Med den eksisterende struktur i ControlManager™ er broerne allerede bygget til compliance dokumentation mod både datasikkerhed og informationssikkerhed. Siscons konsulenter og ControlManager™ skaber effektiv compliance dokumentation, og sikrer GDPR (EU Persondataforordning) implementering … også på langt sigt!

    Sammenhængen og synergien mellem informationssikkerhed og GDPR kan skitseres som:

    GDPR implementering med understøttelse fra ControlManager™

    ControlManager™ bruges af en lang række virksomheder/organisationer som en samlet værktøjskasse til deres arbejde med informationssikkerhed, herunder understøttelse af livscyklus-opgaverne indenfor sikkerhedshåndbog, risikovurderinger, kontroller, beredskabsplaner og compliance dokumentation.

    Implementering af GDPR stiller en lang række forskellige krav til organisationen, som fx krav om:

    • Dokumentation af compliance, herunder løbende opfølgning på svagheder
    • Overblik over, og dokumentation af, gennemført behandling af personfølsomme oplysninger

    Med det store overlap der findes mellem arbejdet med informationssikkerhed (ISMS) og arbejdet med GDPR, har det fra Siscons side været oplagt at udvikle en ny udgave af ControlManager™, så værktøjet også understøtter de ekstra opgaver, der naturligt affødes af arbejdet med GDPR.

    Med disse tilpasninger er ControlManager™ også blevet en værktøjskasse for DPO’en, projektledere og de personer, der har ansvaret for det daglige arbejde i relation til GDPR. Ved at anvende samme værktøjskasse vil både informations­sikkerheds- og GDPR-arbejdet blive styrket og overblikket over status på de to områder forbedret.

    Overblik over databehandlingen

    GDPR indeholder et krav om en vurdering af konsekvenserne af databehandlingen for datasubjektet. Derfor er det vigtigt af få afklaret:

    • Hvilke data behandler vi?
    • Hvor er disse opbevaret?
    • Hvordan flyder disse rundt i vores organisation?
    • Hvilke lovlige grundlag har vi til behandlingen?

    Dette forudsætter et veldokumenteret overblik over organisationens dataflow. Datataflowanalyser kan gennemføres i ControlManager™, og analysen kan indeholde dokumentation af bl.a. formål, lovligt grundlag, typer af data og kategorier af data/datasæt. Analysen kan også indeholde dokumentation for de aftaler, der er indgået mellem de to parter som data ”flyder” mellem – fx en databehandleraftale. I ControlManager™ indgår en grafisk fremstilling af dataflowanalysen, så der på enkel vis kan opnås overblik over, hvordan data ”flyder”, og hvorvidt ”datavideregivelsen” er dokumenteret og godkendt. Endvidere er der et dokumentarkiv, hvori der kan opbygges, styres og vedligeholdes dokumenter med relation til datasæt – fx sletteprocedurer, procedurer for udlevering af informationer til datasubjektet og lignende.

    Konsekvensvurderinger

    Overblikket over databehandlingen og organisationens dataflow gør det muligt at gennemføre en konsekvensvurdering af databehandlingen, som i en række tilfælde vil være krævet.

    Konsekvensanalysen skal som minimum omfatte:

    • En systematisk beskrivelse af de planlagte behandlingsaktiviteter
    • Formål med behandlingen
    • Behandlingens lovlige grundlag
    • En vurdering af om der er et rimeligt forhold mellem formål og behandlingen (proportionalitet)
    • En vurdering af risikoen for at påvirke datasubjektets rettigheder og frihedsrettigheder negativt
    • Etablerede eller påtænkte risikoreducerende foranstaltninger.

    I ControlManager™ er det muligt at gennemføre de nødvendige DPIA’er (Data Protection Impact Assesments). Disse knyttes til de relevante steder i dataflowmodellen, hvorved det bliver muligt at dokumentere de vurderinger, der er gjort i forbindelse med flowet og dermed behandlingen. DPIA’erne vil kunne indsamles og løbende vedligeholdes i ControlManager™.

    Overblik over faktuelt complianceniveau

    ControlManager™ giver dig mulighed for at skabe et overblik over, hvordan en given standard, lov eller vejledning er implementeret i organisationen. Dette gøres ved, som vist i figuren, at etablere et sæt af regler eller retningslinjer, der bl.a. demonstrerer roller og ansvars­områder, i forbindelse med de aktiviteter der er nødvendige for at sikre overholdelse af den givne standard, lov eller vejledning.

    Disse regler/retningslinjer skal herefter publiceres målgruppe­styret, så alle i organisationen bliver gjort bekendt med deres specifikke opgaver, roller og ansvar.

    Ydermere er det muligt at tilknytte kontroller til reglerne, så de relevante personer bliver notificeret omkring arbejds- og kontrolopgaver, som skal gennemføres og dokumenteres for at overholde GDPR og dermed sikre compliance.

    Resultatet fra disse kontroller dokumenteres i ControlManager™, så dokumentationen er samlet og nem at finde. Det gør det muligt at indfri GDPR’s krav om, at organisationen skal gennemføre egenkontrol for at finde eventuelle mangler i forhold til sikring af persondata.

    I ControlManager™ er det muligt at relatere alle regler, kontroller, procedurer og lign. til en specifik lov, standard eller vejledning, så der er sporbarhed fra lovtekst til kontrol. Det gør det muligt at vurdere og dokumentere det faktuelle compliance niveau i organisationen og følge op på eventuel non-compliance.

    Siscon leverer i tillæg til den komplette version af GDPR en bearbejdet version af Persondataforordningen, hvor kravene er uddybet, og som dermed er lettere at implementere og følge op på.

    Det er i ControlManager™ muligt at lave GAP/modenhedsanalyser som kan afsløre om der i jeres organisation er afdelinger, som ikke er compliant i.f.t. GDPR.

    Opbevaring og vedligeholdelse af revisionserklæringer og databehandleraftaler

    Udover de allerede omtalte dokumenter så er der i forbindelse med GDPR implementeringen og vedligeholdet behov for at få overblik over eksistensen af, og status på, en række andre dokumenter. Dette drejer sig fx om kontrakter, revisionserklæringer og databehandleraftaler.

    Den indbyggede dokumenthåndtering i ControlManager™ vil kunne bruges til, at skabe overblik over de kontrakter, revisionserklæringer og databehandleraftaler, som eksisterer i organisationen. Fordelen ved at anvende ControlManager™ til dette er, at det så er muligt at relatere dokumenterne til forskellige andre objekter i ControlManager™ – fx dataflowelementer (systemer/datasæt), organisationsenheder mm. Dermed bliver det muligt at skabe overblik over hvilke leverandører, der er indgået databehandleraftaler med, og hvilke systemer disse dækker.

    Dokumenthåndteringen sikrer endvidere, at den ansvarlige bliver gjort opmærksom på, at det nu er tid til at få indhentet en ny kontrakt, erklæring eller aftale. Dette sikrer kontinuitet og vedligehold.

    Opfølgning på compliance og revisionsanmærkninger

    I ControlManager™ er det muligt, at sikre opfølgning på non-comliance områder eller revisions­anmærkninger ved at oprette disse og tilknytte en overordnet ansvarlig til området/anmærkningen. Dette sikrer, at ansvaret for udbedring af den fundne non-compliance eller revisions­an­mærk­ning er entydigt placeret.

    Gratis demo af ControlManager™

    Er du ikke kunde hos Siscon endnu? Vi samler på glade kunder, der har prøvet vores løsninger, inden de køber, så vi håber, du har lyst til at afprøve vores demosite, og opleve hvad ControlManager™ kan gøre for din IT-sikkerhed.

    Hvis du sender os dine kontaktinformationer, arrangerer vi et uforpligtende introduktionsmøde, hvor vi demonstrerer ControlManager™. Efterfølgende vil du modtage adgang til vores demosite, så du efter mødet kan navigere rundt på egen hånd.