Computerworld afholder snart to store seminarer om EU-persondataforordningen, hvor du kan få meget mere at vide om jura, regler samt forskellige teknologiske muligheder for at imødekomme de nye krav.
Den nye EU-persondataforordning, også kaldet databeskyttelsesforordningen, træder i kraft 25. maj 2018.
Regelsættet indeholder en lang række nye og skærpede krav til virksomheder, der behandler data, som direkte eller indirekte kan relateres til en fysisk person.
De nye regler betyder blandt andet, at virksomheden fremover skal have det totale overblik og kontrol over data-flowet i virksomheden, og hvis der skulle ske et brud på datasikkerheden, skal virksomheder selv inden for en kort tidsramme efter opdagelsen af bruddet informere samtlige ramte organisationer og personer.
I dag mener fire ud af 10 virksomheder, at de er klar til de nye regler, men kun halvdelen af de danske virksomheder forventer, at have sikret deres persondata tilstrækkeligt, inden de nye regler træder i kraft om halvandet år.
"Vi anbefaler, at man hurtigst muligt sætter sig ind i, hvordan de nye krav vil påvirke organisationen, og hvilke eventuelle udfordringer man står overfor, når det gælder efterlevelse af de kommende og skærpede krav til persondatabeskyttelse," fortæller Mads Nørgaard Madsen, der er partner og it-sikkerhedsekspert i PwC.
Det er selvfølgelig lettere sagt end gjort, og mange virksomheder er langt fra sikre på, hvordan den proces skal håndteres.
"Det først trin til at komme i gang er at finde et team, der kan varetage opgaven," fortæller Olga Nielsen, jurist og selvstændige data protection officer.
Olga Nielsen, jurist og selvstændige Data Protection Officer.
Fem råd til at komme i gang med den nye EU-persondataforordning.
1. Sammensæt et team - medarbejdere eller eksterne folk Den bedste løsning er at finde eksisterende medarbejdere, der enten allerede kan eller er klar til at blive uddannet til at tage hånd om forløbet. Uddannelse kan i denne fase være nødvendig.
Hvis det ikke er muligt, så må man alliere sig med eksterne eksperter.
2. For-analyse Når det rigtige hold er sat sammen, skal det analysere virksomhedens processer.
Der skal foretages en analyse med udgangspunkt i din virksomheds strategier, sikkerhedspolitikker og generel best practice. Analysen har til formål at identificere de gaps (huller), der skal lukkes, for at du og din virksomhed efterlever forordningen. Ikke kun i it-afdelingen, men også i HR, administrationen med videre.
Mange af reglerne i EU-persondataforordningen er ikke nye, derfor kan dele af forordningen allerede være implementeret.
3. Implementering Når udfordringerne er identificeret, så skal de korrekte ændringer implementeres. Virksomheden skal således justeres i forhold til for-analysens konklusioner.
4. Drift/test Der skal være plads til, at implementeringerne kan testes, så de fungerer i en skarp situation og ikke kun i et PowerPoint-show.
5. Kontrol Sidst men ikke mindst skal der udarbejdes kontrolmekanismer, så planen og implementeringerne holde på sporet hele tiden.
Hun peger på, at ejerskabet til udfordringen er uhyre vigtig for at nå målet.
"Den bedste løsning er, hvis man kan finde de nødvendige ressourcer blandt sine medarbejdere. Det kan være folk, der allerede har et godt kendskab til procedurerne i firmaet eller interesserede, der skal opkvalificeres til opgaven gennem uddannelse," fortæller hun til Computerworld.
"Hvis det ikke er en mulighed, så kan en ekstern rådgiver blive nødvendig. Men ejerskabet til løsningen bliver bedst, hvis medarbejderne kan påtage sig opgaven."
Det handler også om, at alle medarbejdere i virksomheden inddrages, så de nye regler bliver til en kultur og ikke bare et regelsæt, der ligges som et kapitel i personalehåndbogen, fortæller hun.
Udfordringen er, at reglerne - selv om langt fra alle er nye - om persondata er omfattende, og hele 77 procent af de danske virksomheder vurderer i PcW-undersøgelsen, at de i fremtiden som minimum vil være nødt til at ændre forretningsgange og procedurer for at tilpasse sig de kommende regler om persondata.
"Undersøgelsen viser, at mange virksomheder har fået øjnene op for, at der skal ske væsentlige ændringer i forretningen, når de nye regler om persondata bliver en realitet. Så meget desto vigtigere, at flere virksomheder vænner sig til at arbejde med databeskyttelse som en integreret del af virksomhedens øvrige forretningsprocesser," fortæller Mads Nørgaard Madsen.
Han henviser til, at en tredjedel af virksomhederne, der er med i undersøgelsen, kun i nogen grad forventer at blive klar, når de nye regler træder i kraft til maj 2018.
GAP er ikke gab Når de ansvarlige personer er fundet til EU-persondataforordningsholdet, så består deres første fase i at finde de uregelmæssigheder, der er mellem firmaets arbejdsgange og reglerne fra Bruxelles.
"Der skal foretages en (GAP-)analyse, der kan beskrive, hvordan strategiske eller taktiske mål forankres i firmaet for såvel det administrative, operationelle eller det tekniske niveau. Analysen skal danne grundlag for de indsatsområder, der skal fokuseres på, og de handlinger der skal foretages i forhold til reglerne. Det handler altså ikke kun om it-afdelingen, men også HR, administrationen og de øvrige enheder," siger Olga Nielsen.
For-analysens konklusioner skal herefter gøres til virkelighed og implementeres, hvilket altså ofte vil betyde justeringer i virksomhedens drift eller it-procedurer.
"I denne fase er det vigtigt, at der også bliver gjort plads og givet tid til, at man kan teste sine løsninger for at se, om de fine planer fra PowerPoint-præsentationerne også passer ind i hverdagens drift," siger Olga Nielsen og fortsætter:
"Det afgørende for et godt resultat er, at tingene kan lade sig gøre i praksis, og at medarbejderne efterlever politikkerne."
Rosinen i pølseenden er ifølge data protection-officeren, at man også får klarlagt og indøvet nogle kontrolprocedurer til sine løsninger, så tingene ikke skrider over tid.
Computerworld afholder snart to store seminarer om EU-persondataforordningen, hvor du kan få meget mere at vide om jura, regler samt forskellige teknologiske muligheder for at imødekomme de nye krav.
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Cloud computing er blevet en integreret del af forretningsstrategi og it-arkitektur for mange virksomheder i løbet af det sidste årti. Brugen af cloud er blevet udbredt, fordi virksomheder vil indføre nye forretningsmodeller, udtrække værdifuld indsigt fra enorme datamængder, håndtere krævende arbejdsbelastninger, levere nye produkter hurtigere og opnå konkurrencemæssige fordele. Men cloudadoption har også introduceret nye udfordringer.
Denne undersøgelse af virksomhedens it-kunder fremhæver de største udfordringer med offentlig cloud.