Vi har laget en fremdriftsplan som har til hensikt å bidra til å gjøre deg "GDPR-klar". Ved å følge denne planen vil du få innspill til ditt internkontrolldokument, knyttet til data'ene i medlems- og innsamlingsløsningen din. Formålet er også å avdekke eventuelle rutiner og tiltak som må implementeres innen mai 2018, når regelverket trer i kraft.

Vårt forslag til fremdriftsplan er som følger:

  1. Kartlegge krav
    I denne fasen skal vi skaffe en oversikt over hvilke nye krav virksomheten må innrette seg etter. Dette vil ta utgangspunkt i blant annet Personopplysningsloven og Datatilsynets veiledere. I tillegg vil vi kunne bidra med oversikter over de kravene som normalt sett treffer en virksomhet som oppbevarer personopplysninger i en medlems- og/eller innsamlingsdatabase.
    Arbeidet vil bestå av blant annet workshops.
    Resultatet av denne fasen er en oversikt over aktuelle krav som treffer virksomheten.
  2. Kartlegge persondata
    I denne fasen skal vi skaffe til veie en oversikt over de persondata virksomheten behandler. Dette vil ta utgangspunkt i kundens database og løsning. Dersom virksomheten benytter Orgsys som database, vil vi også kunne bidra med konkrete oversikter over mulig data virksomheten forvalter.
    Arbeidet vil kunne bestå av workshops, men først og fremst innhenting av informasjon om database og løsning.
    Resultat av fasen er en oversikt over persondata som virksomheten forvalter.
  3. Kartlegge hvorvidt krav oppfylles og risiko?
    I denne fasen skal vi gjøre to ting:
    – Avdekke om de nye kravene som stilles er oppfylt.
    – Avdekke hvilke risikoelementer virksomheten kan være utsatt for.
    Begge deler vil være gjenstand for diskusjon og arbeidsformen er således workshops. Når vi vet hvilke risikoelementer virksomheten kan våre utsatt for, kan vi også prioritere disse ved å gjøre en risikoanalyse av hvert element (sannsynlighet x konsekvens = risikofaktor). Dette arbeidet vil også ta form av workshops.
    Resultatet av denne fasen er en oversikt over krav hvor tiltak må identifiseres, samt en prioritert liste over risikoelementer man må håndtere.
  4. Tiltak
    I denne fasen skal vi identifisere tiltak som har til hensikt å sikre at virksomheten oppfyller kravene samt redusere risiko ned til et tilstrekkelig nivå.
    Resultatet av denne fasen er et dokument som dokumenterer prosessen man har vært igjennom samt tiltak som virksomheten forplikter seg til å iverksette. Dette er input til «internkontrolldokumentet» som virksomheten har. Dokumentet er virksomhetens eiendom.

 

Vi kan bistå dere på flere måter: Vi kan blant annet fasilitere prosessen og vi kan bidra med malverk knyttet til dokumentasjon av den enkelte fasen i prosjektet. Ta kontakt dersom du ønsker en uformell prat om prosjektet!