4 minute read
Hvis du skal i gang med GDPR
Af David
Vi ved det alle sammen. GDPR har været her i nogle år, og vi burde efterhånden have styr på det. Men - hvad gør man, hvis man som skoleledelse gerne vil få taget tyren ved hornene og komme i gang? Hvor skal man rent faktisk starte – og er der nogle ting, som man med fordel kan springe over eller gemme til senere?
Advertisement
1. Skab en ansvarlig ledelse
Inden vi gør noget-som-helst andet, så skal vi have ledelsesopgaven forankret. Alt sikkerhed, herunder beskyttelse af personoplysninger forudsætter ressourcer og kræver at sikkerhed indtænkes i alt fra arbejdsgange til indretningen af it-systemer. Det kommer med andre ord til at ikke kun kræve noget tid, penge og kræfter – nej – det kommer også til at betyde, at der muligvis er arbejdsgange eller arbejdsmønstre, vi skal have lavet om. Vi skal også sammen acceptere, at det kommer til at tage noget tid, vi bliver ikke compliant med GDPR i morgen - ej heller dagen efter det. Vi skal altså bygge et regime som kan fastholde og facilitere en løbende udvikling.
Men et opgør med kulturen og i værste tilfælde ”Vi plejer […]” kræver en tydelig ledelsesopbakning. Al forandringsledelse er vanskeligt, men hvis forandringerne tilmed begynder at have en negativ indvirkning på kerneopgaven (tid til børnene,) så bliver det et sted imellem umuligt og uladsiggørligt at gå i gang med arbejdet omkring GDPR uden en tydelig ledelsesopbakning.
Men hvordan skaber man så en tydelig forankring i topledelsen?
Det gør man helt lavpraktisk ved at implementere et afrapporteringsregime fra forvaltningen til ledelsen – simpelthen, at man inden start har aftalt løbende tilbagemeldinger i en fast form og at der på baggrund af afrapporteringen fra gang-til-gang udstikkes et tydeligt kommunikeret mandat fra ledelsen til forvaltningen for arbejdet i den kommende periode. (se fig. 1)
2. Skab et overblik over aktiviteterne
Det er unægteligt noget nemmere at planlægge undervisningen af ungerne, hvis man ved hvor mange der er; hvilken klassetrin de går på og hvor i verden de befinder sig. Det samme gør sig også gældende for GDPR projekter. Vi skal altså starte med at skabe os et overblik over aktiviteterne, så vi derfra kan planlægge arbejdet – herunder hvem vi deler personoplysningerne med, fx vores leverandører, uanset om det sker automatisk fx via skolegrunddata eller manuelt. Det forholder sig også således, at vi som skole er ansvarlig for at have et overblik, en såkaldt
PLAN: Planlægning og indsigt
• Foretag risikovurdering
• Udarbejd overordnet informationssikkerhedspolitik
• Udarbejd SoA-dokument
• Udarbejd implementeringsplan
• Få ledelsesgodkendelse
ACT: Løbende forbedringer
• Vurder og prioriter behov for ændringer
• Opdater SoA-dokumentet
• Få ledelsesgodkendt sikkerhedsrapportering fortegnelse. Så, det er en situation med to fugle og en sten om man vil.
Men hvordan skaber man et overblik over aktiviteterne?
Det er helt enkelt en opgave der består i at kunne redegøre for hvilken indhentning, opbevaring, videregivelse og øvrig behandling af personoplysninger som skolen gør sig. Derfra skal skolen beskrive efter hvilken del af lovgivningen, et såkaldt ”hjemmelsgrundlag”, der gør det muligt for skolen at behandle personoplysningerne.
Datatilsynet har udgivet en glimrende vejledning, den hedder ”Fortegnelse”. Vejledningen er skrevet i et lettilgængeligt sprog og forklarer dels hvad en fortegnelse indeholder men også hvordan man kommer godt fra start med at skabe sin egen fortegnelse eller ”overblik”.
DO: Implementering
• Udarbejd/opdater politikker
• Udarbejd/opdater retningslinjer
• Udarbejd/opdater beredskabsplan
• Opdater SoA-dokument
• Få ledelsesgodkendt politikker, retningslinjer og beredskabsplan
CHECK: Måling, test, afprøvning og rapportering
• Gennemfør måling på informationssikkerhed
• Udarbejd/opdater ledelsesrapport
• Opdater SoA-dokumentet
• Få ledelsesgodkendt sikkerhedsrapportering
3. Gå på sikkerdigital.dk og få skabt et klart overblik over sikkerhedstiltag
Arbejdet med beskyttelse af personoplysninger kan ske enten ”risikobaseret” eller ”kontrolbaseret” – uden at gå for meget ind i hvad det ene og det andet kan, så er det rigeligt sagt at det er langt mere enkelt at starte med en kontrolbaseret tilgang end en risikobaseret tilgang. Kontrolbaseret tilgange kan fx være de kritiske kontroller fra CIS - som er frit tilgængelig på sikkerdigital.dk under myndighed, tekniske tiltag og kritiske kontroller.
Den store fordel ved at anvende en kontrolbaseret tilgang er at det er billigt; det er opdateret; og så er det (måske vigtigst) handlingsanvisende – for så er vi ligesom i gang med arbejdet og dermed også afrapporteringerne til ledelsen (se pkt. 1).
Et godt råd
Som tidligere soldat råder jeg altid organisationerne til, i overført betydning, at holde op med at grave det hul de står i dybere. Hvis man hvileløst graver nedad, så skal jeg nemlig afsløre, at man på et tidspunkt rammer vandspejlet – og det er sgu træls at have våde støvler resten af øvelsen.
Et godt råd er derfor – at når i kommer i gang med CIS derude, så overvej indledningsvis at springe frem til punktet omkring leverandørstyring og i samme ombæring midlertidigt at suspendere ibrugtagelsen af nye apps eller andre digitale løsninger indtil I er klar til at bruge dem på et oplyst og lovligt grundlag.
Så I ikke ender med at have et kæmpe digitalt hul oversvømmet af apps og andre digitale løsninger som skal til at bruge store kræfter på at få styr på.
4. Som selvstændig eller selvejende institution; så søg nu de støttemidler som findes derude. Ingen bliver glade af at indse at man forsøger at gøre noget selv, som man faktisk er berettiget hjælp til at få løst. Et sidste velmenende råd kunne derfor være, at man undersøger om man som organisation er tilskudsberettiget, f.eks. igennem de midler som SMV digital har stillet til rådighed. Se på sikkerdigital.dk under virksomhed og ”50.000 kr til it-sikkerhedsrådgivning”
Vi har kun, meget overfladisk, rørt ved nogle af de mange elementer som GDPR kræver –men jeg vil opfordre til at man for et symbolsk beløb på 700 kroner for et personligt eller 1400 kroner for et virksomhedsmedlemskab melder sig ind i Danmarks DPO-Forening. En uegennyttig non-profit forening med det fornuftige formål at omsætte GDPR til forståeligt sprog og skabe rammerne for faglig sparring. Læs mere på www.dpo.dk
