Der er flere gode grunde til, at I skal vælge Siscons ’DPO as a service’. DPO’en kan godt rekrutteres internt, men der må ikke være en interessekonflikt med ansvar for behandling af persondata. Der er mange virksomheder, som enten ikke er kommet i gang med GDPR (EU Persondataforordning) indsatsen, eller som har svært ved at nå det til den 25. maj. Det gør det svært at rekruttere en DPO med de rette kompetencer, og her kan ’DPO as a service’ være en god løsning.

    Hvilke virksomheder skal have en DPO?

    EU Persondataforordningen foreskriver, at I skal have en DPO, hvis behandling af persondata er en del af jeres kerneaktivitet. Alle offentlige organisationer skal have en DPO.

    Hvem kan være DPO?

    Reglerne foreskriver at I godt må finde DPO’en internt, men der må ikke være en interessekonflikt, og derfor kan DPO’en ikke samtidig være IT-chef, HR-chef eller anden ledende medarbejder med øvre ansvar for behandling af persondata. Koncerner kan vælge en fælles DPO, eller virksomheder kan vælge en ekstern ressource til opgaven.

    Krav til uddannelse som DPO?

    Der er ikke noget krav om specifik uddannelse. DPO’en skal dog have juridiske kompetencer indenfor databeskyttelsesret, og en erfaring der modsvarer kompleksiteten af jeres virksomhed.

    Arbejdsopgaver for DPO’en?

    DPO’en har en rådgivnings- og overvågningsrolle, og fungerer som kontaktperson for dem, hvis data I som virksomhed behandler. DPO’en rapporterer direkte til jeres øverste ledelsesniveau, og skal proaktivt inddrages i spørgsmål angående databeskyttelse i tide, så anbefalingerne kan indarbejdes hurtigst muligt.

    Beskrivelse af Siscons ’DPO as a service’:

    ’DPO as a service’ lever op til de krav GDPR stiller til DPO rollen. Servicen omfatter udførelsen af de opgaver som DPO’en i sin egenskab af rådgivende person, bliver mødt med i forhold til GDPR.

    Undervisning og information om GDPR til medarbejdere og ledelsen

    Siscon afholder undervisning og workshops for jeres medarbejdere og ledelsen om databeskyttelse. Dette inkluderer en generel introduktion til databeskyttelsesrådgiveren, og hvordan I kan benytte Siscon som DPO.

    Siscon samarbejder med jer om at definere de områder, der har særlig brug for opmærksomhed/awareness. Gennem de løbende kontroller hjælper Siscon jer med at identificere fokusområder og målrette jeres awareness kampagner, som kan udformes som online-quizzer, undervisning eller workshops, der er tilpasset jeres organisation.

    Det vil i starten være en intensiv indsats, og derefter vil der være mulighed for løbende tilpasning, herunder undervisning og workshops til jeres nye medarbejdere.

    Juridisk rådgivning og sparring

    Siscon står til rådighed for jeres ledelse, i tilfælde hvor der ønskes en juridisk rådgivning og sparring. Dette omfatter både generelle henvendelser om databeskyttelse samt definition og vurdering af det retslige grundlag for behandlingsaktiviteter og videregivelse af personoplysninger.

    Siscon kan rådgive jer i forhold til compliance vedrørende databeskyttelse gennem design og databeskyttelse med standardindstillinger.

    Siscon rådgiver jer i forbindelse med iværksættelse af konkrete behandlinger af personoplysninger, herunder hvorvidt en påtænkt eller påbegyndt handling overholder de generelle behandlingsregler.

    Siscon rådgiver vedrørende udarbejdelse af nye politikker, tiltag og regler, der kan have betydning for databeskyttelsen, samt konsekvensanalyser og sikkerhedsbrister.

    Rådgivning om konsekvensanalyser

    Siscon rådgiver jer i spørgsmål om risikovurderinger og konsekvensanalyser. Rådgivningen inkluderer bl.a., hvorvidt disse skal gennemføres og hvilken fremgangsmåde, der kan anvendes. Endvidere afdækkes det om analysen kræver ekstern bistand, samt om analysen er korrekt gennemført, og hvorvidt konklusionerne er i overensstemmelse med de databeskyttelsesretlige regler.

    Processuel sparring og rådgivning

    Siscon hjælper jer med rådgivning og sparring om processer internt i organisationen, der har betydning for databeskyttelsen. Dette inkluderer rådgivning og sparring om forbedringer og optimeringer, der sikrer at I også på det processuelle, tekniske og organisatoriske niveau, yder effektiv databeskyttelse.

    Tilsyn og kontrol

    I henhold til GDPR vil Siscon løbende yde tilsyn og kontrol med jeres compliance og efterlevelse af forordningen. Dette inkluderer gennemgang af politikker, regler, procedurer, kontroller, oplysningskampagner, ansvarsfordeling, revisioner, og opfølgning med delegering af henvendelser fra de registrerede.

    Siscon udarbejder en rapport med eventuelle anbefalinger, og indgiver anmærkninger eller kommentarer til jeres ledelse, hvis Siscon finder afvigelser.

    Siscon yder desuden tilsyn og kontrol ved opstart af nye projekter, og følger op på jeres efterlevelse af GDPR.

    Sikkerhedsbrister/brud på datasikkerheden

    Siscon rådgiver omkring jer om registrering og behandling af sikkerhedsbrister. Siscon deltager i vurderingen af alvoren i en sikkerhedsbrist, og sørger for, at der bliver handlet hurtigt og korrekt ved alvorlige brud på datasikkerheden, og som kræver at der tages kontakt til datasubjektet og/eller Datatilsynet. Siscon giver råd og vejledning om forebyggende og midlertidige foranstaltninger, der skal sikre, at I minimerer den registreredes risiko.

    Kontaktpunkt og samarbejde

    Siscon agerer første kontaktpunkt for de registrerede i henhold til GDPR, for at de kan få den nødvendige og korrekte rådgivning om deres rettigheder. Efterfølgende videreformidles kontakten til rette vedkommende hos jer.

    Siscon indleder dialogen med Datatilsynet, hvis en risikovurdering vedrørende databeskyttelse viser, at behandlingen af personoplysninger vil føre til høj risiko, som følge af mangel på foranstaltninger der kan begrænse risikoen.

    Leverance: ‘DPO as a service’

    Siscon tilbyder en abonnementsbaseret løsning, med en obligatorisk Basispakke og mulighed for tilkøb af ekstra pakker eller konsulentydelser ud fra medgået tid.

    Basispakke indhold

    Abonnementet indeholder følgende:

    1. De 3 første dage. 3 dage hvor vi lærer jer som virksomhed at kende. Vi sætter os ind i jeres arbejdsgange og de materialer, der udgør forudsætningerne for vores samarbejde.
    2. De første 12 måneder. De første 12 måneder kommer vi én dag om måneden, og yder rådgivning i.f.t.  compliance og undervisning samt løbende tilsyn og sparring.
    Reaktionstidspakke – ’6 timers reaktionstid’

    ’6 timers reaktionstid’ pakken dækker følgende opgaver og har en gyldighed på 12 måneder.

    1. Sikkerhedsbrister (Gennemsnitlig ½ arbejdsdag pr. sikkerhedsbrist). 10 x henvendelser om hændelser i perioden, dækkende brud på datasikkerheden. Garanteret reaktionstid indenfor normal arbejdstid: 6 timer
    2. Interessenthenvendelser (gennemsnitlig ½ arbejdsdag pr. henvendelse). 10 x henvendelser fra eksterne interessenter i perioden. Dette dækker både over henvendelser fra datasubjekter og datatilsynet.Garanteret reaktionstid inden for normal arbejdstid: 6 timer.