EU s databeskyttelsesforordning. offentlige sektor PwC s tilgang og erfaringer

Transkript

1 EU s databeskyttelsesforordning i den offentlige sektor s tilgang og erfaringer Januar 2018 Revision. Skat. Rådgivning.

2 Dagsorden Velkomst og introduktion Hvordan etablerer man en risikobaseret tilgang til forordningen i praksis med gruppedebat Hvordan stiller vi krav til vores leverandører hvad med databehandleraftalen? med gruppedebat Dokumentationsniveau; hvornår er der nok? med gruppedebat Andre emner og spørgsmål fra deltagerne samt opsummering og afrunding 2

3 Formålet med dagen At skabe klarhed over de praktiske opgaver og udfordringer, som forordningen medfører for deltagerne At og deltagerne finder praktiske løsninger på opgaver og udfordringer, som deltagerne står over for Erfaringsudveksling blandt deltagerne og med Deltag aktivt Stil spørgsmål Del din viden med andre Opfordring til deltagerne Respektér Chatham House Rule informationer, som er modtaget på mødet, kan bruges frit, men bevar anonymiteten af personer og organisationer, der leverer informationen. 3

4 EU's Databeskyttelsesforordning i den offentlige sektor Introduktion til de nye databeskyttelsesregler Januar 2018 Revision. Skat. Rådgivning.

5 Agenda EU s databeskyttelsesforordning / GDPR Ny dansk databeskyttelseslov på vej

6 EU s databeskyttelsesforordning / GDPR Grundprincipperne Rettighederne Datasikkerhed

7 Grundprincipperne i forordningen Artikel 5, stk. 1 a) Lovlighed, rimelighed og gennemsigtighed b) Formålsbegrænsning c) Dataminimering d) Rigtighed e) Opbevaringsbegrænsning f) Integritet og fortrolighed Artikel 5, stk. 2 Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes ( ansvarlighed ) 7

8 Den registreredes rettigheder GDPR indfører nye rettigheder og styrker eksisterende rettigheder Ret til at blive informeret Ret til indsigt Ret til berigtigelse Ret til sletning Ret til begrænsning af behandling Ret til dataportabilitet Ret til indsigelse Rettigheder i forhold til automatiske individuelle afgørelser, herunder profilering. 8

9 Sikkerhed efter GDPR Princippet om integritet og fortrolighed (5, 1, f) Påvise (5,2) + Ansvarlighed / Accountability (24) DB gennem design (25,1) DB gennem standardindstillinger (25, 2) Brug af databehandler (28) Behandlingssikkerhed (32) Notifikation af sikkerhedsbrud (33 & 34) Evt. konsekvensanalyse / DPIA (35) 9

10 Ny dansk databeskyttelseslov på vej L 68 Forslag til databeskyttelseslov Tidsplan for lovforslagets behandling Nedslag i lovforslaget

11 L 68 Forslag til databeskyttelseslov Justitsministeriet udgav den 24. maj 2017 betænkning nr. 1565/2017 om databeskyttelsesforordningen Lovforslaget til databeskyttelsesloven blev fremsat den 25. oktober

12 Nedslag i lovforslaget Mulighed for at genbruge data tydeliggøres Særregler i ansættelsesforhold Strafbare forhold i privat sektor Personnumre stort set som i dag + en lille udvidelse Snæver undtagelse fra rettighederne Forskning og statistik Straf til offentlige myndigheder. 12

13 Risikobaseret tilgang til forordningen 13

14 Risici, der truer jeres virksomhed Cyber risk Compliance risk Assets Regulatory threat Personal Data GDPR Finance Telecom Medico Organisations Governance, risk, security and compliance processes and technology 14

15 I dag er konsekvensen lille, men i fremtiden 15

16 Hvor nævnes risiko som et værktøj i forordningen?..og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.. er medtaget i: Den dataansvarliges ansvar artikel 24 Databeskyttelse gennem design/standardindstilling artikel 25 Behandlingssikkerhed artikel

17 Hvor nævnes risiko som et værktøj i forordningen? (2) Fortegnelse over behandlingsaktiver artikel 30 De i stk. 1 og 2 nævnte forpligtelser finder ikke anvendelse på et foretagende eller en organisation, der beskæftiger under 250 personer, medmindre den behandling, som den foretager, sandsynligvis vil medføre en risiko for registreredes rettigheder og frihedsrettigheder. Konsekvensanalyse artikel 35 Det følger af artikel 35, stk. 1, at der alene skal foretages en konsekvensanalyse, når der sandsynligvis vil være høj risiko for fysiske personers rettigheder og frihedsrettigheder. Det fremgår af forordningens artikel 35, stk. 1, 2. pkt., at en enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici. 17

18 Hvor nævnes risiko som et værktøj i forordningen? (3) Forudgående høring artikel 36 Den dataansvarlige hører tilsynsmyndigheden inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse, foretaget i henhold til artikel 35, viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen. Databeskyttelsesrådgiverens opgaver artikel 39 Databeskyttelsesrådgiveren tager under udførelsen af sine opgaver behørigt hensyn til dén risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål. 18

19 Preamble 75 Risiciene for fysiske personers rettigheder og frihedsrettigheder, af varierende sandsynlighed og alvor, kan opstå som følge af behandling af personoplysninger, der kan føre til fysisk, materiel eller immateriel skade, navnlig hvis behandlingen kan give anledning til: - forskelsbehandling - identitetstyveri eller -svig - finansielle tab og skade på omdømme - tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt - uautoriseret ophævelse af pseudonymisering, eller - andre betydelige økonomiske eller sociale konsekvenser. 19

20 Preamble 75 (2) hvis de registrerede kan blive berøvet deres rettigheder og frihedsrettigheder eller forhindret i at udøve kontrol med deres personoplysninger. hvis der behandles personoplysninger, der viser race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, og behandling af genetiske data, helbredsoplysninger eller oplysninger om seksuelle forhold eller straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger. hvis personlige forhold evalueres, navnlig analyse eller forudsigelse af forhold vedrørende indsats på arbejdspladsen, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografisk position eller bevægelser, med henblik på at oprette eller anvende personlige profiler. hvis der behandles personoplysninger om sårbare fysiske personer, navnlig børn, eller hvis behandlingen omfatter en stor mængde personoplysninger og berører et stort antal registrerede. 20

21 Fokus for risikovurderingen Virksomhedens trusler og sårbarheder Risikostyring Risiciene for den fysiske person 21

22 Overordnet model Risikovurderingsmodellen er baseret på ISO 27005: Risikolog Risikovurdering Kontekst Risikoidentifikation Risikoanalyse Risikoevaluering Risikohåndtering Risikoaccept Kommunikation og konsultation 22

23 Risikoanalyse 1/2 Konsekvenstyper og konsekvensskala 23

24 Konsekvensen, hvis hændelsen indtræffer Konsekvens 1 Ubetydeligt Uvæsentligt 2 Mindre alvorligt Generende 3 Meget alvorligt Kritisk 4 Ødelæggende Uacceptabelt Økonomisk Medfører meromkostninger eller tab Ingen særlig påvirkning Meromkostninger og tab i begrænset omfang, som kan kræve mindre budgetændringer Store økonomiske tab med risiko for at blive sat under administration Væsentlige økonomiske tab. Bliver sat under administration Administrativ/ procesmæssig Medfører administrative belastninger Håndteres uden særligt ressourcetræk i de administrative funktioner Håndteres inden for rimeligt ekstra administrativt ressourcetræk Der må trækkes væsentligt på eksisterende og nye administrative ressourcer Administrative ressourcer må udvides urealistisk Omdømme Påvirker omdømme i uønsket retning Ingen særlig påvirkning Forbigående opmærksomhed fra enkelte grupper Offentligheden fatter generel negativ interesse, som kan medføre begrænset tab af kunder Væsentlig skade på omdømme Politisk Medfører indskrænkninger i evnen til at handle i en periode Ingen særlig påvirkning Planlagte aktiviteter kan gennem-føres med mindre justeringer Medfører revurdering af vigtige aktiviteter på kort sigt Ledelsen må gå af. Bliver ude af stand til at gennemføre vigtige aktiviteter, som er planlagt i en periode fremover Forhold til interessenter Påvirker forholdet til interessenter Ingen særlig påvirkning Forringet samarbejde med interessenter i enkeltsager Generelt forringet samarbejde med interessenter Væsentligt nedbrud i det generelle samarbejde med interessenter Brud på lovgivningen Medfører brud på lovgivning, fx GPDR, forvaltningslov og straffelov Ingen særlig påvirkning Manglende overholdelse af administrative procedurer og regler, som ikke er af kritisk karakter Manglende overholdelse af administrative procedurer og regler, som ikke er af kritisk karakter Kritisk lovgivning, fx straffeloven brydes. Ministeren må gå af Strategisk Medfører indskrænkninger i evnen til at handle i en periode Ingen særlig påvirkning Planlagte aktiviteter kan gennem-føres med mindre justeringer Medfører revurdering af vigtige aktiviteter på kort sigt Bliver ude af stand til at gennemføre vigtige aktiviteter, som er planlagt i en periode fremover 24

25 Konsekvenstyper for registrerede, hvis hændelsen indtræffer Privatlivsrettigheder Frihedsrettigheder Fysisk påvirkning Børn Sociale tab (F) Registrerede ekskluderes fra sociale netværk og/eller aktiviteter Forringelse af relationer Udsættes for forskelsbehandling. Materielle tab (F, T) Finansielle meromkostninger eller tab Påvirkning af karriere, fx afskedigelse. Mangel på fysisk sikkerhed (F) Registrerede er fysisk i fare. Privacy Beskyttelsen af børns rettigheder og privacy forringes (brug af børns personoplysninger med henblik på markedsføring eller til at oprette personligheds- eller brugerprofiler og indsamling af personoplysninger vedrørende børn, når de anvender tjenester, der tilbydes direkte til et barn). Skade på omdømme (F, I) Registrerede udstilles på en uønsket måde Registrerede udsættes for fordomme og/eller ydmygelse Upræcis eksponering Afsløring af personlige hemmeligheder. Indskrænket egenkontrol (F) Registreredes valgfrihed og kontrol over personoplysningerne forringes eller fratages. Fysisk påvirkning (I, T) Registreredes fysiske helbred påvirkes negativt Fx manglede korrekt sygebehandling og i værste tilfælde død Forringet livskvalitet. Fortrolighed forringes (F) Registreredes fortrolighed forringes Muligheden for anonymitet er ikke til stede. GDPR-rettigheder (F, I, T) Den registrerede kan ikke gøre brug af en eller flere af sine rettigheder (indsigt, berigtigelse, sletning, dataportabilitet og indsigelse). Psykologisk påvirkning (F, I, T) Utryghed Uvished Bekymringer Magtesløshed/Afmagt Sårbarhed Manglende selvudvikling. 25

26 26

27 Risikoanalyse 2/2 Sandsynligheder 27

28 Sandsynlighed for, at en given hændelse indtræffer Sandsynlighed Eksempel på beskrivelse 1. Usandsynligt Det anses for næsten udelukket, at hændelsen nogensinde vil indtræffe Ingen erfaring med hændelsen Kendes kun fra få andre offentlige og private virksomheder, men ikke i Danmark 2. Mindre sandsynligt Hændelsen forventes ikke at indtræffe Ingen erfaring med hændelsen Kendes kun fra få andre offentlige og private virksomheder, men ikke i Danmark 3. Sandsynligt Det er sandsynligt, at hændelsen vil indtræffe Man har erfaring med hændelsen, men ikke inden for de sidste 12 måneder Kendes fra andre offentlige og private virksomheder i Danmark (omtales årligt i pressen) 4. Forventet Det ventes, at hændelsen vil indtræffe Man har erfaring med hændelsen inden for de sidste 12 måneder Indtræffer jævnligt i andre offentlige og private virksomheder (omtales ofte i pressen) 28

29 GDPR Leverandørstyring og revisionserklæringer

30 Styr på leverandørene? 30

31 Leverandørstyring

32 Accountability vedrørende leverandørstyring Ansvar vs. opgaveløsning Opgaven kan uddelegeres ikke ansvaret.. Ledelsesansvar GDPR og informationssikkerhed på linje med økonomi og kvalitet GDPR (art. 5a og 24) ISO27001 Brancheregulering Dataansvarlig, databehandler og underdatabehandler 32

33 Leverandørstyring Idé om outsourcing, køb af ydelse, ny aftale eller genudbud Risikovurdering, dataklassifikation, Kravstillelse udbud, vurdering og valg af leverandør, kontrakt, SLA mv. Udbud og kravstillelse Løbende opfølgning og styring Test, revisionserklæring, opfølgning og vurdering af leverance Kontraktsopfølgning FEST 33

34 Kompleksiteten mellem samarbejdspartnere Behandlingsgrundlag modelkontakt eller sikre 3-lande Databehandler aftale 34

35 Leverandører hvem tør du handle med? Tillid er ikke nok du skal kontrollere Der skal stilles krav fra start til slut og der skal følges op Interne afdelinger, virksomheder i koncernen Regulering via databehandleraftaler mv. Eksterne drift/hosting, udvikling eller serviceleverandører Regulering via flere forskellige styringsmidler med styrker og svagheder (se næste slide) 35

36 Styringsmidler Værktøjskassen Styringsmidler Kommentarer Diverse dokumentation, rapporter og mundtlige møder Besøg og egen besigtigelse Juridiske kontrakter, model clauses, databehandleraftaler BCR binding corporate rules 3. Parts test sikkerhedstest af diverse udformninger Bedre end ingenting ingen sikkerhed for omfang/validitet. Ikke uvildig i tilfælde af tvist. Afhængig af kvalifikationer og erfaring. Ikke uvildig i tilfælde af tvist. Er alene dokumenter der bruges til at stille krav. Opfølgning er ikke implicit. Omfattende internt styringssystem (politikker, regler, kontroller, opfølgning mv.) bruges alene internt - dataflow mellem forskellige CVR-nr. (uddybes) Alene relateret til det omfang der er i scope for test. Ingen relation til den konkrete databehandling eller GDPR-krav ISO27001 certificeringer Databehandler har ISMS implementeret ledelsesforankret og risikobaseret informationssikkerhed. Ingen direkte relation til den konkrete databehandling eller GDPR-krav. (uddybes) Revisionserklæringer ISAE3402, 4400 og 3000 Flere typer, forskellige formål og omfang mere herom følger 36

37 ISO27001 ledelsessystem for informationssikkerhed Certificering af ledelsessystem Krav til ledelsessystemet i kap Krav om efterlevelse til offentlige myndigheder FIT og ikke privacy Link bl.a. til art. 32 Beredskabs styring ISO Ledelsesforankring Certificering Leverandørstyring Sikkerhedspolitik (ker) Risikohåndtering Risikovurdering ISMS Governance 37

38 Erklæringer

39 Erklæringsforholdet ansvarlig Databehandler Revisor Data- 39

40 Parterne i et erklæringsforhold Kunde Kundes revisor Intern revision Kontrakt Leverandør Intern revision Leverance Leverandørs revisor 40

41 Evaluering af resultat Fastlæggelse af kontrolmål Fastlæggelse af kontrolaktiviteter Aftale om kontrolmål og -aktiviteter Test Resultat Afklaring og prioritering Evaluering af kontrolmål og -aktiviteter Evaluering af resultat Revision Forløb for opbygning af erklæringer Kunde og revisor Leverandørs revisor Leverandør 41

42 Processen i år 1 og frem Planlægningsmøde/evalueringsmøde Fælles: Vurdering af, om der er behov for ændring af kontrolmål og kontroller. Afgivelse af erklæring Serviceleverandørs revisor: Test af kontroller, beskrivelse af revisionens resultatet og udformning af en samlet konklusion. Udarbejdelse af liste over revisionsbemærkninger. Serviceleverandør: Evaluering af revisionens resultat og udformning af ledelseserklæring. Evaluering og fastlæggelse af plan of action for revisionsbemærkninger. Modtagelse af erklæring Kunde og kundes revisor: Gennemgang af erklæring og vurdering af en samlet konklusion. Vurdering af revisionsbemærkninger samt behov for kompenserende revisionshandlinger. Vurdering af et samlet revisionsbevis for området. Rapportering til ledelsen. Opfølgning på revisionsbemærkninger Serviceleverandør: Løbende opfølgning og rapportering til kunden og kundens revisor. 42

43 GDPR-specifikke erklæringer 43

44 GDPR Cybersikkerhedsudvalget har udarbejdet et eksempel på en erklæring om beskrivelsen af kontroller rettet mod databeskyttelse og behandling af personoplysninger. For virksomheder (private og offentlige), som har outsourcet driften af systemer, der indeholder persondata, eller selve behandlingen af personoplysninger til en leverandør, vil det ofte være relevant at indhente en revisorerklæring fra denne leverandør, for derved at kunne dokumentere og påvise overholdelsen af den kommende persondataforordning. 44

45 EU's Databeskyttelsesforordning i den offentlige sektor Dokumentationsniveau, hvornår er der nok? Januar 2018 Revision. Skat. Rådgivning.

46 Den dataansvarliges ansvar Artikel 24 Stk. 1 Under hensyntagen til den pågældende behandlings karakter omfang sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres. 46

47 Krav om databeskyttelsespolitikker? Artikel 24, stk. 2 Stk. 2 Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker. Stk. 3 Overholdelse af godkendte adfærdskodekser som omhandlet i artikel 40 eller godkendte certificeringsmekanismer som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af den dataansvarliges forpligtelser. 47

48 48

49 49

50 GDPR to-do liste Indledende kortlægning og afklaring Organisation Dokumentation Politikker mv. Instruktion af medarbejdere NB! Vurderingen af, om en given aktivitet skal udføres, eller om en databeskyttelsespolitik eller procedure skal foreligge, vil bl.a. bero på, hvilke behandlingsaktiviteter der er tale om i den pågældende virksomhed

51 Indledende kortlægning og afklaring Emne Afklar, hvem er den dataansvarlige virksomhed (fx i koncerner eller i samarbejder, franchiseforhold ol.) I virksomheder med aktiviteter i flere lande: Afklar om flere landes lovgivning finder anvendelse I koncerner med grænseoverskridende databehandling: Afklar hvem der er jeres ledende tilsynsmyndighed (hovedvirksomheden eller eneste etablering) Evt. modenhedsvurdering/gap-analyse Planlægning af arbejdet med at etablere efterlevelse (projektleder, deltagere, tidsplaner, prioriteringer mv.) Kortlægning af persondata i virksomheden 51

52 Organisation Emne Fastlæg, hvor i virksomheden ansvaret for databeskyttelsen skal ligge Beskriv, hvordan efterlevelse af databeskyttelsesreglerne er organiseret i en databeskyttelsespolitik (se også under procedurer) Evt. udpegelse af databeskyttelsesrådgiver (DPO) Udpeg evt. en eller flere ressourcepersoner, som skal understøtte databeskyttelsen i organisationen 52

53 Dokumentation (1) Emne Artikel 30-fortegnelser Dokumentation af behandlingsgrundlaget, herunder efterlevelse af grundprincipper Sletterutiner, fastlæggelse og implementering Samtykker, der begrunder behandling Standardkontrakter for overførsel af persondata til et tredjeland, hvor der ikke er andet grundlag for overførslen 53

54 Dokumentation (2) Emne Dokumentation af risikovurdering vedr. sikkerhed Dokumentation af beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der er vurderet som passende til imødegåelse af de identificerede risici Dokumentation for implementering af de valgte sikkerhedsforanstaltninger Dokumentation af evt. afprøvning og evaluering af tekniske og organisatoriske sikkerhedsforanstaltninger Dokumentation af overvejelser og beslutninger vedr. databeskyttelse gennem design og standardindstillinger Kontrol af, at virksomhedens sikkerhedsforanstaltninger mv. efterleves 54

55 Dokumentation (3) Emne Databehandleraftaler Garanti for databehandlers efterlevelse Kontrol med databehandler, fx erklæring (påvise) Godkendelser af underdatabehandlere. Hvis generel skriftlig godkendelse: Dokumentation af underretninger fra den primære databehandler om, hvilke underdatabehandlere der benyttes Håndtering af underretninger fra databehandler om strid med lov mv. (art. 28, stk. 3, litra h), sidste led) Afklaring af DPIA 55

56 Dokumentation (4) Emne Registrering af alle sikkerhedsbrud Dokumentation af foretagne anmeldelser til Datatilsynet Dokumentation af meddelelser til de berørte registrerede Dokumentation af beslutninger om ikke at sende anmeldelse til Datatilsynet eller ikke at sende meddelelse til registrerede Efterlevelse af oplysningspligt (meddelelser mv. dokumenteres) Efterlevelse af diverse rettigheder, i det omfang de har været udnyttet (fx at henvendelser og svar gemmes i en periode) Information om indsigelsesretten ved behandling af personoplysninger med henblik på direkte markedsføring 56

57 Politikker, procedurer og retningslinjer Emne Generel databeskyttelsespolitik Fortegnelser over behandlingsaktiviteter (ansvar og retningslinjer) Lovlig behandling De registreredes rettigheder (der kan være tale om en overordnet procedure samt en række detaljerede procedurer for de enkelte rettigheder, evt. suppleret med diverse standardsvar og standardmeddelelser) Behandling ved databehandlere Behandlingssikkerhed Håndtering af brud på persondatasikkerheden Konsekvensanalyser vedrørende databeskyttelse (DPIA) 57

58 Instruktion til medarbejdere, der behandler personoplysninger, og awareness aktiviteter Emne Instruks til medarbejdere, der behandler personoplysninger (der gælder ingen formkrav, kan evt. følge af en bestemt stilling eller autorisation fra den dataansvarlige) Awareness aktiviteter for medarbejdere 58

59 Afrunding af dagen 59

60 Vores tilgang til opnåelse af compliance er tværfaglig Forretningsbaseret Teknologisk Risikobaseret Juridisk Fastholdelse af compliance-niveau Tilgang Vores tværfaglige fremgangsmåde anerkender virksomhedens driftsmæssige realiteter og den måde, hvorpå lovgivningen kan håndhæves i praksis. Den tværfaglige fremgangsmåde anerkender, at i den virkelige verden vil virksomheder, advokater og kontrolorganer være nødt til at træffe svære valg angående deres prioriteter. Den tværfaglige fremgangsmåde kræver et mere holistisk billede af problemerne samt dokumentation af beslutninger/valg. 60

61 s GDPR-projektmodel s projektmetode er udarbejdet med henblik på at sikre en effektiv afvikling af aktiviteter, der er nødvendige for at bliver compliant med EU-persondataforordningen, og efterfølgende på en praktisk og operationel måde fortsat at fastholde compliance-niveauet. Da GDPR-projekter har en fast deadline den 25. maj 2018, har vi vurderet, at der er behov for en risikobaseret tilgang og hurtig aktivering af projektet (mobiliseringsfasen) for efterfølgende at afvikle aktiviteterne (styringstiltag, holdningsbearbejdning, processer, sikkerhed, teknologi) parallelt for til sidst at foretage review og kvalitetssikring af dokumentationen for overholdelse af GDPR-kravene, inden projektet overgår til daglig drift. Mobilisering og risikovurdering Analyse og design Implementering Review og kvalitetssikring Daglig drift Styringstiltag og indledende analyse Holdningsbearbejdning, uddannelse og træning af medarbejdere Design og implementering af processer Sikkerhedsvurdering og -implementering Review og overgang til daglig drift i maj 2018 DPO og compliance Teknologivurdering og -implementering Projektstyring 61

62 Gennemprøvede værktøjer og templates I har vi et gennemprøvet værktøj til kortlægning af: Processer Systemer Data, herunder dataklassifikation Øvrige leverandører/samarbejdspartnere. 62

63 Sammenfatning af mulige løsninger Opstartsworkshop Formål At skabe overblik og fælles forståelse i virksomheden af kravene i GDPR. Værdi I får en klar forståelse af behovet og grundlaget for etablering af det rigtige projekt med det rigtige fokus fra start. Ledelsen er enige om scope. Omfang Der er tale om en workshop af en varighed på ½ eller 1 dag I får en forståelse af og viden om GDPR I får fokus på jeres udfordringer. Formål Værdi Omfang Scopingworkshop Fastlægge projektaktiviteter, omfanget og organiseringen af GDPR-projektet specifikt hos jer. Vi vil facilitere udarbejdelse af udkast til projektplan med fokus på internt og eksternt ressourceforbrug samt særlige fokusområder. 1-2-dagesworkshop Udarbejdelse af udkast til projekt- og ressourceplan. Formål Værdi Omfang Pakkeløsning At gøre jer i stand til selv at gennemføre et mindre GDPR-projekt. I får adgang til vores værktøjer, templates og support fra vores GDPReksperter. Værktøjer, templates og skabeloner 50 timers træning og support.. Formål Værdi Omfang Fuld GDPRassistance Planlægning og gennemførelse af fuldt projekt, der gør jer compliant med GDPR-kravene. -eksperter og -ressourcer til support og gennemførelse af nødvendige aktiviteter samt adgang til vores templates og værktøjer. Ekspertassistance efter jeres behov Værktøjer, templates og skabeloner Compliance-tjek inden maj Formål Værdi Omfang E-learning op til 22 moduler At skabe viden om, forståelse af og træning i de nye GDPR-krav. Alle medarbejdere har samme forståelse af og nødvendige viden om GDPR. Dokumentation af, at alle medarbejdere har modtaget træning i GDPR. 22 e-learningsmoduler på flere sprog Dækker alle forordningens krav. 63

64 Tak for i dag Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer til PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.