Schultz Information fik overblik over compliance-processen

For at sikre GDPR-compliance fik it-leverandøren Schultz Information lavet en GDPR-gap-analyse hos Dubex. Analysen sikrede et opdateret overblik over interne systemer og behandlinger samt en stor forståelse for, hvad GDPR er, og hvordan persondata skal håndteres

I efteråret 2017 gik danske Schultz Information i gang med at blive GDPR-compliant, og Schultz valgte at få hjælp fra Dubex til at løfte opgaven.

”Vores udfordring var, at vi skulle forstå, præcist hvad GDPR egentlig er, og hvilken indflydelse forordningen ville få på os og vores arbejde,” fortæller Morten Balstrup, ansvarlig for intern audit og GDPR hos Schultz.

Opgaven bestod for Dubex i at udføre en GDPR-gap-analyse, og for Dubex er det vigtigt at angribe sådanne governance, risk & compliance-opgaver med en pragmatisk tilgang, som matcher virksomhedens ledelsesstil.

”Uanset om vi laver en GDPR-gap-analyse, en sikkerhedsanalyse eller hjælper med en ISO27001-certificering, skal det være let for vores kunder at arbejde med produktet. Derfor har vi stort fokus på, at det, vi kommer frem til, kan bruges i hverdagen bagefter,” forklarer Marie Raabye, governance, risk & compliance consultant hos Dubex.

Gap-analysen var vigtig for Schultz, for den betød, at de kunne starte med at rette op på de svære og kritiske elementer først.

"Den gap-analyse, som Dubex lavede for os, gjorde, at vi faktisk blev GDPR-klar før tid, og at vi kunne kigge på det, der bragte os fremad, så vi ikke stoppede med at være GDPR-compliant."

Morten Balstrup, ansvarlig for intern audit og GDPR hos Schultz

Flere skridt i processen

Hele forløbet startede med et opstartsmøde, hvor projektet blev gennemgået, og hvor Dubex gennemgik, hvad GDPR er, hvad der forstås ved persondata, og hvad de nye regler i praksis betyder for virksomheden.

”Det var en god måde at komme i gang på. På den måde fik vi samme ordbog at snakke ud fra og minimerede misforståelser i resten af projektet,” fortæller Morten Balstrup.

Derefter gik Dubex i gang med en overordnet behandlingsgennemgang, hvor det blev tjekket, om Schultz Information havde overblik over alle behandlinger.

Det blev fulgt af interviewrunder med alle afdelinger, så det blev tjekket, hvordan de håndterede indsigter, sletning osv., og om den nødvendige sikkerhed var på plads. På baggrund af de interviews blev huller afdækket, og det blev tjekket, om de kunne lukkes med eksisterende værktøjer.

Morten Balstrup fortæller, at hele processen var meget struktureret, og at den tilgang gjorde, at Schultz kom godt i mål med at blive GDPR-compliant i god tid.

”Hele processen mundede ud i en statusrapport, der angav vores største huller, hvilke krav i lovgivningen som vi ikke levede op til, og hvad vi med fordel kan leve op til. Samtidig fik vi en gradueret rapport, så vi kunne tage opgaverne i prioriteret rækkefølge,” siger Morten Balstrup og fortsætter:

”Selve gap-analysen var ikke svær, men den tog naturligvis tid, og vi blev bedt om at stoppe op og kigge på processen. Det hele skete i den meget strukturerede tilgang, som Dubex havde til opgaven, og det var vi meget tilfredse med.”

Morten Balstrup slutter af med at fortælle, at han specielt har været glad for en tjekliste, som de fik ved afslutning af projektet.

”Den har jeg brugt flere gange. Den sikrer, at vi som minimum er compliant i forhold til GDPR, og det er meget væsentligt,” afslutter Morten Balstrup.

Gap-analysen

"Dubex’ governance, risk & compliance (GRC)-team gennemfører analyser baseret på lovkrav, som eksempelvis GDPR, og standarder som ISO 27001/ISO 27002. Analyserne giver organisationen overblik over status og mangler i forhold til målet samt prioriterede anbefalinger til, hvordan huller (gaps) lukkes på en måde, der understøtter forretningen. GRC-teamet assisterer også med rådgivning og sparring om implementering af GDPR, ISO27001 og lignende." Marie Raabye, GRC Consultant, Dubex

Fordele for Schultz

Hele processen med GDPR-gap-analysen har givet flere fordele til Schultz Information i deres hverdag, ud over at de nu er sikre på, at de lever op til kravene i persondataforordningen fra EU. De har blandt andet:

  • fundet en række it-skyggesystemer
  • fået input til, hvilke processer der skal opdateres, og hvordan det gøres i praksis
  • fået synliggjort uhensigtsmæssige arbejdsgange
  • fået styr på persondata i organisationen
  • fået styr på håndtering af persondata.