data slettet også central i GDPR, så hvis nogen tilbagetrækker deres samtykke til en given proces eller datalagring, skal personens data slettes hurtigst muligt.

Et Data Subject kan bede om indsigt i indsamlede data, og en virksomhed har herefter 1 måned til at indsamle og udlevere et samlet sæt data, som viser klart, hvilke oplysninger der er indsamlet om vedkommende, og hvad de bliver eller har været anvendt til.

Husk dokumentationen

Det er nemt nok at bruge data i flæng, men med GDPR skal du hele tiden kunne dokumentere, hvorfor det eksempelvis er nødvendigt at bruge CPR-nummer i en given sammenhæng, og du tvinges til at tage stilling til ethvert ønske om en ny anvendelse af data. Overvejelser og beslutninger skal nedfældes i en decideret politik, som forklarer og anskueliggør jeres indsats for at leve op til kravene.

Så længe du har dokumentation for, at I overholder GDPR, må du i princippet gemme data hvor som helst. Der kan være gode grunde til at lagre data i Indien eller Brasilien, men udenfor EU kan det være svært at håndhæve tredjeparters overholdelse af GDPR, da virksomheder her ikke automatisk er underlagt EU-lovgivningen.

Ved et brud på datasikkerheden må der maksimalt gå 72 timer, fra bruddet konstateres, til Datatilsynet informeres om det. Hvis det ikke er muligt at overholde tidsfristen, kræves det, at man dokumenterer hvorfor. I tilfælde af brud, hvor personlige data kompromitteres, skal de ramte personer informeres hurtigst muligt.

Lev op til kravene

GDPR opfattes af mange som et rent juridisk tiltag, og der er da også i mange tilfælde behov for juridisk assistance for at udforme en virksomheds politikker om at leve op til GDPR-kravene. Men der er masser af praktisk arbejde, der ikke skal laves af jurister, og det gælder især kortlægningen og dokumentationen af jeres systemer og processer. Det er således vigtigt at have overblik over, i hvilke sammenhænge (processer) persondata registreres, hvor og hvordan de gemmes, samt hvor og hvorfor de anvendes.

Der har været meget fokus på straffen for ikke at være compliant, og måske kan din virksomhed ikke nå at være klar til 25. maj i år. Hvis du ikke skulle være helt klar den 25. maj, er det vigtigt, at du kan dokumentere, at I erkender problemet og har iværksat de nødvendige initiativer til at imødekomme kravene.

Husk, at kravene ikke alene skal være imødekommet d. 25. maj 2018, I skal også være compliant i alle nye tiltag i din virksomhed fremadrettet.

Hvis du stadig er i tvivl, kan det være en god idé at få hjælp fra en ekstern konsulent, som kan afdække jeres behov og eventuelt efterfølgende være med til processen med at implementere politikkerne. Du kan læse mere om vores erfaringer med GDPR-implementering her på bloggen, når vi i den kommende tid går mere i dybden med, hvad de enkelte GDPR-krav betyder for din virksomhed.

Indlægget Du skal ikke være bange for GDPR blev vist første gang den ReflectIT.