DeiC Compliance

DeiC Sikkerhed / DKCERT har etableret en tjeneste, som skal hjælpe institutionerne på forskningsnettet med at håndtere de stigende krav til Informationssikkerhed og databeskyttelse.

Kravene til informationssikkerhed og databeskyttelse er stigende overalt i samfundet. Det ses bl.a. ved de mange nye lovgivnings- og reguleringsmæssige initiativer på både nationalt og EU-plan, og der er fra alle interessenters side en forventning om en systematisk og dokumenteret håndtering af databeskyttelse.

For mange forsknings- og uddannelsesinstitutioner er det i sig selv en stor udfordring at holde sig løbende orienteret om nye tiltag.

Derudover er der en risiko for, at den enkelte institution opbygger separate og måske endda konfliktende regelsæt til de mange hensyn, som reguleres separat. Det gælder f.eks. beskyttelse af virksomhedsdata aht. virksomheden selv (ISO27001), beskyttelse af persondata aht. de registrerede (GDPR) og beskyttelse af samfundsvigtige data aht. hele samfundet (NIS2).

Et vigtigt fundament for DeiC Sikkerhed / DKCERTs tjenester er at følge med i og påvirke de reguleringstiltag, som forsknings- og uddannelsesinstitutioner er underlagt på dette område.

Da GDPR blev for nogle år siden blev implementeret i Danmark gennem Databeskyttelsesloven, oprettede vi en konkret tjeneste: DPO-tjenesten. Denne hjælper flere forskningsnetsinstitutioner specifikt med at implementere og efterleve GDPR på en systematisk og ressourceeffektiv måde.

Dette arbejde bliver udbygget og systematiseret gennem DeiC Compliance, der efter lignende principper hjælper uddannelses- og forskningsinstitutionerne med at håndtere de stigende krav til dokumenteret efterlevelse af diverse nationale og regionale compliancekrav.

Hvem er kunderne?

Tjenesten retter sig mod institutioner, der ønsker hjælp til at samtænke deres håndtering af databeskyttelse i forhold til de forskellige governancesystemer, som de skal efterleve. Det gælder f.eks. ISO27001, GDPR, Statens Tekniske Minimumskrav og NIS2.

Der er flere lighedspunkter end forskelle mellem disse reguleringsregimer, så samtænkning er nøgleordet. 

Hvis man ønsker at gøre brug af tjenesten, vil det typisk bestå af en indledende kortlægning af den aktuelle status på institutionen ifht. relevante interessenter og lovgivning. I en fælles proces udarbejdes på den baggrund en GAP-analyse og en handlingsplan, som løbende evalueres og indfases i et årshjul.

Afhængig af behov vil den løbende ydelse bestå af en abonnementsordning til fast minimumspris med bl.a. korte kvartalsvise møder til opfølgning og tilpasninger af handlingsplanen samt en årlig rapport til institutionens ledelse. Som tilkøb kan den løbende ydelse kan suppleres med rådgivning om aktuelle emner eller facilitering af interne processer – f.eks om intern organisering eller inddragelse af ledelsen.

Tjenesten vil kunne skaleres i omfang efter institutionens størrelse, ligesom det konkrete indhold vil tilpasses den aktuelle situation. I nogen perioder er der måske fokus på persondatabeskyttelse, mens det i andre perioder måske er tilsyn eller rapporteringer, som er i fokus. Tjenesten vil efter behov kunne inddrage eksperter fra alle DeiC Sikkerheds faglige områder.

Tjeneste