Sådan arbejder Visma med Databeskyttelsesforordningen (GDPR)

Visma & GDPR – sådan arbejder vi med Databeskyttelsesforordningen

Når man er stor må man være…forberedt

Visma-koncernen består af omkring 70 forskellige virksomheder, der dagligt assisterer mere end 760.000 kunder med bl.a. økonomisystemer, detail-it og udvikling af større it-løsninger – og at være en koncern af denne størrelse stiller naturligvis også store krav i forbindelse med store lovændringer som Databeskyttelsesforordningen.

 

Arbejdet med Databeskyttelsesforordningen siden 2015

Af samme grund satte Vismas koncernledelse allerede i 2015 et GDPR-projekt i søen, med henblik på at udvikle en struktur, der gjorde at hele koncernen kunne blive tilpasset til Databeskyttelsesforordningen, når loven træder i kraft. Projektet bestod dengang af 5 personer.

 

Hvad har vi gjort?

  Fastlæggelse af politikker & retningslinjer

Tidligt i processen blev politikker og retningslinjer ridset op, der gjorde sig gældende for hele virksomheden, og vi strukturerede derefter vores GDPR-organisation.

Vismas GDPR-organisation

Vismas GDPR-organisation

 

 Ansættelse af en Data Protection Manager i hver virksomhed

Hver virksomhed har udpeget en person som såkaldt Data Protection Manager (DPM). Denne person har fået uddannelse og ansvar for at understøtte databeskyttelse i netop sin virksomhed. Enkelte virksomheder, hvor man kun i begrænset udstrækning behandler persondata, kan eventuelt have én og samme DPM.

 

En Division Data Protection Manager udpeget i hver division

Hver division har en Divisions-DPM (DDPM) som koordinerer og assisterer. Disse personer udgør, sammen med centrale repræsentanter for HR og markeder, et råd – nemlig Data Protection Council (DPC). Rådet har ansvaret for at følge med i udviklingen på området, og for at organisationen bibeholder vidensniveauet. Rådet har også ansvaret for overblik og samarbejde på tværs af grænser.

 

Corporate Data Protection Manager udnævnt

Rådet ledes af en person, der bærer ansvaret for databeskyttelse på vegne af hele koncernen. Denne person har titlen som Corporate Data Protection Manager (CDPM) og rapporterer direkte til den administrerende direktør og bestyrelsen.

 

Data Protection Officer udpeges

En ny rolle i forbindelse med GDPR er den såkaldte ‘Databeskyttelsesrådgiver‘ eller Data Protection Officer (DPO). Visma-koncernen har ansat en jurist, der fungerer som central DPO.

 

Back-to-back aftaler underskrevet

Alle virksomheder i Visma-koncernen har underskrevet databehandleraftaler med hinanden – såkaldte back-to-back aftaler. På den måde er persondata beskyttet i hele koncernen ved deling af data, både når Visma er dataansvarlig og databehandler.

Arbejdet med at skabe overblik over- og opdatere aftaler der hvor det er påkrævet, skal være afsluttet i alle Visma-koncernens virksomheder senest 24.maj 2018. Det gælder aftaler med kunder, leverandører, partnere og andre eksterne parter.

 

6.500 ansatte uddannet

I efteråret 2017 startede en obligatorisk e-uddannelse som alle Visma-koncernens cirka 6.500 ansatte skal gennemgå. Den består af en del, der omhandler GDPR og databeskyttelse, og en del om hvordan Visma håndterer persondata – både for egne behov og på kundernes vegne. Hver del afsluttes med en test og for at bestå kurset kræves det, at man svarer korrekt på alle spørgsmål. Denne uddannelse indgår også i onboardingen af nye medarbejdere.

 

Databeskyttelsesforordningen i produktudvikling

Koncernkoordinering vedrørende produkter

I Visma-koncernen koordinerer vi vores produktudvikling. Det indebærer, at alle virksomheder har adgang til koncernens ressourcer og kan deltage i planlægningen. Dette giver os en vigtig fordel sammenlignet med mange af vores konkurrenter – ikke mindst i forbindelse med de produkter, der sælges i flere lande.

Samtlige af vores produkter har fået en sikkerhedsgennemgang, som kræver godkendelse på følgende tre områder for at blive vurderet som klar til Databeskyttelsesforordningen:

 

GDPR  

Et af GDPR-specifikke krav fastslår eksempelvis, at der i behandlingen af persondata skal specificeres:

  • Hvilke data der behandles
  • Formålet med behandlingen
  • Hvor længe behandlingen vil foregå.

Alle aftaler med underleverandører skal være godkendte og når det er nødvendigt at formidle information til brugerne, så skal dette gøres på korrekt vis. Vi har også kigget på hvor godt de forskellige produkter understøtter en GDPR-tilpasning.

 

Sikkerhed  

På sikkerhedsområdet fokuseres der blandt andet på autentificering, database-sikkerhed, logning og andre tiltag, der sikrer adgangen til data.

Vil du vide mere om hvordan vi arbejder med sikkerhed? Læs mere på vores Trust Centre (på engelsk)

 

Kvalitet  

På dette område arbejdes der eksempelvis med procedurer for sikker kodning, der systematisk kontrolleres af automatiske og manuelle systemer. Der fokuseres også på rutiner for at foretage hurtige prioriteringer og opdateringer efter behov.

 

GDPR-kompetence i produkt-teams

Hvert produkt-team har sine egne eksperter, som fuldt og helt kan påtage sig ansvaret for sit område. Det gør sig gældende for både udviklere, arkitekter, testere og andre eksperter.

 

Uddannelse af produkt-teams

Visma har en uddannelsesorienteret kultur som også har fokus på vidensdeling. Ud over løbende behovsstyrede uddannelser, samles alle koncernens produkt-teams til årlige konferencedage, hvor der udveksles erfaringer.

 

Adgang til kompetencer i koncernen

Hver division har, ud over adgang til lokal GDPR-støtte fra den enkelte virksomheds DPM, direkte støtte fra divisionens DPM. På denne måde er der etableret gode muligheder for koordinering. Det fungerer på samme måde med sikkerheds- og kvalitetsspørgsmål.

 

En udviklingsenhed med kundekontakt

Vismas udviklere har som en del af deres arbejde regelmæssig kontakt med vores kunder – kontakt med “virkeligheden” er grundlaget for god produktudvikling 🙂

Læs endnu mere om vores arbejde med GDPR på vores engelske sider: https://www.visma.com/privacy/

 

GDPR-rådgivning

Har I behov for rådgivning ifm. EUs databeskyttelsesforordning og kortlægning af jeres data, står vores it-konsulenter klar. Læs mere om Vismas GDPR-rådgivning og lad os lave en aftale.

Laurids sidder til dagligt i Visma Software og er National Web Editor i Visma Danmark
Kontakt Laurids: