Hos VEKS skal man dels strukturere allerede gode vaner, dels sætte lys på tvivlsomme vaner, så de kan udryddes. – Derfor vil vi uddanne organisationen i, hvordan vi mener it-sikkerheden i VEKS skal opfattes og efterleves. Det vil ske via oplysning og træning, men også med den fornødne kontrol, understreger Niels.
VEKS ønsker at opbygge et ledelsessystem ISMS (It Information Management Systems), der understøtter standarden ISO 27001 for at optimere måden at styre alle sikkerhedsregler, men også for at sikre kunders persondata. Med ledelsens involvering oparbejder VEKS en løbende opfølgning og forbedring af it-sikkerhed og beredskaber.
Via opbygningen af it-ledelsessystemet kan VEKS opfylde betingelserne i standarden ISO 27001. Denne ”ISO-opgave” er sat i gang samtidig med en anden opgave om ”GDPR”.
Pas på persondata
GDPR er ligeledes en af Niels’ opgaver, idet VEKS - som alle andre virksomheder - skal dokumentere at overholde EUs persondataforordning; en lov, som træder i kraft den 25. maj 2018. Loven går under betegnelsen GDPR: General Data Protection Regulation.
Det overordnede formål er at sikre, at VEKS internt ikke anvender persondata til andet end formålet. Persondata er den enkeltes ejendom og udgør en værdi, som den enkelte virksomhed er pligtig til at beskytte. Persondata er personlige oplysninger om mennesker, der har eller har haft tilknytning til VEKS, og kan fx omhandle kunder, medarbejdere, jobansøgere m.fl.
Når man i VEKS har fået status over persondata, skal der formentlig ændres i flere arbejdsgange for at sikre efterlevelse af gældende persondatalov. – Der kan gemme sig gamle vaner, som skal revideres, konstaterer Niels.
Første step vil være, at VEKS’ medarbejdere skal forholde sig til ”deres” brug af personoplysninger, og typisk spørge: Hvorfor gemme historiske persondata, som ikke bruges alligevel? At man ikke sletter data, skyldes oftest en gammel rutine eller ren og skær forglemmelse.
De nye regler kræver ud over sikker lagring og brug, at VEKS i nogle tilfælde skal indhente samtykke fra de personer, vi registrer og opbevarer data for - inden data må anvendes.