28 August Data privacy i SAP Lyngby 27/8 2015

Størrelse: px

Starte visningen fra side:

Download "28 August 2015. Data privacy i SAP Lyngby 27/8 2015"

Nicklas Bagge
8 år siden
Visninger:

1 28 August 2015 Data privacy i SAP Lyngby 27/8 2015

2 Agenda Om 2BM - Compliance Sikker håndtering af person data i SAP 1. Revisorerklæring for håndtering af personfølsomme data 2. Personfølsomme data definition 3. Logning af læsning af persondata 4. Monitorering af læsning af persondata Ciber Nordisk benchmark for Data privacy i SAP 2015

3 Hvem er 2BM 2BM blev stiftet i 2000 og har i dag ca. 65 konsulenter ansat Kontor i København og Århus Vi har 4 forretningsområder: SAP ERP SAP HCM BPO og Support 2Bmobile Vi er en god forretning - for vores kunder og for os selv og så er vi godt selskab Vi lægger vægt på at skabe forretningsmæssige resultater og værdi gennem solidt samarbejde og gode relationer Derfor udvælger vi vores medarbejdere, sammensætter vores teams, strømliner vores processer og dyrker vores fagligheder for altid at kunne levere et ambitiøst forretningsorienteret og positivt set-up Good Company

4 2BM Compliance mission Være den førende leverandør af Data privacy løsninger til SAP for danske SAP kunder. Være den førende leverandør af SAP License management ydelser og løsninger til danske SAP kunder. Være leverandør af SAP access management ydelser primært SAP autorisationer for understøttelse af data privacy og license management, samt 2BMs andre forretningsområder HR, Mobility og ERP.

5 Revisorerklæring for håndtering af personfølsomme data - Undersøgelsesområder Behandlingssikkerhed Retningslinjer Databehandleraftaler Adgangsstyring Træning Overdragelse af data Registreredes rettigheder Oplysningspligt Indsigelsesret Indsigtsret Sletning af ukorrekte oplysninger Tilbagekaldelse af samtykke Anmeldelse Datatilsynet Applikation og miljø IT sikkerhed Fysisk sikkerhed Logning

6 Personfølsomme data definition Hvad er definitionen for Personfølsomme data for Virksomheden? Forudsætter om håndtering af persondata er korrekt. Hvad skal logges Hvilken brug skal overvåges Som hovedregel må en virksomhed kun registrere følsomme oplysninger om en medarbejder, hvis medarbejderen har givet udtrykkeligt samtykke til dette. Datatilsynet.dk Verifcer persondatadefinition for lever op til nuværende lovgivning og forslag til evt. forbedring af persondata definition 2. Verificer hvor i SAP og forbundne systemer der er personfølsomme data. 3. Benchmark persondatadefinition med andre SAP kunders persondatadefinition. 4. Fuldt overblik over persondata i SAP, fra system, modul helt ned på transaktion og feltnavn. 5. Personfølsomme SAP data matrice.

7 Logning - Brug af personfølsomme data i SAP 1/2 Definering af logningskoncept baseret på persondatadefinition og andre krav. Implementering af logning med SAP standard værktøjer for logningskoncept. Implementering af sikkerhed omkring logning i SAP.

8 Logning - brug af personfølsomme data i SAP 2/2 Logning aktiveres ved brug af Read Access Logging som er standard. Det er SAP standard funktionalitet til at logge læsning af data i SAP ABAP systemer. Standard i følgende versioner pt. NW 7.30 SP11 Available as of NW 7.11 SP13 Available as of NW 7.02 SP15 Available as of NW 7.01 SP15 Available as of

9 Logning - Opsætning af logging i SAP Transaktion: SRALMANAGER

10 Logning - Opsætning af logning i SAP 1. Definer logging purpose 2. Definer logging group 3. Optag transaktion i SAP gui eller portal for definere logningsfelter 4. Konfigurer felter til logning 5. Logning af konfigurerede felter udføres

11 Logning - Visning af logs i SAP

12 Monitorering af brug af personfølsomme data i SAP Opsætning af monitoreringsregler Proces for behandling af hændelser Abonnementsbaseret opdatering af persondata regler i forhold til lovgivning og best practice.

13 Ciber Nordic SAP Benchmark for Compliance and Security 2015 Lande Fordeling af svar Danmark 31.58% Sverige 17.54% Norge 22.81% Finland 26.32% +500 Nordiske SAP kunder var inviteret til at deltage Nordiske SAP kunder deltog.

14 Ciber Nordic SAP Benchmark for Compliance and Security /3 Overordnet udfordring Hypotese: Håndtering af personfølsomme data er en bekymring for alle virksomheder. Resultat: 50% er bekymret for håndtering af personfølsomme data i SAP. Konklusion:Vi havde forventet at den fremtidige EU persondata forordning ville give området høj focus. Benchmark blev udført vinter/forår 2015 hvor kommunikationen var meget mindre om dette end det er pt.

15 Ciber Nordic SAP Benchmark for Compliance and Security /3 Processer Hypotese: Det var forventet at alle har processer for håndtering af persondata. Resultat: 76,2 % har processer implementeret og viden til at sikre håndtering af personfølsomme data i SAP Værktøjer Hypotese: Det var ikke forventet at der var implementeret værktøjer til at håndtering personfølsomme data Resultat: 27% har værktøjer til at sikre personfølsomme data I SAP.

16 Ciber Nordic SAP Benchmark for Compliance and Security /3 Projekter Hypotese: Det var forventet at over 50% ville have et projekt indenfor de næste 2 år. Resultat: 67% har ikke planlagt projekt for håndtering af Personfølsomme data Organisering Hypotese: Det var forventet at IT var ansvarlig hos langt de fleste. Resultat: 30% er det juridisk afdeling og I 30 % er det HR der er ansvarlige for håndtering af personfølsomme data. IT er ansvarlig I 18% Viden Hypotese: Det var forventet at langt over halvdelen ville have svært ved at overskue nuværende og fremtidige krav for perosnfølsomme data. Resultat: 75,8% har viden til at leve optil nuværende og kommende krav til personfølsomme data

17 Kontakt Troels Lindgård Tlf Mail: København Livjægergade København Ø Danmark Tlf Fax: Mail: Århus INCUBA Science Park Åbogade Århus N Danmark Tlf Fax: Mail: info@2bm.dk

Relaterede dokumenter

Procedure for tilsyn af databehandleraftale

IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af