GDPR projekt papirtiger Med det rette overblik

Transkript

1 GDPR projekt papirtiger Med det rette overblik Christina Wulff Jennifer Romeyke Camilla Bruun Henrik Pasgaard Jesper B. Hansen

2 AGENDA KORT OM SISCON OG INDLÆGSHOLDER SISCON PROJEKTMODEL FOR EU-GDPR FOKUS PÅ DRIFTSFASEN Dashboard til EU-GDPR Strukturering og opbygning af papir-compliance Implementering af faktuel compliance Dataoverblik Datasubjekts risikobillede Overblik over behandlingsaktiviteter OPSUMMERING OG SPØRGSMÅL GDPR projekt papirtiger by ControlManager 2

3 OM SISCON Dansk konsulenthus og softwareleverandør siden 2004 ControlManager skaber fundamentet for et helhedsbillede og dokumentere virksomhedens ISMS / Complianceprogram Konsulentydelser der matcher og udnytter ControlManagers potentiale Mere end 120 kunder i Danmark og Norge Kontor i Allerød med kursusfaciliteter 12 medarbejdere i en virksomhed i vækst 3

4 HVEM ER JEG? JESPER B. HANSEN ESL, CISM, CRISC, CISSP IMPLEMENTERINGSKONSULENT, MED FOKUS PÅ DE BLØDE DELE AF INFORMATIONSSIKKERHED & EU-GDPR: IT-SIKKERHEDSSTRATEGI ISMS IMPLEMENTERING (ISO 27001) KONTROLMILJØOPBYGNING RISIKOVURDERINGER DATAKORTLÆGNING DOKUMENTATION AF BEHANDLINGSAKTIVITETER TIDLIGERE: IT-SIKKERHEDSCHEF PFA KONSULENT PWC KONSULENT PROTEGO GDPR projekt papirtiger by ControlManager TM 4

5 EU-GDPR Projektmodellen

6 ERFARINGER MED EU-GDPR PROJEKTER Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Etablér projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Etablér projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering pr. proces af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag GAP/RISK på forordningen som helhed Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndtér ændringer Rapportér Alle faser kan understøttes C af ControlManager GDPR projekt papirtiger by ControlManager TM maj 2018

7 DASHBOARDET Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Etablér projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Etablér projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering pr. proces af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag GAP/RISK på forordningen som helhed Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndtér ændringer Rapportér GDPR projekt papirtiger by ControlManager TM 7

8 DASHBOARDET GDPR projekt papirtiger by ControlManager TM 8

9 Overblik over papir -compliance

10 UDFORDRINGEN ORGANISATIONER HAR MANGE FORSKELLIGE EKSTERNE KRAV DE SKAL VÆRE COMPLIANT MED Ekstern lovgivning Krav om brug af (branche)standarder Krav fra kunder/leverandører MANGE KRAV ER HELT/DELVIST OVERLAPPENDE DET ER SVÆRT AT VURDERE Hvem gør hvad internt for at sikre compliance? Hvor er der overlap i krav? Hvilke af vores interne tiltag understøtter eksterne krav? EU-GDPR er blot endnu en række krav GDPR projekt papirtiger by ControlManagerTM 10

11 FRA KRAV TIL ET SAMLET REGELSÆT TAG UDGANGSPUNKT I LOV/STANDARD ILLUSTRÉR HVILKE REGLER DER ER ETABLERET FOR AT UNDERSTØTTE OVERHOLDELSE AF KRAV Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov GDPR projekt papirtiger by ControlManagerTM 11

12 I PRAKSIS EU-GDPR EKSEMPEL EU-GDPR AFDELING 3 BERIGTIGELSE OG SLETNING Art. 17, stk. 1 (a), (b), (c ), (d), (e ), (f) DATASUBJEKTET HAR RET TIL AT FÅ SLETTET PERSONDATA OM SIG SELV UDEN UNØDIG FORSINKELSE, OG DEN DATAANSVARLIGE HAR PLIGT TIL AT SLETTE PERSONOPLYSNINGER UDEN UNØDIG FORSINKELSE, HVIS DATA IKKE LÆNGERE ER NØDVENDIGE I FORHOLD TIL FORMÅLET ELLER, DATASUBJEKTET TRÆKKER SIT SAMTYKKE TILBAGE ELLER GØR INDSIGELSE ELLER MODSÆTTER SIG DATABEHANDLINGEN, SAMT I TILFÆLDE, HVOR DATABEHANDLINGEN ER ULOVLIG, ELLER SKAL SLETTES SOM FØLGE AF LOVGIVNING ELLER ANGÅR INDHENTNING AF PERSONDATA OM BØRN TIL BRUG I INFORMATIONSTJENESTER. GDPR projekt papirtiger by ControlManagerTM 12

13 MAPNING AF EU-GDPR -> REGEL -> KONTROL GDPR projekt papirtiger by ControlManager 13

14 RESULTAT = HÅNDBOG STRUKTURERET UDARBEJDELSE AF REGELSÆT ENDER UD I EN HÅNDBOG HÅNDBOGEN SIKRER: Klare rammer for arbejdet Konkret beskrivelse af rolle og ansvarsmodel Beskrivelse sikringstiltag - både organisatoriske og tekniske En rød tråd fra krav til tiltag GDPR projekt papirtiger by ControlManagerTM 14

15 REGLER FOR DE TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER? EN DEL AF EU-GDPR KRAVENE OMHANDLER TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER HVIS VI ALLEREDE HAR ARBEJDET INTENSIVT MED ISO COMPLIANCE OG HAR REGLER PÅ DETTE KAN DET SÅ GENBRUGES? GDPR projekt papirtiger by ControlManager 15

16 RELATION MELLEM STANDARDER - FOR AT SKABE GENBRUG DET ER MULIGT AT LINKE STANDARDER TIL HINANDEN Gør det muligt at arve regler fra ISO > EU-GDPR Man vil f.eks. kunne implementere følgende mapninger DI s vejledning iso27001security.com DI-vejledning CM-implementering GDPR projekt papirtiger by ControlManager 16

17 COMPLIANCE NIVEAU PR. OMRÅDE - EVT. AUTOMATISK MAPPET FRA ISO Automatisk mapning Regler i forhold til EU-GDPR (arvet eller direkte) Regler i forhold til ISO27001 GDPR projekt papirtiger by ControlManager 17

18 DASHBOARDET GDPR projekt papirtiger by ControlManager TM 18

19 Fra papir -compliance -> real-tids vurdering af compliance

20 UDFORDRINGEN MED ANDRE ORD: 1. Tekniske og organisatoriske foranstaltninger skal designes En del af håndbogen 2. Det skal sikres, at foranstaltningerne er effektive GDPR projekt papirtiger by ControlManager TM 20

21 FRA KRAV TIL ET SAMLET REGELSÆT TAG UDGANGSPUNKT I LOV/STANDARD ILLUSTRER HVILKE REGLER DER ER ETABLERET FOR AT UNDERSTØTTE OVERHOLDELSE AF LOV Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov ILLUSTRER HVILKE KONTROLLER DER ER PÅ PLADS, FOR AT SIKRE OVERHOLDELSE AF REGEL DOKUMENTER EVIDENS PÅ KONTROLLER GDPR projekt papirtiger by ControlManager TM 21

22 MAPNING AF EU-GDPR -> REGEL -> KONTROL - TILBAGE TIL EKSEMPLET EU-GDPR Kontrol Regel Regel Regel Hvordan/detaljer Hvordan GDPR projekt papirtiger by ControlManager TM 22

23 FRA PAPIRCOMPLIANCE -> FAKTUEL COMPLIANCE Lovkrav Egne regler Egen kontrol ControlManager skærmbillede GDPR projekt papirtiger by ControlManagerTM 23

24 OVERBLIK OVER GENNEMFØRTE KONTROLLER - FAKTUELT COMPLIANCEOVERBLIK ControlManager skærmbilleder GDPR projekt papirtiger by ControlManagerTM 24

25 FRA PAPIRCOMPLIANCE -> FAKTUEL COMPLIANCE INTRODUKTIONEN AF KONTROLLER GIVER OVERBLIK OVER: Hvilke kontroller er udført? Hvilke kontroller er fejlet? Hvor er der fundet kritiske fejl? SKIFT FRA PAPIR-COMPLIANCE > OVERBLIK OVER FAKTUELT COMPLIANCENIVEAU ControlManager skærmbillede GDPR projekt papirtiger by ControlManagerTM 25

26 FORANKRING I FORRETNINGEN EN FOKUSERING PÅ KONTROLLER GIVER YDERMERE Mulighed for at forankre og følge op på arbejdet ude i organisationen HVIS EU-GDPR SKAL FUNGERE SKAL DET VÆRE FORANKRET I FORRETNINGEN De skal tage ansvar De skal kende deres eget complianceniveau VI SKAL OPNÅ DOKUMENTERET VISHED GDPR projekt papirtiger by ControlManager 26 ControlManager skærmbilleder

27 DASHBOARDET GDPR projekt papirtiger by ControlManager TM 27

28 Hvor har vi data?

29 UDFORDRINGEN EU-GDPR FORDRER, AT DER ER OVERBLIK OVER: Hvor opbevarer vi data? På hvilket systemer? Hos hvilke leverandører? I hvilke lande? Hvem udveksler vi data med? BRUGES I FLERE SAMMENHÆNGE: Indsigtsret og retten til at blive slettet Vurdering af risici for datasubjektet Passende tekniske og organisatoriske foranstaltninger Fortegnelse over behandlingsaktiviteter GDPR projekt papirtiger by ControlManagerTM 29

30 DATAKORTLÆGNING EU-GDPR KRÆVER BLANDT ANDET VURDERING AF KONSEKVENSERNE AF DATABEHANDLINGEN FOR AT EVALUERE RISICIENES OPRINDELSE, NATUR, EGENART OG ALVORLIGHED (DPIA) DET FORUDSÆTTER OVERBLIK OVER DATA FUNKTIONSOMRÅDER Identificér relevante funktionsområder processer systemer aktiver DATAKORT Beskriv data: datakilder dataelementer datatyper videregivelse af data DPIA Vurdér: Dataansvarlighed Databehandling Datarettigheder Datasikkerhed GDPR projekt papirtiger by ControlManagerTM 30

31 DATAFLOW ELEMENTER Online screening HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Datasæt 1 Mail/kalender (Vedhæftet resultater) Datasæt 2 Filserver (Resultater gemt) Datasæt 3 Datatyper: - Art 6 Datatyper: - Art 6 - Art 9 Datatyper: - Art 6 - Art 9 - Art 10 CPR HR system Fastholdelse Gennemførelse af MUS Datasæt 4 GDPR projekt papirtiger by ControlManagerTM 31

32 DASHBOARDET ControlManager skærmbillede HVOR HAR VI HVILKE KATEGORIER AF DATA? Hvad er status på sikringstiltag på disse? HVOR OG HVAD UDVEKSLES EKSTERNT? Har vi tilstrækkelig lovligt grundlag? Er der tilstrækkelig sikkerhed i udvekslingen? Udveksler vi f.eks. CPR-nr. over usikker Har vi tilstrækkelige databehandleraftaler? Får vi løbende indhentet tilstrækkelige: Leverandør statusrapporter Revisionserklæringer GDPR projekt papirtiger by ControlManager TM 32

33 DASHBOARDET GDPR projekt papirtiger by ControlManager TM 33

34 Risikoen for datasubjekterne

35 EU-GDPR - RISIKOVURDERING DEN DATAANSVARLIGE SKAL FORETAGE EN ANALYSE AF PÅTÆNKTE BEHANDLINGSAKTIVITETERS KONSEKVENSER FOR BESKYTTELSEN AF PERSONDATA, HVIS DER BENYTTES NYE TEKNOLOGIER ELLER ANDEN BEHANDLINGSTYPE, DER PÅ GRUND AF SIN KARAKTER, OMFANG, SAMMENHÆNG OG FORMÅL, SANDSYNLIGVIS VIL INDEBÆRE EN HØJ RISIKO FOR FYSISKE PERSONERS RETTIGHEDER OG FRIHEDSRETTIGHEDER. GDPR projekt papirtiger by ControlManager 35

36 EKSEMPLER PÅ KRAV OM RISIKOANALYSE Følsomme data race og etnisk oprindelse, politisk eller filosofisk overbevisning, Religion Medlemskab af fagforening, Genetiske og biometriske data Sundhed Sexliv Seksuel orientering. Oplysninger om strafbare forhold Stor skala data Behandling af data på nationalt, regionalt og supranationalt niveau, som berører et stort antal mennesker og indebærer høj risiko for deres følsomme data Når der er høj risiko for at datasubjektet bliver begrænset i at udøve sine rettigheder eller gøre brug af en kontrakt eller en service Overvågning af offentligt tilgængelige steder, især ved anvendelse af optiskelektronisk teknologi En dataansvarligs anvendelse af fælles applikation på tværs af sektorer eller brancher Ved profilering, dvs systematisk og intensiv evaluering af enkeltpersoner med henblik på at træffe en beslutning, der vedrører vedkommende Ved brug af nye teknologier GDPR projekt papirtiger by ControlManager 36

37 RISICI I FORORDNINGEN Direkte negativ effekt for datasubjektet Fysisk, materiel eller moralsk skade Diskrimination Identitetstyveri og bedrageri Finansielle tab Skade på omdømme Tab af fortrolighed Økonomiske eller sociale ulemper Begrænsning i udøvelsen af rettigheder og friheder Begrænsning i udøvelse af kontrol over persondata Indirekte negativ effekt for datasubjektet Afdækning af oplysninger om race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, medlemskab af fagforening og om sundhed, sexliv samt strafbare forhold Profilering til forudsigelse af fx arbejdsindsats, økonomisk situation, sundhed, personlige præferencer eller interesser, troværdighed og adfærd, lokation eller bevægelser Behandling af persondata om udsatte grupper, herunder børn Behandling af data i stor skala, der har effekt I forhold til et stort antal datasubjekter Negativ effekt pga. sikkerhedshændelse Uautoriseret af-pseudonymisering Hændelig eller ulovlig destruktion, tab eller ændring af data Uautoriseret offentliggørelse af persondata Uautoriseret adgang til persondata under transmission, opbevaring eller anden behandling GDPR projekt papirtiger by ControlManager 37

38 DASHBOARDET SKAL DANNE (SAMLET) OVERBLIK Behandlingsaktivitet (evt. nyt projekt) GDPR projekt papirtiger by ControlManager 38

39 DASHBOARDET SKAL SIKRE OVERBLIK OVER DET AKTUELLE RISIKOBILLEDE som vi udsætter vores datasubjekter for AT DER KAN GRIBES IND OVERFOR NYE INITIATIVER, SOM UDGØR / VIL KUNNE UDGØRE EN STOR RISIKO FOR DATASUBJEKTET KRÆVER AT RISIKO/KONSEKVENSVURDERINGER ER INDLEJRET I Forretningsudvikling (System)-Indkøb Projektstyring IT - Change Management Procesoptimering Etc. DETTE SKAL VÆRE BESKREVET SOM REGLER I HÅNDBOG GDPR projekt papirtiger by ControlManager 39

40 DASHBOARDET GDPR projekt papirtiger by ControlManager TM 40

41 Behandlingsaktiviteterne Art. 30

42 ART. 30 FORTEGNELSE GDPR projekt papirtiger by ControlManager 42

43 ORGANISATIONEN GDPR projekt papirtiger by ControlManager 43

44 STAMBLAD FOR PROCESSEN - OG DATAKORTLÆGNINGEN Art. 30 felter Hvilke data Behandles? Hvad udveksles? GDPR projekt papirtiger by ControlManager 44

45 YOUR TAKE-AWAY GDPR projekt papirtiger by ControlManager 45

46 ET DASHBOARD INDEN MAN OPBYGGER DASHBOARDET BØR MAN VURDERE: Hvad er det for oplysninger som vi som organisation gerne vil se, for at vi har ro-imaven i forhold til EU-GDPR input fra IT-sikkerhed Jura Compliance Hvilke oplysninger skal vi kunne tilvejebringe til en evt. DPO? Hvilke oplysninger skal vi kunne tilvejebringe til eksternt tilsyn? I ØVRIGT OGSÅ GANSKE GODE SPØRGSMÅL INDEN MAN VÆLGER: Rådgiver Værktøj GDPR projekt papirtiger by ControlManager 46

47 SÅDAN KAN FOKUS PÅ TILSYNET HJÆLPE MED OPBYGNING AF DASHBOARD GØR DIG KLART HVILKEN ROLLE DET SPECIFIKKE TILSYN SPILLER Hvad er formålet? Hvad skal kontrolleres? Hvad skal der til for at opgaven løftes bedst muligt? OVERVEJ Hvilken dokumentation gør tilsynets arbejde hurtigt og effektivt? Hvordan skal dokumentationen tilrettelægges, så det bliver så f som muligt GDPR projekt papirtiger by ControlManager 47

48 KOM OG BESØG OS PÅ VORES STAND TIL EN DIALOG OM DATA- & INFORMATIONSSIKKERHED PÅ VORES STAND KAN DU HØRE HVAD VI KAN GØRE I SAMARBEJDE MED DIG! Konsulentsparring: GDPR baggrund og indhold med fokus på forskellige målgrupper Datakortlægning / dataflow DPIA Design af konsekvens- og risikoanalyser ControlManager som forankring og understøttelse til GDPR implementering Modenhedsanalyser - Organisationens ISMS og GDPR modenhed Rådgivning om ISMS og GDPR planlægning, implementering, vedligehold og evaluering Christina Wulff CWJ@siscon.dk Jennifer Romeyke Jer@siscon.dk Camilla Bruun CAB@siscon.dk Henrik Pasgaard HEP@siscon.dk Jesper B. Hansen JBH@siscon.dk