Av, en tung overskrift. Men det er faktisk også et af de mere alvorlige emner, vi tager op. Der er ikke længere nogen der er i tvivl om hvad GDPR dækker over, og skulle du alligevel være i tvivl, kan du altid genbesøge vores Data Protection Officers blogindlæg om GDPR implementering i apps. Vi vil i stedet benytte pladsen til at fortælle om den GDPR-risikovurdering, der danner grundlag for håndteringen af data i de apps, vi udvikler.
I House of Code tager vi GDPR og ‘Privacy by design’ meget alvorligt i de løsninger vi udvikler. Faktisk tager vi det så alvorligt, at vi har udviklet en standard for, hvordan vi håndterer sikkerheden på baggrund af bl.a. en digital analyse. Ved hjælp af Compliancelog foretager vi en kvantitativ analyse, der munder ud i en konkret GDPR-risikovurdering, som vist på billedet herunder.
Grafisk afbildning af risikovurderingen
Som det ses på billedet, er udbyttet bl.a. en grafisk repræsentation af GDPR-risikoen, så det er muligt at forholde sig til truslen uden lange forklaringer om krypteringer og lignende. Med Compliancelog er det let for kunden at få indblik i sikkerhedsarbejdet og være med til at afgøre, hvilke data og kriterier analysen skal foretages ud fra.
Hvordan udføres en GDPR-risikovurdering?
Der ikke meget magi i selve analysen – det foregår i vid udstrækning automatisk ud fra vores setup. Det sværeste er faktisk at sikre at værktøjet bliver fodret med de rette data.
Dét, der egentlig er interessant i denne sammenhæng, er selve resultatet, altså selve GDPR-risikovurderingen, og hvad vi bruger den til – det er ikke så interessant, hvordan analysen foregår. Det nytter jo ikke særligt meget at vide, hvor udsat din løsning er ift. GDPR uden at vide, hvad du kan gøre ved det.
Hvad er så næste skridt?
Resultatet af din analyse munder ud i en skalering af risikovurderingen – for at finde ud af præcis hvor udsat din løsning er på GDPR-fronten – og så tager vi action derfra. Der er nemlig ofte en række sikkerhedsmæssige tiltag, som kan implementeres i direkte forlængelse af arbejdet. Et oplagt eksempel er personfølsomme data, som skal distribueres mellem to parter. Her kan det være en fordel at kryptere indholdet. Skulle en tredjepart mod forventning, alligevel få adgang til de distribuerede data, vil dataene i så fald være ubrugelige.
I nogle tilfælde kan en løsning være så udsat at de tiltag der implementeres, ikke er tilstrækkelige for at at modsvare risikovurderingens faldgruber. I sådanne tilfælde kan der ansøges om særtilladelse hos datatilsynet – og skulle det vise sig ikke at være muligt er den sidste udvej at angribe den aktuelle del af løsningen fra en anden vinkel.
I alle tilfælde kan vi hjælpe dig med at få styr på sikkerheden på den ene eller den anden måde. Vi starter med at udarbejde en handlingsplan, der sikrer at din løsning er fuldstændig sikker at benytte, når den kommer på markedet.
GDPR-risikovurdering er blevet lovkrav
I House of Code har vi altid tænkt GDPR ind i vores løsninger, men sådan er det langt fra alle steder. Derfor er vi også glade for at det faktisk nu er lovpligtigt at foretage GDPR-risikovurderinger på alle eksisterende og nye løsninger. Det er nu egentlig også vores oplevelse, at de fleste kunder synes det er rart at vide, at der er styr på papirerne, når Datatilsynet kigger forbi. Af samme grund er vurderingen også en fast del at det vi skal igennem, når vi afdækker din løsning i House of Code.
