En praktisk tilgang til at skabe en langvarig og levedygtig praksis

EU Persondataforordningen

Frederik Helweg-Larsen, Expert Director, Devoteam

7. marts 2017

2

Vi kan forsøge at undgå at blive opdaget…

3

Vi kan tilpasse os den nye digitale virkelighed.

Principper for behandling af personoplysninger

1.Lovlighed, rimelighed og gennemsigtighed

2.Formålsbegrænsning

3.Dataminimering

4.Rigtighed

5.Opbevaringsbegrænsning

6.Integritet og fortrolighed

7.Ansvarlighed

4

”Hvis I gør dette, så er compliance ikke noget problem.”

EU GDPR

§5, 1a) Lawfulness, Fairness and Transparency

§6 Lawfulness of processing

§7 Conditions for consent

§8 Conditions applicable to child's consent in

relation to information society services

§9 Processing of special categories of personal

data

§10 Processing of personal data relating to criminal convictions and

offences

§11 Processing which does not require

identification

§12 Transparent information,

communication and modalities for the

exercise of the rights of the data subject

§13 Information to be provided where personal data are collected from

the data subject

§14 Information to be provided where personal

data have not been obtained from the data

subject

§15 Right of access by the data subject

§20 Right to data portability

§21 Right to object

§22 Automated individual decision-making, including

profiling

§23 Restrictions

§28 Processor

§29 Processing under the authority of the

controller or processor

Chapter V Transfer of personal data to third

countries or international organisations

§5, 1b) Purpose Limitation

§5, 1c) Data Minimisation

§5, 1d) Accuracy

§16 Right to rectification

§19 Notification obligation regarding

rectification or erasure of personal data or

restriction of processing

§5, 1e) Storage Limitation

§17 Right to erasure ('right to be forgotten')

§18 Right to restriction of processing

§5, 1f) Integrity and Confidentiality

§25 Data protection by design and by default

§32 Security of processing

§5, 2) Accountability

§30 Records of processing activities

§24 Responsibility of the controller

§26 Joint controllers

§27 Representatives of controllers or processors

not established in the Union

§31 Cooperation with the supervisory authority

§ 33 Notification of a personal data breach to

the supervisory authority

§34 Communication of a personal data breach to

the data subject

§35 Data protection impact assessment

§36 Prior consultation

§37 Designation of the data protection officer

§ 38 Position of the data protection officer

§39 Tasks of the data protection officer

Governance &

Processes

TechnicalCapabilities

LegalCompliance

Business Process & Dataflow Analysis

Risk & Privacy Impact Assessment

Organization and design of the DPMS

Data Protection policies and procedures

Data Security Architecture

Data Discovery & Shadow IT

Information Lifecycle Management

Identity and Access Governance

Compliance review of internal processes

Contract management

Review of legal basis and consent

Legal review of agreements

Sammensætning af Kompetencer og DisciplinerEt uperfekt bæredygtigt økosystem

Markedsundersøgelse januar 2017Devoteam InSight – EU Persondataforordningen

500virksomheder har svaret

90%har en lederrolle i organisationen

Offentligeog private

0

10

20

30

40

50

60

<100 100-499 500-4999 >5000

Små og

STORE

Markedsundersøgelse januar 2017Devoteam InSight – EU Persondataforordningen

Vi er optimistiske i forhold til at nå det til tiden.• Alle er i gang og 2/3 er optimiske ift. at nå i mål til tiden.• 2/3 er i analysefasen, 1/3 er i gang med implementering.

- men over halvdelen har ikke en plan for hvordan…• 1/4 har planer op til maj 2018, 1/5 har planer der går længere.• 12% kan i dag dokumentere deres efterlevelse.

Teknologiunderstøttelsen er klassisk.• Adgangsstyring og kryptering fylder mest.• E-discovery og afdækning af skygge-it vurderes mindst relevant.

- på trods af, at IT er med i projekterne…• 60% af projekterne er forankret i IT.• men 25% mener ikke at IT understøttelse er relevant.

Forankringen er primært i topledelsen og IT.• Eksterne konsulenter anvendes til rådgivning og sparring, men ikke til ledelse.• Kommentarer viser, at det stadig kan være svært at få reel deltagelse fra topledelsen.

- men, kun halvdelen formaliserer projekterne…• 60% af offentlige virksomheder og 75% af store virksomheder formaliserer.• Kommentarer viser at flere ser det som et forbigående tema.

Fem niveauer af Information Governance MaturityTag udgangspunkt i det nuværende niveau

UsikkerEr opmærksom på, at der kan

være problemer med

databehandlingen, men er ikke

proaktiv for at løse problemerne.

OvervældetBehandler problemstillingerne

med behandling af data når de

opstår men uden en langsigtet

plan.

StruktureretArbejder med en stærkere

forståelse af data og etablerer

dokumenterede og gentagelige

processer for at undgå fremtidige

problemer.

StyretAnsvar for data er placeret og

data er klassificeret. Processer er

implementerede og forbedres

efter behov.

OptimeretIndblik og forståelse af data på

tværs af virksomheden og

automatisering af processer til at

behandle afvigelser.

Persondata skal have et livsforløbDer er aldrig nogen der rydder op…

11

• Data skal have de rette parametre når de modtages eller skabes.

• Det er typisk for sent efter dette punkt.

• Anvendelsen og tilgangen til data skal hænge sammen med formålet.

• Det skal være muligt at ændre dette.

• Deling af data med tredjepart skal hænge sammen med de aftaler der er indgået.

• Data lækage skal kunne opdages.

Automate

Få vished for hvor data er opbevaretStol ikke på processer og interviews alene

12

• En scanning giver ofte et helt andet billede af processerne.

• Software, MSP eller konsulentydelse?

• Det er ikke trivielt at finde følsomme

persondata.

• Scanninger er eksplorative og baseret

på viden og erfaringer.

• Stiller krav til sikkerheden.

• Et relevant værktøj for revisorer

- og datatilsynet.

http://www.ibm.com/analytics/us/en/technology/information-lifecycle-governance/index.html

De 8 trin mod forandringenHvordan du forbereder dig…

13

Skab et klimafor forandring

Engager og klargørorganisationen

Implementer ogoprethold forandringen

Etabler en oplevelse af nødvendighed

Form enstærk

koalition

Skab envision ogstrategi

Kommunikervisionen

Giv ansvar ogkompetencer

Gå efter dekortsigtede

sejre

Konsolidergevinster ogskab mereforandring

Understøt enny kultur

Eksempel på praktisk projektkatalog – byg jeres egetPas på med templates og løsninger ”der har svaret”

1. Ledelsesforankring, målsætninger, mandat og organisering.

2. Etablere/tilpasse en praktisk governance struktur.

3. Dataanalyse.

4. Risikovurdering og ejerskab af risici.

5. Samtykkeerklæringer og databehandleraftaler.

6. Udarbejdelse af ”code-of-conduct” og formidling af ønsket adfærd.

7. Processer og arbejdsgange for behandling af persondata.

• Roller, rettigheder og adgangsstyring gennemgås.

• Gennemgang af it-arkitektur og systemlandskab ift. privacy-by-design.

• Beredskabsplaner gennemgås med udgangspunkt i informationskravet.

14

Kom godt i gang og kom godt videre

1Opnå en bred forankring.

Få overblik over helheden og byg videre på det du allerede har.

Vær indstillet på at der bliver behov for en balanceret top-down og bottom-up tilgang.

2Erkend forandringen i databehandlingen, ikke mindst der hvor du allerede er bagud.

Ægte compliance kommer når man gør det rigtige - og ikke gennem tjeklister og skabeloner.

3Skab en fælles spilleplade der er let at formidle og forstå af alle. Det skaber motivation og opbakning!

Definer en praksis og gør kernedisciplinerne til dit håndværk.

Det er ikke en slankekur.

Det er en kostomlægning.

15

16

I teorien er der ingen forskel mellem teori og praksis.

I praksis er der.

17

Hvis du vil vide mere…

Frederik Helweg-Larsen

Expert Director, Risk & Security

fhl@devoteam.com

T : +45 4057 6828

Copyr

igh

t

18

Anvendelighed

Enkelhed

Helhed

Kobling

Balance

Forandring

Puls

Devoteams signatur

Vi tilstræber altid at forenkle detkomplekse ogkommunikere påmodtagerenspræmisser.

Vi efterlader aldrig voreskunder med en leveranceuden at sikre os at effekten er langvarig.

Vi træder altid et skridt tilbage fra den konkrete opgave ogser på den størresammenhæng.

Vi sørger for at enhverleverance hænger sammenmed eksisterende processer og værktøjer. Ingen parallelle eller isoleredeløsninger.

Vi hjælper vores kundermed at finde et passendeog afbalanceretsikkerhedsniveau.

Vi måler vores resultaterud fra den forandring vi skaber.

Vi vurderer altid om vores løsninger erlevedygtige på længeresigt.

Devoteam Group - Entrepreneurs in disruptive technology

19

At Devoteam we deliver innovative

technology consulting for business, to

make our clients win their digital

battle

•

20 years of transformation experience

Listed on

Euronext

Digital Business Transformation

IT ManagementTransformation

IT InfrastructureTransformation

IT Service Management

Operating ModelAgile

Digital Business Models Digital Efficiency

20151995 2005

443M €Turnover in 2014

20Countries

3600Professionals

Sourcing & CloudData

Data CentresSecurity

Networks

Devoteam i Danmark

20

•Devoteam bruger indsigt i og erfaring med digital

teknologi til at skabe nye muligheder og fremgang til

det danske samfund og dets virksomheder – fra

rådgivning til anvendelse.

Etableret i Danmark i 1978

+10års konsulent-

erfaring

+1000kunder

Devoteam Gruppen siden 2001

Kontorer i København og Skanderborg

+100konsulenter i Danmark

Aktuelle Risk & Security projekterBredt erfaringsgrundlag