Eksempel: Governance-model for databeskyttelse (GDPR)

Dette er et eksempel på en governance-model for databeskyttelse for en mellemstor virksomhed. Den fokuserer på overholdelse af persondataforordningen og dens regler om ansvarlighed (accountability).

Publiseringsdato: 
18/11/24
Jacob Høedt Larsen
PR & PA

Jacob Høedt Larsen, PR & PA hos Wired Relations, er værten for podcasten Sustainable Compliance og en ekspert i GRC-workflows, understøttet af software, opbygning af et GRC-program, ledelse af et GRC-team og sikring af ledelsens opbakning.

Læs mere fra forfatteren

Lær mere:

1. Roller og ansvar

  • Direktionen: Overordnet ansvarlig for compliance og prioritering. Direktionen godkender alle politikker og retningslinjer på området.
  • Databeskyttelsesrådgiver (DPO): Skal inddrages i alle væsentlige spørgsmål om databeskyttelse og rådgiver direktionen. Overvåger virksomhedens databeskyttelsesindsats og rapporterer til direktionen om, hvad han / hun finder. Har kontakt til Datatilsynet.
  • Compliance: Har det overordnede ansvar for overholdelse af GDPR og interne retningslinjer. Står for uddannelse af systemejere og medarbejdere samtid sikrer koordinering mellem systemejere, driften og IT-afdelingen.
  • Systemejere: Har ansvaret for behandling af personoplysninger og databeskyttelse i de systemer, de er anvarlige for.
  • HR, salg, marketing mfl.: Sikrer daglig overholdelse af i de behandlinger / processer, som de er ansvarlige for.
  • IT-afdelingen: Sikrer, at der er tekniske foranstaltninger, der understøtter behandlingssikkerheden.

2. Organisering og beslutningstagning

  • Der afholdes governance-møder én gang i kvartalet. Compliance indkalder og sætter dagsordenen. DPO og ledelse deltager
  • Der findes en proces for “nye systemer”. Inden nye systemer kan tages i brug, skal de beskrives og risikovurderes. Ibrugtagning godkendes af compliance og IT (compliance-boardet)
  • Privacy Impact Assessment (DPIA) kræves for nye databehandlinger med høj risiko.
  • DPO rapporterer årligt til direktionen.
  • Compliance rapporterer til direktionen kvartalsvis. Fokus på databrud og risici.

3. Politikker og dokumentation

  • Politikker og dokumentation findes i Wired Relations og består af:
    • System- og leverandørfortegnelse 
    • Fortegnelse over behandlingsaktiviteter (artikel 30)
    • Risikovurderinger og -mitigering
    • Privatlivspolitik (offentlig + intern)
    • Samtykkepolitik, datasletningsprocedurer etc.

4. Kontrol og opfølgning

  • Årlig audit af alle behandlingsaktiviteter
  • Tilsyn med leverandører sker efter en risikovurdering og plan, som er godkendt af compliance
  • Risikovurderinger gennemgås årligt eller ved ændringer Det gælder også DPIA’er
  • Ledelsesrapportering hvert kvartal

📰 Bliv opdateret på GRC

Få historier som denne direkte i din indbakke. Fra GDPR til cybersikkerhed – vi holder dig opdateret på, hvad der former den digitale fremtid.

👉 Tilmeld dig nyhedsbrevet

Måske er dette også noget for dig

Hvad er et GRC-system? En enklere vej til compliance

Skal vi tjene penge på vores data? Og andre historier fra sommerlandet

GDPR har givet store økonomiske gevinster