Friday d. 11. mar. 2022
D-mærkets selvevaluering er første skridt på rejsen henimod D-mærket og er indgangen til D-mærkets kontrolrammeværk. Virksomheden får overblik over udfordringer og nødvendige indsatsområder inden for digital sikkerhed og ansvarlig dataanvendelse. Læs hvordan selvevalueringen bruges, hvorfor det skaber værdi og få vejledning i processen.
Når virksomheden registreres i D-mærkets gratis selvevalueringsværktøj, stilles spørgsmål, som automatisk indplacerer virksomheden i en virksomhedsgruppe som afgør, hvor mange kriterier og krav, virksomheden som minimum skal leve op til. Dernæst stilles spørgsmål, der afdækker virksomhedens anvendelsesområde (fx brug af leverandører til behandling af personoplysninger og/eller forretningskritiske data). D-mærkets kriterier og krav bliver dermed tilpasset den enkelte virksomheds størrelse, forretningsmodel, brug af data, it og dets indflydelse på mennesker.
D-mærkets kriterier og krav bygger på en lang række anerkendte rammeværker fra internationale, europæiske og nationale råd, udvalg, arbejdsgrupper samt den nyeste forskning og viden fra eksperter, som blandt andet også sidder i D-mærkets Advisory board.
Virksomheder kan gratis bruge D-mærkets selvevalueringsværktøj
Det er gratis at få adgang og anvende D-mærkets selvevalueringsværktøj – virksomheden betaler først, når den ønsker at gå i tilsyn. Virksomheden er i mål med selvevalueringen, når der kan svares ’ja’ til alle de stillede spørgsmål (krav). Du finder vejledningen til brug af selvevalueringsværktøjet her.
Kriterier og krav er formuleret som spørgsmål
”Har virksomheden udpeget mindst én navngiven person, der har ansvaret for it-sikkerhed og ansvarlig dataanvendelse?”. Sådan lyder det første spørgsmål i D-mærkets kriterie 1. I selvevalueringsværktøjet er kravene i D-mærkets kriterier formuleret som spørgsmål, for at lette forståelsen og besvarelsen. Det betyder også, at ét krav, kan være omformuleret til flere spørgsmål, men det er stadig kravet, som virksomheden skal efterleve og dokumentere i forbindelse med tilsyn fra D-mærket.
Selvevalueringen kan opdeles i to faser
I D-mærkets selvevaluering besvarer virksomheden, om den lever op til D-mærkets krav. Selvevalueringen er en proces, som kan deles op i to faser:
Første fase kan ses som gap-analyse, som har til formål at skabe overblik og identificere mangler i efterlevelsen af D-mærkets kriterier og krav. Det gøres ved at gennemgå selvevalueringen og besvare spørgsmålene, for herefter at have det fulde overblik over, hvad virksomheden allerede har styr på, og hvor der er brug for igangsætte tiltag.
Læs, hvordan Design- og papirstudiet ViSSEVASSE brugte D-mærkets selvevaluering til at få overblik over indsatsområder og få styr på it-sikkerheden og de understøttende processer.
Anden fase af selvevalueringen er de initiativer, som virksomheden iværksætter for at leve op til D-mærkets kriterier og krav. I praksis betyder det, at en række aktiviteter skal forankres i politikker og implementeres gennem beskrevne processer og tilhørende procedurer, som derefter skal gennemføres i virksomheden, med et fast interval. Denne fase gør det nemmere for virksomheden at dokumentere kravene tilfredsstillende i forbindelse med det efterfølgende tilsyn, hvor virksomheden bliver bedt om at dokumentere udvalgte krav. Det var særligt værdifuldt for en af de første D-mærkede virksomheder Lexoforms:
“Alt hvad vi i ledelsen havde besluttet, da vi etablerede virksomheden tilbage i 2017, var jo noget der bare var i hovedet på de fleste af os. Nu er det beskrevet og er en del af vores arbejdsdokumenter – og det er det vi bruger, når vi blandt andet skal ansætte folk. På den måde har det i hvert fald flyttet nogle ting for os, udover bare compliance. Altså, hvordan vi rent operationelt gør, i forhold til hvad vi må indsamle og hvorfor. Dermed er vi helt sikre på, at vi selv har styr på det vi laver – og det er meget vigtigt for os.”, partner i Lexoforms, Jacob Overby.
Læs: Tilsyn fra D-mærket foregår i tæt dialog med virksomheden.
Selvevalueringen er et værktøj til at styre processen internt i virksomheden
Virksomheden behøver hverken at besvare alle kriterier og krav kronologisk eller leve op til alle D-mærkets krav og kriterier med det samme, for at få udbytte af selvevalueringen. D-mærket anbefaler, at virksomheden besvarer så meget, som den kan, for at få et øjebliksbillede. Overblikket kan derefter bruges til at se, hvor det er nødvendigt at sætte ind, for at kunne svare ”ja” til alle spørgsmål (krav).
I virksomheder, hvor viden er fordelt på flere personer/afdelinger/enheder, kan selvevalueringen med fordel håndteres som et projekt med en projektleder, som er ansvarlig for fremdriften.
Læs, hvordan Lexoforms jonglerede mellem at drifte sin virksomhed og samtidig gennemgå en hård og længere proces henimod D-mærket.
Selvevaluering kræver en indsats
Selvevalueringen varierer i tid og kan tage alt fra et par dage til flere måneder. Tidsforbruget afhænger i høj grad af både antallet af kriterier og krav samt virksomhedens modenhedsniveau og allerede eksisterende dokumentation på området.
Vejledning til dig og din virksomhed
Virksomheden kan gratis booke vejledningsmøder med D-mærkets auditorteam igennem hele processen fra registrering, via selvevaluering til tilsyn på kontakt@d-maerket.dk.
På siden ’Vejledninger og materialer’ finder du bl.a. guide til selvevalueringsværktøjet, ordliste til D-mærkets kriterier, guide til hjælpemidler til dokumentation ifm. selvevaluering og tilsyn og mapping af D-mærkets kriterier til anerkendte rammeværker.
Når virksomheden har fået tildelt D-mærket fortsætter det løbende arbejde med D-mærket i din virksomhed. Implementering af D-mærket vil have betydning for, hvordan din virksomhed opererer til dagligt, både strategisk, taktisk og operationelt. Det kan herefter anvendes både internt og eksternt.
