View
202
Download
1
Embed Size (px)
Citation preview
En praktisk tilgang til at skabe en langvarig og levedygtig praksis
EU Persondataforordningen
Frederik Helweg-Larsen, Expert Director, Devoteam
7. marts 2017
2
Vi kan forsøge at undgå at blive opdaget…
3
Vi kan tilpasse os den nye digitale virkelighed.
Principper for behandling af personoplysninger
1.Lovlighed, rimelighed og gennemsigtighed
2.Formålsbegrænsning
3.Dataminimering
4.Rigtighed
5.Opbevaringsbegrænsning
6.Integritet og fortrolighed
7.Ansvarlighed
4
”Hvis I gør dette, så er compliance ikke noget problem.”
EU GDPR
§5, 1a) Lawfulness, Fairness and Transparency
§6 Lawfulness of processing
§7 Conditions for consent
§8 Conditions applicable to child's consent in
relation to information society services
§9 Processing of special categories of personal
data
§10 Processing of personal data relating to criminal convictions and
offences
§11 Processing which does not require
identification
§12 Transparent information,
communication and modalities for the
exercise of the rights of the data subject
§13 Information to be provided where personal data are collected from
the data subject
§14 Information to be provided where personal
data have not been obtained from the data
subject
§15 Right of access by the data subject
§20 Right to data portability
§21 Right to object
§22 Automated individual decision-making, including
profiling
§23 Restrictions
§28 Processor
§29 Processing under the authority of the
controller or processor
Chapter V Transfer of personal data to third
countries or international organisations
§5, 1b) Purpose Limitation
§5, 1c) Data Minimisation
§5, 1d) Accuracy
§16 Right to rectification
§19 Notification obligation regarding
rectification or erasure of personal data or
restriction of processing
§5, 1e) Storage Limitation
§17 Right to erasure ('right to be forgotten')
§18 Right to restriction of processing
§5, 1f) Integrity and Confidentiality
§25 Data protection by design and by default
§32 Security of processing
§5, 2) Accountability
§30 Records of processing activities
§24 Responsibility of the controller
§26 Joint controllers
§27 Representatives of controllers or processors
not established in the Union
§31 Cooperation with the supervisory authority
§ 33 Notification of a personal data breach to
the supervisory authority
§34 Communication of a personal data breach to
the data subject
§35 Data protection impact assessment
§36 Prior consultation
§37 Designation of the data protection officer
§ 38 Position of the data protection officer
§39 Tasks of the data protection officer
Governance &
Processes
TechnicalCapabilities
LegalCompliance
Business Process & Dataflow Analysis
Risk & Privacy Impact Assessment
Organization and design of the DPMS
Data Protection policies and procedures
Data Security Architecture
Data Discovery & Shadow IT
Information Lifecycle Management
Identity and Access Governance
Compliance review of internal processes
Contract management
Review of legal basis and consent
Legal review of agreements
Sammensætning af Kompetencer og DisciplinerEt uperfekt bæredygtigt økosystem
Markedsundersøgelse januar 2017Devoteam InSight – EU Persondataforordningen
500virksomheder har svaret
90%har en lederrolle i organisationen
Offentligeog private
0
10
20
30
40
50
60
<100 100-499 500-4999 >5000
Små og
STORE
Markedsundersøgelse januar 2017Devoteam InSight – EU Persondataforordningen
Vi er optimistiske i forhold til at nå det til tiden.• Alle er i gang og 2/3 er optimiske ift. at nå i mål til tiden.• 2/3 er i analysefasen, 1/3 er i gang med implementering.
- men over halvdelen har ikke en plan for hvordan…• 1/4 har planer op til maj 2018, 1/5 har planer der går længere.• 12% kan i dag dokumentere deres efterlevelse.
Teknologiunderstøttelsen er klassisk.• Adgangsstyring og kryptering fylder mest.• E-discovery og afdækning af skygge-it vurderes mindst relevant.
- på trods af, at IT er med i projekterne…• 60% af projekterne er forankret i IT.• men 25% mener ikke at IT understøttelse er relevant.
Forankringen er primært i topledelsen og IT.• Eksterne konsulenter anvendes til rådgivning og sparring, men ikke til ledelse.• Kommentarer viser, at det stadig kan være svært at få reel deltagelse fra topledelsen.
- men, kun halvdelen formaliserer projekterne…• 60% af offentlige virksomheder og 75% af store virksomheder formaliserer.• Kommentarer viser at flere ser det som et forbigående tema.
Fem niveauer af Information Governance MaturityTag udgangspunkt i det nuværende niveau
UsikkerEr opmærksom på, at der kan
være problemer med
databehandlingen, men er ikke
proaktiv for at løse problemerne.
OvervældetBehandler problemstillingerne
med behandling af data når de
opstår men uden en langsigtet
plan.
StruktureretArbejder med en stærkere
forståelse af data og etablerer
dokumenterede og gentagelige
processer for at undgå fremtidige
problemer.
StyretAnsvar for data er placeret og
data er klassificeret. Processer er
implementerede og forbedres
efter behov.
OptimeretIndblik og forståelse af data på
tværs af virksomheden og
automatisering af processer til at
behandle afvigelser.
Persondata skal have et livsforløbDer er aldrig nogen der rydder op…
11
• Data skal have de rette parametre når de modtages eller skabes.
• Det er typisk for sent efter dette punkt.
• Anvendelsen og tilgangen til data skal hænge sammen med formålet.
• Det skal være muligt at ændre dette.
• Deling af data med tredjepart skal hænge sammen med de aftaler der er indgået.
• Data lækage skal kunne opdages.
Automate
Få vished for hvor data er opbevaretStol ikke på processer og interviews alene
12
• En scanning giver ofte et helt andet billede af processerne.
• Software, MSP eller konsulentydelse?
• Det er ikke trivielt at finde følsomme
persondata.
• Scanninger er eksplorative og baseret
på viden og erfaringer.
• Stiller krav til sikkerheden.
• Et relevant værktøj for revisorer
- og datatilsynet.
http://www.ibm.com/analytics/us/en/technology/information-lifecycle-governance/index.html
De 8 trin mod forandringenHvordan du forbereder dig…
13
Skab et klimafor forandring
Engager og klargørorganisationen
Implementer ogoprethold forandringen
Etabler en oplevelse af nødvendighed
Form enstærk
koalition
Skab envision ogstrategi
Kommunikervisionen
Giv ansvar ogkompetencer
Gå efter dekortsigtede
sejre
Konsolidergevinster ogskab mereforandring
Understøt enny kultur
Eksempel på praktisk projektkatalog – byg jeres egetPas på med templates og løsninger ”der har svaret”
1. Ledelsesforankring, målsætninger, mandat og organisering.
2. Etablere/tilpasse en praktisk governance struktur.
3. Dataanalyse.
4. Risikovurdering og ejerskab af risici.
5. Samtykkeerklæringer og databehandleraftaler.
6. Udarbejdelse af ”code-of-conduct” og formidling af ønsket adfærd.
7. Processer og arbejdsgange for behandling af persondata.
• Roller, rettigheder og adgangsstyring gennemgås.
• Gennemgang af it-arkitektur og systemlandskab ift. privacy-by-design.
• Beredskabsplaner gennemgås med udgangspunkt i informationskravet.
14
Kom godt i gang og kom godt videre
1Opnå en bred forankring.
Få overblik over helheden og byg videre på det du allerede har.
Vær indstillet på at der bliver behov for en balanceret top-down og bottom-up tilgang.
2Erkend forandringen i databehandlingen, ikke mindst der hvor du allerede er bagud.
Ægte compliance kommer når man gør det rigtige - og ikke gennem tjeklister og skabeloner.
3Skab en fælles spilleplade der er let at formidle og forstå af alle. Det skaber motivation og opbakning!
Definer en praksis og gør kernedisciplinerne til dit håndværk.
Det er ikke en slankekur.
Det er en kostomlægning.
15
16
I teorien er der ingen forskel mellem teori og praksis.
I praksis er der.
17
Hvis du vil vide mere…
Frederik Helweg-Larsen
Expert Director, Risk & Security
T : +45 4057 6828
Copyr
igh
t
18
Anvendelighed
Enkelhed
Helhed
Kobling
Balance
Forandring
Puls
Devoteams signatur
Vi tilstræber altid at forenkle detkomplekse ogkommunikere påmodtagerenspræmisser.
Vi efterlader aldrig voreskunder med en leveranceuden at sikre os at effekten er langvarig.
Vi træder altid et skridt tilbage fra den konkrete opgave ogser på den størresammenhæng.
Vi sørger for at enhverleverance hænger sammenmed eksisterende processer og værktøjer. Ingen parallelle eller isoleredeløsninger.
Vi hjælper vores kundermed at finde et passendeog afbalanceretsikkerhedsniveau.
Vi måler vores resultaterud fra den forandring vi skaber.
Vi vurderer altid om vores løsninger erlevedygtige på længeresigt.
Devoteam Group - Entrepreneurs in disruptive technology
19
At Devoteam we deliver innovative
technology consulting for business, to
make our clients win their digital
battle
•
20 years of transformation experience
Listed on
Euronext
Digital Business Transformation
IT ManagementTransformation
IT InfrastructureTransformation
IT Service Management
Operating ModelAgile
Digital Business Models Digital Efficiency
20151995 2005
443M €Turnover in 2014
20Countries
3600Professionals
Sourcing & CloudData
Data CentresSecurity
Networks
Devoteam i Danmark
20
•Devoteam bruger indsigt i og erfaring med digital
teknologi til at skabe nye muligheder og fremgang til
det danske samfund og dets virksomheder – fra
rådgivning til anvendelse.
Etableret i Danmark i 1978
+10års konsulent-
erfaring
+1000kunder
Devoteam Gruppen siden 2001
Kontorer i København og Skanderborg
+100konsulenter i Danmark
Aktuelle Risk & Security projekterBredt erfaringsgrundlag