Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Datenschutzrechtliche Anforderungenan das Lieferantenmanagement
Salvatore SaporitoLexisNexis GmbH
Karl ViertelAlyne GmbH
KARL VIERTEL
CEO und Gründer Alyne
● Background in Cyber Security und Datenschutz
● Zuvor Director bei Deloitte im Bereich Cyber Risk Management
● Erfahrung in der Gestaltung und Umsetzung von Cyber Security und Datenschutz Projekten in Europa und Asien - Fokus auf Financial Services
AGENDA
FINTECH VS. REGTECH
ALYNE FACTS
DS-GVO LIEFERANTENPRÜFUNG
FINTECH VS. REGTECH
FINTECH VS. REGTECH
FINTECH
End-Kunden fokussiert
Experimente mit neuen Ansätzen
Hinter Hype-Cycle
Oft von “Outsidern” betrieben
REGTECH
Fokus auf Back Office
Digitalisierung bestehender Prozesse
Pre Hype-Cycle
Aus “leidvoller Erfahrung” geboren
ALYNE SAAS FÜR MODERNES RISIKOMANAGEMENT UND COMPLIANCE
LIEFERANTEN PRÜFUNG
DATENSCHUTZ BASELINE
IMPLEMENTIERUNG VON REGULIERUNG
CYBER SECURITY MANAGEMENT
OPRISK MANAGEMENT
USE CASE BEISPIELEZAHLEN UND FAKTEN
MEHR ALS 40 KUNDEN WELTWEIT
GEGRÜNDET SEPTEMBER 2015
BÜROS IN MÜNCHEN UND LONDON
VENTURE CAPITAL FINANZIERT
25 MITARBEITER
BEISPIEL: LIEFERANTENPRÜFUNG
WIESO LIEFERANTEN PRÜFEN?
● Auftragsverarbeitung im Datenschutz
● Outsourcing Management
● Wesentlicher Beitrag zum Cyber Security Risiko
● Transparenz im operationellen Risikomanagement
DATENSCHUTZGRUNDVERORDNUNG
GRUNDLAGEN
● Betroffene Personen sind Eigentümer ihrer Daten und bestimmen über die Nutzung
● Betroffene Personen müssen befähigt sein, ihre Rechte auszuüben
● Verarbeiter sind mit dem Schutz der personenbezogenen Daten betraut
● Verarbeiter stehen in der Verantwortung für Datenpannen
● Grundlagen der DS-GVO sind nicht neu!
LIEFERANTENPRÜFUNG
DS-GVO ANFORDERUNGEN
● “Auftragsverarbeiter” müssen vor Beginn auf Angemessenheit geprüft werden
● Hierzu gehört auch die zweifelsfreie Identifikation des Auftragsverarbeiters
● Es gelten Erfordernisse für die vertraglichen Vereinbarungen der Auftragsverarbeitung
● Angemessenheit der Schutzmaßnahmen müssen regelmäßig überprüft werden und in einem Verzeichnis geführt werden
● Der Auftraggeber steht in der Pflicht, auf angemessene technischeund organisatorische Schutzmaßnahmen zu prüfen
Exkurs: LexisNexis – Geschäftspartnerüberprüfung
Salvatore Saporito, Team Leader Europe Risk & Compliance
Zunahme an Strafverfolgungen
Relevanz für erweiterte Geschäftspartnerüberprüfung
Sensibilität bis in den Mittelstand
Verlagerung der Anforderungen von Kunden zum Geschäftspartner
Standardisierungstendenzen in derErmittlungstiefe erkennbar
Integration in eigene Systeme
Erkennbare Trends
ZentraleQuellenSanktionslisten
Rechtsdaten
BiographischeQuellen
PEP-Daten
Weltweite Presse
Firmen-informationen
Abdeckung der Compliance-Anforderungen durch zentrale Quellen
Informationsquellen – nur welche?
Risikoansatz und Quellen für Due Diligence
Identifikation meiner Geschäftspartner und Einteilung in Cluster
Risk Assessment durch Identifikation der Risikofelder sowie Kategorisierung in Risikogruppen
Verhältnis Risikopotential und Ressourcenaufwand einschätzen, um Umfang der Überprüfung festzulegen (Ermittlungstiefe)
Prüfungsprozess und Recherchequellen festlegen
Informationsauswertung und Schaffung einer Entscheidungsgrundlage
Unterstützung durch IT zur Standardisierung
Einbettung in den betrieblichen Kontext
Prozess zum Aufbau einer effektiven Geschäftspartnerüberprüfung
Lexis Diligence® - Geschäftspartnerüberprüfung
Zugriff auf alle Quellen über nur eine Suchmaske
Benutzerfreundliche Oberfläche und vielfältige Such-Optionen
Erkennen von Nachrichten mit negativer Tonalität
E-Mail-Alert, wenn für bestimmte Suchbegriffe neue Ergebnisse gefunden werden
Dokumentationsnachweis über Report Builder
Zurück zu Karl Viertel
Salvatore Saporito, Team Leader Europe Risk & Compliance
USE CASE BESCHREIBUNG
Gruppieren nach Risiko
Lieferanten Prüfen
Ergebnisse Auswerten
Risiken Analysieren
Entscheidung Treffen
ERFOLGSFAKTOREN
● Skalierbarkeit auf alle Lieferanten
● Schnelle Umsetzung und kurzer Prozessdurchlauf
● Informierte Entscheidungen ermöglichen
● Belastbarkeit der Risikoinformation
REGTECH THESEN
REGTECH DIGITALISIERT DURCH:
BESSERE SKALIERBARKEITWo manuelle Lösungen an Ihre Grenzen stoßen, skalieren RegTech Lösungen
EINFACHERE BEDIENBARKEITRegTech-Lösungen vereinfachen die Interaktion mit komplexer Information und ersetzen sperrige Enterprise Software
BUSINESS-FOKUSSIERUNGRegTechs sind Lösungen für das Business, nicht Software für die IT
STÄRKERE AUTOMATISIERUNGRegTechs steigern ihren Wertbeitrag, wo manuelle und ressourcenintensive Prozesse automatisiert werden
BESSERE SKALIERBARKEIT
Excel & Email, aufwendige Schnittstellen, Vor-Ort-Prüfungen, Stichproben werden ersetzt durch...
EINFACHE INTEGRATIONMit moderner Web-Technologie sind Datenintegrationen stark vereinfacht
RISK ANALYTICSErlaubt die schnelle und automatisierte Risikoidentifikation
UMFANGREICHE BIBLIOTHEKENErmöglicht schnellen start und einfache Anpassung an Lieferantengruppen
EINFACHERE BEDIENBARKEIT
Office Dokumente und Enterprise Software im Look and Feel der 90er Jahre werden ersetzt durch...
WORKFLOW MANAGEMENTEinfache Übersichten erleichtern die Steuerung umfangreicher Prozesse
MODERNE USAGE PATTERNSInformationsdesign aus Social Media ermöglicht einfachste Interaktion mit komplexen Daten
STRUKTURIERTE DATENErlauben einfache Erfassung und automatisierte Auswertung
BUSINESS FOKUSSIERUNG
Lange Software-Integrationsprojekte, Wasserfallmodell und Big-Bang IT-Rollouts werden ersetzt durch...
AGILES RISIKOMANAGEMENTDie Verwaltung identifizierter Risiken von Lieferanten erfolgt agil und kontinuierlich
KONFIGURATION DURCH DAS BUSINESSWorkflows, User, Inhalte und Strukturen werden durch Fachbereiche erstellt
DYNAMISCHE EINBINDUNG DES TEAMSOrganisationsstrukturen werden dynamisch angepasst durch User
STÄRKERE AUTOMATISIERUNG
Mehrere Fragebögen einzelner Fachbereiche, manuelle Risikoauswertungen und -analyse werden ersetzt durch...
SELF SERVICE PORTALEFachbereiche stoßen proaktiv Risikoprozesse an und binden automatisch Entscheidungsträger ein
WEITERE AUTOMATISIERUNG MIT NLPAutomatischer Abgleich von Policies, Kontrollen, etc. mittels Natural Language Processing und AI
AUTOMATISCHE RISIKOBEWERTUNGEine automatisierte Analyse der Prüfungsergebnisse ermöglicht schnellere Lieferantenprüfung
IHRE DS-GVO GAP-ANALYSE
Sie können Ihre kostenlose DS-GVO Gap Analyse noch vervollständigen und erhalten von Alyne einen Report.
Salvatore [email protected]
Karl [email protected]