3 råd til at bibeholde GDPR konformitet

Over det sidste års tid har eksperter for cyper sikkerhed med stigende bekymring spurgt, om du har imødekommet EU’s databeskyttelsesforordning (General Data Protection Regulation – GDPR) nu.

Forhåbentlig har du, men det er vigtigt at huske på, at konformitet ikke er en fiks status.  Der findes ikke et punkt, hvor du kan stoppe og tænke ”opgave fuldført”.  Det er noget, som skal opnåes og vedligeholdes – ikke kun for at undgå, at standarden snigende falder, men også for at kunne håndtere forandringer i cybersikkerhedslandskabet.  Dette er altid et problem med regulatorisk konformitet: organisationer bruger en masse tid og energi på deres implementeringsprojekt i begyndelsen, men holder ikke arbejdet ved lige og mister hurtigt igen konformiteten.

Konsekvenserne deraf kan være dyre.  GDPR giver overvågende myndigheder magten til at udstede bøder på op til 20 millioner € eller 4% af den årlige globale omsætning – hvad end der er større.

Det gode nyhed er, at det ikke burde være så svært at vedligeholde konformiteten som at opnå den, især hvis du er velforberedt. Her er tre råd til at få dig i gang.

1. Gennemfør regelmæssige audits af strømmen af informationer

Audits af informationsstrømmen gør dig i stand til at identificere informationen i din organisation og hvordan den bevæger fra et sted til det næste, såsom fra leverandører og subleverandører til kunder. Du bør have gennemført, eller være i gang med planlægningen af, en audit af informationsstrømmen som en del af dit første konformitetsprojekt, men du bør gentage processen regelmæssigt for at kunne gøre rede for uforudset eller utilsigtet brug af informationer.

2. Evaluér dine teknologier og organisatoriske processern

GDPR kræver, at teknologiske og organisatoriske tiltag er ”hensigtsmæssige”. Det er med vilje et vagt begreb, som tager hensyn til, at bedste praksis konstant udvikler sig. Fremfor at specificere teknologier, som måske er forældede om et til to år, overlader forordningen det til organisationer at holde styr på de bedste løsninger.

3. Vær på forkant med ansattes bevidsthedsfremmende kurser

GDPR siger, at ansatte skal skrives op til regelmæssige bevidsthedsfremmende datasikkerhedskurser for ansatte. Dette bør allerede være almindelig praksis i din organisation, men det er væsentligt, at ansatte fuldfører disse kurser som en del af deres introduktion og gentager dem mindst én gang om året. Kurser bør også indeholde informationer om GDPRs krav og hvordan ansatte kan efterkomme dem.

Organisationer kæmper ofte med at sammensætte et fyldestgørende program, som påtaler alt, som ansatte har behov for at vide. Mange synes, det er nemmere at anvende en tredjeparts løsninger, såsom vores e-læringskurser om datasikkerhed og GDPR bevidstgørelse for ansatte.

Disse online kurser afdækker alt, som dine ansatte har behov for at vide og giver dem mulighed for at at lære på et tidspunkt og i et tempo, som passer dem.  Du behøver ikke at bekymre dig om at finde kvalificerede lærere til at afholde kurserne på bestemte tidspunkter eller om signifikante fald i produktiviteten, da ansatte kan starte på kurset til enhver tid, når et passende tidspunkt opstår.  Du behøver kun at kontrollere, om de har fuldført kurset, og dokumentere det.

 

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.