Har du heller ikke tid til den nye EU-forordning? Fortvivl ej, der findes genveje ...

For den enkelte virksomhed, der står alene med opgaven, kan det blive udfordrende at nå at blive klar til 2018, hvor den meget omtalte persondataforordning træder i kraft. Men du behøver ikke selv at gå hele vejen. Der findes nemlig muligheder for at komme hurtigere til målet.

Den kommende persondataforordning stiller en række nye krav, der kan blive svære for mange virksomheder at efterleve. Men alvoren bag de nye regler er ikke til at tage fejl af. Når reglerne træder i kraft, vil der kunne udstedes bøder på op til 20 mio. euro eller 4% af virksomhedens eller koncernens globale omsætning. Det er en meget stor forhøjelse i forhold til, hvad der i dag gælder i Danmark.

Itadels sikkerhedschef, Bjarke Nielsen, skitserer her, hvad du opnår ved at lade eksperter hjælpe dig. Det handler om it-outsourcing. Og det handler om at få valgt den rigtige partner, der er gearet til at løfte fremtidens stigende krav til sikkerhed på alle fronter.

Dokumentationen skal være på plads

”Som outsourcing-partner overtager vi jo en del af risikoen i forhold til håndteringen af persondata. Vi forpligter os til at dokumentere, at vi rent faktisk efterlever persondataloven. Og vi har også to uvildige 3. parter, der årligt kontrollerer, om vi efterlever loven. Vi har organisationen til at efterleve loven. Og vi har kvalifikationerne til det. Derudover har vi den nødvendige kapacitet til at håndtere de nye krav, fordi vi gør det for så mange virksomheder,” fortæller Bjarke Nielsen.

”En enkelt virksomhed med egen it-afdeling vil typisk ikke have den samme kapacitet til det. Man vil typisk heller ikke have kvalifikationerne til at vedligeholde det apparat, der skal til for at kunne leve op til den nye lovgivning. Man har måske endda ikke en dedikeret ressource med ansvar for informationssikkerheden og efterlevelse af lovgivning. Den kommende persondataforordning handler rigtig meget om at kunne dokumentere, hvem der har adgang til hvilke oplysninger og samtidigt at foretage ”egenkontrol”, så de tildelte rettigheder løbende vurderes og justeres. Det kræver de rigtige processer at have den form for overblik og samtidigt at kunne dokumentere, at man har det,” forklarer Bjarke Nielsen.

Risikovurdering er centralt

Et centralt punkt i persondataforordningen omhandler risikovurdering. Kort fortalt betyder det, at den enkelte virksomhed skal vurdere, hvad de mulige konsekvenser af et databrud vil være.

”Når det kommer til risikovurderingen, er der tale om et delt ansvar, altså et delt ansvar mellem kunden og os,” forklarer Bjarke Nielsen. ”Fordelen for vores kunder er så, at vi kan bistå dem inden for de områder, hvor de har et ansvar. Vi kan fx bidrage til det, man kalder en ”Privacy Impact Assessment” eller ”Privacy Risk Assessment”. Og vi kan klæde den enkelte kunde på til at træffe de rigtige beslutninger inden for hans ansvarsområder, fordi vi har overblikket over it-miljøet og eventuelle sårbarheder i det.”

Opfølgning på sikkerhedshændelser

Persondataforordningen indfører også en "meldepligt”. Virksomhederne bliver fremover forpligtede til at rapportere sikkerhedshændelser til Datatilsynet. Det drejer sig ikke bare om situationer, hvor der har været et brud på sikkerheden, men også i de tilfælde, hvor man blot har en mistanke om et brud.  ”Vi har allerede apparatet i forhold til rapporteringen til Datatilsynet. Man skal dels kunne redegøre for, hvad der helt præcist er sket og dels, hvad man vil gøre for at undgå noget lignende fremover. Her har vi allerede processerne til at håndtere sådan en rapportering,” fortæller Bjarke Nielsen.

Et højere modenhedsstadie

Alt i alt indebærer den nye persondataforordning, at den enkelte virksomhed skal modnes på sikkerheds-området. Det kræver fokus og hårdt arbejde.

”Når man vælger at outsource sin it-drift hos os, så køber man sig ind i de rigtige processer. Det vil sige, at man automatisk opnår et sikkerhedsløft og et højere modenhedsstadie. Vi har allerede banet vejen, så vores kunder nærmest fra dag til dag kan opgradere til et højere sikkerhedsniveau. Det er ikke noget, vi først skal til at skabe fra bunden. Det er der allerede, og det er op til den enkelte virksomhed at finde ud af, hvor mange af vores services de har behov for,” afslutter Bjarke Nielsen. 

Skriv en kommentar

Læs flere artikler

25-10-2018
Kan I sende sikre mails?
Sikkerhed, EU-persondataforordningen
Der er skærpede krav på vej fra Datatilsynet. I kølvandet på GDPR udvider Datatilsynet kravene til private vir ...
Læs mere
14-11-2017
Få GDPR-tjeklisten
Sikkerhed, EU-persondataforordningen
EU strammer reglerne for, hvad der anses som persondata og kravene til, hvordan din virksomhed skal behandle d ...
Læs mere