GDPR-compliance
En 360 graders guide fra Netic

Den 25. Maj 2018 træder EU’s nye regler om sikker håndtering persondata i kraft. I Danmark bliver disse regler udmøntet i den nye lov om persondata.

Næsten alle virksomheder kommer i en eller anden grad til at forholde sig til disse nye regler, og fra Netics side har vi udarbejdet denne guide som en hjælp til virksomheder med at blive klar til reglerne træder i kraft.

Denne guide er derfor til dig, der sidder med ansvaret for at sikre eller vedligeholde overholdelse af GDPR i din virksomhed, og som har spørgsmål til, hvordan dette arbejde skal struktureres.

Måske har I, i jeres virksomhed, et godt overblik over datastrømme, og savner blot input til den tekniske implementering. Måske er jeres eneste udfordring, hvordan I kan dokumentere, at I overholder forordningen. Eller måske er I slet ikke startet på arbejdet endnu.

Guiden skal ikke ses som en fuldstændig drejebog, men uanset hvor langt I er med arbejdet, er vi sikre på, at denne guide vil besvare en stor del af jeres spørgsmål – og give jer input til, hvordan I kan komme videre.

Hvorfor Netic?

Hos Netic forstår vi data. Vi har mange års erfaring med sikker håndtering af personfølsomme data, og vi ved, at GDPR ikke kun handler om regler, men at der skal praktisk erfaring til at sikre overholdelse.

GDPR handler ikke kun om teknik, men faktisk er en stor del af arbejdet slet ikke relateret til det tekniske, men i stedet centreret om processer. Fordi vi har arbejdet med at sikre persondata i mange år, forstår vi, at de gode resultater netop kommer, når der bygges bro mellem teknik og proces.

Denne guide afspejler den tankegang.

Become Compliant
Sådan følger du reglerne
Stay Compliant
Det daglige arbejde med GDPR
Document your compliance
Dokumentation skal der til
Vi kan hjælpe dig
Book en uforpligtende samtale

Become Compliant
Sådan følger du reglerne

GDPR og overholdelse af de regler, der træder i kraft den 25. maj 2018 handler i bund og grund om at sikre to ting:

  • At jeres virksomhed har ret til at behandle persondata
  • At denne behandling sker forsvarligt

For at kunne nå dertil, skal I først have et overblik over, hvilke persondata jeres virksomhed behandler. Hvis I endnu ikke har påbegyndt arbejdet med at gøre jeres virksomhed GDPR-compliant, er det her, I skal starte.

Dataflowbeskrivelse

Kan vi gøre det selv?For selv at kunne udarbejde dataflowbeskrivelser skal I have følgende kompetencer i jeres virksomhed:

Data: Kendskab til og erfaring med dataprocesser – såkaldt data-governance

Procesdokumentation: Erfaring med beskrivelse og dokumentation af processer

Målet med denne første fase af arbejdet er at få udarbejdet en dataflowbeskrivelse, der viser virksomhedens behandling af persondata. I skal kort og godt have besvaret:

  • Hvordan jeres persondata kommer ind i virksomheden?
  • Hvor persondata lagres?
  • Hvor data videreformidles hen internt/eksternt – og hvordan?

Denne kortlægning bør tage udgangspunkt i virksomhedens enkelte afdelinger og vil typisk ske på workshops med de personer, der har kendskab til de enkelte afdelingers brug af persondata.

Som et led i denne proces bør I også medtage udveksling af persondata til og fra tredje part. Måske har I databehandler-aftaler med underleverandører, eller måske agerer I selv databehandler for andre virksomheder.

Det er også vigtigt at huske, at de regler, der gælder for behandling af kunders persondata, også gælder for behandling af jeres medarbejderes persondata. Eller sagt med andre ord: GDPR er gældende for alle virksomheder, der har ansatte. Og det er jo alligevel en del.

Overvejelser om persondata
Den konkrete tilgang til denne opgave vil afhænge meget af, hvorvidt jeres virksomhed behandler almindelige eller følsomme persondata, samt af mængden af persondata, I behandler.

- B2C-virksomheder har ofte store mængder persondata
- Offentlige virksomheder har ofte følsomme persondata
- B2B-virksomheder har typisk færre persondata

Opgaven i forbindelse med overblik over persondata er ikke mindre vigtig, hvis jeres virksomhed ikke behandler følsomme persondata. Det er dog klart at de virksomheder der gør, har et større ansvar overfor de personer, hvis data de behandler.

Samtykke

Når I har overblik over persondata og kortlagt datastrømme, er næste skridt at fastslå, hvorvidt virksomheden overhovedet har ret til at have disse data.

Samtykkereglerne bliver skærpet fra og med 25. maj 2018, så alle virksomheder bør overveje, hvorvidt det er nødvendigt at bede om samtykke til at opbevare data, de allerede har registreret.

Under reglerne om samtykke, kommer også det særskilte punkt, vi kan kalde for ”De Fem Rettigheder”:

  • Retten til at blive glemt
  • Retten til adgang
  • Retten til dataportabilitet
  • Retten til berigtigelse
  • Retten til at protestere

Det er altså ikke nok, at I spørger om lov til at opbevare persondata. I skal også kunne sikre at personer, der ønsker at gøre brug af ovenstående fem rettigheder, rent faktisk kan det – og dette kan I blive bedt om at dokumentere.

Derfor er det en god idé, at I for alle grupper/typer af persondata udarbejder en dokumenteret proces for, hvordan data er indsamlet/indsamles, hvordan I sikrer samtykke eller anden ret til opbevaring og hvordan I eventuelt vil eksekvere de fem rettigheder.

Vil du vide mere?Hvorfor er CRM-systemer interessante at behandle, i forhold til de nye persondataregler:
GDPR og CRM-systemer - samtykke og retten til at blive glemt

Status efter første del af arbejdet

Så langt, så godt. Efter denne første del bør I nu have overblik over den videre opgave. I ved, hvilke persondata I har og hvorfor (formål). I ved også, hvor de findes, hvordan de er blevet registreret og hvor de kan flyde hen.

Desuden har I været igennem de første overvejelser af, hvordan I fremover sikrer, at I har samtykke til behandling af persondata og hvordan I implementerer GDPR’s rettigheder for den registrerede – altså de fem ovenfor nævnte rettigheder.

Næste skridt er at foretage vurderinger af, hvor stor risikoen er, for at de data, I nu har identificeret, kompromitteres.

Risikovurderinger

Kan vi gøre det selv?For selv at kunne udarbejde risikovurderinger, skal I besidde følgende kompetencer i virksomheden:

IT-sikkerhed: Kendskab til de governance-mæssige aspekter af IT-sikkerhed

Teknik: Kendskab til teknisk IT-sikkerhed, herunder virksomhedens eksisterende systemer og ikke mindst aktuelle trusler

Første del af opgaven er foregået på afdelingsniveau. Vi bevæger os nu fra afdelingerne ned i de enkelte systemer. Opgaven er her at få kortlagt for hvert enkelt system, hvor stor risikoen er for, at de reglerne overtrædes.

Målet med denne opgave er at få et prioriteringsværktøj, der tager hensyn til både reglerne i GDPR og de eksisterende trusler mod datasikkerheden. Det er stadig en skrivebordsopgave – selvom vi nærmer os teknikken.

Hvordan laver man en risikovurdering?
Risiko kan beregnes som

Risiko = Sandsynlighed (for en hændelse) x Konsekvens (ved den pågældende hændelse)

Typisk vil man anvende en simpel skalamodel til at angive både sandsynlighed og konsekvens, i stedet for reelle tal:

Sandsynlighed (1-4): 1: Ofte, 2: Sandsynligt, 3: Sjældent, 4: Usandsynligt
Konsekvens (1-4): 1: Ubetydeligt, 2: Generende, 3: Alvorligt, 4: Uacceptabelt

Hvem udfører risikovurderingen?

En risikovurdering laves som regel i et samarbejde mellem folk med teknisk ansvar og personer med ansvar for forretningen.

It sikkerhedsansvarlige vil vurdere virksomhedens systemer, og sammenholde disse med deres viden om, hvilke trusler der findes. Altså helt konkret: Hvilke typer af trusler vil kunne føre til, at persondata ender i de forkerte hænder, bliver forvanskede eller utilgængelige.

Forretningen vil omvendt kunne vurdere, hvor stor en konsekvens en brist vil have for virksomheden. Er konsekvensen ubetydelig, eller kan den ligefrem true virksomhedens fortsatte eksistens?

Når man for hvert enkelt system eller datasamlinger har gennemført sine risikovurderinger, er det vores anbefaling, at man plotter dem ind i en matrix. Dette vil give det bedste overblik, og gøre den videre prioritering af arbejdet lettere.

Denne matrix kan, eksempelvis, udarbejdes meget enkelt:

  Konsekvens
Ubetydeligt Generende Alvorligt Uacceptabelt
1 2 3 4
Sandsynlighed Usandsynligt   HR    
1
Sjældent        
2
Sandsynligt   CRM    
3
Ofte       Exchange
4

Den konkrete anvendelse af risikovurderingerne

Når man arbejder professionelt med risikovurderinger, går man som regel et skridt videre. Det er nemlig vigtigt at opnå viden om hvad virksomheden vægter sikkerhed ud fra, for hvert enkelt system.

Derfor anvender man den såkaldte CIA-model, som trods navnet intet har at gøre med spioner.

CIA står for Confidentiality, Integrity og Availability – på dansk fortrolighed, integritet og tilgængelighed – og er de tre parametre, som et givent system/aktivs sikkerhed måles på. Når man laver risikovurderingerne, vil man således vurdere hver parameter for hvert enkelt system – dog under hensyntagen til, at de tre parametre ikke er lige væsentlige for alle systemer.

Når vi taler om persondataforordningen, er det alle de tre parametre væsentlige. Desuden bør man inddrage overvejelser om, hvor robust det pågældende system er. Dette kaldes også resilience.

Modtag gratis vores "Tjekliste til risikovurdering"


Fornavn:

Efternavn:

Virksomhed:

E-mail:

Telefon:

Besked:

Jeg accepterer at Netic A/S registrerer mine oplysninger iht. Privatlivspolitikken med det formål at kontakte mig vedr. yderligere information om GDPR compliance arbejder.

Politikker og procedurer

Kan vi gøre det selv?For selv at kunne udarbejde IT-sikkerhedspolitikker og retningslinjer, skal virksomheden besidde følgende kompetencer:

IT-sikkerhed: Kendskab til de data-governance-mæssige aspekter af IT-sikkerhed

Teknik: Kendskab til teknisk IT-sikkerhed

Lad os tage en kort status. Vi har opnået overblik over virksomhedens persondata. Vi har dokumenteret, hvordan vi indsamler persondata. Vi har styr på, hvordan vi får hjemmel til behandlingen, og vi har kortlagt de systemer i virksomheden, der behandler persondata og fastlagt hvor stor risikoen er for hvert enkelt system.

Næste skridt i processen er at få omsat al den opnåede viden til IT-sikkerhedspolitikker og retningslinjer. Dette er vigtigt, fordi IT-sikkerhedspolitikken er det værktøj som gør, at virksomheden kan arbejde målrettet med IT-sikkerhed.

Målet med dette arbejde er således at udarbejde et regelsæt, der sikrer, at virksomheden vil kunne overholde GDPR.

En god måde at opdele IT-sikkerhedspolitikken på er i procedurer og retningslinjer. Sikkerhedsprocedurer er de interne regelsæt, der beskriver arbejdet med sikkerhed. Retningslinjer er de rettesnore, som virksomhedens medarbejdere skal følge. Eksempelvis at man ikke må klikke på links i mails, med mindre man er sikker på afsenderen.

ISO 27001
Det er god praksis at basere arbejde med sikkerhedspolitikker på ISO 27001. ISO 27001 er en international standard, der strukturerer arbejdet med informationssikkerhed.

Standarden indeholder en lang række kontroller, der hver især adresserer et afgrænset område indenfor informationssikkerhed.

Standarden er en meget bred ramme for arbejdet med informationssikkerhed. Det er op til virksomheden selv at udvælge og implementere de enkelte kontroller set i forhold til det sikkerhedsniveau, der ønskes opnået. Her er IT-risikoanalysen værdifuld input.

Eksempler på sikkerhedspolitik

Lad os se på nogle konkrete eksempler på, hvad en sikkerhedspolitik kan indeholde:

Logning

  • Hvilke systemer og hvilke data skal logges?
  • Hvordan skal disse logs opbevares?
  • Hvordan beskytter vi disse logs?
  • Hvor længe skal de gemmes?
  • Hvem følger op på logs - hvad og hvornår?
  • Dokumentation af procedurer

Patch Management

  • Hvor længe må der gå, fra en patch frigives, til den rulles ud i virksomheden?
  • Risikovurdering af patches
  • Hvem har ansvar for at patche de enkelte systemer?
  • Test af patch
  • Dokumentation af procedurer

Et andet eksempel på en vigtig sikkerhedspolitik med relation til GDPR er medarbejdernes behandling af data på egne devices. Jeres virksomhed har muligvis en politik, der tillader medarbejdere at arbejde på medbragte devices – såkaldt BYOD (Bring Your Own Device). Men under hvilke forudsætninger er det tilladt at behandle persondata på medbragte enheder? Denne sikkerhedspolitik er væsentlig at definere.

Stay Compliant
Det daglige arbejde med GDPR

Hele det foregående afsnit havde som mål at sikre, at jeres virksomhed kommer til at overholde de regler, der træder i kraft i maj 2018. Det er en vigtig milepæl at krydse, og hvis jeres virksomhed allerede er så langt, vil vi hos Netic gerne være de første til at ønske jer tillykke.

Men husk, at compliance ikke er en statisk tilstand. I er nødt til at se på, hvordan I kan fortsætte med at overholde reglerne. Systemer ændrer sig. Procedurer ændrer sig. Regler, love og praksis kan også ændre sig.

Derfor skal vi nu se på, hvordan I sørger for, at disse ændringer ikke får betydning for, hvorvidt jeres virksomhed fortsat overholder GDPR.

Forankring

Lige så vel som arbejdet med at opnå overholdelse af reglerne havde sine hovedaktører, er det også i det fortsatte, daglige arbejde vigtigt at sikre den rette forankring af arbejdet.

Heldigvis har GDPR her gjort en del af arbejdet for jer med introduktionen af DPO-rollen. DPO står for Data Protection Officer, og er den person, der har det organisatoriske ansvar for, at virksomheden overholder reglementet.

For nogle virksomheder er det påkrævet at have en DPO. Andre virksomheder er ikke pålagt det, men bør måske alligevel besætte rollen? Uanset hvad mener vi, at det er meget vigtigt, at ansvaret placeres et sted i organisationen, der både besidder de rette kompetencer, og hvor GDPR er tilstrækkeligt højt på agendaen.

Jura og data-governance

EU’s persondataforordninger som i Danmark udmøntes som Lov om Behandling af Personoplysninger er heller ikke statisk.

Både den tilgrundliggende forordning og den danske lov kan ændre sig, og en vigtig hjørnesten i jeres arbejde med compliance bør derfor være at holde sig ajour med reglerne. Hvis jeres virksomhed er stor, har I muligvis en juridisk afdeling, men langt de fleste små og mellemstore virksomheder (og også temmelig mange store), må klare sig med den juridiske bistand, som man kan købe sig til.

Derfor er det vigtigt at overveje om dette er en opgave, I selv kan varetage, eller om I skal lægge den ud af huset. Har I en DPO eller en CISO kan det være en god løsning af lægge opgaven der, jf. afsnittet om forankring.

På samme måde bør I også arbejde målrettet med data-governance. Efterhånden som jeres systemer ændrer sig, vil jeres data-strukturer også ændre sig. Derfor skal der løbende arbejdes med en række spørgsmål:

    • Skal vi bede om nyt samtykke?
    • Skal data slettes?
    • Skal vi informere?

Disse overvejelser er helt centrale i forhold til at beholde compliance. Dertil kommer naturligvis det løbende arbejde med at bevare overblik og sikre kontinuerlige processer i forhold til virksomhedens enkelte data-strukturer og systemer. Der er – populært sagt – nok at tage fat på.

Den tekniske IT-sikkerhed

Kan vi gøre det selv?For selv at kunne holde virksomhedens tekniske sikkerhed vedlige i forhold til GDPR, skal virksomheden have følgende kompetencer:

Netværk: Kendskab til Routing/Switching og firewalls

Datacenter: Kendskab til design og drift

Generelt: Kendskab til systemarkitektur og logning

Det er sagt og skrevet mange steder, at teknisk IT-sikkerhed ikke som sådan har noget med GDPR at gøre. At GDPR alene er en øvelse i datastrukturer og –processer. Hos Netic mener vi, at governance er vigtigt – men vi mener også, at governance ikke kan stå alene.

Derfor kommer man ikke udenom at skulle forholde sig til teknisk IT-sikkerhed. Det er nemlig i teknikken, at governance-aspekterne udmøntes i en praktisk dagligdag. Det er også teknikken, der først står for skud, hvis IT-sikkerheden bliver udfordret i et reelt angreb eller eksempelvis via phishing. Der findes eksempelvis systemer, der kan opdage og blokere for en række af de angreb, der starter med, at en bruger klikker på en ondsindet fil.

Drift af eksisterende systemer

Driften af eksisterende systemer er en central del af GDPR-compliance. Her bør compliance tænkes ind i driften, så arbejdet med datasikkerhed kommer ind som en central del af it-afdelingens arbejde. Et par eksempler på områder, hvor sikkerheden kan tænkes ind i det daglige arbejde er:

Logning

        • Mange virksomheder opsamler logs fra netværksenheder, servere, applikationer, windows-maskiner og andre enheder, uden at anvende disse logs til noget. Netic anbefaler altid at sende disse logs til et log-management værktøj for at sikre logdata. Derudover kan man med fordel supplere med SIEM-funktionalitet. SIEM står for Security Intelligence Event Management og har du et velkonfigureret SIEM-system, kan det betyde forskellen på at være på forkant med brister og først at opdage dem, når det er for sent.
        • Har I godt styr på jeres logs, kan de også være et stærkt dokumentationsværktøj, hvilket er en force, netop fordi GDPR stiller krav til virksomhedens evne til at dokumentere.
        • I GDPR er der en række krav til, hvad virksomheden skal logge.

Måling af sikkerheden

        • Det er længe siden, at IT-sikkerhed blot handlede om at sætte en firewall op og installere et antivirus-program. Trusler ændrer sig konstant, og I er således nødt til løbende at efterprøve, om det sikkerhedsniveau, jeres virksomhed har, er godt nok. Her er sårbarhedsscanninger et godt værktøj. En sårbarhedsscanning forsøger at finde sårbarheder i virksomhedens forsvar ud mod internettet eller internt. Når scanningen støder på en åben port, vil den forsøge at udnytte kendte sårbarheder i et fiktivt angreb. Hvis den bagvedliggende service eller applikation har en kendt sårbarhed, vil scanningen afsløre dette.
        • En sårbarhedsscanning er en automatiseret proces, der giver et godt overblik. Hvis scanningen afslører sårbarheder i kritiske systemer, kan man vælge at følge op med en penetrationstest. Til forskel fra sårbarhedsscanningen udføres en penetrationstest af en uddannet sikkerhedsmand, der kan se sammenhænge, som en automatiseret proces ikke opdager.

Helbredscheck

        • Hvis I overvåger jeres IT-systemer, kan I være på forkant med rigtigt mange af de problemer, der kan opstå i den daglige drift. Det er dog en god idé at tænke et helbredscheck ind i driftshjulet – altså jeres løbende driftsproces. I et helbredscheck kigger man systemerne efter i sømmene og vil på den måde kunne spotte tendenser og sammenhænge, som et automatiseret overvågningssystem ikke vil kunne opdage. Dermed vil man kunne fange mange af de små ting som har potentiale til at kunne udvikle sig til sikkerhedsproblemer.

Når nye systemer tages i drift

Dine IT-systemer holder ikke evigt. Ældre services vil efterhånden blive afløst af nye. Derfor ligger der også en stor opgave i at sørge for, at disse nye systemer fra starten overholder kravene.

Her vil vi fra Netics side fremhæve to begreber, der er gode at holde sig for øje, når I tager nye IT-systemer i drift:

        • Sårbarheder
        • Resilience

Sårbarheder er vigtige at holde sig for øje, fordi nye systemer ikke per definition er beskyttede mod alle eksisterende sårbarheder. Derfor anbefaler vi altid, at der udføres en sårbarhedsscanning både før og efter at det pågældende system tages i drift. Dermed sikres et fuldt overblik over, hvorvidt det nye system har medført introduktionen af nye sårbarheder.

Resilience er et af de fagudtryk, der ikke så let kan oversættes til dansk. Hos Netic bruger vi ”robusthed”. Robusthed er mange ting, og afhænger meget af, hvilket system man designer, men i bund og grund handler det om at designe systemets arkitektur sådan, at det fra start kan modstå en lang række trusler– hvad enten disse trusler er eksterne eller interne. Ved at tænke robusthed ind i systemet fra start, sparer man mange hovedpiner hen ad vejen.

GDPR stiller endvidere krav om at der er i særlige tilfælde udarbejdet en såkaldt DPIA (Data Protection Impact Assessment).

Udveksling af persondata

Uanset hvor velgennemtænkt virksomhedens dataprocesser og systemer er, vil de fleste virksomheder fra tid til anden have behov for at udveksle persondata med andre virksomheder eller privatpersoner.

Her er det vigtigt, at denne udveksling sker sikkert, så datatransporten ikke i sig selv bliver til en usikkerhed. E-mail kan således være problematisk at anvende. Hos Netic anbefaler vi altid at anvende en krypteret fildelingstjeneste til dette, som blandt andet sikrer adgangsstyring og logning.

Uddannelse af medarbejdere

Hvad er egentlig den største trussel mod jeres datasikkerhed? Mange vil svare hackerne og deres vira eller malware. Dette svar er desværre kun delvist korrekt.

Det, hackerne i rigtig mange tilfælde gør, er nemlig at tage dine medarbejdere som ”gidsler” i forsøget på at opnå adgang til jeres data. Derfor er det lige så vigtigt at sørge for, at virksomhedens medarbejdere forstår, hvad der kan ske, hvis de ukritisk åbner filer eller klikker på links.

Kort og godt kan man sige, at ingen IT-systemer er bedre end den dårligst uddannede medarbejder.

Om IT-sikkerhed
Stort set alle medarbejdere har sikkerhed helt inde under huden. Brandsikkerhed. Tyverisikkerhed. Trafiksikkerhed. Vi er alle trænede i at observere og reagere, når noget eller nogen truer vores sikkerhed.

Ingen medarbejder vil gå forbi en papirkurv med ild i, uden at forsøge at slukke ilden eller slå alarm.

Så hvorfor er paraderne nede, når det kommer til sikker IT? Vores erfaring viser os, at der er to årsager. For det første har de cyberkriminelle stor indsigt i menneskelig psykologi, og vil med forskellige kneb forsøge at få dine medarbejderes parader helt ned. Det kalder man social engineering.

For det andet er informationssikkerhed stadig en lidt fremmed verden for mange mennesker. Derfor er der mange medarbejdere, der ikke forstår konsekvenserne af at klikke på det forkerte link eller holde døren for en person på vej ind i virksomheden.

Heldigvis kan man komme udenom dette problem ved at træne medarbejderne. Den form for træning kaldes Security Awareness-træning og bør implementeres som en naturlig og tilbagevendende del af jeres strategi for sikker IT.

Overvågning og rapportering

Vi har tidligere i denne guide talt om logning og om behovet for at kunne dokumentere, hvad der sker i jeres IT-systemer. Derfor skal vi lige forbi SIEM-systemet en gang til.

I bund og grund bør det være jeres målsætning at kunne gøre to ting:

        • At kunne overvåge systemerne, og være i stand til at reagere, når der sker noget
        • At have dokumentation for, hvad der sker, så man kan søge tilbage, hvis man på et senere tidspunkt opdager, at noget måske er gået galt.

Afhængigt af størrelse og kompleksitet af jeres IT-systemer kan dette gøres med alt fra et SIEM-system til et egentligt SOC. SOC står for Security Operations Center, og det er her, man kan samle drift og overvågning af virksomhedens sikkerhedssystemer.

Et SOC er i sin mest basale form blot en person der løbende tjekker logs og derfor har ansvaret for at rapportere om sikkerhedshændelser. Jo mere komplekse virksomhedens it-systemer bliver, jo større bliver kravene til et SOC, og hvad det skal kunne.

Det er typisk meget store virksomheder, der har deres eget SOC. Lidt mindre virksomheder kan med fordel outsource denne opgave til en sikkerhedsoperatør. Her er det vigtigt at være opmærksom på, at de logs der sendes til sikkerhedsoperatøren kan indeholde persondata. Derfor bør I stille krav om at log-data sendes krypteret til sikkerhedsoperatøren.

Når (eller hvis) I på et tidspunkt bliver bedt om at dokumentere jeres GDPR-compliance, vil I takke jer selv for at have forberedt jer. Hos Netic mener vi, at et SIEM-system er et vigtigt element i den forberedelse, der både kan gøre arbejdet lettere for jer, når I skal dokumentere, og som samtidigt kan hjælpe jer i det daglige arbejde med GDPR.

Vil du vide mere?Hvordan kan du håndtere indsamlingen af dine logs:
Intelligent opsamling af logs

Document your compliance
Dokumentation skal der til

Kan vi gøre det selv?For selv at kunne dokumentere jeres compliance skal I besidde følgende kompetencer i virksomheden:

Processer: Compliance-opgaver er klart defineret

Struktur og disciplin: Det skal være klart hvem der gør hvad, hvordan det gøres og hvordan det dokumenteres

Det tredje og sidste punkt i jeres GDPR-rejse er jeres dokumentation. For at kunne bygge denne dokumentation, er det vigtigt, at man på forhånd har opstillet de relevante KPI’er, som man ønsker at måle sin compliance ud fra.

I bør således starte denne del af processen med at definere de målepunkter, der er relevante, netop for jer. Hvilke målepunkter kan det så være? Efter vores mening, tager den snak udgangspunkt i, hvilke persondata I har og hvordan I behandler disse data.

Har I udelukkende persondata om egne medarbejdere er det alt andet lige en helt anderledes opgave, end hvis I har købshistorik på titusindvis af forbrugere.

Kan man overhovedet måle GDPR-compliance?
Ja, det kan man faktisk godt. Man kan eksempelvis måle, om man overholder den 72-timers oplysningspligt, som GDPR pålægger alle virksomheder, der er udsat for en sikkerhedsbrist.

Man kan også måle, om man konkret har samtykke til de behandlinger af persondata, som man foretager. Eller om I, som man skal, oplyser om hvilke data I registrerer om de personer, der registreres.

Når I har defineret hvilke KPI’er, I ønsker at måle på, skal I finde ud af hvordan I konkret kan foretage hver enkelt måling.

Måske skal nogle af systemerne rettes til, så I kan trække målepunkterne ud fra de enkelte systemer. Måske kan I måle via machine learning.

ISO 27001

Ligesom det er en god idé at læne sig op ad ISO 27001-standarden i arbejdet med at opnå compliance, anbefaler vi også at tage standarden i anvendelse i arbejdet med at dokumentere compliance.

Sådan kan I tage de relevante kontroller – altså de kontroller man identificerede i anden fase – og udpege en ansvarlig for hvert enkelt kontrol, automatisk schedulere udførelsen og stille et værktøj til rådighed for signoff og dokumentation.

Hvis man ønsker forankring på ledelsesniveau kan man udpege en reviewer (eksempelvis CISO eller DPO hvis man har en sådan), der har det overordnede ansvar for alle KPI’er.

Brug for hjælp? På en 1:1 workshop mellem din virksomhed og Netic kommer vi omkring hele processen og kan udarbejde en plan for, hvordan din virksomhed kan opnå, vedligeholde og dokumentere GDPR-compliance.

Vi kan hjælpe dig
Book en uforpligtende samtale


Fornavn:

Efternavn:

Virksomhed:

E-mail:

Telefon:

Besked:

Jeg accepterer at Netic A/S registrerer mine oplysninger iht. Privatlivspolitikken med det formål at kontakte mig vedr. yderligere information om GDPR compliance arbejder.


Brian Bomholdt
CISO/DPO

+45 2424 3107
Denne e-mail adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.

Morten Tarp
Seniorkonsulent

+45 2259 2300
Denne e-mail adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.

Karsten Thygesen
CTO & Partner

+45 4080 6194
Denne e-mail adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.