For nogle virksomheder ligger udarbejdelsen af en DPIA højt på listen over GDPR-opgaver, der skal styr på. Men for rigtigt mange kan en DPIA godt vente – eller i hvert fald simplificeres, så den ikke kræver for mange ressourcer. Neupart-direktør fortæller hvornår og hvordan, der skal laves en konsekvensanalyse af virksomheders databehandlinger.
Jakob Holm Hansen
Seneste indlæg
Skal, skal ikke? Vejledning og gode råd til udarbejdelse af en DPIA
[fa icon="calendar'] 20. december 2017 / af Jakob Holm Hansen under GDPR, eu databeskyttelsesforordningen, dpia, data privacy impact assessment
GDPR: Du behøver ikke at lave en dataflowanalyse
[fa icon="calendar'] 28. juni 2017 / af Jakob Holm Hansen under eu persondataforordning, GDPR, Databeskyttelse
– en fortegnelse over dine behandlingsaktiviteter er nok
Er du i fuld gang med jeres GDPR-forberedelser, men hænger fast i udarbejdelsen af dataflowanalysen? Så læs med her. Du skal nemlig ikke gøre mere end det nødvendige. Og en dataflowanalyse er ikke nødvendig.
DPO – hvem har brug for dem?
[fa icon="calendar'] 14. marts 2017 / af Jakob Holm Hansen under eu persondataforordning, eu gdpr, DPO
DPO’er. Det er et emne som vi alle sammen ser ud til at tænke lidt nærmere over, nu da vi aktivt begynder implementeringen af den kommende databeskyttelsesforordning. Men hvem har egentlig brug for dem?
Risikovurdering - hvad bruger vi dem til?
[fa icon="calendar'] 28. april 2016 / af Jakob Holm Hansen under risikostyring, risikohåndtering, risikovurdering
Det er efterhånden blevet god praksis at lave risikovurderinger - eller i hvert fald erkende, at man bør lave dem.
Alt for ofte ser vi desværre, at virksomheder bare udfører risikovurderinger for at efterkomme et eller andet compliance-krav (revision, kontrakt, lovgivning m.v.). Hvis man er heldig, får man endda ressourcer til at gennemføre dem en gang om året.
Man gennemfører sin risikovurdering, taler med sin organisation og laver en fin rapport til sidst. Og så er "projektet" afsluttet. Men det er en fejl at se risikovurdering som et projekt. Risikovurdering skal være en proces. En proces der er tilbagevendende og kontinuerligt justeret.
Risikovurdering er en proces - 3 grunde til at gøre det igen (og igen)
[fa icon="calendar'] 10. juli 2015 / af Jakob Holm Hansen
Risikovurderinger er en nødvendighed, hvis vi vil have styr på informationssikkerheden. Desværre er det ikke ualmindeligt, at virksomheder ser risikovurdering som noget, der skal overstås, fordi de skal efterleve forskellige krav.
Det kan være krav fra eksterne interessenter som for eksempel lovgivning, samarbejdspartnere, kundekontrakter etc. Eller kravene kan være pålagt af virksomheden selv, fordi man måske ønsker at efterleve internationale standarder som ISO 27001 (om ledelsessystem til informationssikkerhed) og/eller ISO 27005 (om risikostyring).
Hvorfor i alverden skal ledere interessere sig for it-sikkerhed?
[fa icon="calendar'] 18. februar 2015 / af Jakob Holm Hansen
Du skal involvere dig i sikkerhed fordi sikkerhed betyder noget for jeres kunder og fordi cyberangreb og sikkerhedshændelser er begyndt at ske for alle slags virksomheder. CSC, Nets, IBM, Terma, Novozymes, Erhvervsministeriet m.fl. er eksempler på virksomheder i Danmark, som man forventede eller håbede var bedre beskyttet end de faktisk var. It-sikkerhed er i den grad kommet på dagsordenen i 2014, både i virksomhederne og i medierne.
Skydeskivens sikkerhedskvadranter - sådan forklarer du informationssikkerhed til ledelsen
[fa icon="calendar'] 12. december 2014 / af Jakob Holm Hansen
Der findes mange forskellige former for tiltag, som virksomheder kan udføre for at beskytte deres informationer og deres forretning. Lige fra klassiske eksempler som firewalls og antivirus, backup/restore til sikkerhedspolitik og it-beredskab, til en række mere eller mindre avancerede teknologier. Modellen viser en række eksempler på tiltag.
For at få struktur på alle disse tiltag deler vi dem op i Fysiske & tekniske tiltag – det er den nederste halvdel på modellen, og Administrative tiltag og processer, som er den øverste halvdel.
DS 484 er død. Her er de vigtige forskelle fra DS 484 til ISO 27001
[fa icon="calendar'] 5. november 2014 / af Jakob Holm Hansen
De tre beredskabsdyder
[fa icon="calendar'] 15. august 2014 / af Jakob Holm Hansen
"Hvor lang skal en beredskabsplan være?" Dette spørgsmål hører vi tit ude hos vores kunder. Mit svar plejer altid at være: "Så kort som muligt!" For sandheden er, at den perfekte beredskabsplan (hvis den overhovedet findes) skal være tre, nogen gange modstridende, ting på én gang:
Tips og erfaringer med it-sikkerhedshåndbøger og -politikker - Ny vs gammel ISO 27002
[fa icon="calendar'] 3. juni 2014 / af Jakob Holm Hansen
- Politik: Vores ambitionsniveau og mål, hvad vil vi, hvem er omfattet. Bør være kort, gerne højst en side.
- Regler: Hvad gør vi, hvad gør vi ikke, hvad vi må og ikke må. Reglerne skal være præcise i forhold til, hvem der skal udføre de forskellige aktiviteter.
- Procedurer: Sådan-gør-vi-dokumenter.