RÅDGIVNING – OGSÅ OM IT-LEDELSE

Overholder vi databeskyttelsesloven? Skal vi have en DPO?

Har vi overblik over, hvad vi gør, hvis serverne går ned?

Er det afstemt mellem it-drift og forretning, hvad der skal leveres?

REVI-IT leverer rådgivning om persondata, it-ledelsesfunktioner, overholdelse af lovgivning, og kan også fungere som ekstern Data Protection Officer (DPO).

Se mere om de forskellige rådgivningsydelser herunder. Vigtigst er at vide, at vi er uvildige. Ikke bare fordi vi gerne vil være uvildige. Men fordi vi ved lov skal være uvildige i vores rådgivning. Sådan er revisorloven!

Persondata lovgivning – databeskyttelsesloven (GDPR)

Alle virksomheder er omfattet af databeskyttelsesloven (GDPR) ved enhver form for håndtering af oplysninger om personer og medarbejdere. Uanset om man fx  indsamler, registrerer, klassificerer, opbevarer, bruger, eller videregiver oplysninger.

Når I som virksomhed behandler medarbejderdata, eksempelvis ved lønkørsel og personalemæssig administration, skal I leve op til kravene i databeskyttelsesloven, og i en del tilfælde skal der også foretages anmeldelse til Datatilsynet vedr. jeres registrering og anvendelse af data.

Samtidig omhandler databeskyttelsesloven også, hvordan man må foretage databehandling af personoplysninger. Det er særligt relevant, hvis man er it-hostingvirksomhed, sundhedsudbyder, rekrutteringsvirksomheder mv.

25. maj 2018 trådte ændringer til lovgivningen i kraft, og det, der tidligere hed persondataloven er nu blevet erstattet af databeskyttelsesloven, baseret på EU-GDPR. Databeskyttelsesloven har medført skærpelser på en del områder. Der er også nye krav, eksempelvis om, at visse typer virksomheder skal have en Data Protection Officer (DPO).

Vi foretager vurderinger af, om virksomheder lever op til kravene i databeskyttelsesloven (GDPR), og vi har også stor erfaring med erklæringsarbejde og rådgivning i forhold til jeres overholdelse af databeskyttelsesloven i forhold til håndtering af personfølsomme data mv.

Gå til vores persondata-sektion her.

Data Protection Officer (DPO)

Databeskyttelsesloven stiller krav til visse virksomheder om, at der skal udnævnes en Data Protection Officer (DPO). DPO’en skal kort fortalt være ansvarlig for at sikre korrekt databeskyttelse, da brud på databeskyttelsesloven ellers kan have alvorlige konsekvenser både økonomisk og omdømmemæssigt for virksomheden.

En DPO behøver ikke være internt ansat i selve ens virksomhed – man kan også gøre brug af en ekstern DPO. Denne rolle kan vi udføre for virksomheder, og vi rådgiver også om DPO-rollen og relaterede områder.

REVI-IT som ekstern DPO

Læs vores FAQ om DPO-rollen

It-ledelse og styring

Når it-afdelingen bliver mødt med krav om at vurdere sikkerhedsniveau. Når it-afdelingen gerne vil have ledelsen til at forstå (og omvendt). Når it-drift skal være transparent og målbar. Når man ønsker at bruge ord som SLA, ydelseskatalog, serviceleverance, budget, risikoanalyse mv. Vi kan assistere med facilitering af implementering af en it-ledelsesmodel. Både i organisationen der har vokset sig stor – og i den lille.

Beredskabsplanlægning

Med baggrund i en vurdering af virksomhedens afhængighed af forretningssystemer, data og forretningsgange, tager udarbejdelsen af en praktisk beredskabsplan sin begyndelse.

REVI-IT har indgående erfaring med rådgivning og hjælp i hele processen, herunder:

  • Risikovurdering og klassificering af kritiske forretningsprocesser og sammenhænge
  • Identifikation af kritiske aktiver
  • Formulering af beredskabsplaner for forretningsprocesser og understøttende it
  • Test af planen.

Outsourcing – skal, skal ikke

De seneste års stigende konkurrence og fokus på fordele ved ekstern hosting af hele eller dele af it-systemerne har medført, at outsourcing af it-systemer er en reel mulighed for mange virksomheder – store som små.

Fordelene tæller blandt andet mulighed for øget sikkerhed og økonomiske besparelser.

Ulemperne kan være øget afhængighed af leverandører og manglende gennemsigtighed af procedurer, herunder it-sikkerhedsniveau hos leverandøren.

REVI-IT tilbyder uafhængig sparring og rådgivning i forhold til den relevante løsning for den enkelte virksomhed, for det er ikke lige til. Outsourcing er ikke altid det rigtige – men ofte er det.

It-sikkerhedspolitik

Med udgangspunkt i gældende standarder (ISO 27000-familien) rådgiver REVI-IT om udarbejdelse af politikker og forretningsgange for virksomheden.

Vi rådgiver og assisterer herudover med implementering af politikken – for populært sat er det nemme at skrive politikken; det svære er, at få brugerne til at følge den.

Formålet med en it-sikkerhedspolitik er at sikre:

  • Et ensartet sikkerhedsniveau i virksomheden
  • At ressourcerne anvendes optimalt

Udgangspunktet for it-sikkerhedspolitikken er:

  • Lovgivningsmæssige krav, herunder eksempelvis bogføringsloven og databeskyttelsesloven
  • Andre bestemmelser som virksomheden skal leve op til
  • Standarder som virksomheden skal/vil overholde, eksempelvis DS 484
  • Virksomhedens egne krav til it-sikkerhedsniveauet defineret ud fra en risikovurdering.

It-sikkerhedspolitikken skal målrettes de forskellige modtagere, herunder ledelse, medarbejdere, it-folk, eksterne leverandører m.fl. Politikken kan således med fordel opdeles i en egentlig politik og relevante målrettede retningslinjer.

Qua vores arbejde med it-revision, hvor vi gennemgår virksomheders it-systemer – og dermed også it-sikkerhedspolitik, er det nærliggende, at vi rådgiver om udarbejdelsen, for vi har selvsagt set mange.

Det vigtigste er, at it-sikkerhedspolitikken er målrettet virksomhedens virkelighed.

Bogføringsloven

Bogføringen skal tilrettelægges og udføres i overensstemmelse med god bogføringsskik. Det skal sikres, at regnskabsmaterialet ikke ødelægges, bortskaffes eller forvanskes, og at der ikke opstår fejl og misbrug. Enhver registrering skal således være dokumenteret ved et grundbilag.

Endvidere skal registreringerne tilrettelægges således, at der er et fyldestgørende revisions- og kontrolspor. Der skal således foreligge en systembeskrivelse, som beskriver de benyttede systemer, hjælpemidler og lignende.

Regnskabsmaterialet skal som udgangspunkt opbevares her i landet, og opbevaringen skal sikres i 5 år efter udløbet af det regnskabsår, materialet vedrører.

REVI-IT tilbyder at foretage en gennemgang af virksomhedens processer, it-systemer og dokumentation til sikring af, at virksomheden lever op til lovgivningens krav til håndtering af regnskabsmateriale.

Produktblade

Du kan læse mere om vores forskellige rådgivningsydelser i vores produktblade om emnet: 

Du kan også downloade pdf’er fra ovenstående links.

Vi foretager også andre rådgivningsydelser end ovenstående. Du er naturligvis velkommen til at kontakte os for at høre nærmere.