EU Persondataforordning. One year with GDPR - one year to come

Transkript

1 EU Persondataforordning One year with GDPR - one year to come

2 HVEM ER JEG? JESPER HANSEN HAR 15+ ÅRS ERFARING, INDENFOR FORSKELLIGE IT-SIKKERHEDSDISCIPLINER. FRA PENETRATIONSTEST, INFRASTRUKTUR-DESIGN TIL DE MERE BLØDE DELE AF INFORMATIONSSIKKERHEDEN, HERUNDER IMPLEMENTERING AF ISMS BASERET PÅ ISO27001, BEREDSKABSPLANLÆGNING OG TEST SAMT EU-GDPR ANALYSER PROFESSIONEL TRACK-RECORD LEDER AF PFA INFRASTRUKTURAFDELING IT-SIKKERHEDSCHEF PFA MANAGER PWC SENIOR KONSULENT PROTEGO UDDANNELSE ESL (HOLD 17), CISM, CRISC, CISSP, ITIL V3. DATALOG, KØBENHAVNS UNIVERSITET HD I/Ø FAGLIGE NETVÆRK MEDLEM AF RÅDET FOR DIGITAL SIKKERHED One year with GDPR - one year to come 2

3 (NOGET AF) DET VI HJÆLPER VORES KUNDER MED - SOM CONTROLMANAGER TM UNDERSTØTTER Overblik over eksterne krav (Lov, standarder) Realtidsoverblik over faktuelt complianceniveau Dataflowanalyser Kortlægning af risikobillede Overblik over databehandleraftaler One year with GDPR - one year to come 3

4 ONE YEAR WITH GDPR - ONE YEAR TO COME - ERFARINGER Integration af de nye med det eksisterende? Fastlæggelse af roller og ansvar Fremtidig understøttelse af kontrolinstancer Vedligeholdelse af opbyggede dataflows, revisionserklæringer og databehandleraftaler One year with GDPR - one year to come 4

5 DET VI MENER MAN SKAL UNDGÅ - MEN SOM ER PÅ VEJ NOGEN STEDER EU-GDPR projekt Eksisterende Compliance tiltag One year with GDPR - one year to come 5

6 OVERGANGEN TIL DRIFT Projekt 28. maj 2018 Drift Hovedfokus - stram deadline Manglende fokus One year with GDPR - one year to come 6

7 OVERGANG TIL DRIFT - BEGREBSAFKLARING IDENTIFICER EKSISTERENDE OG FASTLÆG I FÆLLESSKAB ENSARTEDE ROLLER: Procesejer / Systemejer Systemansvarlig / Driftsansvarlig Dataejer / Datakustode FASTLÆG I FÆLLESSKAB BETYDNINGEN AF DEN BASALE ROLLE- OG ANSVARSMODEL Hvem ejer data? (forretningen/it) Hvem er ansvarlig for datas sikkerhed? (forretningen/it) Hvad hvis ting er outsourcet? eller købes som services? Hvem er så ansvarlig? (outsourcingsleverandøren?) One year with GDPR - one year to come 7

8 VI OPLEVER, AT DER ANVENDES FORSKELLIGE ROLLEBEGREBER RUNDT OMKRING I ORGANISATIONEN Projektet skal være forsigtige med ikke at opfinde et nyt begrebsapparat INTERESSENTANALYSE OG BEGREBSAFKLARING KAN MED FORDEL INDARBEJDES I OPSTARTEN OMKRING DATAFLOW-ANALYSERNE One year with GDPR - one year to come 8

9 ONE YEAR WITH GDPR - ONE YEAR TO COME - ERFARINGER Integration af de nye med det eksisterende? Fastlæggelse af roller og ansvar Fremtidig understøttelse af kontrolinstanser Vedligeholdelse af opbyggede dataflows, revisionserklæringer og databehandleraftaler One year with GDPR - one year to come 9

10 ROLLER OG ANSVAR FASTLÆGGELSE AF ROLLER OG ANSVAR ER MINIMUM DELT I 2 1. Fastlæggelse af roller/ansvar for processer/systemer og data (sker ofte i dataflowanalyserne) 2. Fastlæggelse af roller og ansvar for den efterfølgende løbende vedligeholdelse Online screening HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Mail/kalender (Vedhæftet resultater) Filserver (Resultater gemt) HR system Fastholdelse Gennemførelse af MUS One year with GDPR - one year to come 10

11 NÆSTE SKRIDT FASTLÆGGELSE AF ROLLER OG ANSVAR INDENFOR EU-GDPR EU-GDPR AFDELING 3 BERIGTIGELSE OG SLETNING 17, stk. 1 (a), (b), (c ), (d), (e ), (f) DATASUBJEKTET HAR RET TIL AT FÅ SLETTET PERSONDATA OM SIG SELV UDEN UNØDIG FORSINKELSE, OG DEN DATAANSVARLIGE HAR PLIGT TIL AT SLETTE PERSONOPLYSNINGER UDEN UNØDIG FORSINKELSE, HVIS DATA IKKE LÆNGERE ER NØDVENDIGE I FORHOLD TIL FORMÅLET ELLER, DATASUBJEKTET TRÆKKER SIT SAMTYKKE TILBAGE ELLER GØR INDSIGELSE ELLER MODSÆTTER SIG DATABEHANDLINGEN, SAMT I TILFÆLDE, HVOR DATABEHANDLINGEN ER ULOVLIG, ELLER SKAL SLETTES SOM FØLGE AF LOVGIVNING ELLER ANGÅR INDHENTNING AF PERSONDATA OM BØRN TIL BRUG I INFORMATIONSTJENESTER. One year with GDPR - one year to come 11

12 HUSK FASTLÆGGELSE AF ROLLER OG ANSVAR PÅ EU- GDPR EU-GDPR Kontrol Regel egel Regel Hvordan/detaljer Hvordan One year with GDPR - one year to come 12

13 FASTLÆGGELSE AF ROLLER OG ANSVAR GENNEM REGLER Lov-tekst Regler Kontroller ControlManager One year with GDPR skærmbillede - one year to come 13

14 ALTERNATIV GENANVENDE EKSISTERENDE FORRETNINGSGANGE Lov-tekst Eksisterende forretningsgange (Genbrug) Kontroller ControlManager skærmbillede One year with GDPR - one year to come 14

15 FORDELEN VED AT BRUGE REGLER TAG UDGANGSPUNKT I LOV/STANDARD Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov ILLUSTRER HVILKE REGLER DER ER ETABLERET FOR AT UNDERSTØTTE OVERHOLDELSE AF LOV ILLUSTRER HVILKE KONTROLLER DER ER PÅ PLADS, FOR AT SIKRE OVERHOLDELSE AF REGEL DOKUMENTER EVIDENS PÅ KONTROLLER One year with GDPR - one year to come 15

16 COMPLIANCE OVERBLIK Her er der et stykke vej endnu ControlManager skærmbillede One year with GDPR - one year to come 16

17 ONE YEAR WITH GDPR - ONE YEAR TO COME - ERFARINGER Integration af de nye med det eksisterende? Fastlæggelse af roller og ansvar Fremtidig understøttelse af kontrolinstanser Vedligeholdelse af opbyggede dataflows, revisionserklæringer og databehandleraftaler One year with GDPR - one year to come 17

18 EU-GDPR: FRA TANDLÆGE TIL EGENKONTROL One year with GDPR - one year to come 18

19 TILSYNENE R&D IT HR Kontrol Virksomhed Produktion IT-sikkerhed Compliance Intern Revision Tilsyn Salg og marketing Kunde Service Økonomi One year with GDPR - one year to come 19

20 UNDERSTØTTELSE AF TILSYNET VI SKAL IKKE GØRE ARBEJDET, BLOT FOR AT TILFREDSSTILLE ET TILSYN VI SKAL GENNEMFØRE ARBEJDET, FORDI DET KAN GIVE OS SELV EN GEVINST Tilfredsstillelse af tilsyn er en sidegevinst One year with GDPR - one year to come 20

21 SÅDAN KAN DU UNDERSTØTTE KONTROLINSTANCEN/TILSYNET FORSTÅR TILSYNETS FORMÅL: (OFTE) AT SIKRE, AT EKSISTERENDE PROCESSER OG SIKRINGSFORANSTALTNINGER ER DESIGNET KORREKT OG FUNGERER EFTER HENSIGTEN MED ANDRE ORD, SKABE VISHED FOR TINGENES FAKTUELLE TILSTAND herunder, at risikoen er på et kendt og acceptabelt niveau at der er overensstemmelse med regelgrundlag METODE: (OFTE) STIKPRØVEVIS EFTERPRØVNING Gennem interviews, med krav om at se dokumentation OVERVEJ: Hvilken dokumentation skal være tilgængelig, for at tilsynets arbejde hurtigt og effektivt? Hvordan skal dokumentationen tilrettelægges, så det bliver så gennemskueligt som muligt One year with GDPR - one year to come 21

22 FASTLÆGGELSE AF ROLLER OG ANSVAR GENNEM REGLER Lov-tekst Regler Kontroller ControlManager skærmbillede One year with GDPR - one year to come 22

23 OVERBLIK OVER GENNEMFØRTE KONTROLLER - FAKTUELT COMPLIANCEOVERBLIK ControlManager skærmbillede One year with GDPR - one year to come 23

24 OVERBLIK OVER GENNEMFØRTE KONTROLLER - FAKTUELT COMPLIANCEOVERBLIK ControlManager skærmbillede One year with GDPR - one year to come 24

25 FORANKRING/STATUSOVERBLIK I ORGANISATIONEN - FRA PAPIRTIGER TIL FACTS Overbliksbillede til den enkelte leder Overbliksbillede til DPO One year with GDPR - one year to come 25

26 ONE YEAR WITH GDPR - ONE YEAR TO COME - ERFARINGER Integration af de nye med det eksisterende? Fastlæggelse af roller og ansvar Fremtidig understøttelse af kontrolinstancer Vedligeholdelse af dataflows, revisionserklæringer og databehandleraftaler One year with GDPR - one year to come 26

27 DE TO SIDSTE UDFORDRINGER, FOR AT PROJEKTET BLIVER TIL DRIFT 1. ÆNDRINGER Ændringer vil kunne rykke det billede vi har af: processer systemer data sikringsforanstaltninger Disse ændringer kan blive initialiseret flere steder, det er derfor vigtigt, at ændringsprocesser dokumenteres og anvendes i organisationen 2. DOKUMENTATION Opbevaring, præsentation og vedligeholdelse af dokumenter Sletteinstrukser Databehandleraftaler Revisionserklæringer Hvordan skal vi overblik? One year with GDPR - one year to come 27

28 EKSEMPEL PÅ DATAFLOW KONTINUERT VEDLIGEHOLD AF DATAFLOW? Ved ændringer i processer? Ved ændringer i systemlandskab? PROJEKTET BØR KORTLÆGGE HVILKE PROCESSER DER BØR STYRES, FOR AT SIKRE FREMADRETTET COMPLIANCE: Forretningsudvikling Indkøb Projektstyring IT - Change Management ControlManager skærmbillede 28

29 DOKUMENTATION Online screening HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Mail/kalender (Vedhæftet resultater) Filserver (Resultater gemt) HR system Fastholdelse Gennemførelse af MUS One year with GDPR - one year to come 29

30 HVIS IKKE VI FÅR DET TIL AT HÆNGE SAMMEN - HVAD ER SÅ FORRETNINGENS OPFATTELSE? <- GLASTÅRN? One year with GDPR - one year to come 30

31 FORSLAG TIL PLAN Q Etablér projekt (SENEST) Interessenter, Mål, Model, begreber Link EU-GDPR -> Egne regler Vurder GAPs både i forhold til implementering Q Skab overblik over Databehandler aftaler Revionserklæringer og behov Q Skab overblik over Funktionsområder Ændringsprocesser (Stop hullet) Start dataflow-analyser Q Implementer ændringer til kontrakter der sikrer Databehandleraftaler Revisionserklæringer Sikkerhedsmæssige krav og rapportering Q Færdiggør dataflow-analyser Vurder eksisterende kontrolmiljø Vurder behov for complianceanalyser Q Summertime One year with GDPR - one year to come 31

32 VIL DU HØRE MERE OM SISCON? KOM UD TIL VORES STAND Workshops afholdes om: GDPR baggrund og indhold for udvalgte interessenter DPIA tilrettelæggelse af konsekvens- og risikoanalyser ControlManager som forankring og understøttel GDPR implementering Modenhedsanalyser - Organisationens ISMS og GDPR modenhed Rådgivning om ISMS og GDPR planlægning, implementering, vedligehold og evaluering Kontakt os: Info@Siscon.dk eller for møde klik her Christina Wulff Lars Bærentzen Jesper B. Hansen Camilla Bruun