Forberedelse og proces frem til 2018

FORBEREDELSE OG PROCES
EU Persondataforordningen
E
FORBEREDELSE OG PROCES
PRODUKTARK
11. september 2015
Flere afdelinger under de enkelte kapitler i EU persondataforordningen er til
forhandling i de igangværende trepartsforhandlinger mellem Kommissionen,
Europa Parlamentet og Det Europæiske Råd, men der kommer uden tvivl
væsentlige stramninger af reglerne for behandling og beskyttelse af
personoplysninger.
Såvel offentlige myndigheder som virksomheder kan med fordel allerede nu
forberede sig på de nye regler i EU persondataforordningen, der forventes at
blive vedtaget i januar 2016 og således træde i kraft i 2018. Vi anbefaler, at
ledelsen igangsætter en proces, som indeholder de nedenstående elementer.
1. Udførelse af en konsekvensanalyse – en vurdering af behandlingen og
beskyttelsen af personoplysninger
der kommer uden tvivl
væsentlige stramninger af reglerne for
behandling og
beskyttelse af personoplysninger.
a. Kortlægning af hvilke persondata, der er registreret i hvilke
systemer, hvad de bliver anvendt til og i hvilke processer, samt de
legitime krav for behandlingen.
b. Kortlægning af behandlingen af persondata hos eksterne
databehandlere i ind- og udland, herunder identifikation af
persondata, der videregives til lande uden for EU.
c. Identifikation af indførte tekniske og organisatoriske
sikkerhedsforanstaltninger, der er indført for at beskytte
persondata, herunder udførelse af en risikovurdering.
d. Udarbejdelse af dokumentation af konsekvensanalysen.
2. Fastlæggelse af politikker og tilrettelæggelse af procedurer for
indsamling og behandling af personoplysninger
a. Beskrivelse af en politik for persondatabeskyttelse, der tage
udgangspunkt i konsekvensanalysen og den generelle styring af
informationssikkerheden eksempelvis efter ISO 27001.
b. Udarbejdelse og vedligeholdelse af procedurer ud fra den fastlagte
ramme for ledelsessystemet, herunder præcisering af roller og
ansvar i forhold til processer omkring persondata.
Denne publikation er skrevet i generelle vendinger
og skal alene betragtes som generel vejledning.
Publikationen dækker ikke specifikke situationer,
og du bør ikke handle - eller undlade at handle uden at have fået professionel rådgivning. Kontakt
venligst BDO for at drøfte de specifikke problemstillinger. BDO, vores partnere og medarbejdere
påtager os ikke ansvar for tab foranlediget af en
handling, der er taget - eller ikke er taget - på baggrund af oplysningerne i denne publikation.
1/2
3. Vurdering af særlige teknologiske problemstillinger i forhold til
beskyttelse af persondata
a. Adgangssikkerhed til HR-systemer, ESDH-systemer, ERP-systemer,
CRM-systemer mv., herunder brugeradministration,
brugerrettigheder og autorisationer samt logisk adgangskontrol.
b. Outsourcing af services og it-systemer og anvendelsen af Cloudløsninger, herunder identifikation af systemer og databaser med
persondata i tredjepartslande og internationale organisationer.
c. Anvendelse af systemer til pseudonymisering af persondata, hvor
dette er relevant i forhold EU persondataforordningen, fx ved brug
af testdata i processen for ændringsstyring af applikationer.
4. Sikring af de rette kompetencer og viden
a. Udvikling af medarbejderes kompetencer og viden gennem
uddannelse og træning på forskellige organisatoriske niveauer.
b. Sikring af de nødvendige kompetencer og ressourcer for
implementering af EU persondataforordningen og opfølgning herpå,
herunder vurdering af, hvorvidt der skal udpeges en
databeskyttelsesansvarlig, uanset at forordningen ikke stiller krav
herom.
HAR DU SPØRGSMÅL SÅ
KONTAKT
Per Sloth
Partner, chef for Risk
Assurance
Tlf. 20 64 82 82
[email protected]
BDO Statsautoriseret revisionsaktieselskab og
BDO Kommunernes Revision, Godkendt revisionsaktieselskab, begge danskejede revisions- og
rådgivningsvirksomheder, er medlemmer af BDO
International Limited - et UK-baseret selskab med
begrænset hæftelse - og dele af det internationale
BDO netværk bestående af uafhængige medlemsfirmaer. BDO er varemærke for både BDO netværket og for alle BDO medlemsfirmaerne. BDO
i Danmark beskæftiger godt 1.100 medarbejdere,
mens det verdensomspændende BDO netværk har
godt 59.000 medarbejdere i 151 lande.
2/2