Whitepaper DPOware - en cloudbaseret løsning der leverer en fuld GDPR risikostyring og compliance platform

Transkript

1 Whitepaper DPOware - en cloudbaseret løsning der leverer en fuld GDPR risikostyring og compliance platform Version 1.8 marts 2018 DPOware - White Paper 1

2 Top 10 fordele ved DPOware 1. DPOware's partnere kan implementere deres egne kontroller, dokumenter, arbejdsgange etc.) på DPOware platformen, hvorefter det kun vil være tilgængeligt for relevante kunder. 2. Platformen kan håndtere mange forskellige rammeværk og understøtter som standard DPOware GDPR tjekliste, ISO27002 (IT-sikkerhed) tjekliste og en ISAE 3000 tjekliste bygget med kontroller for GDPR. Men kundespecifikke rammeværk kan let implementeres, og alle tjeklister inkluderer overblik over compliance og identificerede mangler og actions. 3. Understøtter administration af dokumenter (Politikker, Processer, Instruktioner, Kontroller ect.) og automatisk udsendelse af beskeder til brugere, når der er nye og relevante dokumenter, der skal læses eller godkendes, eller er relevant i forbindelse med nyansættelser. 4. De fleste af brugerne kan arbejde fra deres klient, da de fleste aktiviteter sendes via , der via "Deep Links" giver direkte adgang til opgaver, træning og dokumenter. 5. Risikovurdering foretages på flere niveauer for at minimere arbejdsbyrden, ved at vurderinger foretages på rammeværk niveau, databærer niveau (System, Interface & Arkiv) samt på grupper af arbejdsprocesser. 6. E-learning funktionaliteten er med til at lette implementering af virksomhedens processer og oplæring i den ønskede adfærd. 7. Funktionaliteten omkring databeskyttelse gennem design (Privacy by design) er med til at sikre, at alle projekter evalueres med det rette udgangspunkt, og at løsninger løbende opdateres på baggrund af en relevant risikovurdering. 8. Ad hoc-workflows er til for at understøtte gennemførslen af standard GDPRprocesser, som læk af persondata og overholdelse af de registreredes rettigheder til bl.a. at blive glemt, få berigtiget deres data, eller få deres data udleveret. 9. Der er logik som sikrer at løbende aktiviteter automatisk igangsættes, og vores KPIere hjælper med at holde styr på status. 10. Løsningen er bygget med standardrapporter, oversigter og data, samt muligheden for at downloade alle sine data ved forespørgsel. Version 1.8 marts 2018 DPOware - White Paper 2

3 Situation EU's databeskyttelsesforordning (GDPR) træder i kraft i maj De fleste virksomheder og organisationer arbejder på en juridisk vurdering af nuværende praksis samt opbygning af juridiske anbefalinger og implementerbare løsninger, der bygger bro over identificerede mangler og reducerer virksomhedens risikoprofil. Komplikation Adressering af den nye GDPR-lovgivning kræver, at virksomhederne håndterer et antal udfordringer: Gennemføre aktiviteter for at imødekomme compliance niveauet (dette er typisk baseret på en juridisk vurdering og juridiske anbefalinger) Sikre datasikkerheden for behandlede persondata (baseret på ISO kontroller) Uddanne hele organisationen i nye politikker og procedurer samt generelt ændre adfærd, for at være mere opmærksom og fokuseret på håndtering af persondata De fleste virksomheder og organisationer har udformet GDPR projektet som et juridisk initiativ, og arbejder for ensidigt med at forstå den opdaterede lovgivning. I vores optik bør projekterne i højere grad stille skarpt på GDPR processerne, da disse vil drive den største financielle risiko. Vores synspunkt Data etik er måske en af de største udfordringer i de kommende år, drevet af eksponentielt voksende datamængder og kommunikationshastigheder. GDPR inkluderer en række krav til dataansvarlige og databehandlere. Det er kun rimeligt, at virksomheder og organisationer tager databeskyttelse alvorligt og at persondata indsamles, behandles og styres med det overordnede fokus at have respekt for den enkeltes privatliv. Vores value proposition At levere en platform med funktionalitet, struktur og anvendelsesmuligheder, der vil hjælpe virksomheder og organisationer med udvikling og implementering af en driftsmodel for GDPR, samt automatisering af aktiviteter og transparens i databehandlingen. Version 1.8 marts 2018 DPOware - White Paper 3

4 Hvad er en GDPR-operating model? Der er forskellige synspunkter, men DPOware har udviklet nedenstående model, der danner grundlag for vores syn på de forskellige elementer, der kræves i en GDPR-Operating model. Dokumenter i denne sektion defineres forretningsgange. Vi tror på standardisering og vigtigheden af, at definere politikker, procedurer, instruktioner, kontroller og skabeloner, samt de forskellige standarder og rammer, der skal bruges for at sikre et solidt fundament. Alle virksomheder og organisationer behøver ikke nødvendigvis dække alle aspekter i første omgang. Vi synes, det er vigtigt at have det overordnede mål i tankerne, og at sandsynligheden og omfanget af et muligt brud på forordningen skal tages i betragtning, når første fase i projektet skal defineres. Systemer (Systems) i denne sektion fokuseres der på, hvor persondata behandles og/eller lagres (databærere). Det dækker systemer, integrationer og arkiver, og det er nøglen til at definere det ansvar den dataansvarlige og databehandleren har, samt at udfærdige og dokumentere databehandleraftaler. Endvidere skal alle systemer, integrationer og arkiver vurderes mht. risiko og kontrol, og ansvarsfordelingen skal defineres. Databehandling (Data Processing) denne sektion indeholder en kortlægning af persondata til hver af databærerne. Vi foreslår endvidere at kortlægge (map) hver enkelt persondata element til GDPR relevante arbejdsprocesser. Platformen indeholder derudover tre typer af vurderinger. Den første type vedrører det juridiske grundlag for at behandle persondata, hvor hver subjektgruppe (f.eks. jurist, sagsbehandler eller chauffør) Version 1.8 marts 2018 DPOware - White Paper 4

5 kombineret med en arbejdsproces vurderes. Den anden type er en vurdering af risikoen ved behandling af persondata. Den tredje og sidste type er en konsekvensanalyse vedrørende databeskyttelse (DPIA), der kræves gennemført ved behandling af persondata med høj risiko for fysiske personers rettigheder og frihedsrettigheder, eller hvis andre af kriterierne fra artikel 29- gruppen er opfyldt. Databeskyttelse gennem design (Privacy by Design) i denne sektion sikres, at alle ændringer til den nuværende databehandling bliver indarbejdet, og at nye initiativer vurderes ift. at identificere potentielle risici. Desuden anbefaler vi en konsekvensanalyse vedrørende databeskyttelse (DPIA), hvis enten nye projekter indebærer høj risiko eller, hvis nogen af kriterierne foreslået af artikel 29-gruppen, er opfyldt. Træning (Training) denne sektion er den funktion, der måske har den største betydning for opfyldelse af det overordnede GDPR-mål. DPOware er bygget til at understøtte e-læring, og kurser kan defineres og tildeles forskellige brugertyper i løsningen. Meddelelser vil eks. blive sendt, når nyansatte skal have træning/kurser, og når det er tid til, at medarbejdere skal tage kurser/træning igen. Arbejdsgange (Workflows) denne sektion omfatter automatisering af en række arbejdsprocesser. DPOware indeholder en række ad hoc-arbejdsgange (der kun vil blive effektueret som en manuel begivenhed - ex. data brud eller en anmodning fra en registreret om indsigt) og et antal tilbagevendende arbejdsgange, der understøtter gennemførelsen af de forskellige kontroller, Itsikkerheds-, trænings- og evalueringsaktiviteter. Alle ovennævnte elementer understøttes med styring af mangel(gap)- og action elementer samt dashboard funktionalitet, der giver virksomheden et fuldt overblik over GDPR aktiviteter, risici og status. Vores tilgang De fleste projekter kræver en skræddersyet tilgang, men her har DPOware udviklet en projektmodel (se herunder) som inspirationskilde til at definere GDPR- og datasikkerhedsprojekter. Version 1.8 marts 2018 DPOware - White Paper 5

6 Første fase er en traditionel mobiliseringsfase, hvor projektet bliver defineret, samt en beskrivelse af projektets mål, omfang og succeskriterier. Projektet formes herefter ved at definere tilgangen, teamet og styringsmodellen. Yderligere kan en hurtig compliance vurdering kickstarte aktiviteter, der eliminerer områder med kritisk og/eller høj risiko. Forenklingsfasen anbefales at gennemføres for at forenkle systemarkitektur og reducere antallet af persondataelementer samt mængden af persondata. To spørgsmål, der ofte rejses, er: "Hvad er formålet med at have dataene?" Og "Har vi rent faktisk brug for oplysningerne, for at være i stand til at udføre vores arbejdsopgaver? ". Dette er en fase, der typisk leverer inkrementel værdi, idet en uklar systemarkitektur ofte driver behandling af store mængder data, og derigennem højere omkostninger til styring og kontrol. Omvendt betyder en forenkling via en klar og gennemsigtig systemmodel et hurtigt, smidigt og velfungerende system, der bedre kan præstere og levere som ønsket. Udviklingsfasen omfatter vurderinger (Assessments) der tilsikrer, at lovkrav og/eller standarder er opfyldt at databærere (Systemer, Integrationer og Arkiver) risikovurderes, og at kontrol/styring af disse anvendes Grupper af registrerede (inddelt efter type) bliver kortlagt i forhold til processer, retsgrundlaget for databehandlingen (for proces- eller procesgruppe) vurderes, og virksomhedens fortegnelser over databehandling udarbejdes. Version 1.8 marts 2018 DPOware - White Paper 6

7 Behandlingsaktivitet logges for høj risiko og kritiske data, og en DPIA udføres, hvor nødvendigt. Yderligere politikker ændres/defineres og procedurer, instruktioner, kontroller og skabeloner udvikles for at standardisere den måde virksomheden/organisationen opererer på. Kurser (e-learning) udvikles og tildeles relevante målgrupper, og kriterierne for udsendelse af kurser defineres. Implementeringsfasen omfatter udvikling af implementeringsplanen, implementering af risikostyringsprocesser og aktivering af relevante arbejdsgange og styringsaktiviteter for at sikre at målet, og succeskriterier defineret i mobiliseringsfasen, er opfyldt. Den sidste fase - Optimeringsfasen - omfatter aktiviteter til evaluering af implementeringsaktiviteterne samt Privacy by Design principper. Fasen sikrer, at processer og dokumentation opdateres og løbende finjusteres, og dermed sikrer den fortsatte effektivitet, samt at modellen afspejler den aktuelle situation. Roller og ansvar GDPR projekter involverer flere dele af organisationen, og bør inkludere dedikerede ressourcer med juridisk, IT og forretningsmæssig indsigt. Projektgruppen vil variere fra delprojekt til delprojekt, men illustrationen nedenfor kan bruges som retningslinje for, hvordan roller og ansvar kunne se ud i projektet. Version 1.8 marts 2018 DPOware - White Paper 7

8 Databeskyttelsesrådgiveren (DPO) - er en rolle, som er krævet i databeskyttelsesforordningen (GDPR), i virksomheder, hvis primære formål er behandling af persondata. IT-chef & projektleder - kan have forskellig baggrund, erfaringer og evner, men generelt er personen ansvarlig for teknologi, sikkerhed og arkitektur samt projektledelse. Den systemansvarlige er ansvarlig for IT-systemerne og er dermed en nøgleperson mht. udvikling/design af systemer og specifikationer. Procesejeren - har det endelige ansvar for udførelsen af en proces, og har således bemyndigelsen og evnen til at lave de nødvendige ændringer, der eventuelt er påkrævet i relation til GDPR. Funktionscheferne er ansvarlige for de forskellige afdelinger. Platformen Forsiden indeholder vores cockpit, hvor alle relevante områder defineres og vurderes. I venstre side er der en række funktionsområder der sikrer let adgang relevant information. Øverst i højre hjørne kan brugeren indstille sprog, ændre visning af forsiden, KPI er, ændre adgangskode samt skifte konto, og oprette worlkflows til at håndtere indsigtsbegæringer. Version 1.8 marts 2018 DPOware - White Paper 8