Standardiseret GDPR-kortlægning målrettet den danske offentlige sektor
Offentlige organisationer håndterer store mængder person- og personfølsomme data i administrative databaser og systemer. Over tid bliver data ofte genanvendt, kopieret og integreret på tværs som led i den løbende IT-udvikling og i vedligeholdet af eksisterende systemer – og det kan gøre det svært at opretholde et samlet, dokumenteret overblik over, hvor i systemlandskabet disse typer data har spredt sig til.
Denne GDPR-kortlægning giver et hurtigt, faktabaseret overblik over, hvor administrative persondata forekommer i systemlandskabet og skaber et solidt beslutningsgrundlag for eventuelle videre GDPR-indsatser.
Formålet med en GDPR-kortlægning
At levere en grundig og præcis kortlægning af forekomsten af person- og personfølsomme data i organisationens administrative systemer og databaser – herunder på tværs af miljøer og afledte datasæt.
Kortlægningen fokuserer udelukkende på identifikation, lokalisering og dokumentation af data og giver dermed et faktabaseret overblik over, hvor relevante persondata findes, og i hvilket omfang de forekommer.
Formålet er at skabe et fælles og dokumenteret grundlag, som kan bruges til at vurdere behovet for efterfølgende indsatser, fx oprydning og dataminimering samt eventuel justering af governance. Kortlægningen reducerer samtidig afhængigheden af tavs viden hos enkelte nøglepersoner og gør det lettere at reagere hurtigt og konsistent ved forespørgsler, tilsyn eller indsigtsanmodninger.
Opgavens indhold
GDPR-kortlægningen omfatter:
- Identifikation af person- og personfølsomme data i administrative databaser og systemer
- Registrering af datatyper og databaser – inkl. eventuelle udviklings-, test- og preprod-miljøer
- Overblik over dataspredning og redundans (fx kopidata, rapporterings-/BI- og integrationsdatabaser)
- Dokumentation baseret på tekniske observationer
Afgrænsning
For at sikre en standardiseret og effektiv leverance omfatter ydelsen ikke:
- vurdering af adgangsstyring
- analyse af dataanvendelse og forretningsprocesser
- juridisk compliance-vurdering
- anbefalinger til konkrete oprydnings- eller governance-tiltag
- gennemgang og kortlægning af forskningsrelaterede data
Leverance
Leverancen foretages i form af én samlet kortlægningsrapport, der giver et dokumenteret overblik over placering og omfang af administrative persondata, og kan anvendes direkte som beslutningsgrundlag.
Typiske gevinster ved GDPR-kortlægning
- Hurtigt og dokumenteret overblik over administrative persondata i systemlandskabet
- Fælles faktagrundlag på tværs af organisationen (IT, DPO, governance og ledelse)
- Bedre prioritering af videre GDPR-indsatser baseret på fakta
- Reduceret usikkerhed i forhold til tilsyn og forespørgsler – herunder indsigtsanmodninger
En faktabaseret kortlægning giver bedre grundlag for at prioritere oprydnings- og governance-tiltag, og kan dermed bidrage til at reducere risikoen for GDPR-relaterede hændelser og sager. Dermed bidrager kortlægningen til at give organisationens interne specialister (eks. DPO og CISO) mulighed for hurtigere og nemmere at vurdere, om Databeskyttelsesforordningen / Persondataforordningen overholdes.
Kort tjek: Kan I svare klart på disse spørgsmål i dag?
- Overblik: Har I et aktuelt og dokumenteret overblik over, hvor administrative persondata forekommer – inkl. udviklings-, test- og preprod-miljøer?
- Dataspredning, kopier og redundans: Har I overblik over, hvortil data er spredt i jeres system- og databaselandskab – om der findes kopier og redundans (fx rapporterings-/BI-databaser, integrationsdatabaser, staging-områder og “midlertidige” kopier, der er blevet permanente)?
- Dataminimering: Har I faktabaseret viden om, hvilke datasæt der stadig er nødvendige, og hvor der kan være historisk ophobning af persondata?
- Tilsyn og indsigtsanmodninger: Vil I kunne reagere hurtigt og konsistent ved tilsyn eller indsigts-/aktindsigtsanmodninger, hvor det kræver viden om, hvor relevante administrative persondata findes?
Hvis ét eller flere spørgsmål er svære at besvare entydigt, kan en standardiseret kortlægning netop give et fælles faktagrundlag og et klart beslutningsgrundlag for næste skridt.
Hvad opgaven kræver af jer
Igangsættelse af kortlægningen vil typisk indebære følgende:
- Udpegelse af teamets faste kontaktpersoner i organisationen
- Udpegelse af de for kortlægningen relevante systemer og databaser
- Udlån af 3 af organisationens laptops til teamet for sikker adgang til organisationens netværk
- Tildeling af læseadgang til de for kortlægningen relevante systemer og databaser
Fordele ved at lade os udføre GDPR-kortlægningen
Ved at tilbyde denne service kombinerer vi ValuePoints governance-fokus med nogle af landets tungeste databasekompetencer.
Det har vi gjort ved at etablere et samarbejde med Lars Rasmussen og Torben Streibig Nielsen, der samlet har næsten 60 års erfaring som databaseudviklere og dataanalytikere.
Teamet bestående af Lars Rasmussen, Torben Streibig Nielsen og ValuePoints Frank Jaffa har gennem de seneste fem år udført GDPR-kortlægning og dataanalyse samt dataminimering og oprydning i legacy-systemer i en kompleks og forretningskritisk systemportefølje med hundredvis af systemer hos en af Danmarks største offentlige organisationer – med fokus på at etablere et faktabaseret datagrundlag og ensartet dokumentation, som understøtter organisationens GDPR-arbejde.
Ved at anvende eksterne specialister får jeres organisation en uvildig og faktabaseret kortlægning uden historiske bindinger til systemlandskabet. Det reducerer samtidig afhængighed af nøglepersoner og friholder jeres interne ressourcer til de drifts- og kerneopgaver, som allerede er prioriteret og planlagt.
Vi har ingen interesse i at bekræfte eksisterende antagelser – kun i at bidrage til at sikre, at jeres organisation har et klart og lettilgængeligt overblik over, hvor disse typer administrative persondata forekommer, så I nemt og hurtigt kan træffe de rette beslutninger herom.
Ved at anvende netop dette team af specialister får organisationen hjælp til en specifik og velafgrænset opgave, som i de fleste organisationer vil være ret kompleks. Da teamet af specialister allerede er etableret og velfungerende, og har oparbejdet en stor og indgående erfaring med netop denne type opgaver, kan det derfor gennemføre opgaven hurtigt og med stor sikkerhed.
Næste skridt
Kortlægningen kan skaleres i omfang efter samme metode og indledes med en kort afklaring af scope, relevante databaser/miljøer samt praktiske forudsætninger (fx adgangsproces, kontaktpersoner og overblik over systemlandskab).
På den baggrund fremsender vi et kort oplæg med foreslået afgrænsning samt tids- og prisestimat.
Kontakt os for en uforpligtende afklaring – enten ved at kontakte Frank Jaffa direkte på telefon 40741161 eller ved at udfylde nedenstående formular.