Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Transkript

1 Struktureret compliance 9 måneder med GDPR-compliance krav hvordan er det gået?

2 Introduktion

3 Agenda Kort om Siscon og Jesper GDPR projektet OVERSTÅET eller tid til eftersyn!!? Eftersyn AS-IS GAPs? Struktur Understøttelse af tilsyn

4 Jesper Track record Chief Delivery Officer Siscon Leder af PFA Infrastrukturafdeling IT-sikkerhedschef PFA Manager PwC

5 Jesper Fokusområder: Styring af informationssikkerhed ISO27001/2 baseret ISMS EU-GDPR analyse og implementering Kontrolmiljøer Complianceoverblik ISAE 3000 erklæringsunderstøttelse

6 Siscon ISMS / Håndbog Roller, Ansvar, regler Politikker ISO27001 Procedure - Kontroller Efterlevelse (SOA) Awareness Pre-audit ISAE 3000 ISAE 3402 ISO27001 EU-GDPR Compliance Datakortlægning DPIA DPO SaaS Beredskab Beredskabsplan Forretning og IT Beredskabstest Risikovurdering Konsekvensanalyse Sårbarhedsanalyse Overblik over risici Operational Risk GAP analyse Modenhed Indsatser Hændelseshåndtering Anmærkningshåndtering ControlManager Styring af ISMS/GDPR Drift - Opfølgning Overblik - Årshjul Awareness motor

7 Erfaringer med EU-GDPR Projekter Projektopstart Overblik GAP/RISK Implementering Forvaltning Etablér projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Etablér projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering pr. proces af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag GAP/RISK på forordningen som helhed Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op Opfølgende på kontroller Revurdering af GAP analyser Kontinuert awareness Håndtér ændringer Rapportér Projekt Drift

8 25. maj!

9 Og hvad fik vi ud af det?

10

11 IT-sikkerhedsregler Forretningsgange Arbejdsinstrukser Procedurer GAPs? Hvor har vi huller? Hvordan afdækker vi disse? I forhold til flere eksterne krav Integreret i organisationen Tilsyn Hvordan understøtter vi tilsynet? Rigets tilstand? Sikring af compliance?

12 Referencerammer giver struktur Retningslinjer Roller/ Ansvar Politikker Kontroller Procedurer Control- Manager

13 Eksterne referencerammer Organisationer har mange forskellige eksterne krav de skal være compliant med Ekstern lovgivning Krav om brug af (branche)standarder Krav fra kunder/leverandører Mange krav er helt/delvist overlappende Det er svært at vurdere Hvem gør hvad internt for at sikre compliance? Hvor er der overlap i krav? Hvilke af vores interne tiltag understøtter eksterne krav? Persondataforordningen er blot endnu en række krav

14 I praksis EU-GDPR eksempel EU-GDPR Afdeling 3 berigtigelse og sletning Art. 17, stk. 1 (a), (b), (c ), (d), (e ), (f) Datasubjektet har ret til at få slettet persondata om sig selv uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis data ikke længere er nødvendige i forhold til formålet eller, datasubjektet trækker sit samtykke tilbage eller gør indsigelse eller modsætter sig databehandlingen, samt i tilfælde, hvor databehandlingen er ulovlig, eller skal slettes som følge af lovgivning eller angår indhentning af persondata om børn til brug i informationstjenester.

15 Mapning af EU-GDPR -> Regel -> Kontrol - BÅDE GDPR og Teknisk og Org. kontroller EU-GDPR ISO 27001/ Gennemgang af brugeradgangsrettigheder Aktivejere skal med jævne mellemrum gennemgå brugernes adgangsrettigheder. Regel Regel Regel Regel Systemejeren er ansvarlig for, med udgangspunkt i oversigt fra Brugeradministration, at gennemgå alle brugernes adgangsrettigheder, for deres respektive systemer, hver 3. måned. Hvordan/detaljer Hvordan/detaljer

16 Resultat = håndbog Struktureret Udarbejdelse af regelsæt ender ud i en håndbog håndbogen sikrer: Klare rammer for arbejdet Rolle- og ansvarsmodel Sikringstiltag En rød tråd fra krav til tiltag Vished for at vi har styr på alle facetter af GDPR

17 Opbygning af papircompliance Krav jeg er underlagt Egne regler Hvad betyder det for mig? Skærmbillede fra ControlManager

18 Understøttelse af flere krav Regler kan genbruges til at understøtte flere Lovkrav / standarder ol. FSR s ISAE3000 vejl. Det bliver nemmere at tilføje nye standarder / lovkrav F.eks. Er mange af vores kunder databehandlere, og vil gerne sikre understøttelse af ISAE3000 erklæringer Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov

19 Genbrug af regler FSR ISO Lovkrav ISAE EU-GDPR Krav 3000 Vejl. Egne regler Skærmbillede fra ControlManager

20 Regler Forretningsgange Arbejdsinstrukser Procedurer Rigets tilstand? GAPs? Hvor har vi huller? Hvordan afdækker vi disse? I forhold til flere eksterne krav Integreret i organisationen Sikring af compliance? Tilsyn Hvordan understøtter vi tilsynet?

21 Samlet GAP Overblik bygger fundamentet for GAP - analyser Forordningen som helhed Databehandlingen (Procesmæssig GAP) Tekniske og organisatoriske sikringsforanstaltninger Kan vi håndtere alle krav i forordningen? De enkelte behandlinger vi gennemfører, er de i overensstemmelse med forordningen? Har vi de tilstrækkelige tekniske sikringsforanstaltninger på vores systemer

22 Struktur + GAP = Overblik Databeskyttelsespolitik Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Dataansvarlighed Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesser Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Datasubjekt rettigheder Tilgængelighed Fortrolighed Integritet Robusthed Sikkerhed

23 Forretningsgange Arbejdsinstrukser IT-sikkerhedsregler Procedurer GAPs? Hvor har vi huller? Hvordan afdækker vi disse? Faktuelt og målbart Integreret i organisationen Tilsyn Hvordan understøtter vi tilsynet? Rigets tilstand? Sikring af compliance?

24 Udfordringen Med andre ord: 1. Tekniske og organisatoriske foranstaltninger skal designes En del af håndbogen 2. Det skal sikres, at foranstaltningerne er effektive

25 Fra krav til et samlet regelsæt Sammenhæng mellem: LOV/STANDARD REGLER Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov UDBYGGES MED: KONTROLLER - FOR AT SIKRE OVERHOLDELSE AF REGEL EVIDENS SOM DOKUMENTATION FOR GENNEMFØRELSE

26 Mapning af EU-GDPR -> Regel -> Kontrol - tilbage til eksemplet Kontrol Regel Regel Regel Hvordan/detaljer Hvordan

27 Fra papircompliance -> Faktuel compliance Krav jeg er underlagt Egne regler Hvad betyder det for mig? Egen kontrol Overholder jeg krav? Skærmbillede fra ControlManager

28 Tilbagemelding på en kontrol

29 Oversigt over gennemførelse af kontroller

30 Forankring i forretningen En fokusering på kontroller giver ydermere Mulighed for at forankre og følge op på arbejdet ude i organisationen Hvis EU-GDPR skal fungere skal det være forankret i forretningen De skal tage ansvar De skal kende deres eget complianceniveau Vi skal opnå dokumenteret vished ControlManager skærmbilleder

31 Forretningsgange Arbejdsinstrukser IT-sikkerhedsregler Procedurer GAPs? Hvor har vi huller? Hvordan afdækker vi disse? I forhold til flere eksterne krav Integreret i organisationen Tilsyn Hvordan understøtter vi tilsynet? Rigets tilstand? Sikring af compliance?

32 Sådan kan fokus på tilsynet hjælpe med struktur Gør dig klart hvilken rolle det specifikke tilsyn spiller Hvad er formålet? Hvad skal kontrolleres? Hvad skal der til for at opgaven løftes bedst muligt? Overvej Hvilken dokumentation gør tilsynets arbejde hurtigt og effektivt? Hvordan skal dokumentationen tilrettelægges, så det bliver så godt som muligt

33 FSR ISAE 3000 erklæringsskabelon Til hvert krav, tilknyttes - Regler - Procedurer - Kontroller

34 Oversigt over samlet complianceniveau Har vi udført kontrollerne? Fandt vi nogle fejl? Vejledninger Lovgivning Standarder

35 Your take-away

36 Hvis jeres GDPR projekt har afleveret dette Hvis dit projekt har afleveret dette Og du havde forventet dette

37 Så tænk i struktur Hvad er det for oplysninger som vi som organisation gerne vil se, for at vi har ro-i-maven i forhold til EU-GDPR input fra IT-sikkerhed Jura Compliance Hvilke oplysninger skal vi kunne tilvejebringe til en evt. DPO? Hvilke oplysninger skal vi kunne tilvejebringe til eksternt tilsyn?

38 Sidegevinsten HUSK du skal IKKE gøre det alene for tilsynets skyld Du skal gøre det, fordi det skaber værdi i praksis Ved at implementere det foreslåede, får du: tolket forskellige rammer i forhold til, hvad de betyder for dig og din organisation defineret roller og ansvar i din organisation skabt løbende overblik over dit complianceniveau etableret muligheden for løbende at opdage og imødekomme problemer - også før tilsynet kommer Du får selv ro i maven og kan sove godt

39 Spørgsmål? Jesper B. Hansen