Forberedelse og proces frem til 2018
Transcription
Forberedelse og proces frem til 2018
FORBEREDELSE OG PROCES EU Persondataforordningen E FORBEREDELSE OG PROCES PRODUKTARK 11. september 2015 Flere afdelinger under de enkelte kapitler i EU persondataforordningen er til forhandling i de igangværende trepartsforhandlinger mellem Kommissionen, Europa Parlamentet og Det Europæiske Råd, men der kommer uden tvivl væsentlige stramninger af reglerne for behandling og beskyttelse af personoplysninger. Såvel offentlige myndigheder som virksomheder kan med fordel allerede nu forberede sig på de nye regler i EU persondataforordningen, der forventes at blive vedtaget i januar 2016 og således træde i kraft i 2018. Vi anbefaler, at ledelsen igangsætter en proces, som indeholder de nedenstående elementer. 1. Udførelse af en konsekvensanalyse – en vurdering af behandlingen og beskyttelsen af personoplysninger der kommer uden tvivl væsentlige stramninger af reglerne for behandling og beskyttelse af personoplysninger. a. Kortlægning af hvilke persondata, der er registreret i hvilke systemer, hvad de bliver anvendt til og i hvilke processer, samt de legitime krav for behandlingen. b. Kortlægning af behandlingen af persondata hos eksterne databehandlere i ind- og udland, herunder identifikation af persondata, der videregives til lande uden for EU. c. Identifikation af indførte tekniske og organisatoriske sikkerhedsforanstaltninger, der er indført for at beskytte persondata, herunder udførelse af en risikovurdering. d. Udarbejdelse af dokumentation af konsekvensanalysen. 2. Fastlæggelse af politikker og tilrettelæggelse af procedurer for indsamling og behandling af personoplysninger a. Beskrivelse af en politik for persondatabeskyttelse, der tage udgangspunkt i konsekvensanalysen og den generelle styring af informationssikkerheden eksempelvis efter ISO 27001. b. Udarbejdelse og vedligeholdelse af procedurer ud fra den fastlagte ramme for ledelsessystemet, herunder præcisering af roller og ansvar i forhold til processer omkring persondata. Denne publikation er skrevet i generelle vendinger og skal alene betragtes som generel vejledning. Publikationen dækker ikke specifikke situationer, og du bør ikke handle - eller undlade at handle uden at have fået professionel rådgivning. Kontakt venligst BDO for at drøfte de specifikke problemstillinger. BDO, vores partnere og medarbejdere påtager os ikke ansvar for tab foranlediget af en handling, der er taget - eller ikke er taget - på baggrund af oplysningerne i denne publikation. 1/2 3. Vurdering af særlige teknologiske problemstillinger i forhold til beskyttelse af persondata a. Adgangssikkerhed til HR-systemer, ESDH-systemer, ERP-systemer, CRM-systemer mv., herunder brugeradministration, brugerrettigheder og autorisationer samt logisk adgangskontrol. b. Outsourcing af services og it-systemer og anvendelsen af Cloudløsninger, herunder identifikation af systemer og databaser med persondata i tredjepartslande og internationale organisationer. c. Anvendelse af systemer til pseudonymisering af persondata, hvor dette er relevant i forhold EU persondataforordningen, fx ved brug af testdata i processen for ændringsstyring af applikationer. 4. Sikring af de rette kompetencer og viden a. Udvikling af medarbejderes kompetencer og viden gennem uddannelse og træning på forskellige organisatoriske niveauer. b. Sikring af de nødvendige kompetencer og ressourcer for implementering af EU persondataforordningen og opfølgning herpå, herunder vurdering af, hvorvidt der skal udpeges en databeskyttelsesansvarlig, uanset at forordningen ikke stiller krav herom. HAR DU SPØRGSMÅL SÅ KONTAKT Per Sloth Partner, chef for Risk Assurance Tlf. 20 64 82 82 psc@bdo.dk BDO Statsautoriseret revisionsaktieselskab og BDO Kommunernes Revision, Godkendt revisionsaktieselskab, begge danskejede revisions- og rådgivningsvirksomheder, er medlemmer af BDO International Limited - et UK-baseret selskab med begrænset hæftelse - og dele af det internationale BDO netværk bestående af uafhængige medlemsfirmaer. BDO er varemærke for både BDO netværket og for alle BDO medlemsfirmaerne. BDO i Danmark beskæftiger godt 1.100 medarbejdere, mens det verdensomspændende BDO netværk har godt 59.000 medarbejdere i 151 lande. 2/2