Databeskyttelse

Som tidl. kvalitetsansvarlig i fertilitetbranchen, faldt det naturligt – tilbage i 2017, at varetage implementeringen og driften af et ledelsessystem for informationssikkerhed (baseret på ISO 2700X/27701/29100) i overensstemmelse med Persondataforordningen/GDPR, “best practice” og relevante standarder – og påtage mig rollen som Databeskyttelsesrådgiver (DPO)/GDPR Specialist i organisationen (DK, UK og DE).

Med fokus på lovgivning, forretningsprocesser, IT-sikkerhed, medarbejderadfærd og understøttelse af “good governance“, omfattede opgaven alle aspekter af informations-/privatlivssikkerhed, herunder definering af informations- og IT-processer; dokumentation af relevante aktiviteter, input og output; håndtering af databehandlere og tredjelandsoverførsler; evaluering og overvågning af ydeevne/”compliance”, samt; identificering af sikkerhedsbrister og styring af risici, gennem udvælgelse og implementering af egnede kontroller. 

Som følge af arbejdet med mange typer data individer, store mængder af særlige kategorier af persondata, fortrolig “knowhow”, et væld af databehandlere og komplekse behandlingsprocesser, har jeg udarbejdet risikovurderinger af kerneaktiviteter, og forestået passende fysiske, tekniske og organisatoriske foranstaltninger for at mindske identificerede risici.

Jeg har certifikat i persondataret (bl.a. GDPR Master Class) og har arbejdet tæt sammen med persondataspecialister i advokatfirmaer som Bech-Bruun, Accura og Plesner. Det er en naturlig del af mit virke, løbende at holde mig opdateret inden for feltet – gennem kompetenceudvikling, uddannelse og deltagelse i relevante events og div. samarbejder. Således er jeg medlem af div. digitale GDPR-læringsplatforme (fx Danmarks DPO Forening, Plesner’s LegalHub og Bech-Bruun Academy) og deltager løbende i div. netværksmøder, webinar’er og andre aktiviteter.

Som en proaktiv partner og aktiv fortaler for compliance, og løbende opnåelse af forbedringsmål, samt at gøre fortrolighedsoplevelsen til en positiv bidragyder til den samlede brandoplevelse for kunden, tilbyder LHR Consult hermed følgende tjenester:

  • Juridisk rådgivning og ekspertbistand i forhold til informationssikkerhed/GDPR, “best practice” anbefalinger, standarder, særlovgivning (erhvervsret, skatteret, sundhedsret, arbejdsret, NIS mv.), IT- og cybersikkerhed, ePrivacy, data etik, digital ansvarlighed mv. (nationale datatilsyn, EDPB, Digitaliseringsstyrelsen, CFCS, ENISA, ISO, CIS/SANS 20, NIST 800-53, ISACA/COBIT 5 og ISF).
  • Varetagelse af funktion som Databeskyttelsesrådgiver/DPO (GDPR Art 37).
  • Kortlægning af data/data flows, systemer, processer, ansvar, privatlivsrisici/-kontroller mv. (inkl. Fortegnelse over Behandlingsaktiviteter).
  • Udarbejdelse, implementering og vedligeholdelse af informationssikkerheds-/privatlivsløsninger, herunder sikring af principperne for “privacy by design and default” (ISO 2700X/27701/29100).
  • Kortlægning og sikring af datakvalitet/”data governance” (fx fortrolighed, integritet og tilgængelighed), for at opnå bedre dataanalyse, beslutningsgrundlag og driftsunderstøttelse (ISO 8000).
  • Udarbejdelse af køreplan over aktiviteter til brug for forankring af informationssikkerhed og GDPR compliance i forhold til produkter og aktiviteter.
  • Planlægning, implementering og håndtering af risikostyringsprocesser, herunder identifikation, udførelse af kvalitative/kvantitative analyser og risikorapporter (fx konsekvensanalyse/DPIA (ISO 29134)), overvågning og kontrol, samt proaktiv udvikling af mitigerende foranstaltninger (EU/GxP, ICH, ISO 27005/31000).
  • Udarbejdelse af retningslinjer, procedurer og vejledninger inden for informationssikkerhed/GDPR (fx beredskabsplaner, IT politik, informationssikkerheds-/privatlivspolitik, cookiepolitik, slettepolitik, SOPer, kontrakter og samtykketekster).
  • Identificering og håndtering af udfordringer og muligheder, herunder optimering af processer/systemer i henhold til årsplan, ændringsanmodninger (“change requests”) mv. – fx gennem digitalisering/automatisering, integration af div. kontroller mv. (biometri, digital foto match, compliance software mv.).
  • Evaluering af- og tilsyn med databehandlere (ISO 27001, SANS/CIS 20, IAASB/ISAE mv.), udarbejdelse af databehandleraftaler, evaluering af revisionsrapporter (fx ISAE 3000/3402, SOC 1/2) mv.
  • Håndtering af den registreredes rettigheder, forespørgsler, klager mv. (tilbagetrækning af samtykke, sletteanmodninger i forhold til backup mv.).
  • Håndtering af tredjelandsoverførsler – SCCs, “cloud” tjenester, effektive foranstaltninger mv.
  • Registrering, evaluering og rapportering af sikkerhedsbrister – herunder ”root cause” analyse, fastlæggelse, implementering og evaluering af effekten af korrigerende/forebyggende handlinger (CAPAs), trend analyse mv. (EU/GxP mv.)
  • Implementering og vedligeholdelse af træningsprogrammer og tilvejebringelse af nødvendig(e) ressourcer, træning, ”awareness” aktiviteter og autoritet (informationssikkerhed/GDPR, IT-/cybersikkerhed, ”ePrivacy” mv.).
  • Forberedelse, udførsel og afholdelse af – samt opfølgning på interne/eksterne audits og myndighedstilsyn (ISO 19011/27007).
  • Identificering, måling, analysering, evaluering og overvågning af nøgleindikatorer til bedømmelse af ydeevne og opnåelse af forbedringsmål.
  • Håndtering af andre GDPR-/databeskyttelsesaktiviteter (fx kliniske forsøg, lægemiddelovervågning, videnskabelig forskning,  statistiske undersøgelser, slettefrister og markedsføring).
  • Kontakt og sparring med myndigheder i ind- og udland (registreringer, ansøgninger, rapportering, klager, fortolkning af loven mv. ).

Ydelser indenfor vævs- og cellelovgivningen samt kvalitetsstyring kan passende kombineres med ovenstående. For yderligere information – se relevante undermenuer under ”Ydelser”.

Denne hjemmeside benytter cookies. Ved at fortsætte med at browse på siden accepterer du brugen af cookies