Indhold

Implementering af nye rutiner, oprydning i gamle data og nye procedurer

Årshjul af GDPR-kontroller

Formålet med et årshjul er at sikre, at virksomheden efterlever de politikker i har for behandling af personoplysninger og it-sikkerhed. Hvis virksomheden etablerer periodiske kontroller vil det fremme den løbende GDPR compliance.

På årshjulet angives, hvilke opgaver der skal udføres, hvornår de skal udføres og hvem der er ansvarlig for at udføre dem.

Herunder bl.a.

  • kontrol af om I får slettet de ting, I skal
  • om I får opdateret og gennemgået jeres politikker
  • gennemgang af brugerrettigheder
  • træning af medarbejderawareness
  • at risikovurdering løbende revurderes

Den ansvarlige for den enkelte opgave udarbejder en logbog over aktiviteterne, formålet med logbogen er at dokumentere udførelsen samt at give et overblik over hvilke opgaver der er udført hvem der har udført opgaven, hvornår, samt status på opgaven. Når der udføres kontrol af fx sletning er det vigtigt at virksomheden reagerer hvis kontrollen viser at procedurer for sletning ikke er overholdt. Det kan også være at kontrol af brugerrettigheder viser at fratrådte brugere ikke er blevet slettet fra virksomhedens it-miljø. Dette betyder at de ansvarlige for denne proces skal informeres og eventuelt uddannes bedre, for at sikre at det ikke sker igen.

Sæt fokus på implementering og fastholdelse af nye rutiner fra begyndelsen af dit GDPR-arbejde. Det er vigtigt, at organisationen fra start er gearet til forandring. Det gælder fra de mindre løbende tilpasninger til de helt store radikale og omvæltende forandringer.

Forslag til et GDPR-årshjul

Hver uge

  • Slette unsubscribers på nyhedsbreve
  • Tjek fysiske papirer – og makuler

Hver måned

  • Tøm printerens hukommelse
  • Oprydning på netværksdrev og computerens skrivebord
  • Slette jobansøgninger, der er 6 måneder gamle
  • Gennemgang af indsigtshenvendelser

Hver 3. måned

  • Ryd op på mobile enheder og USB-stik
  • Oprydning og sletning af gamle mails
  • Ændre password

Hver 4. måned

  • Awareness på din fysiske arbejdsplads

Hver 6. måned

  • Opdatere personalehåndbogen
  • Gennemgå IT-awareness – se IT-tjekliste
  • Gennemgang af adgangsrettigheder til mapper og programmer

Hver 12 måned

  • Opdatere persondatapolitikken
  • Gennemgå beredsskabsplaner til håndtering af sikkerhedsbrud
  • Gennemgå databehandleraftaler
  • Sletning af døde leads i CRM-systemet
  • Tjekke aflåste skabe og nøgleindehavere
  • Tjekke nye eller ændrede arbejdsprocesser
  • Sletning af bilagsmateriale der er over 6 år gammelt.

Det skal blive en vane

Implementering af GDPR i virksomheden er noget, alle skal tage del i - ikke kun de involverede og ledelsen. Alle skal inddrages og aktivt deltage i at overholde GDPR.

Det er yderst vigtigt, at du fra starten melder ud, hvordan du påtænker at gribe processen an; hvilke tiltag, der vil blive taget fremadrettet; og at den enkelte medarbejder har et personligt ansvar for de arbejdsprocesser, der involverer persondata. Her er kommunikation alfa og omega: GDPR har fået knubbede ord med på vejen og omtales fortsat nogle steder som et øv-projekt. Så fokuser på fordelene ved at have styr på virksomhedens persondata i stedet for at se det som et projekt, der skal overstås i en fart.

Grib bolden, når medarbejderne viser interesse og involvering i forløbet. Det er et stort aktiv for processen og giver en positiv stemning omkring emnet fremadrettet. Det er også vigtigt med medarbejdere, der er fortalere for de forandringer, der kræves. Det baner vej for en positiv stemning.

Du er foregangsmand/kvinde

Vi vil her kort komme ind på de punkter vi finder vigtige, når du skal have gang i virksomhedens implementering af GDPR.

  • Uddannelse og awareness er en kontinuerlig proces, så jvi anbefaler, at det bliver en del af virksomhedens årshjul. Du kan gøre det til en fast bestanddel af personalemøder eller personalearrangementer, og det behøver ikke tage mere end 20 minutter pr. gang. Awareness kan være forskellige tiltag bl.a. uddannelsesvideoer, fysiske møder, e-learning, quizzer, webinarer og oplysningsplakater.

  • Ledelsesadfærd - er du den gode rollemodel? Husker du at rydde dit skrivebord, låse mapper inde og slukke din skærm, når du forlader skrivebordet? Hvis ledelsen ikke går forrest, dør nye tiltag i opstartsfasen.

  • Motivation - hvorfor skal vi nu det? Hvis man som medarbejder ved, hvorfor virksomheden handler som den gør, får man en forståelse for handlingen bag og ikke mindst de konsekvenser, virksomheden risikerer, hvis politikkerne ikke overholdes.

  • Det er din opgave som leder at kommunikere og lede medarbejderne undervejs i processen. Vær opmærksom på, at dine budskaber lynhurtigt kan forvrænges, når de kommunikeres gennem mange organisationslag.

  • Kommunikation og planlægning - det er som tidligere anført ledelsens opgave at gå forrest og kommunikere budskabet ud. En tidsplan for implementering hos virksomhedens medarbejdere er også vigtig, så alle medarbejdere arbejder mod samme mål samtidigt.

Awareness på din fysiske arbejdsplads

Du kan komme langt med at hænge information op på den fælles opslagstavle, og tage emnet op 2-3 gange årligt evt. i forbindelse med et personalearrangement – men det er også vigtigt, at få opgaven skrevet ind i årshjulet.

Nu til det rent praktiske – nemlig, hvad gør hver enkelt medarbejder på egen arbejdsplads?

  • Skrivebordet må ikke flyde med papirer og dokumenter, og alle papirer vi nævner i dette afsnit, er selvfølgelig papirer med personoplysninger.
  • Når du forlader skrivebordet i et kortere stykke tid, vendes papirer om med tom side opad og din pc-skærm låses eller sættes på pauseskærm.
  • Når du forlader skrivebordet i din frokostpause og ved arbejdstids ophør, tømmes bordet fuldstændigt (clean desk), papirer med følsomme personoplysninger låses inde og din computer låses eller slukkes.
  • Sidder du ved et vindue, må udefrakommende ikke kunne læse dokumenter gennem vinduet.
  • Arbejder du med dokumenter ved en gennemgangsplads, skal der opsættes skærme så uvedkommende ikke kan læse dine papirer.
  • Papirer med personoplysninger eller fortrolige oplysninger skal makuleres - de må ikke bare smides ud så de ender i småt brandbart.

Vi har lavet en illustration, du kan skrive ud og hænge på opslagstavlen.

Oprydning af gamle data

Ryd op i din mailboks – de fleste har deres slettepolitikker i personalehåndbogen, hvor der står hvad der skal slettes og hvor ofte – men få det skrevet ind i årshjulet, så det ikke bliver glemt.

Slet bl.a. mails med medarbejdere, der har meldt sygdom, barnets 1. sygedag, opsigelse, løn, CV, ferie, orlov, barsel, afspadsering, referater vedr. personsager, mails fra HR og tillidsrepræsentanter.

Vi genopfrisker lige de vigtigste regler om opbevaring af persondata

  • Persondata må kun opbevares, når de tjener et formål
  • Kun de oplysninger, der er strengt nødvendige, må gemmes
  • Kun de, der har behov for det skal have adgang til persondata, og kun så længe det er nødvendigt
  • De skal opbevares sikkert og beskyttet for alle andre
  • Når data ikke længe skal bruges, skal de slettes

Om at gemme data

Et faktum er, at vi har ufatteligt mange vigtige dokumenter, filer og billeder, som vi nødigt ser komme i andres hænder, men vi er samtidigt ufatteligt dårlige til at sikre disse data. Så hvordan rydder du rent praktisk op, så data og kommunikation er sikret?

At bruge en central løsning til at lager data og backups er den sikreste fremgangsmåde - dine data kan krypteres, så de hverken kan kopieres eller ændres. Det er endvidere praktisk, fordi du altid har adgang til dine filer enten fra din pc, tablet eller smartphone. Er du udsat for en teknisk fejl på dit udstyr, et indbrud eller en brand, er dine data i sikkerhed. Og skulle du få stjålet din computer, kan du stadigvæk få fat i de filer, som du har gemt i skyen, hvorimod gemte filer på skrivebordet og lokale drev er væk. Den stjålne PC’s adgang til data kan deaktivers fra centralt hold, så tyven ikke kan skaffe sig adgang til dataen.

At gemme alt data centralt gør også slettearbejdet nemmere, så virksomheden ikke skal bekymre sig om hvad der ligger på medarbejdernes lokale PC’er.

Ryd op på alle dine elektroniske devices

  • Ryd op på din computers skrivebord – det er nemt at gemme filer og notater på skrivebordet, men det er en dårlig idé, for de er nemme at tilgå for udefrakommende. Gennemgå, hvad du har liggende på skrivebordet, og slet eller flyt det til skyen.
  • Ryd op på dit netværksdrev - sørg for at dine filer er gemt i skyen og har en fast og sikker plads fra starten.
  • Ryd op på dine mobile enheder - hvad ligger der på tablets, smartphones, harddisks, gamle bærbare og stationære computere?
  • Hvis du opbevarer gamle USB-stik, gå gennemgå dem og slet data.
  • De fleste printere har en hukommelse med printede og scannede dokumenter. Husk løbende at tømme printerens hukommelse eller sætte den til automatisk at slette udskriftsjobbet fra hukommelsen.

Husk at bruge en VPN-forbindelse, når du anvender offentlige WIFI-netværk. Den fungerer som en sikker tunnel, der holder dine onlineaktiviteter private.

Huskeliste - et stærkt password

Når det gælder virksomheders IT-sikkerhed, er medarbejderne ofte det svageste led. Dårlige passwords er oftest den største sikkerhedstrussel - efterfulgt af medarbejdere, som klikker på links og utilsigtet smitter virksomheden med malware.

Et godt råd er derfor at gøre hele virksomheden opmærksom på IT-truslerne. Brug personalehåndbogen til at sprede budskabet, så I mindsker risikoen for, at en uvidende medarbejder åbner døren for IT-kriminelle. Det er en fordel tekniske at gennemtvinge fx krav til passwords frem for blot at fortælle medarbejderne hvad de bør indeholde.

  • Et password er personligt og må ikke være frit tilgængeligt – du noterer jo heller ikke din PIN-kode på dit kreditkort
  • Et password bør bestå af både tal og bogstaver, der er ulogiske for andre og ikke refererer til personlige oplysninger, der er nemme at gætte fx fødselsdato eller børnenavne
  • Et password bør bestå af mindst 10 tegn og gerne flere - jo længere jo bedre beskyttelse - og både små og store bogstaver, tal, symboler og specialtegn.
  • Det er godt at bruge en remse eller sætning, der kun giver mening for dig selv, da det er nemt at huske og svært for en computer eller hacker at regne sig frem til.
  • Passwords bør ikke genbruges, og du bør heller ikke nøjes med at udskifte et enkelt ciffer i den sidst benyttede kode – det er for nemt at gætte.
  • Brug forskellige koder til forskellige konti for at undgå kompromittering af data fra flere konti samtidigt.
  • Brug flere sikkerhedsfaktorer hvis muligt fx SMS passcode
  • Du kan evt. benytte en passwordgenerator - de findes online
  • Brug en password manager – det er som regel et lille plugin, der er integreret i din browser og som aktiveres automatisk, når du møder en login-formular på nettet. Det holder styr på alle dine koder, og du skal kun huske en hovedkode
  • Udskift dine passwords mindst hver tredje måned

Forbedring af IT-sikkerhed

Indfør virksomhedens IT-politikker i personalehåndbogen, så alle nye og eksisterende medarbejdere kender firmaets IT-politikker.

Sørg for at have en IT-ansvarlig - enten in-house eller en ekstern. Det er vigtigt, at en medarbejder med et akut opstået problem, hurtigt kan komme i kontakt med den IT-ansvarlige.

Hvem har rettigheder til hvad? Begræns antallet af brugere med adgang til systemerne. Jo færre, der har rettigheder, jo mindre er en hackers muligheder for at få kontrol over systemerne.

Undervisning i sikker IT-brug med gennemgang af aktuelle trusler. Gør det klart, hvem der må downloade programmer, og hvilke mails man skal undgå at åbne.

Udarbejd forholdsregler ved privat brug af virksomhedens IT- udstyr.

Passwords - få først og fremmest styr på passwords (se huskeliste ovenfor).

Opdateringer – det er yderst vigtigt at holde alle it-systemer opdateret– sørg for at slå automatiske opdateringer til, hvor det er muligt. Ved brug af cloudløsninger bliver opdateringer foretaget automatisk. Husk at opdatere alle de forskellige devices, der benyttes i virksomheden.

Firewall – på virksomhedens netværk anvendes seneste generation af firewall. Men er skaden sket, er det godt at du har sørget for at have en backup, ikke?

Backup – yderst vigtigt! Du kan fx benytte et online backupsystem og samtidigt overveje, om det ikke ville være en god idé at kryptere data. Husk løbende at teste om backuppen rent faktisk virker.

Slå kryptering til på virksomhedens trådløse net - wpa-2 er pt. et sikkert valg.

Undgå at bruge udefrakommende USB-stik til din computer, når du ikke er 100% sikker på indholdet.

Kontrol - der skal udarbejdes kontrolmekanismer, så politikker og procedurer overholdes løbende.

Medarbejderen med ansvar for persondata i virksomheden, skal kontinuerligt holde sig opdateret på lovgivningen på området, så virksomheden forbliver GDPR compliant.

Sikkerdigital.dk

PersondataSupport ApS

Sverigesvej 10
DK-8700 Horsens

CVR-nr. 38582356

PDS Norge as

Fyrstikalléen 3A
NO-0661 Oslo

Org-nr. 916517572

Kontakt - NO

(+47) 922 92 400