Kom godt i gang
GAP-analyse/modenhedsvurdering
- Vurdering af virksomhedens nuværende behandling af persondata.
- Udarbejdelse af handlingsplaner for at styrke governance, processer, organisation og teknologi.
Risikobaseret tilgang
- Sammenhæng til strategiske målsætninger vurderes.
- Risikobaseret tilgang til udvælgelse af de data- og procesflows der skal fokuseres på i projektet.
- Workshops med relevante forretningsenheder.
Mobilisering
- Rammesætning for projekt.
- Træning af projektmedarbejdere i værktøjer og skabeloner.
Design og implementer det nødvendige
Styringstiltag og indledende analyse
- Projekt- og aktivitetsplan, der sikrer effektiv implementering eller tilpasning af procedurer og relevante kontroller ifm. EU Persondataforordningen.
- Gennemgang af leverandøraftaler for at sikre, at aftalerne dækker behandling af persondata, samt at virksomhedens leverandører overholder kravene i forordningen.
Holdningsbearbejdning, uddannelse og træning af medarbejdere
- Forankringsplan samt understøttende aktiviteter, der skal sikre, at virksomhedens medarbejdere trænes i at efterleve EU Persondataforordningen.
- Udarbejde og gennemføre awareness og e-learning aktiviteter for medarbejderne om forordningen og de gældende krav til håndtering af persondata i organisationen.
Design og implementering af processer
- Udarbejdelse af fx persondatapolitik, og modeller for databehandling, konsekvensanalyse (PIA) samt integration til eksisterende processer.
- Etablerede kontroller dokumenteres i et årshjul således at efterlevelse af forordningens krav kan efterprøves.
Sikkerhedsvurdering og -implementering
- Fortolkning af kravene i forordningen ift. sikkerhedsforanstaltninger fx. adgangsstyring, kryptering, logning, mv.
Teknologivurdering og -implementering
- Kategorisering af systemlandskab og udarbejdelse af konkrete planer for compliance og evt opdatering, tilpasning eller udskiftning af systemer.
- Vurdering af Privacy by Design.
Løbende compliance
Opfølgning
- Plan for løbende opfølgning såvel internt som over for eksterne samarbejdspartnere.
- Periodisk ekstern opfølgning samt input til effektivisering af det løbende arbejde med overholdelse af forordningen.
Erklæring
- ISAE 3000-erklæring fra en uafhængig revisor vedrørende databeskyttelse og behandling af personoplysninger.