PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE. DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind

Størrelse: px

Starte visningen fra side:

Download "PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE. DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind"

David Lauritsen
9 år siden
Visninger:

1 PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind 1 1

2 MIT KØREKORT 16 år i Topdanmark i it-sikkerhedschefstolen Complianceansvarlig for IT Formand ESL-foreningen, fg. Foreningen af IT-sikkerhedschefer i Danmark Exam. IT-sikkerhedsleder CISA, CISM, CRISC DPO kursus og DPO netværk 2 2

3 AGENDA 1. Persondatagruppe nedsat i GAP analyse og indstilling gennemført Iværksættelse af persondataprojekt Q Data Protection model 5. Indførelse af PIA sommeren Hændelsesrapportering og Privacy 7. Kontrol med eksterne serviceleverandører 3 3

4 PERSONDATAGRUPPE NEDSAT I 2012 Noget er på vej fra EU 3-mands arbejdsgruppe; Compliancechef persondataretsekspert Koncern IT-sikkerhedschef Bygge bro mellem nuværende og kommende lovgivning, herunder vurdere konsekvensen for Topdanmark 4 4

5 GAP ANALYSE OG INDSTILLING 2013 GAP analyse: Hvor trykker skoen? Forundersøgelse og pipelinenotat med hjælp fra Projektcenteret Indstilling til direktionen Compliancechefens mandat 5 5

6 IVÆRKSÆTTELSE AF PROJEKT Q Projektforløb Forretningsledet styregruppe Persondatagruppen med i beslutningsgruppe og kerneteamet Kun interne ressourcer To opgaver; 1. Lukning af gap et 2. Compliant med ny lovgivning til tiden 6 6

7 PERSONDATAPROJEKTETS ORGANISERING Styregruppe Projektleder Beslutningsgruppe Erhverv & Industri Liv Marketing Landbrug Skade Statistik Koncernjura Compliance Koncern IT sikkerhed IT Arkitektur (AAA ere) Koncernjura Centralt team: FO/Stab IT område Koncern IT Sikkerhed Tung forr.repr. PPO Teknisk arkitekt Compliance-funktion Specialist FO/Stab FO/Stab IT område IT område Forandringsleder 7 7

8 DATA PROTECTION ASSESSMENT MODEL Data Protection Legal Privacy Impact IT Risk 8 8

9 MÅLSÆTNING KoncernJura, Compliance og Koncern IT-sikkerhed skal tidligt ind i processen, gerne i idéfasen, for at sikre, at projektet opfylder Topdanmarks krav til compliance Således skal det være positivt medvirkende til, at projektet når i mål til tiden med den rette datakvalitet Der skal sikres den nødvendige dokumentation for disse vurderinger Krav i Topdanmarks Udviklingsmodel 9 9

10 COMPLIANCEKRAV Projekter kan ikke sættes i produktion før, der er gennemført en "Data Protection (DPA), der er godkendt af de ansvarlige roller. I større projekter, ved særlige hensyn, stor risiko, konsekvens m.m. bør DPA forelægges og godkendes den ansvarlige Forretningschef Projektledere er ansvarlige for, at det vurderes, hvorvidt en DPA skal gennemføres KoncernJura, Compliancefunktion og Koncern IT sikkerhed skal inddrages i denne vurdering, og det skal dokumenteres, hvis der ikke skal gennemføres en DPA 10 10

11 DATA PROTECTION ASSESSMENT MODEL Data Protection Legal Privacy Impact IT Risk 11 11

12 LEGAL ASSESSMENT Lovgivning Kontraktuelle forhold Evt. databehandleraftale, herunder krav til audit og revisionsrapporter Solvenskrav/datakvalitet Kontraktuelle formaliteter Og sikkert meget mere 12 12

13 DATA PROTECTION ASSESSMENT MODEL Data Protection Legal Privacy Impact IT Risk 13 13

14 PRIVACY IMPACT ASSESSMENT Afdækning af anvendelse af persondata Dataflow Klassifikation Behandlingskrav Samtykke Serviceleverandører Og alle de øvrige krav i PIA en Det er ikke en svær disciplin 14 14

15 INDFØRELSE AF PIA SOMMEREN 2015 Hvad gik forud? Inspirationsmateriale Conducting privacy impact assessments - Code of practice fra Det engelske datatilsyn, Information Commissioner s Office Betatest på nogle mindre og mellemstore opgaver 15 15

16 DATA PROTECTION ASSESSMENT MODEL Data Protection Legal Privacy Impact IT Risk 16 16

17 IT RISK ASSESSMENT Lovkrav IT-sikkerhedspolitikkens krav Outsourcing Serviceleverandører Revisionserklæringer Audits Security by Default - Security by Design Sikkerhedstest Og sikkert meget mere 17 17

18 HÆNDELSESRAPPORTERING OG PRIVACY Hændelsesrapportering i Topdanmark 18 18

19 HÆNDELSESREGISTRERING - GENERELT Baggrund I henhold til bekendtgørelse om ledelse og styring af forsikringsselskaber (Ledelsesbekendtgørelsen) skal Topdanmark overvåge og rapportere om operationelle risici Vi har en proces til registrering af hændelser Hændelserne bliver indsamlet og rapporteret videre i ledelsessystemet 19 19

20 RAPPORTERING - GENERELT Formålet med at opsamle hændelser er: At få identificeret potentielle risici og eventuelle indsatsområder At undgå at den uønskede hændelse opstår igen At få adgang til statistisk materiale Hændelsesregisteret skal således hjælpe os med at forebygge fejl 20 20

21 HVAD SKAL IT SÅ RAPPORTERE? IT skal rapportere væsentlige IT-hændelser, der enten har eller potentielt kunne medføre økonomisk tab for Topdanmark eller vores kunder manglende overholdelse af lovgivning og interne forretningsgange, fx IT-sikkerhedspolitikken privacy konsekvenser Har Major Incident Management funktionen været indblandet, så skal der som udgangspunkt rapporteres 21 21

22 EKSTERNE SERVICELEVERANDØRER Kontrolprocedure Indhentning af revisionserklæringer 1. ISAE 3402 erklæringer 2. ISAE 3000 erklæringer på persondata Samarbejde mellem Compliance, Intern revision og Koncern IT-sikkerhed To-faset opfølgning 22 22

23 SPØRGSMÅL? 23

Relaterede dokumenter

General Data Protection Regulation

General Data Protection Regulation Agenda Overblik over forordningen Kamstrup Security Organisation Dataansvarlig/Databehandler Produkt design Kamstrup GDPR fremadrettet 2 General Data Protection Regulation