Planlægning

“Ordenlig planlægning og forberedelse forhindrer dårlige resultater” – Stephen Keague

 

For at nå i mål med persondataforordningen er det første og vigtigste skridt, at din virksomhed får god forståelse for lovgivningens indhold, hvordan det påvirker jeres virksomhed, og hvad der skal til, for at I når sikkert i mål.

Når projektet påbegyndes, handler det om, at I får afdækket, hvilken typer af persondata jeres virksomhed enten ejer eller behandler på vegne af andre virksomheder. Der er to overordnede kategorier af persondata:

  • Personidentificerbare data (f.eks. navn, adresse, telefonnummer og e-mail)
  • Personfølsomme data (f.eks. religion, seksualitet, etnicitet og fagforening)

Dernæst skal I spørge jer selv:

  • Hvilken type persondata har vi internt?
  • Hvilken type persondata har vi adgang til via 3. part virksomheder?
  • Har andre virksomheder adgang til vores persondata?
  • Har vi medarbejdere eller 3. parts virksomheder, der har adgang til persondata uden for EU?

Der er ingen grund til at have for meget persondata, så en begrænsning vil være en god idé:

  • Hvad bruger vi de forskellige typer persondata til?
  • Har vi behov for at have disse typer af persondata?
  • Ved hvilken type persondata er vi dataejer, og hvornår er vi databehandler?
  • Har vi databehandleraftaler, og indhenter vi samtykke til opbevaring af persondata?

Når ovenstående spørgsmål er blevet afklaret, er de sidste spørgsmål følgende:

  • I hvilke fysiske og digitale systemer har vi persondata?
  • Hvordan tilgås disse data?
  • Hvad har vi af processer på nuværende tidspunkt omkring persondata?

Ovenstående proces er med til at sikre, at din virksomhed får stillet de rigtige spørgsmål, så I når 360° omkring jeres data.
Hvis I er en meget kompleks organisation, har man muligheden for at splitte opgaven op i mindre opgaver. Det kan være enten organisatorisk eller på typer af persondata, så man når hele vejen rundt.

Når din virksomhed har fået et overblik over mængden af persondata, processer og systemer, er det tid til følge nedenstående model:

Projektorganisation

Persondataforordningen består af jura, compliance og IT. Derfor er det nødvendigt at inddrage alle de relevante personer i processen. Så alle både får en forståelse for forordningen og kan bidrage til, at din virksomhed når i mål med projektet. Da projektet også går på tværs af forskellige faggrupper, er det svært for én eller få personer at have den nødvendige indsigt.
Det absolut vigtigste element for succes er, at det bliver forankret i ledelsen, og der er opbakning til projektet. Dernæst skal der udpeges en projektansvarlig og projektdeltagere.

Tidsplan

D. 25. maj 2018 er skæringsdato i forhold til lovgivningen. Det betyder, at alle virksomheder skal leve op til forordningens krav, og datatilsynet vil stå for revision af virksomheder og samtidig være undersøgende part, såfremt din virksomhed har lækket persondata.
Hvorvidt din virksomhed ønsker at køre projektet i et komprimeret forløb eller mere ad hoc, er op til jer. Det er dog altid sværest at gøre det ad hoc, da man ofte skal starte med en opsummering, hvor et mere komprimeret projekt gør det nemmere og hurtigere at nå i mål. Det kræver dog, at projektdeltagerne får frigjort noget tid, eller man benytter sig af eksterne konsulentbistand fra f.eks. GlobalSequr.

Budget

Det er meget svært at sætte et præcist tal på, hvad omkostningen bliver for din virksomhed, for at nå i mål med persondataforordningen. Det afhænger af en række faktorer som mængden af persondata, virksomhedens kompleksitet, antallet af systemer, og hvorvidt din virksomhed tidligere har arbejdet med området.
Det vigtigste er dog, at din virksomhed beslutter sig for, hvor meget I ønsker at benytte jer af specialister, og hvor meget I ønsker at udføre internt. Det er både muligt at outsource det meste af projektet, eller at GlobalSequr er med til at styre projektet, levere templates, kvalitetssikre m.v.

Drejebog

Hvis din virksomhed ikke er vant til at arbejde med ISO27000 eller den gamle persondataforordning, så er det muligt at læse hele persondataforordningens lovtekst og sende personer fra din virksomhed på kurser. Det kan absolut være en del af løsningen i store organisationer, mens det hos de fleste virksomheder vil være for stor en mundfuld i forhold til at købe en drejebog fra GlobalSequr, som er tilpasset din virksomhed.

Ved at følge denne guide har din virksomhed fået afdækket de vigtigste områder og planlagt så meget, som det er muligt i denne fase af projektet. De næste faser vil derfor handle om, hvordan I sikkert når I mål med persondataforordningen.