GDPR projekt papirtiger. - Med det rette overblik

Transkript

1 GDPR projekt papirtiger - Med det rette overblik

2 AGENDA KORT PRÆSENTATION AF SISCON SISCON PROJEKTMODEL FOR EU-GDPR FOKUS PÅ DRIFTSFASEN Dashboard til EU-GDPR 1. Strukturering og opbygning af papir-compliance 2. Implementering af faktuel compliance 3. Dataoverblik 4. Datasubjekts risikobillede 5. Overblik over behandlingsaktiviteter OPSUMMERING OG SPØRGSMÅL GDPR projekt papirtiger by ControlManager TM 2

3 OM SISCON Dansk konsulenthus og softwareleverandør siden 2004 ControlManager - værktøjet der giver et helhedsbillede og dokumentere virksomhedens efterlevlsesniveau Konsulentydelser der matcher og udnytter ControlManagers potentiale Kontor i Allerød med kursusfaciliteter 10 medarbejdere i en virksomhed i vækst Mere end 120 kunder i Danmark og Norge GDPR projekt papirtiger by ControlManager TM 3

4 CONTROLMANAGER - RYGRADEN I DIT ISMS & GDPR VÆRKTØJ Databehandler Aftaler Dokumentstyring ControlManager TM IT-Risikostyring GDPR-Risikostyring Revisionserklæringer Efterlevelse EU-GDPR Efterlevelse Kontrolkatalog GAP-Analyse Awareness & ledelsesforankring Beredskab Data Breach Notification Dataflow GDPR projekt papirtiger by ControlManager TM 4

5 OM SISCON ControlManager Rådgivning & sparring IT-Sikkerhedsstyring ISMS opbygning og design Compliancemonitorering (EU-GDPR / ISO) Kontrol og revision efterlevelse/krav Risikostyring Opbygning af risikostyring Ledelsessystem Måling / afrapportering GDPR projekt papirtiger by ControlManager TM 5

6 HVEM ER VI? JESPER B. HANSEN ESL, CISM, CRISC, CISSP IMPLEMENTERINGSKONSULENT, MED FOKUS PÅ DE BLØDE DELE AF INFORMATIONSSIKKERHED & EU- GDPR: IT-SIKKERHEDSSTRATEGI ISMS IMPLEMENTERING (ISO 27001) KONTROLMILJØOPBYGNING RISIKOVURDERINGER DATAKORTLÆGNING DOKUMENTATION AF BEHANDLINGSAKTIVITETER TIDLIGERE: IT-SIKKERHEDSCHEF PFA KONSULENT PWC KONSULENT PROTEGO LARS BÆRENTZEN HAR 20+ ÅRS ERFARING, INDENFOR FORSKELLIGE IT-SIKKERHED, INFORMATIONSSIKKERHED OG DATABESKYTTELSESDISCIPLINER. SOM KONSULENT HAR JEG BLA. HJULPET MED: OPBYGNING AF ISMS EFTERLEVELSESDOKUMENTATION INFORMATIONSSIKKERHEDSPOLITIKKER GENNEMFØRELSE AF RISIKOVURDERINGER UDARBEJDELSE AF BEREDSKABSPLANER GENNEMFØRELSE AF BEREDSKABSTEST GDPR DATAKORTLÆGNING GDPR GAP-ANALYSER AWARENESS KAMPAGNER.. UDDANNELSE ESL (HOLD 10), CISSP* INGENIØR FRA DTU OFFICER I FORSVARET GDPR projekt papirtiger by ControlManager TM 6

7 EU-GDPR DET RETTE OVERBLIK

8 ERFARINGER MED EU-GDPR PROJEKTER Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Etablér projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Etablér projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering pr. proces af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag GAP/RISK på forordningen som helhed Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 GDPR projekt papirtiger by ControlManager TM 8

9 EU-GDPR PROJEKTET Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Etablér projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Etablér projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering pr. proces af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag GAP/RISK på forordningen som helhed Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 GDPR projekt papirtiger by ControlManager TM 9

10 GENERISK DASHBOARDET GDPR projekt papirtiger by ControlManager TM 10

11 Overblik over papir -compliance

12 UDFORDRINGEN ORGANISATIONER HAR MANGE FORSKELLIGE EKSTERNE KRAV DE SKAL VÆRE COMPLIANT MED Ekstern lovgivning Krav om brug af (branche)standarder Krav fra kunder/leverandører MANGE KRAV ER HELT/DELVIST OVERLAPPENDE DET ER SVÆRT AT VURDERE Hvem gør hvad internt for at sikre compliance? Hvor er der overlap i krav? Hvilke af vores interne tiltag understøtter eksterne krav? EU-GDPR er blot endnu en række krav GDPR projekt papirtiger by ControlManager TM 12

13 FRA KRAV TIL ET SAMLET REGELSÆT TAG UDGANGSPUNKT I LOV/STANDARD Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov ILLUSTRER HVILKE REGLER DER ER ETABLERET FOR AT UNDERSTØTTE OVERHOLDELSE AF KRAV GDPR projekt papirtiger by ControlManager TM 13

14 I PRAKSIS EU-GDPR EKSEMPEL EU-GDPR AFDELING 3 BERIGTIGELSE OG SLETNING Art. 17, stk. 1 (a), (b), (c ), (d), (e ), (f) DATASUBJEKTET HAR RET TIL AT FÅ SLETTET PERSONDATA OM SIG SELV UDEN UNØDIG FORSINKELSE, OG DEN DATAANSVARLIGE HAR PLIGT TIL AT SLETTE PERSONOPLYSNINGER UDEN UNØDIG FORSINKELSE, HVIS DATA IKKE LÆNGERE ER NØDVENDIGE I FORHOLD TIL FORMÅLET ELLER, DATASUBJEKTET TRÆKKER SIT SAMTYKKE TILBAGE ELLER GØR INDSIGELSE ELLER MODSÆTTER SIG DATABEHANDLINGEN, SAMT I TILFÆLDE, HVOR DATABEHANDLINGEN ER ULOVLIG, ELLER SKAL SLETTES SOM FØLGE AF LOVGIVNING ELLER ANGÅR INDHENTNING AF PERSONDATA OM BØRN TIL BRUG I INFORMATIONSTJENESTER. GDPR projekt papirtiger by ControlManager TM 14

15 MAPNING AF EU-GDPR -> REGEL -> KONTROL EU-GDPR Regel Regel Regel Hvordan/detaljer GDPR projekt papirtiger by ControlManager TM 15

16 RESULTAT = HÅNDBOG STRUKTURERET UDARBEJDELSE AF REGELSÆT ENDER UD I EN HÅNDBOG HÅNDBOGEN SIKRER: Klare rammer for arbejdet Konkret beskrivelse af rolle og ansvarsmodel Beskrivelse sikringstiltag - både tekniske og administrative En rød tråd fra krav til tiltag GDPR projekt papirtiger by ControlManager TM 16

17 REGLER FOR DE TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER? EN DEL AF EU-GDPR KRAVENE OMHANDLER TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER HVIS VI ALLEREDE HAR ARBEJDET INTENSIVT MED ISO COMPLIANCE OG HAR REGLER PÅ DETTE KAN DET SÅ GENBRUGES? GDPR projekt papirtiger by ControlManager TM 17

18 RELATION MELLEM STANDARDER - FOR AT SKABE GENBRUG DET ER MULIGT AT LINKE STANDARDER TIL HINANDEN Gør det muligt at arve regler fra ISO > EU-GDPR Man vil f.eks. kunne implementeres DI s vejledning på denne måde EU-GDPR by Siscon 18

19 COMPLIANCE NIVEAU PR. OMRÅDE - EVT. AUTOMATISK MAPPET FRA ISO Automatisk mapning Regler i forhold til EU-GDPR (arvet eller direkte) Regler i forhold til ISO27001 GDPR projekt papirtiger by ControlManager TM 19

20 GENERISK DASHBOARDET GDPR projekt papirtiger by ControlManager TM 20

21 Fra papir -compliance -> real-tids vurdering af compliance

22 UDFORDRINGEN MED ANDRE ORD: 1. Vi skal designe nogle tekniske og organisatoriske foranstaltninger En del af håndbogen 2. Vi skal sikre os, at de er effektive GDPR projekt papirtiger by ControlManager TM 22

23 FRA KRAV TIL ET SAMLET REGELSÆT TAG UDGANGSPUNKT I LOV/STANDARD ILLUSTRER HVILKE REGLER DER ER ETABLERET FOR AT UNDERSTØTTE OVERHOLDELSE AF LOV Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov ILLUSTRER HVILKE KONTROLLER DER ER PÅ PLADS, FOR AT SIKRE OVERHOLDELSE AF REGEL DOKUMENTER EVIDENS PÅ KONTROLLER GDPR projekt papirtiger by ControlManager TM 23

24 MAPNING AF EU-GDPR -> REGEL -> KONTROL - TILBAGE TIL EKSEMPLET EU-GDPR Kontrol Regel egel Regel Hvordan/detaljer Hvordan GDPR projekt papirtiger by ControlManager TM 24

25 FRA PAPIRCOMPLIANCE -> FAKTUEL COMPLIANCE Lovkrav Egne regler Egen kontrol GDPR projekt papirtiger by ControlManager TM ControlManager skærmbillede 25

26 OVERBLIK OVER GENNEMFØRTE KONTROLLER - FAKTUELT COMPLIANCEOVERBLIK ControlManager skærmbillede EU-GDPR by Siscon 26

27 OVERBLIK OVER GENNEMFØRTE KONTROLLER - FAKTUELT COMPLIANCEOVERBLIK ControlManager skærmbillede EU-GDPR by Siscon 27

28 FRA PAPIRCOMPLIANCE -> FAKTUEL COMPLIANCE INTRODUKTIONEN AF KONTROLLER GIVER OVERBLIK OVER: Hvilke kontroller er udført? Hvilke kontroller er fejlet? Hvor er der fundet kritiske fejl? SKIFT FRA PAPIR-COMPLIANCE > OVERBLIK OVER FAKTUELT COMPLIANCENIVEAU GDPR projekt papirtiger by ControlManager TM ControlManager skærmbillede 28

29 FORANKRING I FORRETNINGEN EN FOKUSERING PÅ KONTROLLER GIVER YDERMERE Mulighed for at forankre og følge op på arbejdet ude i organisationen HVIS EU-GDPR SKAL FUNGERE SKAL DET VÆRE FORANKRET I FORRETNINGEN De skal tage ansvar De skal kende deres eget complianceniveau VI SKAL OPNÅ DOKUMENTERET VISHED GDPR projekt papirtiger by ControlManager TM 29 ControlManager skærmbillede

30 GENERISK DASHBOARD GDPR projekt papirtiger by ControlManager TM 30

31 Hvor har vi data?

32 UDFORDRINGEN EU-GDPR FORDRER, AT DER ER (ET VIST NIVEAU AF) OVERBLIK OVER: Hvor opbevarer vi data? På hvilket systemer? Hos hvilke leverandører? I hvilke lande? Hvem udveksler vi data med? BRUGES I FLERE SAMMENHÆNGE: Indsigtsret Vurdering af risici for datasubjektet Passende tekniske og organisatoriske foranstaltninger Fortegnelse over behandlingsaktiviteter GDPR projekt papirtiger by ControlManager TM 32

33 DATAKORTLÆGNING EU-GDPR KRÆVER BLANDT ANDET VURDERING AF KONSEKVENSERNE AF DATABEHANDLINGEN FOR AT EVALUERE RISICIENES OPRINDELSE, NATUR, EGENART OG ALVORLIGHED (DPIA) DET FORUDSÆTTER OVERBLIK OVER DATA FUNKTIONSOMRÅDER Identificér relevante funktionsområder processer systemer aktiver DATAKORT Beskriv data: datakilder dataelementer datatyper videregivelse af data DPIA Vurdér: Dataansvarlighed Databehandling Datarettigheder Datasikkerhed GDPR projekt papirtiger by ControlManager TM 33

34 NIVEAUET AF ANALYSEN? Modtagelse af ansøgninger Virksomhedsområde Rekruttering Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Fastholdelse Funktionsområde Gennemførelse af MUS Proces GDPR projekt papirtiger by ControlManager TM 34

35 DATAFLOW ELEMENTER HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Online screening Datasæt 1 Mail/kalender (Vedhæftet resultater) Datasæt 2 Filserver (Resultater gemt) Datasæt 3 Datatyper: - Art 6 - Art 9 Datatyper: - Art 10 - Art 6 CPR Datatyper: - Art 6 - Art 9 Fastholdelse Gennemførelse af MUS HR system Datasæt 4 GDPR projekt papirtiger by ControlManagerTM 35

36 MINIMUMSNIVEAUET? Datasæt 1 Datasæt 2 Datasæt 3 Datasæt 4 ControlManager skærmbillede GDPR projekt papirtiger by ControlManager TM 36

37 RAPPORTERING FRA DASHBOARDETS HVOR HAR VI HVILKE KATEGORIER AF DATA? Hvad er status på sikringstiltag på disse? HVOR OG HVAD UDVEKSLES EKSTERNT? Har vi tilstrækkelig lovligt grundlag? Er der tilstrækkelig sikkerhed i udvekslingen? Udveksler vi f.eks. CPR-nr over usikker Har vi tilstrækkelige databehandleraftaler? Får vi løbende indhentet tilstrækkelige: Leverandør statusrapporter? Revisionserklæringer GDPR projekt papirtiger by ControlManager TM 37

38 GENERISK DASHBOARDET GDPR projekt papirtiger by ControlManager TM 38

39 Risikoen for datasubjekterne

40 EU-GDPR: HVEM, HVAD, HVORNÅR DEN DATAANSVARLIGE SKAL FORETAGE EN ANALYSE AF PÅTÆNKTE BEHANDLINGSAKTIVITETERS KONSEKVENSER FOR BESKYTTELSEN AF PERSONDATA, HVIS DER BENYTTES NYE TEKNOLOGIER ELLER ANDEN BEHANDLINGSTYPE, DER PÅ GRUND AF SIN KARAKTER, OMFANG, SAMMENHÆNG OG FORMÅL, SANDSYNLIGVIS VIL INDEBÆRE EN HØJ RISIKO FOR FYSISKE PERSONERS RETTIGHEDER OG FRIHEDSRETTIGHEDER. GDPR projekt papirtiger by ControlManagerTM 40

41 RISICI I FORORDNINGEN Direkte negativ effekt for datasubjektet Fysisk, materiel eller moralsk skade Diskrimination Identitetstyveri og bedrageri Finansielle tab Skade på omdømme Tab af fortrolighed Økonomiske eller sociale ulemper Begrænsning i udøvelsen af rettigheder og friheder Begrænsning i udøvelse af kontrol over persondata Indirekte negativ effekt for datasubjektet Afdækning af oplysninger om race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, medlemskab af fagforening og om sundhed, sexliv samt strafbare forhold Profilering til forudsigelse af fx arbejdsindsats, økonomisk situation, sundhed, personlige præferencer eller interesser, troværdighed og adfærd, lokation eller bevægelser Behandling af persondata om udsatte grupper, herunder børn Behandling af data i stor skala, der har effekt I forhold til et stort antal datasubjekter Negativ effekt pga. sikkerhedshændelse Uautoriseret afpseudonymisering Hændelig eller ulovlig destruktion, tab eller ændring af data Uautoriseret offentliggørelse af persondata Uautoriseret adgang til persondata under transmission, opbevaring eller anden behandling GDPR projekt papirtiger by ControlManager TM 41

42 EKSEMPLER PÅ KRAV OM RISIKOANALYSE DEN KOMMENDE EU FORORDNING STILLER KRAV OM RISIKOANALYSER VED BEBEHANDLING AF DATA I STOR SKALA OG I ANDRE SÆRLIGE TILFÆLDE, HVOR DER ER HØJ RISIKO FOR DATASUBJEKTETS RETTIGHEDER Følsomme data race og etnisk oprindelse, politisk eller filosofisk overbevisning, Religion Medlemskab af fagforening, Genetiske og biometriske data Sundhed Sexliv Seksuel orientering. Oplysninger om strafbare forhold Stor skala data Behandling af data på nationalt, regionalt og supranationalt niveau, som berører et stort antal mennesker og indebærer høj risiko for deres følsomme data Når der er høj risiko for at datasubjektet bliver begrænset i at udøve sine rettigheder eller gøre brug af en kontrakt eller en service Overvågning af offentligt tilgængelige steder, især ved anvendelse af optiskelektronisk teknologi En dataansvarligs anvendelse af fælles applikation på tværs af sektorer eller brancher Ved profilering, dvs systematisk og intensiv evaluering af enkeltpersoner med henblik på at træffe en beslutning, der vedrører vedkommende Ved brug af nye teknologier GDPR projekt papirtiger by ControlManager TM 42

43 DASHBOARDET SKAL DANNE (SAMLET) OVERBLIK Behandlingsaktivitet (evt. nyt projekt) GDPR projekt papirtiger by ControlManager TM 43

44 DASHBOARDET SKAL SIKRE ALT VI ALTID HAR OVERBLIK OVER DEN AKTUELLE RISIKOBILLED, SOM VI UDSÆTTER VORES DATASUBJEKTER FOR AT DER KAN GRIBES IND OVERFOR NYE INITIATIVER, SOM UDGØR / VIL KUNNE UDGØRE EN STOR RISIKO FOR DATASUBJEKTET KRÆVER AT RISIKO/KONSEKVENSVURDERINGER ER INDLEJRET I Forretningsudvikling (System)-Indkøb Projektstyring IT - Change Management Procesoptimering Etc. GDPR projekt papirtiger by ControlManager TM 44

45 GENERISK DASHBOARDET GDPR projekt papirtiger by ControlManager TM 45

46 Behandlingsaktiviteterne Art. 30

47 ART. 30 FORTEGNELSE GDPR projekt papirtiger by ControlManager TM 47

48 ORGANISATIONEN GDPR projekt papirtiger by ControlManager TM 48

49 OVERBLIK OVER PROCESSER OG FLOWS - PR. AFDELING GDPR projekt papirtiger by ControlManager TM 49

50 STAMBLAD FOR PROCESSEN - OG DATAKORTLÆGNINGEN Hvilke data Behandles? Hvad udveksles? GDPR projekt papirtiger by ControlManager TM 50

51 YOUR TAKE-AWAY GDPR projekt papirtiger by ControlManager TM 51

52 SÅDAN KAN FOKUS PÅ TILSYNET HJÆLPE MED OPBYGNING AF DASHBOARD GØR DIG KLART HVILKEN ROLLE DET SPECIFIKKE TILSYN SPILLER Hvad er formålet? Hvad skal kontrolleres? Hvad skal der til for at opgaven løftes bedst muligt? OVERVEJ Hvilken dokumentation gør tilsynets arbejde hurtigt og effektivt? Hvordan skal dokumentationen tilrettelægges, så det bliver så gennemskueligt som muligt GDPR projekt papirtiger by ControlManager TM 52

53 ET DASHBOARD INDEN MAN OPBYGGER DASHBOARDET BØR MAN VURDERE: 1. Hvad er det for oplysninger som vi som organisation gerne vil se, for at vi har ro-i-maven i forhold til EU-GDPR input fra IT-sikkerhed Jura Compliance 2. Hvilke oplysninger skal vi kunne tilvejebringe til en evt. DPO? 3. Hvilke oplysninger skal vi kunne tilvejebringe til eksternt tilsyn I ØVRIGT OGSÅ GANSKE GODE SPØRGSMÅL INDEN MAN VÆLGER: Rådgiver Værktøj GDPR projekt papirtiger by ControlManager TM 53

54 I SAMARBEJDER MED VORES KUNDER SKABER VI SUCCES 54

55 SPØRGSMÅL? SPØRGSMÅL? Lars Bærentzen Jesper Hansen