Om Globeteam

Vælg bottom up til dit GDPR-projekt

Som led i temaserien ”GDPR på agendaen” har vi spurgt en række profiler fra DI, Microsoft, Kromann Reumert og ITU om deres syn på forskellige aspekter af GDPR samt bedt dem give gode råd til virksomheder og organisationer, som har opgaven med at blive compliant foran sig.

Denne gang runder vi spørgerunden af ved at give ordet til Globeteams egen GDPR-ekspert, Jesper Vraa Nielsen, som her deler ud af sine bedste tips til dig, der skal til at i gang.

-GDPR-Jesper-hjemmeside
 

Mine bedste tips

De sidste år har jeg arbejdet intensivt med GDPR og informationssikkerhed som rådgiver og konsulent. Jeg har fået mange erfaringer og prøvet mange ting af. Her er min tre vigtigste råd til alle, der lige er gået i gang eller skal til det:

 

 

  1. Beslut om du vil lave et top down- eller bottom up-projekt – hvis du først skal i gang nu: Vælg bottom up
  2. Få de rigtige kompetencer i dit projekt – det er ikke kun en IT-opgave (men det er det også)
  3. Brug værktøjer og skabeloner til at accelerere dit projekt

 

Top down eller bottom up?

De fleste organisationer er i tvivl om, hvordan de skal gribe den samlede opgave med at blive GDPR compliant an.

Skal man skabe det store forkromede overblik med en samlet analyse af hele organisationen og dens håndtering af persondata, lave en samlet plan og definere alle delprojekterne, og så igangsætte implementeringen som et samlet program – en top down-tilgang?

Eller skal man lave en hurtig foranalyse, hvor man laver et groft situationsbillede og finder ud af, hvor skoen trykker mest, og så sætte fokus på det vigtigste først og implementere løsninger løbende uden at være sikker på, at man har dækket det hele – en bottom up-tilgang?

 

Top down
Man starter med at lave en stor, overordnet analyse over hele organisationens brug af persondata, så man herefter kan finde frem til, hvilke opgaver der skal udføres.
Bottom up
Man starter med at finde frem til de vigtigste opgaver, så de kan blive løst først, og så går man videre på prioriteringslisten. Man deler med andre ord arbejdet op i mindre bidder.

 

Min anbefaling er klar: Vælg bottom up!

Hvorfor? Fordi top down kræver en modenhed i forhold til informationssikkerhed og projektgennemførsel, som de færreste danske organisationer og virksomheder på nuværende tidspunkt har.

De fleste har kun i meget lille grad beskæftiget sig med den gamle persondatalov, har ikke tænkt specielt meget i informationssikkerhed og er ikke vant til i større stil at køre projekter på tværs af hele virksomheden med alt, hvad det indebærer. Top down-tilgangen kræver en stor modenhed på disse områder, og har man ikke den, vil top down være for omfattende, tung og føre til et problemfyldt GDPR-projekt.

Begge tilgange har fordele og ulemper. Laver du top down, har du et klart billede af alt, hvad du skal igennem, men du bruger rigtig meget tid på analyse og planlægning, og hele implementeringen kommer først til allersidst. Du risikerer, at du ikke når i mål med helt centrale elementer, og at du går død i analyser og projekter inden målstregen. Og du ser først resultater helt til sidst.

Laver du bottom up, får du hurtigt synlige resultater på vigtige områder, men over tid finder du ud af, at nogle af dine løsninger måske ikke hænger helt sammen på tværs, og du må justere dine planer og løsninger undervejs, efterhånden som du bliver klogere. Du får dynamik, fremdrift og synlighed, men du fejler måske indimellem, laver dobbeltarbejde, mister overblikket osv.

I min optik er fordelene for de fleste danske organisationer og virksomheder størst ved bottom up. Især hvis I først skal til at gå i gang nu, eller kun har været i gang i kort tid – så er der ikke tid til top down! Så gælder det om få taget fat i det allervigtigste eller allermest kritiske område og få etableret de nødvendige løsninger, hvad enten det er nye tekniske løsninger, ændringer arbejdsgange, dokumentation osv.

 

Når man har en hammer, ligner alt et søm

Advokatfirmaerne anbefaler juridisk rådgivning, IT-firmaerne lover quick fixes med konkrete systemer og infrastruktur, mange konsulentfirmaer fokuserer på metoder og projektmodeller.

Sandheden, og min erfaring fra en række projekter, er, at du ikke kan nøjes med en hammer, men har brug for hele værktøjskassen. Jeg beklager, men der er ingen quick fixes i GDPR. Du skal havde de rigtige kompetencer i dit projekt, og derfor har du brug for folk med:

  • Forretnings- og organisationsviden – folk der kender jeres forretning og kan lave analyser af jeres persondata og designe nye processer og politikker, der sikrer, at I behandler disse data på en passende måde.
  • IT-viden – folk der kan bygge understøttende tekniske løsninger. Det kan være nye systemer, justeringer i eksisterende systemer, samt ny infrastruktur til bedre overvågning og databeskyttelse.
  • Jura – folk der kan afgøre, hvor I konkret skal lægge jer rent juridisk for at være compliant. Hvordan skal jeres information til personer, I registrerer data om, formuleres, hvordan skal jeres databehandleraftaler udformes, hvilken hjemmel kan I påberåbe jer for at behandle data, som er særligt vigtige for lige jeres organisation, osv.
  • Ledelse – folk der kan allokere de nødvendige ressourcer til projektet og godkende de løsninger og beslutninger, som I når frem til i jeres projekt, for de vil påvirke jeres organisation markant – og implementeringen vil fejle, hvis disse folk ikke er om bord.
  • Sparring og styring – folk der har været igennem processen før, og som kan rådgive om alle fire ovenstående elementer og sammenhængen mellem dem. Så det er ikke nok at entrere med et IT-hus eller et advokatfirma. Du skal kigge efter rådgivere, der kan dække det hele eller mest muligt.

 

I et GDPR-projekt skal der skabes masser af papir

Der skal formuleres oplysningstekster og databehandleraftaler, skabes fortegnelser over data og deres behandling, etableres dokumenter til at understøtte alle trinene i dialogen med personer, der benytter sig af deres rettigheder til at bede om indsigt i data, blive glemt osv.

Skal du formulere alt dette fra bunden, bliver du kvalt. Brug i stedet skabeloner og tjeklister, hvor GDPR-kravene er indarbejdet fra starten – så skal du ikke opfinde alt fra bunden, og dermed sparer du tid. Tid, du kan bruge på at lave en bedre implementering af de nye løsninger i din organisation.

Der findes i dag mange værktøjer, skabeloner og tjeklister hos rådgivere, og en del kan også findes på nettet. F.eks.:

  • Skabeloner til databehandleraftaler
  • Skabeloner til oplysningstekster
  • Regneark til dataanalysen
  • Tjeklister til konkrete systemer eller udviklingsprocesser
  • Dokumentationsværktøjer til dataoverblik, lovpligtig dokumentation osv.

Brug disse værktøjer og skabeloner til at accelerere dit projekt.

 

 

For at opsummere: Kig dig omkring og spørg rådgiverne til råds – så kommer du lettere igennem GDPR-processen.

 

Tema: GDPR på agendaen

Indlægget, du netop har læst, er afslutningen på Globeteams interviewserie om GDPR.

Læs eller genlæs de tidligere indlæg her

Interviewserien er en del af temaet ”GDPR på agendaen”, der foruden interviewserien med gode råd om arbejdet med GDPR fra en række profiler i det offentlige og private erhvervsliv samt i den danske it-branche blandt andet byder på et seminar, som afvikles i samarbejde mellem Globeteam og Microsoft, samt en række artikler, der leder dig skridt for skridt gennem de overvejelser og praktiske foranstaltninger, du skal have styr på, når du arbejder med GDPR og skal dokumentere informationssikkerheden med det rette procesdokumentationsværktøj.

Gå på opdagelse i temaserien her

Kontakt

Globeteam tilbyder assistance med både it og forretning hele vejen gennem forløbet fra foranalyse og projektdefinition over kortlægning og løsningsforslag til implementering og drift.

Læs mere og se eksempler på ydelser her

Vil du vide mere om, hvordan Globeteam klæder din organisation på til GDPR?

Så kontakt:

Jesper Vraa Nielsen
E-mail: jvn@globeteam.com
Mobil: +45 2362 6962

Eller:

Henrik Gissel Szokody
E-mail: hgs@globeteam.com
Mobil: +45 4245 8797

Nyheder


Koncepter

Procesautomatisering

Styrk produktiviteten og sagsbehandlingskvaliteten i din kommune ved at automatisere arbejdsgange og processer på tværs af forskellige digitale systemer.
Cases

Rockwool – Migrering af forretningssystemer

Isoleringsselskabet Rockwool International A/S satser på Asien, som efter planen skal være en stor […]

Tema: GDPR på agendaen

Interviewserie:
Hvordan arbejder DI, Microsoft, Kromann Reumert og ITU med GDPR?

Det kan du finde ud af i Globetemas interviewserie:

  1. Sådan arbejder DI, Microsoft, Kromann Reumert og ITU med GDPR
  2. Sådan arbejder DI med GDPR
  3. Sådan arbejder Microsoft med GDPR
  4. Sådan arbejder Kromann Reumert med GDPR
  5. Sådan arbejder IT-Universitetet med GDPR

Følg med på Globeteams LinkedIn-side, hvor vi løbende publicerer indlæggene i temaserien om GDPR.

Artikler:
Følg med, i Globeteams faglige berigende artikler om den internationale standard ISO27001, som et stort skridt på vejen til at opfylde de nye krav fra GDPR, om compliance og hvordan du dokumenterer informationssikkerheden med det rette procesdokumentationsværktøj. Artiklerne offentliggøres på Globeteams LinkedIn-side, så husk at følge med her.

Seminar:
De ansvarlige hos kommunerne mødes til fælles dialog og sparring om GDPR, og Microsoft, Bech-Bruun og Globeteam giver praktiske råd til, hvordan man kan dele GDPR-elefanten op i bidder. Seminaret finder sted 6. december i Viborg.Læs mere og tilmeld dig her

Du kan også møde Globeteam på Børsens kommende konference om GDPR, som afvikles 5. december hos Microsoft i Lyngby (nærmere information følger også her).
Ydelser:
Globeteam tilbyder assistance med både it og forretning hele vejen gennem forløbet fra foranalyse og projektdefinition over kortlægning og løsningsforslag til implementering og drift. Læs hvordan her:

Kontakt

Jesper Vraa Nielsen
E-mail: jvn@globeteam.com
Mobil: +45 2362 6962

Jesper Vraa Nielsen

Henrik Gissel Szokody
E-mail: hgs@globeteam.com
Mobil: +45 4245 8797

20161121_HenrikGSzokody_4562b

Globeteam tilbyder ydelser inden for og på tværs af tre hovedområder

Business model

skab sammenhæng mellem it og forretning

Globeteam hjælper dig med at optimere værdien af dine it-løsninger ved at sikre, at de understøtter forretningens

strategi og vision

Optimer og moderniser din
IT-INFRASTRUKTUR 

Globeteam sikrer dig en velfungerende it-infrastruktur, så du opnår en mere stabil drift og øget medarbejdereffektivitet

understøt forretningen med en skræddersyet it-løsning

Globeteam tilbyder assistance til at udvikle eller tilpasse it-løsninger, som møder forretningens specifikke behov


Er du Interesseret i at høre mere?

Navn:

E-mail:

Virksomhed:

Emne :

Optimer din forretning og dine it-investeringer

Er du interesseret i at vide mere om Globeteams ydelser, og hvordan vi kan hjælpe netop din forretning?