SISCON GDPR I revisionsmæssigt perspektiv incl. præcisering vedrørned DPIA

Størrelse: px

Starte visningen fra side:

Download "SISCON GDPR I revisionsmæssigt perspektiv incl. præcisering vedrørned DPIA"

Else Mikkelsen
6 år siden
Visninger:

1 SISCON GDPR I revisionsmæssigt perspektiv incl. præcisering vedrørned DPIA Peter Kold, EY 15. September 2016

2 Præcisering vedr. DPIA - Konsekvensanalyse Til konferencedeltagerne: Spørgsmålet fra salen vedrørende konsekvensanalysen præciseres hermed: Det er korrekt at forordningen alene kræver at dataansvarlig (og dermed ikke direkte databehandler) gennemfører en konsekvensanalyse vedrørende databekyttelsen eller dele af den. Jf. artikel 35 skal det ske i tilfælde hvor en type behandling i medfør af sin karakter, omfang, sammenhøng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Analysen er særligt påkrævet, hvor: Der sker systematisk og omfattende vurdering af personlig forhold baseret bla.a. automatisk behandling og profilering, der er grundlag for afgørelser der har retsvirkning eller på tilsvarende vis betydeligt påvirker den fysiske person. Behandling i stort omfang af Artikel 9 og 10-data (særligt følsomme samt straffedomme og lovovertrædelser) Jeg håber dette tydeliggør områdets indhold. Med venlig hilsen Peter Kold Page 1

3 Overordnet om GDPR <> Virksomheden GDPR kræver ultimativt at virksomhedernes persondatabehandling både vedrørende kunder/eksterne OG medarbejdere bliver et integreret fokusområde i virksomhedens interne processer. Virksomhederne skal gennemtænke og kortlægge de processer der indeholder/behandler/opbevarer persondata, og aligne dem med kravene OG DOKUMENTERE DETTE! I en kontrolsituation, i forbindelse med et brud eller en sag (klage, søgsmål mv.) bør virksomheden kunne redegøre for og dokumentere at man i det mindste gjorde alt det rigtige også selvom fejlen skete. Page 2

4 Vores erfaringer med udfordringerne Mange virksomheder oplever en meget stor opgave i at kortlægge, kontrollere og ikke mindst dokumentere håndteringen af persondata. Dette omfatter eksterne data (eksempelvis kundeoplysninger) som interne data omkring medarbejdere, direktion og bestyrelse. Ved implementering af nye systemer til behandling af persondata, stilles der fremadrettet krav om at tænke beskyttelse ind i designet af systemerne. Dette opleves af mange som en udfordring Medarbejdernes dokumenterede kendskab til og forståelse af reglerne er centralt, og mange oplever dette som en udfordring. Page 3

5 GDPR <> Ekstern revision Ekstern revisions opgave er at udtale sig om hvorvidt årsrapporten er rigtig eller ej. Umiddelbart har persondatabehandlingen IKKE nogen indvirkning på dette forhold. Forkert håndtering af persondata gør som udgangspunkt ikke årsrapportens informationer hverken mere eller mindre rigtige. Skal ekstern revisor så være ligeglad med overholdelse af GDPR? Page 4

6 GDPR <> Ekstern revision, fortsat Nej selvfølgelig ikke Manglende efterlevelse af GDPR repræsenterer endog meget store potentielle finansielle, imagemæssige og måske endda forretningsmæssige risici for de enkelte virksomheder. Revisor foretager en indledende vurdering af risici i relation til virksomhedens forhold, og her kan det tænkes at GDPR vil blive tænkt ind i nogle virksomheder. Hvordan vurderer revisor så risici i relation til GDPR? Page 5

7 Vurderingsmekanismer efter 25. maj 18 GDPR opfordrer medlemsstaterne til at implementere certificeringsmekanismer og/eller adfærdskodekser for de forskellige brancher. Disse kunne være metoder til at måle overholdelsen af GDPR Anvendelse af databehandlere i relation til persondatabehandlingen kan medføre behov for at måle databehandlerens evne til at efterleve GDPR. Her kan certificeringsmekanismer/adfærdskodekser ligeledes anvendes. Page 6

8 Vurderingsmekanismer FØR 25. maj 18 Mens vi venter på fastlæggelse af mekanismer, kodekser og standarder og det igangværende lovarbejde i Justitsministeriets arbejdsgrupper bliver virksomheder allerede nu mødt af en række krav fra eksempelvis kunder (dataansvarlige) og andre parter der indgår i persondatabehandlingskæden. Kravene synes at blive formuleret oppefra med henblik på at skærme den afsendende virksomhed, og forsøge at pushe ansvaret ned i kæden. Denne cowboys n indian tendens skyldes dels frygt men er også et udtryk for (min fortolkning): Manglende hollistisk udsyn Manglen på standarder, mekanismer, kodekser mv. Men hvad gør man så? Page 7

9 Håndtering af krav Individ ekstern Individer interne Dataansvarlig CERTIFICERING? Databehandler(e) 1. led Databehandler(e) 2. led Page 8

10 CISO s rolle Reaktion på krav fra andre parter (databehandlerrelationer) Hvilken impact ville efterlevelse af kravene have på vores forretning og vores setup? Hvad vil det koste? Kan vi overhovedet? Vil vi overhovedet? Hvad sker der hvis vi siger nej? I relation til databehandlerrelationer vil CISO komme til at spille en central rolle, herunder i forhold til de forretningsmæssige implikationer. CISO vil også spille en central rolle i relation til gennemførelse af certificeringsmekanismer og implementering af adfærdskodekser, MEN: Page 9

11 Organisatorisk udfordring ikke kun IT GDPR udgør en bred organisatorisk udfordring der ikke kan løses af CISO alene, men kræver bred forankring i virksomheden på tværs, inklusive: Ledelse Forretning HR IT Osv. Page 10

12 Anbefaling Mens vi venter på fastlæggelse af certificeringsmekanismer, adfærdskodekser og standarder på området, bliver vi nødt til at agere nu. Vores erfaring er at dette gøres bedst på et oplyst grundlag. Derfor: Kortlæg og forstå Overblik over persondata Overblik over risici Analysér modenhed Hvor skal vi sætte ind først? Hvor behøver vi ikke sætte ind? Agér proaktivt Hollistisk tilgang Forstå det samlede billede SUSTAINABLE COMPLIANCE Page 11

13 Kontakt oplysninger: Peter Kold, Director Head of Data protection & Privacy Tel: Page 12

Relaterede dokumenter

GDPR som forretningsmulighed? IT Forum arrangement. Oktober 2017

GDPR som forretningsmulighed? IT Forum arrangement Oktober 2017 Indgang Flere virksomheder har opfattelsen af at GDPR udfordringen skal håndteres alene af deres IT- og systemleverandører Efter vores opfattelse