EU-Persondataforordningen

Transkript

1 EU-Persondataforordningen General Data Protection Regulation (GDPR) Bo Pyskow BusinessNow Lasse Wilén - BusinessNow 1

2 Agenda Introduktion og velkomst Baggrund og indhold i EU forordningen BusinessNow s tilgang til håndtering af Personfølsomme data i ServiceNow BusinessNow s tilgang til håndtering af Personfølsomme data i hele organisationen Key Takeaways 2

3 3 Baggrund og indhold i EU forordningen

4 EU Persondataforordningen -overskrifter Forordningen træder i kraft i EU s medlemsstater d. 25. maj 2018 Reglerne erstatter i Danmark lov om behandling af personoplysninger fra 2001, som har sit udspring i EU-direktiv 95/46/EF fra 1995 Skærpet strafferamme, hvilket kan betyde en bøde på op til 20 mio. EUR eller 4% af virksomhedens årlige omsætning, alt efter hvad der er højest Nye eller ændrede it-systemer skal overholde Privacy by design & Privacy by default Grundlæggende princip; At I ikke indsamler flere personoplysninger end nødvendigt, at I ikke opbevarer oplysningerne længere end nødvendigt, og at I ikke anvender oplysningerne til andre formål, end de formål, som oplysningerne oprindeligt blev indsamlet til. 4

5 Vigtige overvejelser.. input fradatabeskyttelserskontoret, Justitsministeriet Hvilke oplysninger behandler I? Hvad er jeres grundlag? f.eks. samtykke, opfyldelse af kontrakt mv. Er oplysningerne nødvendige? Har I styr på sikkerheden? Eventuelle procedurer for håndtering af registreredes rettigheder og indberetninger til Datatilsynet ved sikkerhedsbrud 5

6 Hvad betyder behandling afoplysninger?..enhveraktivitet med eller uden automatisk behandling som f.eks: Indsamling Registrering Organisering eller systematisering Opbevaring Tilpasning eller ændring Søgning Brug Videregivelse, formidling eller enhver anden form for overladelse Sammenstilling eller samkøring 6 Begrænsning Sletning eller tilintetgørelse

7 De registreredes rettigheder De registreredesvigtigste rettigheder med forordningen: 7 Retten til at modtage oplysninger om en behandling af sine personoplysninger (oplysningspligt), art. 13 & 14 Retten til at få indsigt i sine personoplysninger, art. 15 Retten til at få urigtige personoplysninger berigtiget, art. 16 Retten til at få sine personoplysninger slettet, art. 17 Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring, art. 21 Retten til at gøre indsigelse mod automatiske indviduelle afgørelser, herunder profilering, art. 22 Retten til at flytte sine personoplysninger (dataportabilitet), art. 20

8 Hvad er personoplysninger? Definition: Enhver information, der kan henføres til en fysisk identificereteller identificerbarperson, der kan identificeres direkte eller indirekte I praksis tilstrækkeligt, at én enkelt person kan identificere den pågældende ud fra en oplysning Pseudonymisering; Navn, adresse og CPR-nr. er erstattetaf en kode ell. et løbenr., der kan førestilbage til den oprindelige personoplysning Pseudonyme data = personoplysninger Eksempler på identifikatorer: Navn Identifikationsoplysninger Lokationsdata Online identifikationer Adresse/ -adresse CPR Udlændingenummer Tatoveringer/modermærker Nummerplade IP-adresse Fingeraftryk Billede Biologisk materiale: Blod, sæd, plasma, spyt Genetisk materiale Oplysning om el-forbrug 8

9 Typerafpersonlysninger Følsomme oplysninger, art. 9 Racemæssig eller etnisk baggrund, politik, religiøs ellerfilosofiskoverbevisning, fagforeningsmæssigttilhørsforhold, genetiske data, biologiskmaterialesamt oplysningerom helbredsmæssige og seksuelle forhold Semifølsomme oplysninger, art. 10 Oplysninger om strafbare forhold CPR-nummer, art. 87 National regulering; Videreførelse af Persondatalovens 11 9 Almindelige oplysninger, art. 6 Kontaktoplysninger, interesser, økonomi, gæld, sygedage, CV, ansøgningm.m.

10 BusinessNow s tilgang til håndtering af Personfølsomme data i ServiceNow 10

11 GDPR projektstyring Der er behov for et overordnetgdpr projekt for dels at skabe et overblik over hvilke persondata der behandles ivirksomhedenog dels at beskrive Governance og datapolitikker Samtidig er det nødvendigt at gennemgå og tilpasse de it-systemer, hvorider behandles persondata Ved at afvikle projekterne parallelt får vi skabt commitment og awareness på flere niveauer og vi kommerhurtigere imål med opgaven! GDPR Ready Module er et lille plug-in til ServiceNow, som sikrer en standardiseret tilpasning af jeres løsning, med fokuspå EU forordningens artikel 25 - Privacy by design & privacy by default 11

12 Projektplan for GDPR Ready Module Projekt Initielt møde GDPR overblik (valgfri) Foreløbig tilpasning Governance Konfiguration Endelig tilpasning Go live Projektscrope Målsætninger Gennemgangaf persondataforordningen Interessentanalyse Registreringaf persondata Proces for dataudtræk Data- og slettepolitik Governance for registrering af persondata Anonymiseing og sletning af persondata Formularer til Selvbetjenings portal Workflow for behandlingaf Requests Test og justeringer Evalueringaf forløb Planlægning af Go live Kommunikation og træning 12

13 Gevinster ved GDPR Ready Module ServiceNow tilpasninger 1. Request-skabeloner til indberetning af GDPR-forespørgsler-med tilknyttede workflows 2. Tilpasset Incident-form til håndtering af persondata for tredjepart, inkl. attachments 3. Automatiseret procestil sletning af persondata/attachments for tredjepart 4. Delvis automatiseretprocestil anonymisering af brugere ved ansættelsesophør 5. Dashboard til styring af GDPR-aktiviteter 13 Governance og proces -tilpasninger 6. Governance for persondata iservicenow 7. Tilpassede processer for behandling af persondataiservicenow

14 14 Service Catalog GDPR Request

15 15 GDPR Properties

16 16 GRC Modulet i ServiceNow

17 GRC Applications Policy and Compliance Application Risk Application GRC Audit Application 17

18 GRC Et Organisations Projekt Hvorfor GRC? Industrielle krav Lovmæssige krav Interne Krav Security Krav Hvem er involveret i en Organisations GRC? Det er alle fra top til bund, i mere eller mindre omfang. Med indførelsen af GDPR bliver GRC noget alle skal være opmærksom på. Hvad er IT s rolle? IT skal levere systemer der kan understøtte og supporte GRC. Bistå med data, systemkendskab og arkitektur. 18

19 Hvilke elementer indgår i SNC GRC I ServiceNow er GRC delt på i 4 elementer. Policy and Compliance. Holder styr på Policies, Authority Dokumenter, Kontroller mm. Risk Riskframeworks og Risk Statements, Samlet over risks for alle systemer, policies etc. Vendor Risk Her har man en funktion til at køre risk management mod sine leverandører. Man kan oprette, sende, og validere assessment (Surveys) Audit Her samler og planlægger man Audits af data i de andre moduler. Auditere policiesog procedurer. Opsamler issues og generere Audit rapporter. 19

20 20 Arkitektur

21 Overviews i GRC Compliance Overview 21

22 22 RiskOverview

23 23 Audit Workbench

24 24

25 25 Key Take aways

26 Key Takeaways 1. GDPR er IKKE et IT projekt det er forretningens ansvar og kræver involvering af hele forretningen 2. Start i god tid, der er ikke så lang tid til den 25. maj som man skulle tro 3. Alliér jer med de professionelle både juridisk og teknologisk 4. Start med noget overskueligt og gå i dybden herefter rul metoder og politikker ud bredt 26

27 GDPR for Dummies 27 Forestil dig at låne en persons bil. De fleste er enige om, at det er naturligt at: Spørge om du må låne den [samtykke] Være tydelig med det formål, som du vil låne den til [gennemsigtighed, formålsbegrænsning] Fortælle hvor længe du skal låne den, og returnere den til tiden [gennemsigtighed, opbevaringsbegrænsning] Ikke at bruge den til andre formål, end hvad der er aftalt [formålsbegrænsning] Være forsigtig, så der ikke sker noget uønsket (fartbøder, skader, etc.), mens du låner den [lovlighed, integritet] Hvis en ulykke eller andet uønsket alligevel opstår, mens du låner den, så fortælle det så hurtigt som muligt [underretningspligt] Rette op på de uønskede hændelser - fx fartbøder eller andre omkostninger - som er opstået i forbindelse med lånet [ret til berigtigelse] Returnere den straks, hvis ejeren ønsker det, og ikke beholde en kopi af nøglen [dataportabilitet, ret til sletning, dataminimering] Udskift nu ordene "låne" og "den" i ovenstående afsnit med "behandle" og "personoplysninger", så har du et godt overblik over mange af de principper, der gælder for behandling af personoplysninger under persondataforordningen. Begreberne i parentes svarer til de relevante udtryk i forordningen. Pludselig føles GDPR mindre indviklet, ikke? og faktisk ganske rimelig.