DataMapper - forslag til proces (skabelon)

Herunder kan du se vores forslag til proces for implementering af DataMapper på vegne af din virksomhed.

Download dokument

Forslag til proces plan for "Virksomheds navn" persondata håndtering med DataMapper

Indhold

1.       Effektiv brug af DPO-ressourcer      

2.      Fokus på specifikke GDPR-risiko kategorier frem for "test for alt"      

3.      Gennemførlige actions baseret på specifikke data og tidslinjer

Effektiv brug af DPO-ressourcer

Forberedelse

1.       Identificer team - for eksempel:      

A.     "Virksomhedsnavn" Sundhedspleje       

B.     Marketing- og salgsteam      

C.     3 brugere fra hvert hold       

2.      Identificer risici at fokusere på (se nedenfor)      

3.      Forbered de involverede teams / personer på hvad der skal ske:      

A.     Hvad er planen?       

B.     Hvad skal de gøre?      

C.     Teknisk spørgeskema       

4.     Interview de enkelte teams / personer der er involveret

5.      Send et spørgeskema/quiz, som brugerne kan udfylde 

6.      Installer DataMapper på brugernes computer med DPO som administrator

A.     Vælg placeringer (e -mails og filer)

B.     Scan      

7.      DPO gennemgår resultater af scan til sammenligning med forventede risiko områder

Hvis det f.eks. er marketing, og kundedata er blevet fremhævet som noget at fokusere på, bør du se på dette.       

A.     Sammenlign brugernes svar i spørgeskemaet/quizzen - er der røde flag?      

B.     Sammenlign med notater fra interviews       

C.     Gennemgå DataMapper resultater, og test evt. med et par kundenavne for at se, hvor data befinder sig

8.     Forbered en action plan baseret på resultater hold - fokus på risiko områder

A.     Handlingsplanen bør være et skabelondokument, der bruges hver gang. Vi vil foreslå et scoringssystem med point- så kan du sammenligne hold og opfølgende anmeldelser.   

9.      Opfølgning

A.     Lav et nyt scan efter data hos involverede teams/personer, 30 dage efter første scan

Fokus på specifikke GDPR-risiko kategorier frem for "testning for alt"      

GDPR-risiko kategorier

Nedenfor er nogle af de GDPR-risiko kategorier der oftest ses inden for specifikke funktioner i virksomheden

HR

A.     Ansøgere (CV'er og ansøgninger)

B.     Tidligere ansatte         

C.     Ansættelsesaftaler       

Salg

A.     Kundedata

B.     Tidligere kunder

C.     Kontrakter

D.     Data der ikke længere har noget formål

Afdelings / funktions ledere

A.     Ansøgninger modtaget fra HR eller direkte fra ansøgere

B.     Informationer om tidligere ansatte

C.     MUS samtaler og andre medarbejder evalueringer

Call center / support funktioner

A.     Data om kunder / brugere der ikke længere har noget formål

B.     Brug af systemer

Projekt teams

A.     Projekter der er færdige eller lukkede (M&A, forretningsudvikling, jura, osv.)

B.     Typisk mange data i e-mail

C.     Tidligere eller nuværende data processors for projekter

Gennemførlige actions baseret på specifikke data og tidslinjer

Dag 0

A.     Forberedelsesfasen bør gennemføres 2 uger før de enkelte teams / brugere skal begynde at bruge DataMapper og scanne efter data

Dag 14

A.     De enkelte teams / brugere bør alle scanne efter data inden for nogle få dage. Resultater bør gennemgås inden for den følgende uge, hvorefter action plan udarbejdes

Dag 45

A.     Et opfølgende scan udføres af de enkelte teams / brugere