Document your compliance

3. Dokumentation skal der til

Det tredje og sidste punkt i jeres GDPR-rejse er jeres dokumentation. For at kunne bygge denne dokumentation, er det vigtigt, at man på forhånd har opstillet de relevante KPI’er, som man ønsker at måle sin compliance ud fra.

I bør således starte denne del af processen med at definere de målepunkter, der er relevante, netop for jer. Hvilke målepunkter kan det så være? Efter vores mening, tager den snak udgangspunkt i, hvilke persondata I har og hvordan I behandler disse data.

Har I udelukkende persondata om egne medarbejdere er det alt andet lige en helt anderledes opgave, end hvis I har købshistorik på titusindvis af forbrugere.

Kan vi gøre det selv?

For selv at kunne dokumentere jeres compliance skal I besidde følgende kompetencer i virksomheden:

  • Processer: Compliance-opgaver er klart defineret
  • Struktur og disciplin: Det skal være klart hvem der gør hvad, hvordan det gøres og hvordan det dokumenteres

Kan man overhovedet måle GDPR-compliance?

Ja, det kan man faktisk godt. Man kan eksempelvis måle, om man overholder den 72-timers oplysningspligt, som GDPR pålægger alle virksomheder, der er udsat for en sikkerhedsbrist.
Man kan også måle, om man konkret har samtykke til de behandlinger af persondata, som man foretager. Eller om I, som man skal, oplyser om hvilke data I registrerer om de personer, der registreres.

 

Når I har defineret hvilke KPI’er, I ønsker at måle på, skal I finde ud af hvordan I konkret kan foretage hver enkelt måling.

Måske skal nogle af systemerne rettes til, så I kan trække målepunkterne ud fra de enkelte systemer. Måske kan I måle via machine learning.

ISO 27001

Ligesom det er en god idé at læne sig op ad ISO 27001-standarden i arbejdet med at opnå compliance, anbefaler vi også at tage standarden i anvendelse i arbejdet med at dokumentere compliance.

Sådan kan I tage de relevante kontroller – altså de kontroller man identificerede i anden fase – og udpege en ansvarlig for hvert enkelt kontrol, automatisk schedulere udførelsen og stille et værktøj til rådighed for signoff og dokumentation.

Hvis man ønsker forankring på ledelsesniveau kan man udpege en reviewer (eksempelvis CISO eller DPO hvis man har en sådan), der har det overordnede ansvar for alle KPI’er.

Brug for hjælp? På en 1:1 workshop mellem din virksomhed og Netic kommer vi omkring hele processen og kan udarbejde en plan for, hvordan din virksomhed kan opnå, vedligeholde og dokumentere GDPR-compliance.