GDPR - ISO27001 - Qvist Management ApS

IT-udbud og -anskaffelser, contract management, implementering og projektledelse.
din ekstra ressource
Title
Gå til indhold
Ydelser
GDPR-Compliant?

GDPR - Databeskyttelsesforordningen
ISO27001 - Informationssikkerhed

Er du heller ikke kommet helt i mål med GDPR?

Du har egentlig kompetencerne og ved sådan set også hvad der skal til, men får det ikke gjort.

Sådan hjælper Qvist Management med GDPR
Qvist Management tager ansvar for at drive processen med gennemførsel af dit GDPR projekt.
Jeg kan til byde at hjælpe dig med, at gennemføre de nødvendige aktiviteter for at komme tættere på at være compliant.

Udover at sikre fremdrift i GDPR projektet, kan jeg påtage mig at udarbejde de nødvendige dokumenter og sikre at processen bliver behørigt dokumenteret.

Hvilke aktiviteter skal typisk gennemføres:

  • Afklaring af hvilke personoplysninger der behandles

  • Hvad insdamles og hvad er nødvendigt at indsamle
  • Er der hjemmel til din behandling af personoplysninger, lovgivning, samtykke, kontrakter, aftaler, mm.
  • Opfyldelse af oplysningspligt
  • Processer for den registreredes rettigheder, fx indsigtsret, retten til sletning
  • Opbevaring af personoplysninger, internt, eksternt
  • Sletning af personoplysninger når formålet er ophørt
  • Personoplysninger til leverandører, indgåelse af databehandleraftaler
  • Behandlingssikkerhed (passende tekniske og organisatoriske foranstaltninger)
  • Persondatapolitik
  • Udarbejdelse af regler, retningslinjer, procedurer, vejldeninger og instrukser
  • Handlingsplaner for udbedringsområder
  • Implementering af forbedringer
  • Awareness - forankring i organisationen
  • Dokumentation, fx fortegnelse, databehandleraftaler, konsekvensanalyser (DPIA), tekniske og organisatoriske foranstaltninger
  • Opfølgning på implementerede tiltag, intern audit (GDPR kontroller)
  • Opfølgning og implementering af forbedrende tiltag

Hvad er min erfaring?
Jeg har taget en uddannelse i persondataforordningen hos Teknologisk Institut, en uddannelse som gør mig istand til at kunne agere som Databeskyttelsesrådgiver - DPO.

Jeg har været projektleder på flere GDPR projekter med henblik på at få organisationerne gjort compliant i forhold til EU-persondataforordningen.
Her har jeg bl.a. udført følgende aktiviteter:
  • opstilling af spørgeramme udarbejdelse af fortegnelse
  • gennemført en række interviews for forskellige behandlingsaktiviteter
  • gennemført gap- og complianceanalyse
  • udarbejdet forslag og udkast til handlingsplaner
  • udarbejdet retningslinjer, procedurer, vejledninger og instrukser
  • facilitering af kortlægningsmøder
  • sikre fremdrift i arbejdsgruppen, rapportering og styregruppehåndtering

Behandlingssikkerhed

Når du har styr på "den bløde del" af GDPR (oplysningspligt, den reigstreredes rettigheder, mv.) så kommer du til behandlingssikkerhed.
Implementering af passende behandlingssikkerhed kan løses på flere måder, men en struktureret og gennemprøvet tilgang kan anbefales.
ISO27001 og ISO27002 - Ledelsessystem for Informationssikkerhed er et godt udgangspunkt.

Skal man i yderligheder med disse to standarder, er arbejdet meget gennemgribende. En tilgang kan derfor være at tage det fra standarderne, som passer for netop din virksomhed.

Datatilsynets anbefaling er at lave en risikobaseret tilgang for at få afdækket og implementeret behovet for passende teknisk og organisatoriske foranstaltninger.
En tilgang kan være at bruge ISO27005 standarden som udgangspunkt for at få implementeret en god risikostyringsproces.

Sådan hjælper Qvist Management med behandlingssikkerhed

Qvist management tager ansvar for at gennemføre forløbet som typisk kan omfatte:
  • at opstille en proces for behandlingssikkerhed og risikostyring som passer til din virksomhed
  • at facilitere gennemførslen af konsekvensvurderinger og risikovurderinger
  • at komme med anbefalinger til risikohåndtering
  • at udarbejde de nødvendige ledelsesdokumenter for informationssikkerhedsstyring
  • at udarbejde informationssikkerhedspolitik
  • at udarbejde regler, retningslinjer, procedurer, vejledninger og instrukser

Typiske områder der bør arbejdes med:

  • Brugerstyring, arbejdsbetinget adgangsrettigheder
  • Kryptering af mails
  • Fysisk sikring og miljøsikring
  • Leverandørstyring
  • Databehandleraftaler
  • Backup og restore
  • Krav til nye systemer og systemudvikling
  • Kommunikationssikkerhed, netværk, sårbarhedsstyring
  • Logning
  • Brud på datasikkerheden
  • Beredskabsplan

Hvad er min erfaring?
Jeg har 5 års erfaring som sikkerhedschef. Jeg har taget en uddannelse i ISO27001/ISO27002 hos Teknologisk Institut.
Jeg er certificeret i ISO27001.

Jeg har praktisk erfaring i udarbejdelse af diverse dokumenter indenfor informationssikkerhedsstyring, bla. ledelsesdokumenter, regler, retningslinjer, procedurer, vejledninger og instrukser.
Tilbage til indhold