Birgitte Kofod Olsen

Birgitte er partner i Carve Consulting, hvor hun rådgiver virksomheder, myndigheder og organisationer om persondataforordningen, og i den sammenhæng udarbejder gap-analyser, konsekvens- og risikovurderinger samt implementeringsplaner.

Derudover er hun medstifter af tænkehandletanken Dataethics og facilitator for Dansk IT's nye netværk Persondata­beskyttelse i praksis.

Implementering af GDPR skal ses som en forandringsproces med en indledende fase med afdækning og analyser, en fase med etablering af regler og en tredje fase, hvor reglerne omsættes til praksis og dermed bliver en integreret del af drift og vedligehold.

Det er denne forankring, der er i fokus på kurset Dataansvarlighed: forankring af GDPR i den daglige drift. Vi arbejder med etablering af en GDPR-organisation og med behovet for interne regler samt omsætningen af dem til daglige arbejdsprocesser og rutiner. Til det knytter sig flere drift- og vedligeholdelsesopgaver, og en kontrolmekanisme. Opgaverne er derfor af både organisatorisk og teknisk karakter. De omfatter både compliance-opgaver og risikovurderinger, og løbende driftsopgaver som ledelsesrapportering, kommunikation og undervisning, men også tilpasninger af adfærd, systemer og design, når der sker ændringer i databehandlingen eller behandlingssikkerheden, f.eks. ved ibrugtagning af ny teknologi, eller i strategiske ledelsesbeslutninger.

Ved at forankre GDPR i driften sikrer organisationen sig, at den er dataansvarlig. Dataansvarlighed er et nyt og centralt begreb i databeskyttelsen. Det favner evnen til at demonstrere, at organisationen overholder persondatalovgivningen, og til at opføre sig ordentligt. At opføre sig ordentligt handler her om at levere databehandling i relation til produkter og services, der lever op til de forventninger, som kunder, medlemmer, borgere og brugere har til virksomheder, organisationer og myndigheder.

På kurset arbejder vi med de krav og forventninger, der stilles til dataansvarlighed, og med integrationen heraf i organisationen, dens beslutninger og kultur. Fokus er på at få skabt det fundament, som forankrer GDPR i organisationen og sikrer en robust og effektiv persondatabeskyttelse.

Varighed
Kurset varer 3 dage fra kl. 9.00-16.00.

I vil få tilsendt en opgave før kursusstart og har mulighed for at aftale et opfølgningsmøde 4-6 uger efter kursets afslutning.

Materialer
I vil få tilsendt kursusmateriale inden kursusstart og Birgitte Kofod Olsens bog Håndbog i Dataansvarlighed (Djøf).

Vi benytter online redskaber, så du skal medbringe en PC eller iPad.

Opfølgningswebinar
Da vi gerne vil sikre, at i kan bruge din nylærte viden mest muligt, afholder vi et "opfølgningswebinar” efter kurset. Datoen finder i på tilmeldingssiden. Det er valgfrit at deltage i webinaret. Yderligere information gives under kurset.

I får indsigt i, hvordan GDPR er relevant for hele organisationen og hvilke opgaver, der skal løses for at opfylde forordningens krav til dataansvarlighed.

I får mulighed for at teste kursets metoder og redskaber i jeres egen kontekst gennem øvelser og diskussion, og får lejlighed til at udarbejde handlingsplaner for indsatsen i din organisation.

Kurset giver jer på den måde en værktøjskasse, som kan tages i brug med det samme.

Før kurset
Case: tegn og beskriv GDPR-organisationen i din virksomhed, myndighed eller organisation. Hvem løser de forskellige opgaver: dataflowkortlægning, compliance-analyse, risikovurdering, beslutninger, daglig drift, herunder planlægning og implementering, dokumentation og kontroller.

DAG 1

VELKOMST
• Præsentation og bordet rundt
• Program og forventninger

INTRODUKTION
Omdrejningspunktet i GDPR er den enkelte persons ret til kontrol med egne data. Det har betydning for den måde, vi forstår persondatabeskyttelse på.     
• Persondatabeskyttelse som grundrettighed
• Gamle og nye krav
• Lovlighed, rimelighed og gennemsigtighed

GDPR – EN FORANDRINGSPROCES
GDPR indfører
• Risikoperspektivet
• GDPR er relevant for alle medarbejdere
• Fra regler til adfærd

DATAANSVARLIGHED       
Ledelsens rolle i forhold til at sætte rammen og pejlemærkerne for GDPR-implementeringen. Det handler om governance, ambitionsniveau, om at sammensætte den rigtige GDPR-organisation og etablere et egnet ledelsessystem.
• Ambitionsniveau
• GDPR i værdikæden
• GDPR-organisationen
• Roller og ansvar
• Et GDPR-ledelsessystem
• DPO-funktionen

DOKUMENTATION
Dokumentation af databehandlingsaktiviteterne udgør en væsentlig del af det paradigmeskift, som GDPR har introduceret. Dokumentationskravet hænger tæt sammen med kravet om gennemsigtighed for datasubjektet og hans eller hendes ret til at kontrollere sine data. Det afspejler også kravet om, at behandlingssikkerheden skal afspejle den risiko, som databehandlingen giver anledning til i konkrete behandlingssituation.
• Risikostyret dokumentation
• Dokumentationen indhold
• Dokumentationsformat

DAG 2

RISIKOBILLEDET
GDPR-risikovurderingen adskiller sig fra andre typer af risikovurderinger med sit fokus på risikoen for datasubjektet fremfor på organisationens forhold. Det er den mulige negative effekt af databehandlingen på datasubjektets rettigheder og frihedsrettigheder, der skal afdækkes. Risikoafdækningen er nødvendig for at vurdere sikkerhedsniveauet og etablere interne regler.
• GDPR-risikoen
• Behovet for risikovurdering
• Risikovurderingen
• Risikohåndtering
• Dokumentation

FORANKRING I
Implementering af GDPR skal ses som en forandringsproces. Det er ikke nok at beslutte ambitionen og den organisatoriske ramme for implementeringen, kortlægge dataflows og udarbejde analyser. Det er først med forankringen af nye regelsæt i organisationen og etablering af en drift med daglige rutiner og korrekt behandlingsadfærd, at den effektive persondatabeskyttelse opstår. 
• Politikker og procedurer
• Drift
• Monitorering og kontrol
• Dokumentation

DAG 3

FORANKRING II
Alle dele af GDPR-organisationen og opgaveløsningen skal vedligeholdes. En væsentlig opgave, der skal gentages, er udførelsen af compliance-analyser, risikovurderinger og konsekvensanalyser. Resultatet heraf får betydning for driftsopgaverne, og vedligeholdelsesopgaverne skal derfor udføres systematisk og regelmæssigt.
• Vedligeholdelsesopgaver
• Behovet for vedligehold
• Planlægning
• Udførelse

EN DATABESKYTTELSESKULTUR
Målet med at omsætte interne regler til praksis er at få reglerne til at leve i daglige rutiner og få alle medarbejdere udstyret med viden databeskyttelse og forståelse for, hvorfor de interne regler er vigtige. Måske skal deres behandlingsadfærd styrkes eller ændres gennem tekniske løsninger og design.
• Undervisning
• Kommunikation
• Adfærdsdesign
• Inddragelse

AFRUNDING