Jafnlaunavottun fyrir sveitafélög

Nýlega kom fram í fjölmiðlum að fjöldi sveitafélaga eiga eftir að ljúka við innleiðingu á jafnlaunakerfi til vottunar. Innleiðing og vottun á jafnlaunakerfi hjá sveitafélögum með yfir 250 starfsmenn þarf að ljúka fyrir áramót og  er því  mikilvægt að hefjast handa sem fyrst. Við hjá Avanti-ráðgjöf höfum verið að veita sveitafélögum ráðgjöf við innleiðingu á jafnlaunakerfi og bjóðum upp á heilstæðan pakka til að einfalda málin. Okkar aðferðafræði gengur út á að útvega öll nauðsynleg sniðmát af skjölum, aðstoða við gerð starfaflokkunar og launagreininga, setja upp innri úttektir og almennt gera sveitafélög klár í jafnlaunavottun hjá vottunarfyrirtæki.

Í tilviki sveitafélaga þá er notað samhæft starfaflokkunarmat (starfsmat.is).  Við höfum þegar framkvæmt slíkt mat hjá sveitafélögum og erum með útfyllt sniðmát sem flýtir mjög fyrir því ferli að ljúka starfaflokkun og launagreiningu.

Ef þú er að leita að lausna fyrir innleiðingu á jafnlaunakerfi til vottunar fyrir þitt sveitafélag þá endilega hafðu samband á avanti@avanti.is. 



Upplýsingaöryggi og GDPR

Innleiðing upplýsingaöryggiskerfis er nauðsynlegur hluti af innleiðingu GDPR. Ástæða þess er sú að á mörgum stöðum í GDPR koma fram ákvæði sem tilgreina að :

Ábyrgðaraðili og vinnsluaðili skulu gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga ..“

Út frá ofangreindu er það almennt skilið að tilvist upplýsingaöryggiskerfis sé nauðsynlegur þáttur í innleiðingu GDPR. Slíkt upplýsinga öryggiskerfi hlýtur jafnframt að taka mið af almennt viðurkenndum stöðlum á því sviði og sá staðall sem helst kæmi til álita í þeim efnum væri ISO-27001.  GDPR reglurnar segja ekki að  öll fyrirtæki og stofnanir verði að fá sér vottun fyrir ISO -27001 eða tilsvarandi, heldur að til staðar sé upplýsinga-öryggiskerfi sem að lágmarki tryggi  „viðeigandi öryggi persónuupplýsinganna“ og gerir „viðeigandi tæknilegar og skipulagslegar ráðstafanir“ við vinnslu þeirra.

Hvað þættir úr ISO-27001 eru svo taldir nauðsynlegur hluti af GDPR ? Hér að neðan má sjá lista um þau stefnuskjöl, vinnuferla og vinnureglur sem talin eru að þurfa að vera til staðar að lágmarki.

Þetta eru :

  • Upplýsingaöryggisstefna – stefna fyrirtækisins varðandi upplýsingaöryggi almennt og persónuupplýsingar sérstaklega
  • Aðgangsstjórnunarstefna – stefna fyrirtækisins varðandi  hver sé með aðgang að persónuupplýsingum og hvernig sá aðgangur er veittur.
  • Rekstrarhandbók fyrir upplýsingatæknideild – Öll atriði varðandi rekstur UT deildar, praktísk atriði eins og afritunartaka og margt fleira.
  • Stefna um flokkun upplýsinga – Flokka þar allar upplýsingar eftir trúnaðarstigi þ.m.t persónuupplýsingar
  • Stefna um nafnleysi og gerviauðkenni – Ef fyrirtækið hefur hugsað sér umbreyta persónuupplýsingar í nafnlausar upplýsingar eða nota gerviauðkenni
  • Stefna um notkun dulkóðunar – Ef fyrirtækið vill nota dulkóðun til að gera persónuupplýsingar öruggari í vinnslu eða flutningi.

Þess ber að geta að þetta eru þau atriði úr ISO 27001 staðlinum sem þurfa vera til staðar að lágmarki. Það er oftast nauðsynlegt að taka fleiri atriði til skoðunar og að gera sér grein fyrir heildarstöðu fyrirtækja og stofnanna gagnvart ISO 27001 staðlinum sem slíkum. Af þeim sökum er gjarna gert stöðumat hjá viðkomandi fyrirtæki gagnvart öllum 114 atriðunum í viðauka A í ISO 27001.

Vinsamlega hafið samband á vefsíðu okkar eða sendið okkur tölvupóst á avanti@avanti.is fyrir frekari upplýsingar um þjónustu okkar á þessu sviði.

Starfaflokkun og launagreining

Starfaflokkun og launagreining er grundvöllur þess að geta fengið Jafnlaunavottun. Það er reyndar bara einn þáttur af mörgum á þeirri vegferð en sá hluti sem oftast tekur mestan tíma. Starfaflokkun er sú aðgerð að meta hvert starf til stiga út frá viðmiðum. Hvert starf gerir ákveðnar kröfur um hæfni, þekkingu og reynslu og það ætti að endurspeglast í þeim launum sem greidd eru fyrir það starf. Það ætti því að vera nokkuð góð fylgni á milli starfsmatsstiga og heildarlauna eða eins og sést á línuriti hér að neðan.

Í raun og þá sérstaklega þegar launagreining er framkvæmd í fyrsta skipti, þá standa flestir frammi fyrir einhverju því sem kemur fram í þessu línuriti :

Skýringin liggur oftast í því að ekki sé búið að taka tillit til allra viðmiða sem í raun eru notuð. Eins og kemur fram í Jafnlaunastaðlinum þá er markmiðið að greidd séu sömu laun fyrir sömu eða jafnverðmæt störf. Hvert starf er metið óháð þeim einstakling sem skipar starfið þ.e.a.s. þær kröfur sem starfið gerið út frá tilteknum viðmiðum eins og starfsreynslu, menntun og fleiri þátta. Hins vegar skal líka taka tillit til persónubundinna þátta sem geta verið að margvíslegum toga. Það gæti verið samkeppnisviðmið, þ.e.a.s. að engin leið sé að ráða tiltekna sérfræðinga nema að bjóða þau laun sem samkeppnisaðilar eru að bjóða, frammistöðuviðmið t.d varðandi sölu eða framleiðni og svo mætti lengi telja.

Við höfum aðstoðað fjölda fyrirtækja við að framkvæma starfsmat þannig að það endurspegli launakerfi viðkomandi fyrirtækisins eða stofnunar, og taki tillit til allra viðmiða sem eru lögð til grundvallar við launaákvörðun.

Hvert er hlutverk öryggisstjóra í ISO 27001?

Það kann að skjóta skökku við en ISO 27001 staðalinn gerir ekki kröfu um fyrirtæki tilnefni öryggisstjóra (CISO-Chief Information Security Officer), eða annan tilgreindan aðila til að samhæfa aðgerðum tengdum upplýsingaöryggi. Þetta er þó skiljanlegt, ISO 27001 er settur fram á þann veg að hann á við fyrirtæki af öllum stærðum og í öllum atvinnugreinum þannig að slík skylda fyrir minni fyrirtæki væri ekki raunhæft.

Þar sem ISO 27001 gerir ekki ráð fyrir öryggisstjóra eða tilgreinir verkefni þeirrar stöðu þá er það undir stjórnendum komið að ákveða hvað henti viðkomandi fyrirtæki best. Almennt séð mundi slíkur aðili samhæfa allar aðgerðir varðandi upplýsingaöryggi hjá fyrirtækinu og hér að neðan er nokkrar hugmyndir um hverjar þær aðgerðir ættu að vera.

Hlíti:

  • Útbúa lista yfir hagsmunaaðila sem tengjast upplýsingaöryggi
  • Útbúa lista yfir kröfur hagsmunaaðila
  • Verið í sambandi við yfirvöld og sérstaka hagsmunahópa
  • Samræma allar aðgerðir sem tengjast persónuverndarvernd

Skjölun:

  • Leggja fram drög að meginskjölum upplýsingaöryggiskerfis – t.d. upplýsingaöryggisstefnu, flokkunarstefnu, aðgangsstjórnunarstefnu, viðunandi notkun eigna, áhættumat og áhættumeðferðar, yfirlýsing um gildar stýringar, áhættumatsáætlun o.fl.
  • Verið ábyrgur fyrir að rýna og uppfæra helstu skjöl

Áhættustjórnun:

  • Kenna starfsmönnum hvernig á að framkvæma áhættumat
  • Samræma allt ferlið við áhættumat
  • Leggja fram tillögur að varnaðaraðgerðum
  • Leggja til lokafresti fyrir varnaðaraðgerðir

Mannauðsstjórnun:

  • Framkvæma bakgrunnsskoðun á atvinnuumsækjendum þegar við á
  • Undirbúa þjálfunar- og vitundaráætlun um upplýsingaöryggi
  • Halda úti fræðslustarfsemi til að auka öryggisvitund starfsmanna t.d. innlegg á reglulega starfsmannafundi
  • Fræðsla um öryggismál fyrir nýja starfsmenn
  • Leggja til aga-viðurlög gagnvart þeim aðilum sem fylgja ekki öryggisreglum eða hafa gerst sekir um öryggisbrot

Tengsl við æðstu stjórnendur:

  • Upplýsa um kosti og ávinning upplýsingaöryggis
  • Leggja fram upplýsingaöryggismarkmið
  • Skýrslugjöf um niðurstöður mælinga
  • Leggja til öryggisbætur og úrbætur
  • Leggja til fjárhagsáætlun og aðrar nauðsynlegar auðlindir til að vernda upplýsingar
  • Tilkynna um mikilvægar öryggiskröfur hagsmunaaðila
  • Upplýsa stjórnendur um helstu áhættuþætti
  • Skýrsla um framkvæmd öryggisráðstafana
  • Vera stjórnendum til ráðgjafar í öllum öryggismálum

Umbætur:

  • Tryggja að allar úrbótaaðgerðir séu framkvæmdar
  • Staðfesta að úrbótaaðgerðir hafi komist fyrir grunnorsök öryggisatvika

Eignastýring:

  • Halda skrá yfir allar mikilvægar upplýsingaeignir
  • Eyða skrám sem ekki er þörf fyrir lengur
  • Farga miðlum og búnaði sem er ekki lengur í notkun, á öruggan hátt

Þriðju aðilar:

  • Framkvæma áhættumat fyrir starfsemi sem er útvistuð
  • Framkvæma bakgrunnsskoðun fyrir mögulega samstarfsaðila fyrir útvistun
  • Skilgreina öryggisákvæði sem verða að vera hluti af samningi

Samskipti:

  • Skilgreindu hvaða tegund samskiptaleiða eru ásættanlegar og hverjar eru það ekki
  • Undirbúa samskiptabúnað sem notaður er í neyðartilvikum / hamförum

Atvikastjórnun:

  • Taka við tilkynningum um öryggisatvik
  • Samræma viðbrögð við öryggisatvikum
  • Undirbúa sönnunargögn um málarekstur eftir öryggisatvik ef með þarf
  • Greina atvik til að koma í veg fyrir endurtekningu þeirra

Samfelldur rekstur/hamfaraáætlanagerð:

  • Samhæfa greiningu í áætlun um samfelldan rekstur og gerð viðbragðsáætlana
  • Samræma æfingar og prófun
  • Framkvæma rýni eftir prófanir  viðbragðsáætlana

Tæknilegar:

  • Samþykkja viðeigandi aðferðir til verndar farsímum, tölvukerfum og öðrum samskiptastöðvum
  • Leggja fram auðkenningaraðferðir, lykilorðsstefnu, dulkóðunaraðferðir o.s.frv..
  • Leggja fram reglur um örugga fjarvinnu
  • Skilgreina öryggisaðgerðir á internetþjónustu
  • Skilgreina reglur um örugga þróun upplýsingakerfa
  • Skoða skrár yfir notendavirkni til að greina grunsamlega hegðun

Hvernig á að skjalfesta ábyrgð öryggisstjóra

Eins og sjá má er ábyrgð öryggisstjóra margþætt þannig að þessi einstaklingur lætur til sín taka í nær öllum deildum fyrirtækisins.

Því stærra fyrirtæki, því erfiðara verður að muna alla þessa ábyrgðarþætti. Það væri því góð hugmynd sérstaklega í stærri fyrirtækjum, að setja fram eitt eða fleiri skjöl þar sem þessum ábyrgðarþáttum er lýst.  Sum fyrirtæki hafa tilhneigingu til að skrá alla ábyrgð öryggistjóra í einu skjali, sem mér persónulega finnst ekki mjög gagnlegt – það er vegna þess að erfitt er að skilja hlutverk einhvers án þess að sjá ferlið sem hann eða hún, er hluti af.

Þess vegna held ég að það sé betra að lýsa þeim skyldum í nokkrum skjölum sem lýsa þeim ferlum – til dæmis ætti að skilgreina ábyrgð öryggisstjóra sem tengist stjórnun mannauðs í mannauðsstjórnun, ábyrgðar vegna frábrigðastjórnunar o.fl.

Hver ætti að vera öryggisstjóri?

Í smærri fyrirtækjum ætti hlutverk öryggisstjóra að vera framkvæmt af völdum starfsmanni ásamt öðrum starfsskyldum sínum. T.d. ef fyrirtæki er með 10 starfsmenn, þá gætu öryggismálin verið í  umsjón UT kerfisstjóra.  Ef fyrirtæki er með 100 starfsmenn gæti öryggisstjóri verið framkvæmdastjóri eða tilgreindur kerfisstjóri.  Hins vegar, ef fyrirtækið  er með nokkur þúsund starfsmenn, ætti það að hafa öryggisstjóra í fullu starfi.

Þegar fyrirtækið velur öryggisstjóra, þá ættu aðalviðmiðin ekki einungis að vera hve tæknilega fróður viðkomandi er um upplýsingatækni.  Ég tel að það sé enn mikilvægara að öryggisstjóri þekki rekstur fyrirtækisins og hafi góða samskiptahæfileika.

Af hverju er þetta? Vegna þess að aðalstarf öryggisstjóra er að þróa öryggismenningu hjá viðkomandi fyrirtæki, menningu sem byggir á áhættugreiningu fyrir upplýsingaöryggi. Rétt eins og ein af meginreglunum í öllum fyrirtækjum er að allar aðgerðirnar séu arðbærar, ætti öryggisstjóri að þróa svipað innbyggt hugarfar varðandi öryggi, að allur atvinnurekstur skapi ákveðna öryggisáhættu og að slíkri áhættu sé stjórnað með viðeigandi öryggisráðstöfunum,  þannig að fyrirtæki hafi gagn af.

Tilboð um kerfisskjöl fyrir ISO 27001:2013 upplýsingaöryggiskerfi

Innleiðing ISO 27001 upplýsingaöryggis er stórt verkefni og tekur á öllum þáttum upplýsingaöryggismála. Samkvæmt ISO 27001 staðlinum þá verða að vera til staðar kerfisskjöl sem sýna fram á að fyrirtækið hafi sett sér stefnu og verklagsreglur sem taki á öllum þáttum upplýsingaöryggismála.

Við bjóðum nú þessi kerfisskjöl á sérstöku tilboðsverði sem er 450.000 kr. án VSK. Innifalið í þessari upphæð eru 16 tímar ráðgjafa fyrir aðlögun skjala að þínu fyrirtæki eða stofnun, stöðumat og gerð innleiðingaráætlunar.

Stöðumat fyrir ISO 27001 er gert út frá almennun atriðum staðalsins en einnig út frá viðauka A við staðalinn.

Viðauki A er nákvæm útfærsla á þeim atriðum sem þurfa að vera til staðar og saman stendur af 114 eftirlitsþáttum sundurliðað í 12 köflum eins og sést hér til hliðar.

Út frá stöðumati er hægt að gera nákvæmt tilboð fyrir innleiðingarráðgjöf ef þess er óskað. Innleiðing ISO 27001:2013 er stórt verkefni sem tekur marga mánuði og við getum aðstoða þig við að klára það verkefni.


Hlutverk og skyldur Persónverndarfulltrúa

Ráðgjöf vegna persónuverndar felst aðallega í því að aðstoða fyrirtæki við að uppfylla ákvæði laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 og svara spurningum um einstök atriði þeirra laga og GDPR reglugerðarinnar. Við ráðgjöf af þessu tagi koma upp spurningar og álitaefni af margvíslegum toga en ein algengasta spurningin varðar stöðu, verkefni og skipan persónuverndarfulltrúa. Í þessari grein verður leitast við að skoða helstu atriði varðandi stöðu persónuverndarfulltrúa.

Í lögunum koma fram tiltekin skilyrði varðandi skipan persónuverndarfulltrúa og á vef Persónuverndar segir að skipa skal persónuverndarfulltrúa ef eitt eða fleiri neðan greindra skilyrða er uppfyllt óháð stærð fyrirtækis :

  • Vinnsla fer fram hjá stjórnvaldi (óháð því hvaða persónuupplýsingar eru unnar). Það sama á við um sveitarfélög.
  • meginstarfsemi ábyrgðaraðila eða vinnsluaðila lýtur að vinnsluaðgerðum, sem fela í sér umfangsmikið, reglubundið og kerfisbundið eftirlit með einstaklingum.
  • meginstarfsemi ábyrgðaraðila eða vinnsluaðila er umfangsmikil vinnsla viðkvæmra persónuupplýsinga eða persónuupplýsingar er varða sakfellingar í refsimálum og refsiverð brot.“

Það má segja að öll þau fyrirtæki og stofnanir sem undirritaður hefur unnið fyrir, falla undir þessi ákvæði sem þýðir að skipan persónuverndarfulltrúa hefur verið nauðsynleg. Þá hafa þær spurningar komið upp hjá okkar viðskiptavinum hverjar séu hæfniskröfur og skyldur persónuverndarfulltrúa.

Upplýsingar um slíkt er einnig að finna á vef Persónuverndar er þar segir að (tilvitnun skálletrað) :

Persónuverndarfulltrúi skal tilnefndur á grundvelli faglegrar hæfni sinnar, einkum sérþekkingar á persónuverndarlögum og lagaframkvæmd á því sviði, auk getu sinnar til að vinna þau verkefni sem honum eru falin í reglugerðinni.

Við mat á því hvaða kröfur þarf að gera til sérþekkingar persónuverndarfulltrúans þarf að hafa hliðsjón af þeirri vinnslu persónuupplýsinga sem fer fram og þeim kröfum sem gerðar eru til verndar þeirra persónuupplýsinga sem vinnslan lýtur að. Þegar vinnsla persónuupplýsinga er mjög flókin eða þegar um er að ræða umfangsmikla vinnslu viðkvæmra upplýsinga þarf að gera ríkari kröfur til sérþekkingar persónuverndarfulltrúans og þess stuðnings sem hann getur þarfnast.

  • Mikilvæg hæfni og sérþekking getur t.d. verið:
  • sérþekking á innlendum og evrópskum persónuverndarlögum og lagaframkvæmd á því sviði,
  • skilningur á þeirri vinnslu sem fram fer,
  • skilningur á öryggis- og upplýsingatæknimálum,
  • þekking á starfsemi fyrirtækisins,
  • geta til að efla persónuverndarmenningu hjá viðkomandi stofnun/fyrirtæki.
  • Ef um stjórnvöld er að ræða ætti persónuverndarfulltrúinn að hafa þekkingu á stjórnsýslulögum svo og þeim lögum er varða umrædda starfsemi.

Rétt er að taka fram að persónuverndarfulltrúar þurfa ekki að hafa sérstaka vottun sem persónuverndarfulltrúar til að geta gegnt umræddu starfi, þó svo að vissulega geti slík vottun verið til marks um að viðkomandi hafi a.m.k. einhverja þekkingu á persónuverndarlöggjöf. Þá er ekki gert að skilyrði að persónuverndarfulltrúinn sé lögfræðingur, en viðkomandi þarf engu að síður að hafa greinargóða þekkingu á persónuverndarreglugerðinni og öðrum lögum sem starfsemina varða.“

Út frá þeirri meginreglu að hæfniskröfur til persónuverndarfulltrúa : „þarf að hafa hliðsjón af þeirri vinnslu persónuupplýsinga sem fer fram og þeim kröfum sem gerðar eru til verndar þeirra persónuupplýsinga sem vinnslan lýtur að.“ mætti ráða að því einfaldari sem reksturinn er og  hefur ekki í för með sér mikla áhættu fyrir persónupplýsingar, því minni kröfur væru gerðar til  persónuverndarfulltrúa.

Hins vegar er það ekki algilt því að sérstaklega er tekið fram að „að persónuverndarfulltrúinn getur ekki verið í þannig stöðu að hann ákveði tilgang og aðferð við vinnslu persónuupplýsinga.“ sem þýðir að flestir stjórnendur og milli stjórnendur eru útilokaðir jafnvel þó þeir uppfylli hæfniskröfur miðað við flækjustig fyrirtækis.

Það er einnig spurning út frá verkefnum persónuverndarfulltrúa hvort það geti samrýmst því hlutverki að „að sinna eftirliti með reglufylgni og aðstoða ábyrgðaraðila og vinnsluaðila við að fylgja persónuverndarreglugerðinni“  að vera yfirleitt starfsmaður viðkomandi fyrirtækis eða stofnunar út frá kröfum um óhæði. 

Á vef Persónuverndar segir varðandi reglufylgni að persónuverndarfulltrúinn þurfi að :

  • safna upplýsingum til að greina vinnslustarfsemi,
  • greina og fylgjast með reglufylgni í starfseminni
  • upplýsa, ráðleggja og koma á framfæri tillögum til ábyrgðaraðila eða vinnsluaðila.“

Í ljósi þess að gert er ráð fyrir þeim möguleika að fyrirtæki geti fengið vottun gagnvart staðli um persónuvernd þá má gera ráð fyrir því að tilvist stefnuskjala, verklagsreglna og annarra nauðsynlegra gagna séu forsenda fyrir slíkri vottun. Eins og er þá er engin „opinber“ staðall varðandi vottanir fyrir GDPR en gera má ráð fyrir því að staðlar eins og ISO/IEC 29100:2011, BS 10012 og ISO/IEC 27001:2013 verði notaðir til hliðsjónar. 

Hlutverk persónuverndarfulltrúa væri þá að sjá til þess að innri úttektir séu framkvæmdar sem uppfylla ákvæði staðalsins þannig að fyrirtækið eða stofnunin væri vottunarhæf.  Það eitt og sér gerir ráð fyrir því að viðkomandi hafi þekkingu á endurskoðun stjórnkerfa skv. ISO 19011:2018 en allir stjórnkerfis staðlar hafa tilvísun í þann staðal varðandi framkvæmd innri úttekta/endurskoðunar.

Það er því afar líklegt að til viðbótar við ofangreindar hæfniskröfur persónuverndarfulltrúa er þekking á framkvæmd innri úttekta/endurskoðunar samkvæmt ISO 19011:2018 einnig nauðsynleg.

Í 23. gr. Laga um persónuvernd og vinnslu persónuupplýsinga kemur fram að :

 Ábyrgðaraðili skal gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar samkvæmt nánari fyrirmælum 24. og 25. gr. reglugerðarinnar.

Þetta hugtak „tæknilegar og skipulagslegar ráðstafanir“ kemur fyrir á fjölmörgum stöðum í bæði lögunum og reglugerðinni og vísar í meginatriðum til upplýsingaöryggis og tilvist upplýsingaöryggiskerfis hjá viðkomandi fyrirtæki eða stofnun. Þessi ákvæði gera ekki kröfu til vottunar samkvæmt ISO/IEC 27001:2013 með beinum hætti en ljóst er að meginþættir þess staðals ættu að vera til staðar engu að síður. Þar sem það er hlutverk persónuverndarfulltrúa að staðreyna reglufylgni þá leiðir af því að viðkomandi ætti að hafa góðan skilning á upplýsingaöryggi til þess að leggja mat á það hvort viðeigandi tæknilegar og skipulagslegar ráðstafanir séu til staðar við vinnslu persónuupplýsinga.

Í ljósi alls framangreinds þá hefur það oftar en ekki verið niðurstaðan að best að úthýsa þessari starfsemi og það er vissulega ákvæði um slíkt í lögunum. Í lögunum er  gefin heimild fyrir því að fleiri en eitt stjórnvald geti sameinast um einn persónuverndarfulltrúa með þeim fyrirvara þó að allir eigi jafngreiðan aðgang að viðkomandi.  Það kemur einnig fram í lögunum og leiðbeiningum á vef Persónuverndar að mögulegt sé að tilnefna lögaðila sem persónuverndarfulltrúa.

Þegar lögaðili er tilnefndur sem persónuverndarfulltrúi gagnvart viðskiptavininum þá verður að vera tilgreindur ábyrgur tengiliður og þar að auki er það gert að skilyrði að til staðar sé teymi hjá þeim aðila þar sem allir meðlimir teymisins uppfylli kröfur sem reglugerðin gerir til hæfni persónuverndarfulltrúa.  

Út frá ofangreindu þá mætti ætla að heppilegasta fyrirkomulagið hjá stærri fyrirtækjum eða þeim sem hafa vinnslu persónuupplýsinga að meginstarfsemi, að ráða lögaðila sem persónuverndarfulltrúa þar sem allir meðlimir teymisins í sameiningu hafa nægjanlega sérþekkingu á lögfræði, rekstri, endurskoðun og upplýsingatækni til þess að starfa sem persónuverndarfulltrúi.

Vantar þig gæðakerfi ?

ISO – 9001 gæðakerfi

Innleiðingarráðgjöf

Ráðgjafar Avanti – ráðgjöf hafa áratuga reynslu af innleiðingu gæðakerfa og hafa komið að innleiðingu samkvæmt ISO-9001
staðlinum fyrir fjölmörg fyrirtæki og stofnanir. Við getum hjálpað þér að koma þínu fyrirtæki í gegnum vottun fyrir ISO -9001 og öðlast alþjóðlega viðurkenningu fyrir rekstur gæðakerfis.

Innleiðing gæðakerfis í þremur skrefum

Food-Delivery-1 Food-Delivery-2 Food-Delivery-3
  • ISMS stöðumat (ISO-9001) –  Stöðumat er lykilatriði í úrbótaáætlun og fyrsta skrefið í því ferli að koma upp vottuðu ISMS kerfi.
    • Verkefnisáætlun  – Vegvísir sem skilgreinir verkefni, nálgun og ábyrgð sem nauðsynleg er til að takast á við skilgreind úrbótaverkefni á þeim tíma sem þarf til að ná fram markmiðum verkefnisins, þ.m.t vottun.
  • Stefna um gæðastjórnun (hér eftir QMS) / Viðfang og nálgun – Ákvarða ákjósanlegustu nálgun við þróun gæðakerfis í ljósi atvinnugreinar, hlíti við lög og reglur og kröfur til vottunar.
  • QMS gildissvið– Gildissviðið er mikilvægt fyrir árangursríka ISO-9001 vottun. Gildissvið þarf að vera nógu breitt til að tryggja að það muni nægja öllum helstu hagsmunaaðilum
  • Áhættumat – Áhættumat er grundvallaratriði í QMS. Við notum  ISO-27005 sem hefur forskot á marga aðra áhættumatstaða þar sem ekki er verið að einblína á hlutlægar eignir.
  • Úrbótaaðstoð / stuðningur – Þegar liggur fyrir hverju þarf að bæta úr er það oftast verkefni  starfsmanna viðkomandi fyrirtækis/stofnunar að vinna að þeim breytingum.
  • Mælingar – Mælingar og mæligildi eru mikilvæg fyrir bestu framkvæmd QMS, þar sem mælingar eru sönnun þess að QMS kerfið sé virkt og í gangi ásamt því að sýna fram á stöðugar umbætur kerfisins.
  • Stuðningur við stefnu, staðla, og málsmeðferð  – Skriflegar stefnur, verklegsreglur og málsmeðferð er nauðsynlegur þáttur hvers ferlis sem eru hluti af QMS.
  • Innri endurskoðun – Hluti af ISO 9001 innleiðingu
    og svo í framhaldi vottun, er krafa um að framkvæma innri endurskoðun til að ákvarða hvort eftirlits markmið, eftirlit, ferli og verklagsreglur QMS séu:
  • Í samræmi við kröfur ISO-9001 og viðeigandi löggjöf
    eða reglugerðir;
  • Í samræmi við skilgreinda markmið varðandi gæðakerfi;
  • Sé framfylgt og viðhaldið; og
  • Framkvæmd sé eins og búist var við.
  •  Stuðningur við vottun – Við höfum aðstoðað
    mörg fyrirtæki þegar kemur að  vottun.
    Það hefur reynst vel að hafa ráðgjafa á vottunarfundum sem sérstakan fulltrúa með það fyrir augum að gera vottunarferlið skilvirkt. Þetta einfaldar ferlið og dregur úr hættu á að ósamræmi komi upp á vottunarfundum.

 

 

 

Hvers vegna er upplýsingaöryggi tengt GDPR ?

Avanti – ráðgjöf hefur aðstoðað mörg fyrirtæki og stofnanir við innleiðingu á GDPR reglunum og meðan á þeirri innleiðingu stendur þá koma upp fjölmargar spurningar. Eitt það atriði sem oftast er til umræðu er hvers vegna sé nauðsynlegt að skoða upplýsingaöryggi í tenglum við innleiðingu GDPR. Stjórnendum finnst þessi mál ekki nauðsynlega tengd með beinum hætti og því fer nokkur tími í að útskýra þessi tengsl. Hér að neðan eru tekin saman helstu atriði varðandi þessi tengsl.

Innleiðing upplýsingaöryggiskerfis er nauðsynlegur hluti af innleiðingu GDPR (Lög um persónuvernd og vinnslu persónuupplýsinga). Ástæða þess er sú að á mörgum stöðum í GDPR koma fram ákvæði sem tilgreina að persónuupplýsingar  „séu unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt„.

Í 27 gr. Laga um persónuvernd og vinnslu persónuupplýsinga segir að „Ábyrgðaraðili og vinnsluaðili skulu gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga samkvæmt nánari fyrirmælum 32. gr. reglugerðarinnar„.

Í 39 lið þeirra atriða sem reglugerð um GDPR á að taka tillit til segir í síðustu málsgrein að : „Vinnsla persónuupplýsinga ætti að vera með þeim hætti að viðeigandi öryggi og trúnaður um upplýsingarnar sé tryggt, m.a. að komið sé í veg fyrir óheimilan aðgang eða notkun á persónuupplýsingum og þeim búnaði sem notaður er við vinnsluna„.

Í f) lið 5. gr. reglugerðarinnar segir einnig að „Persónuupplýsingar skulu vera unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt, þ.m.t. vernd gegn óleyfilegri eða ólögmætri vinnslu og gegn glötun, eyðileggingu eða tjóni fyrir slysni, með viðeigandi tæknilegum og skipulagslegum ráðstöfunum („heilleiki og trúnaður“)“.

Út frá ofangreindu er það almennt skilið að tilvist upplýsingaöryggiskerfis sé nauðsynlegur þáttur í innleiðingu GDPR. Slíkt upplýsinga öryggiskerfi hlítur jafnframt að taka mið af almennt viðurkenndum stöðlum á því sviði og sá staðal sem helst kæmi til álita í þeim efnum væri ISO-27001. GDPR reglurnar segja ekki að  öll fyrirtæki og stofnanir verði að fá sér vottun fyrir ISO -27001 eða tilsvarandi, heldur að til staðar sé upplýsingaöryggiskerfi sem að lágmarki tryggi  viðeigandi öryggi persónuupplýsinganna“ og gera „viðeigandi tæknilegar og skipulagslegar ráðstafanir“.

Hvað svo telst vera viðeigandi öryggi er spurning en flestir sérfræðingar telja að innleiðing upplýsingaöryggiskerfis á grundvelli almennt viðurkenndra staða (t.d ISO-27001) og  sem taki á þeim atriðum sem beinlínis koma fram í GDPR reglunum, sé nauðsynlegur þáttur af innleiðingu þessara laga.

Hvað þættir úr ISO-27001 eru svo taldir nauðsynlegur hluti af GDPR ? Hér að neðan má sjá lista um þau stefnuskjöl, vinnuferla og vinnureglur sem talin eru að þurfa að vera til staðar að lágmarki.

Þetta eru :

  • Upplýsingaöryggisstefna – stefna fyrirtækisins varðandi upplýsingaöryggi almennt og persónuupplýsingar sérstaklega
  • Aðgangsstjórnunarstefna – stefna fyrirtækisins varðandi  hver sé með aðgang að persónuupplýsingum og hvernig sá aðgangur er veittur.
  • Rekstarhandbók fyrir upplýsingatæknideild – Öll atriði varðandi rekstur UT deildar, praktísk atriði eins og afritunartaka og margt fleira.
  • Stefna um notkun eigin búnaðar – Ef starfsmenn eru með persónuupplýsingar frá fyrirtækinu á búnaði sem þeir eiga sjálfir þá þarf að taka á því
  • Stefna um farandtæki og fjarvinnslu – Ef fyrirtækið heimilar fjarvinnslu eða er með búnað utan starfsstöðva þá eru hugsanlega persónuupplýsingar í vinnslu þar
  • Stefna um hrein skrifborð og skjái – Starfsmenn eiga ekki að skilja eftir persónuupplýsingar á skrifborðum eða á skjám
  • Stefna um flokkun upplýsinga – Flokka þar allar upplýsingar eftir trúnaðarstigi þ.m.t persónuupplýsingar
  • Stefna um nafnleysi og gerviauðkenni – Ef fyrirtækið hefur hugsað sér umbreyta persónuupplýsingar í nafnlausar upplýsingar eða nota gerfiauðkenni
  • Stefna um notkun dulkóðunar – Ef fyrirtækið vill nota dulkóðun til að gera persónuupplýsingar öruggari í vinnslu eða flutningi.
  • Stefna um áætlun um samfelldan rekstur – Hvernig fyrirtækið tekur á öryggisbrotum eða annari röskun í vinnslu persónuupplýsinga

Þess ber að geta að þetta eru þau atriði úr ISO 27001 staðlinum sem þurfa vera til staðar að lágmarki. Það er oftast nauðsynlegt að taka fleiri atriði til skoðunar og að gera sér grein fyrir heildarstöðu fyrirtækja og stofnanna gagnvart ISO 27001 staðlinum sem slíkum. Af þeim sökum er gjarna gert stöðumat hjá viðkomand fyrirtæki gagnvart öllum 114 atriðunum í ISO 27002(kröfustaðli ISO 27001).

Vinsamlega hafið samband á vefsíðu okkar eða sendið okkur tölvupóst á avanti@avanti.is fyrir frekari upplýsingar um þjónustu okkar á þessu sviði.

 

 

 

Ný og betri síða á sviði Persónuverndar og vinnslu persónuupplýsinga

Persónuvernd og vinnsla persónuupplýsinga

Avanti – ráðgjöf ehf hefur verið að vinna fyrir fjölda stofnanna og fyrirtækja að innleiðingu laga um Persónuvernd og vinnslu persónuuupplýsinga. Við höfum einnig gerst meðlimir að alþjóðlegum samtökum sérfræðinga á sviði Persónuverndar(sjá : The International Association of Privacy Professionals) sem eru stærstu alþjóðlegu samtök sérfræðinga á þessu sviði. Ráðgjafi okkar hefur einnig lokið CIIP/E prófi sem er haldið á vegum þessara samtaka og fengið faggildingu þeirra sem sérfræðingur á sviði Persónuverndar og vinnslu persónuupplýsinga.

Við erum með tilbúin sniðmát af stefnum, verklagsreglum og eyðublöðum útbúin að fremstu sérfræðingum á sviði GDPR og við höfum viðeigandi reynslu og þekkingu til þess að innleiða GDPR hjá þínu fyrirtæki með árangursríkum hætti.

Þeir þættir sem við höfum aðstoðað fyrirtæki og stofnanir við eru :

  • Að framkvæma stöðumat – Hver staðan sér gagnvart lögum og hvaða aðgerða þurfi að grípa til til þess að uppfylla lagaákvæði.
  • Útbúa skrá um vinnsluaðgerðir og framkvæma áhættumat fyrir vinnslu persónuupplýsinga
  • Framkvæma stöðumat fyrir upplýsingaöryggi og hvaða atriði þurfi að laga til að uppfylla upplýsingaöryggisþátt laganna.
  • Við höfum einnig útvegað tilbúin sniðmát af stefnum, verklagsreglum, starfslýsingum og eyðublöðum útbúin að fremstu sérfræðingum á sviði GDPR
  • Gerð vinnslusamninga fyrir birgja sem vinnsluaðila
  • Gerð og framkvæmt fræðsluáætlunar og námskeið fyrir starfsfólk varðandi hlutverk þeirra í vinnslu persónuupplýsinga
  • Að útvega Persónuverndarfulltrúa til leigu eftir innleiðingu

 

 

Hafðu samband

Til að fá frekari upplýsingar um ráðgjöf vegna GDPR þá getur þú haft samband með því að smella á tengill hér að ofan eða senda okkur póst á avanti@avanti.is

 

 

Audit Planning Audit Preparation Conduct of the Compliance Audit Compliance Audit Reporting Audit Follow-up

Jafnlaunavottun – hver er staða mála ?

Nýlega var frétt á RÚV þar sem kom fram að einungis 11% fyrirtækja sem þyrftu að klára Jafnlaunavottun fyrir áramót, hefðu lokið því verkefni.  Þar kom einnig fram að eftir áramót mundi Jafnréttisstofa fara að deila út dagsektum að upphæð 50.000 króna á dag.  Í framhaldinu voru svo tengdar fréttir þ.m.t. viðtal við forsvarsmann hjá samtökum atvinnurekanda þar sem kom fram sú skoðun að það væri alls óvíst hvort réttlætanlegt væri að leggja á dagsektir því aðalmálið væri að fyrirtæki og stofnanir væru að vinna í þessum málum með það fyrir augum að ljúka því árið 2019 eða jafnvel síðar.

Nú dæmir hver fyrir sig en meginreglan hlýtur jú að vera sú að fylgja skuli landslögum. Það er heimild í reglugerð varðandi jafnlaunavottun, að ráðherra fresti gildistöku en það er sömuleiðis alls óvíst og reyndar frekar ólíklegt í ljósi þess hvaða pólitískar afleiðingar það hefði fyrir núverandi ríkisstjórn. Þetta eru málefni sem allir stjórnmálaflokkar hafa sett á oddinn og tekið eindregna afstöðu með því meginatriði að karlar og konur skuli njóta fyllsta jafnréttis varðandi laun og launakjör almennt.

Það er þá spurning hvernig þau 89% fyrirtækja sem standa frammi fyrir þessu verkefni, hvernig þau geti leyst úr því fyrir áramót eða í það minnsta komið verkefninu á góðan rekspöl. Þetta vandamál er einmitt það sem Advania og Avanti-ráðgjöf hafa einsett sér að leysa með sínu samstarfi.

Í meginatriðum þá gengur innleiðing Jafnlaunakerfis út á eftirfarandi :

  • Gera verkefnisáætlun, Jafnlaunastefnu, Jafnréttisáætlun
  • Yfirfara og endurbæta starfslýsingar
  • Skoða ferli við launaákvarðanir og verkferla í launadeild
  • Gera starfaflokkun og framkvæma launagreiningu
  • Rýna og samþykkja skjöl sem uppfylla kröfur jafnlauna staðalsins (ÍST-85-2012)
  • Útbúa sniðmát fyrir verklagsreglur og vinnulýsingar

easyEQUALPAY

easyEQUALPAY er sett upp með sniðmáti af öllum nauðsynlegum skjölum fyrir Jafnlaunakerfi. Því fylgja 15 tímar í ráðgjöf frá Avanti-ráðgjöf til að aðlaga skjölin og innleiðingu á kerfinu. easyEQUALPAY nýtist einnig til að skipuleggja árlegar innri úttektir, ásamt því að skrá ábendingar og úrbætur. Kerfið er einnig mjög hentugt til þess að setja upp skjalaflokkun og vera skjalasvæði fyrir skjöl og skrár sem tengjast Jafnlaunakerfi á einum stað.  easyEQUALPAY sér einnig um útgáfustýringu og vöktun skjala ( í gildi/ekki gildi).

WP2Social Auto Publish Powered By : XYZScripts.com