Allerede i god tid innen EU’s persondataforordning ((EU) 2016/679) trer i kraft kan NTT DATA Business Solutions dokumentere at deres hostingdrift lever opp til kravene om håndtering av persondata da revisjonsfirmaet PwC har utstedt en ISAE 3000-sertifisering til NTT DATA Business Solutions.
Med en ISAE 3000-sertifisering i hånden bekrefter NTT DATA Business Solutions at bedriftens sikkerhetsprosedyrer lever opp til alle kravene i EU’s kommende persondataforordning – General Data Protection Regulation (GDPR) – som trer i kraft den 20. juli 2018 i Norge. NTT DATA Business Solutions’ hostingkunder får dermed en garanti på at alle prosedyrer og rutiner i forhold til persondata blir fulgt, fra persondataene kommer inn i systemene og til de blir slettet igjen.
«Vi ønsker å være i forkant med å utøve en god IT-skikk, og gi våre hostingkunder en sikkerhet på at de er i trygge hender. Vi har gjort en stor innsats for å få etablert en kompetent og handlekraftig gruppe som har utformet vårt GDPR-program, og definert alle nødvendige kontrolprosesser. Vi er i stand til å sikre kundenes data, herunder persondata, både på organisasjonsplan og teknisk, via veldefinerte prosedyrer for kommunikasjon, monitorering, sikkerhet, adgangskontroll og risikostyring,» sier Tommy Jeppesen, Senior Director, Managed Services Nordic Region.
En prosjektgruppe bestående av beslutningstagere og QA Manager, Martin Hallengreen, har sammen drevet prosessen med å gjøre organisasjonen og den tekniske delen klar før ISAE 3000-sertifiseringen. Denne fremgangsmåten har sikret et solid fundament for GDPR-programmet og har, ifølge PWC, skapt en best-practice i relasjon til involvering av QA og kvalitet i arbeidet, og som de derfor videre anbefaler til andre bedrifter.
«Det er vår oppfatning at involvering av en kvalitetsfunksjon i arbeidet sikrer at det jobbes systematisk med dokumentasjon, samt at det sørger for en rød tråd i arbeidet fra den overordnede styringen helt ut til dem som jobber med som jobber med kundenes systemer til daglig. Dette sikrer at arbeidet med GDPR ikke blir en ekstra administrativ byrde. Sertifiseringen fra PWC vil stille NTT DATA Business Solutions i en sterk posisjon til å ha de riktige kontrollene i forhold til å fungere som dataprosessor for sine hostingkunder, og dermed bidra til overholdelse av GDPR.» Jesper Parsberg Madsen, Partner, IT Risk Assurance, PWC.
NTT DATA Business Solutions har i tillegg lykkes med å integrere GDPR-programmet og tilpasse nye prosesser i bedriftens eksisterende politikk for databeskyttelse uder ISAE3402-2-erklæringen.
«Persondatareglene vil løpende bli skjerpet i takt med at omfanget og verdien av persondata stiger. Man kan velge å bytte en datafestning fra første reise, men enda viktigere er det å integrere GDPR-programmet i de sikkerhetspolitikkene man allerede har implementert i bedriften. Vi vil løpende regulere vårt GDPR-program i takt med kundenes behov og nye krav fra EU,» sier Martin Hallengreen, Quality & Compliance Manager, Managed Services, NTT DATA Business Solutions.
