Dataansvarlighed: forankring af GDPR i den daglige drift
På dette kursus får du indsigt i, hvordan GDPR er relevant for hele organisationen og hvilke opgaver, der skal løses for at opfylde forordningens krav til dataansvarlighed.
Der er ingen sider, der opfylder de valgte kriterier
Læs mere om kurset
Implementering af GDPR skal ses som en forandringsproces med en indledende fase med afdækning og analyser, en fase med etablering af regler og en tredje fase, hvor reglerne omsættes til praksis og dermed bliver en integreret del af drift og vedligehold.
Det er denne forankring, der er i fokus på kurset. Vi arbejder med etablering af en GDPR-organisation og med behovet for interne regler samt omsætningen af dem til daglige arbejdsprocesser og rutiner. Til det knytter sig flere drift- og vedligeholdelsesopgaver, og en kontrolmekanisme. Opgaverne er derfor af både organisatorisk og teknisk karakter. De omfatter både compliance-opgaver og risikovurderinger, og løbende driftsopgaver som ledelsesrapportering, kommunikation og undervisning, men også tilpasninger af adfærd, systemer og design, når der sker ændringer i databehandlingen eller behandlingssikkerheden, fx ved ibrugtagning af ny teknologi, eller i strategiske ledelsesbeslutninger.
Ved at forankre GDPR i driften sikrer organisationen sig, at den er dataansvarlig. Dataansvarlighed er et nyt og centralt begreb i databeskyttelsen. Det favner evnen til at demonstrere, at organisationen overholder persondatalovgivningen, og til at opføre sig ordentligt. At opføre sig ordentligt handler her om at levere databehandling i relation til produkter og services, der lever op til de forventninger, som kunder, medlemmer, borgere og brugere har til virksomheder, organisationer og myndigheder.
På kurset arbejder vi med de krav og forventninger, der stilles til dataansvarlighed, og med integrationen heraf i organisationen, dens beslutninger og kultur. Fokus er på at få skabt det fundament, som forankrer GDPR i organisationen og sikrer en robust og effektiv persondatabeskyttelse.
Varighed
Kurset varer 3 dage fra kl. 9.00-16.00.
Du vil få tilsendt en opgave før kursusstart og har mulighed for at aftale et opfølgningsmøde 4-6 uger efter kursets afslutning.
Materialer
Du vil få tilsendt kursusmateriale inden kursusstart og Birgitte Kofod Olsens nye bog Håndbog i Dataansvarlighed (Djøf).
Vi benytter online redskaber, så du skal medbringe en PC eller iPad.
Opfølgningswebinar
Da vi gerne vil sikre, at du kan bruge din nylærte viden mest muligt, afholder vi et "opfølgningswebinar” efter kurset. Datoen finder du på tilmeldingssiden. Det er valgfrit at deltage i webinaret. Yderligere information gives under kurset.
Udbytte
Du får indsigt i, hvordan GDPR er relevant for hele organisationen og hvilke opgaver, der skal løses for at opfylde forordningens krav til dataansvarlighed.
Du får mulighed for at teste kursets metoder og redskaber i din egen kontekst gennem øvelser og diskussion, og får lejlighed til at udarbejde handlingsplaner for indsatsen i din organisation.
Kurset giver dig på den måde en værktøjskasse, som kan tages i brug med det samme.
Indhold
FØR KURSET:
Case: tegn og beskriv GDPR-organisationen i din virksomhed, myndighed eller organisation. Hvem løser de forskellige opgaver: dataflowkortlægning, compliance-analyse, risikovurdering, beslutninger, daglig drift, herunder planlægning og implementering, dokumentation og kontroller.
DAG 1
VELKOMST
• Præsentation og bordet rundt
• Program og forventninger
INTRODUKTION
Omdrejningspunktet i GDPR er den enkelte persons ret til kontrol med egne data. Det har betydning for den måde, vi forstår persondatabeskyttelse på.
• Persondatabeskyttelse som grundrettighed
• Gamle og nye krav
• Lovlighed, rimelighed og gennemsigtighed
GDPR – EN FORANDRINGSPROCES
GDPR indfører
• Risikoperspektivet
• GDPR er relevant for alle medarbejdere
• Fra regler til adfærd
DATAANSVARLIGHED
Ledelsens rolle i forhold til at sætte rammen og pejlemærkerne for GDPR-implementeringen. Det handler om governance, ambitionsniveau, om at sammensætte den rigtige GDPR-organisation og etablere et egnet ledelsessystem.
• Ambitionsniveau
• GDPR i værdikæden
• GDPR-organisationen
• Roller og ansvar
• Et GDPR-ledelsessystem
• DPO-funktionen
DOKUMENTATION
Dokumentation af databehandlingsaktiviteterne udgør en væsentlig del af det paradigmeskift, som GDPR har introduceret. Dokumentationskravet hænger tæt sammen med kravet om gennemsigtighed for datasubjektet og hans eller hendes ret til at kontrollere sine data. Det afspejler også kravet om, at behandlingssikkerheden skal afspejle den risiko, som databehandlingen giver anledning til i konkrete behandlingssituation.
• Risikostyret dokumentation
• Dokumentationen indhold
• Dokumentationsformat
DAG 2
RISIKOBILLEDET
GDPR-risikovurderingen adskiller sig fra andre typer af risikovurderinger med sit fokus på risikoen for datasubjektet fremfor på organisationens forhold. Det er den mulige negative effekt af databehandlingen på datasubjektets rettigheder og frihedsrettigheder, der skal afdækkes. Risikoafdækningen er nødvendig for at vurdere sikkerhedsniveauet og etablere interne regler.
• GDPR-risikoen
• Behovet for risikovurdering
• Risikovurderingen
• Risikohåndtering
• Dokumentation
FORANKRING I
Implementering af GDPR skal ses som en forandringsproces. Det er ikke nok at beslutte ambitionen og den organisatoriske ramme for implementeringen, kortlægge dataflows og udarbejde analyser. Det er først med forankringen af nye regelsæt i organisationen og etablering af en drift med daglige rutiner og korrekt behandlingsadfærd, at den effektive persondatabeskyttelse opstår.
• Politikker og procedurer
• Drift
• Monitorering og kontrol
• Dokumentation
DAG 3
FORANKRING II
Alle dele af GDPR-organisationen og opgaveløsningen skal vedligeholdes. En væsentlig opgave, der skal gentages, er udførelsen af compliance-analyser, risikovurderinger og konsekvensanalyser. Resultatet heraf får betydning for driftsopgaverne, og vedligeholdelsesopgaverne skal derfor udføres systematisk og regelmæssigt.
• Vedligeholdelsesopgaver
• Behovet for vedligehold
• Planlægning
• Udførelse
EN DATABESKYTTELSESKULTUR
Målet med at omsætte interne regler til praksis er at få reglerne til at leve i daglige rutiner og få alle medarbejdere udstyret med viden databeskyttelse og forståelse for, hvorfor de interne regler er vigtige. Måske skal deres behandlingsadfærd styrkes eller ændres gennem tekniske løsninger og design.
• Undervisning
• Kommunikation
• Adfærdsdesign
• Inddragelse
AFRUNDING
Underviser
Birgitte Kofod Olsen, Partner i Carve Consulting og medstifter af tænkehandletanken Dataethics.
Birgitte er partner i Carve Consulting, hvor hun rådgiver virksomheder, myndigheder og organisationer om persondataforordningen, og i den sammenhæng udarbejder gap-analyser, konsekvens- og risikovurderinger samt implementeringsplaner.
Hun er også facilitator for DANSK IT's nye netværk Persondatabeskyttelse i praksis.
Vigtige oplysninger
Tilmelding
Deltagerantallet er begrænset af hensyn til deltagernes udbytte. Tilmelding er bindende.
Framelding
Hvis du af en eller anden grund ikke har mulighed for at deltage på kurset, er du altid velkommen til at allokere din plads til en kollega (differencen skal betales, hvis personen ikke er medlem af Dansk IT).
Ved framelding 4 uger før kursets afholdelse, bliver der opkrævet 50 % af deltagergebyret inklusive moms. Ved framelding 2 uger før kursets afholdelse, bliver hele deltagergebyret opkrævet inklusive moms.
Frameldingen skal ske skriftligt per mail til dit@dit.dk.
Forbehold
Dansk IT forbeholder sig retten til at aflyse eller udskyde kurser ved for få tilmeldte samt at ændre afholdelsessted og underviser.
Der tages forbehold for fejl på hjemmesiden og i kursuskataloget.
Kursusafgift
Alle priser er eksklusive moms.
Med mindre andet er anført, inkluderer kursusafgiften kursusmaterialer samt forplejning.
Internat er kun inkluderet i prisen, når dette eksplicit er angivet.
Kursus on Demand
Dette kursus tilbydes også som Kursus on Demand - et skræddersyet kursus, der tager udgangspunkt i din organisations ønsker og behov.