Digitaliseringsstyrelsens konference 1. marts 2018

Relaterede dokumenter
Persondataforordningen...den nye erklæringsstandard

Persondataforordningen Erklæringer - omfang og værdi August 2016

Databeskyttelsesdagen

Afgifter og meget andet Ivan Ibsen 7. oktober 2015

Fremtidens bank i en digital verden november 2015

Sikker implementering af nye fælles it-løsninger

Moms er det stadig hot? December 2016

SURVEY KONKLUSIONER Medarbejdernes brug af sociale medier

Foreninger i Tønder Kommune GDPR November 2018

RESULTATER AF SURVEY Medarbejdernes brug af sociale medier

PwC's benchmarkanalyse og øvrige aktuelle forhold December 2016

Næsten i mål. Den aktuelle agenda i forsikringssektoren

Seminar for erhvervsskoler, gymnasier m.fl. Moms 10. december 2013

Inspiration til bestyrelsesarbejdet Uddrag fra Bestyrelsesarbejde i Danmark Brian Christiansen Partner, PwC

Bestyrelsesarbejde i Danmark 2018 og aktuelt på bestyrelsesagendaen. v. Kim Füchsel, Managing Partner og direktør, PwC

Handlingsplan for digital modenhed i Albertslund Kommune

Digitaliseringsstyrelsen Risikovurdering Marts 2018

Velkommen til Bankseminar 2017

Syddjurs Kommune Økonomisk vurdering af rådhusprojekt

Den Digitale Bank. Bankseminar, Middelfart 2017

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

Bliv klar til møde med banken

CSR & Tax Transparency Revisordøgnet Ann-Charlotte Beierholm, PwC Erhvervs Ph.d.-studerende. Revision. Skat. Rådgivning.

Workshop i Vandhuset Reguleringsmodel for lufthavnstakster 28. oktober 2013

Nyt om beskatning af fonde

Bekæmpelse af hvidvask en praktisk introduktion

Finanskonferencen 2016: Disruption Grib mulighederne

DI s Kapitaldag 2016 Frigør arbejdskapital og sæt din forretning fri Bent Jørgensen, PwC

Benchmarkundersøgelse - Danske bankers lønsomhedsmåling

Præsentation af analysen. C25 by Numbers Henrik Steffensen Partner og regnskabsekspert, PwC. Marts 2019

CXO-konferencen 2016 Morgendagens ledere

Nyt om beskatning af fonde

Skal skolerne have en egenkapital? Hvem ejer skolernes egenkapital?

De nye holdingregler

Danmarks Skatteadvokater

Digital ledelse muligheder og udfordringer

IPD Konference 25. februar 2014

Afgift på overskudsvarme Hvad er op og ned?

KOMBIT OG SIKKERHED NU, OM LIDT OG FREMTIDEN

PwC s CEO Survey de danske resultater

Låne- og finansieringsprodukter

Digitale muligheder for det lokale pengeinstitut Bankseminar, 22. november 2018

Hvad er op og ned i afgiftsjunglen, og overskudsvarme. 12. november 2014

Udfordringer vedr. den regnskabsmæssige behandling af uddelinger

PwC s Global CEO Survey 2016 Danske resultater

Vandsektoren OPP? Investering og finansiering

Finanslov I denne præsentation kan du få overblik over indholdet af finansloven, som har betydning på skatte-, moms- og afgiftsområdet.

Fonde skattemæssige forhold

GDPR erklæringer - nu er det nu Claus Hartmann Lund september 2018

PwC s Talent Survey 2015

Værdiansættelsesseminar Finansiering & beregning af forrentning November 2014

Moms på personalegoder og firmabiler 27. februar Revision. Skat. Rådgivning.

It-Arkitekturrådets møde 28. februar Effektmåling af rammearkitektur

Total Retail 2016: De siger, de vil have en revolution Oktober 2016

Foranalyse samarbejde mellem ni forsyninger Resultater af foranalyse

Skattekassen Claus Høegh-Jensen Partner, PwC. januar

Skatteoptimering og professionel cykelsport

Optimering af studieadministrative processer

Databeskyttelsespolitik (oplysningspligten) 1. Introduktion. 2. Vores behandlingsaktiviteter Kundesamarbejdet

Kultur og adfærd Skab tillid til virksomhedens største aktiv

BILAG 14: DATABEHANDLERAFTALE

Nyt om regnskabsaflæggelse

Kontraktbilag 7: Databehandleraftale

Værdiansættelse i praksis

Kontraktbilag 3. Databehandleraftale

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Iværksætteri - kom godt igang! November 2014

Rigsrevisionens og Undervisningsministeriets seneste udmeldinger

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Tilsyn med Databehandlere

Birgitte Toxværd Bruun & Hjejle

Kontrakt om IT-infrastruktur-services 2017

VEJLEDNING. om specialklubbernes håndtering af medlemmernes personoplysninger

Seminar om databehandleraftalen IT-Branchen 28. februar 2018

SKATTEPJECE. Hovedsponsor:

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

PwC services for AU-ansatte 14. april 2016 Revision. Skat. Rådgivning.

Moms og holdingselskaber - en statusopdatering

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

Bilag 9 Databehandleraftale

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

GDPR - Bryder verden sammen efter den 25. maj?

Letbanen Fra opdelt til sammenhængende omegn Oktober 2016

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Tjekliste til databehandleraftaler

Bliv klar til ny ferielov 1. september Regnskabsmæssige konsekvenser

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Leverandørstyring: Stil krav du kan måle på

Adgang til mikrodata på Danmarks Statistik set i lyset af Persondataforordningen (GDPR)

Sikkerhedsprogrammet - Agenda

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Behandling af personoplysninger

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

Transkript:

www.pwc.dk Leverandørstyring Digitaliseringsstyrelsens konference 1. marts 2018 Revision. Skat. Rådgivning.

Overordnet agenda Introduktion af oplægsholder og workshopholder Oplæg Workshop Afrunding 2

3

Introduktion 4

Introduktion Workshopafholder Susanne Møller-Hansen Tlf: +45 51350651 Mail: san@pwc.dk Uddannet datalog Tidligere: IT revisor & compliance manager Nu: Sikkerhedsledelse og ISO27001 Har arbejdet med sikkerhedsledelse og ISO27001 implementering og vurdering i det offentlige og private i en del år 5

Leverandørstyring Styring af nye og eksisterende leverandører 6

Agenda for workshoppen Overordnet proces Overblik over leverandører Kritiske leverandører Sikkerhedskrav Kontrakt Opfølgning Opsamling 7

Eksisterende leverandører Overblik Kritisk Krav Overblik over leverandører Overblik over services Definer kritiske leverandører Identificer kritiske leverandører Kan der stilles sikkerhedskrav Hvilke sikkerhedskrav kan/skal stilles Kontrakt Kan/skal der laves kontraktændringer Opfølg Realistisk opfølgning Opfølgning på services og sikkerhedskrav 8

Nye leverandører Overblik Services fra leverandøren Kritisk Definer kritiske leverandører Identificer kritiske leverandører Krav Identificer sikkerhedskrav til leverandøren Kontrakt Beskriv sikkerhedskrav i kontrakten Beskriv opfølgning på sikkerhedskrav i kontrakten Opfølg Opfølgning på services og sikkerhedskrav 9

Agenda for workshoppen Overordnet proces Overblik over leverandører Kritiske leverandører Sikkerhedskrav Kontrakt Opfølgning Opsamling 10

Overblik Få overblik over jeres leverandører IT 1 Hvilken software bruges? Hvordan drives jeres systemer? Services 2 Hvem leverer services? Hjemmhjælpsfirmaer, vikarfirmaer, outsourcede funktioner? Fysiske services 3 Hvem leverer fysiske services? Håndværkere, flytning, kantine, drift af udstyr? 11

Agenda for workshoppen Overordnet proces Overblik over leverandører Kritiske leverandører Sikkerhedskrav Kontrakt Opfølgning Opsamling 12

Kritiske leverandører Definer hvad en kritisk leverandør er for jer: Inddrag: lovkrav, risikovurderinger kritiske processer Tab af data Tab af adgang til data Usikkerhed om at data er korrekte Tab af menneskeliv Økonomisk tab Manglende overholdelse af lovgivning 13

Kritiske leverandører Gode spørgsmål: hvilke IT-systemer kan organisationen ikke fungere uden? Hosting leverandører? Hvilke serviceleverandører kan organisationen ikke fungere uden? Hjemmehjælpsfirmaer? vikarbureauer? Hvilke fysiske-serviceleverandører kan organisationen ikke fungere uden? Rengøring? Bygningsvedligeholdelse? 14

Cases 6 cases Hver gruppe arbejder på samme case igennem workshoppen. Skriv hvert af jeres svar på øvelsen på en post-it og sæt den på tavlen. 15

Øvelse 1 Klassificering Vurder om i vil klassificere den leverandør der er beskrevet i jeres case som en kritisk leverandør? Hvorfor? Hvorfor ikke? 1o minutter Skriv jeres gruppes svar på øvelsen på en post it og sæt den på tavlen. 16

Opsamling øvelse 1 17

Agenda for workshoppen Overordnet proces Overblik over leverandører Kritiske leverandører Sikkerhedskrav Kontrakt Opfølgning Opsamling 18

Sikkerhedskrav Bilag med standard sikkerhedskrav Inspiration: ISO27001/2 Sikkerhedsstandarder GDPR Lovgivningsmæssige krav Interne krav 19

SMART metodik Målbart Specifikt Realistisk Tidsbegrænset Accepteret Mål ISO27004 Forslag til målinger 20

Øvelse 2 Sikkerhedskrav Hvilke sikkerhedskrav vil I stille til leverandøren i jeres case ud fra den liste af krav i har fået udleveret? 1o minutter Skriv jeres gruppes svar på øvelsen på en post-it og sæt den på tavlen. 21

Opsamling øvelse 2 22

Agenda for workshoppen Overordnet proces Overblik over leverandører Kritiske leverandører Sikkerhedskrav Kontrakt Opfølgning Opsamling 23

Databehandleraftaler - definitioner Dataansvarlig Den organisation der bestemmer hvordan og til hvad personoplysningerne behandles Databehandler den organisation der håndterer persondata på vegne af en dataansvarlig I kan som organisation ikke outsource jeres ansvar som dataansvarlig! 24

Databehandleraftaler Hvilke persondata må håndteres Hvordan persondata må håndteres Krav til håndtering af persondata Hjemmel til at håndtere data Krav til databehandler Instruks for behandling Brug datatilsynets standard databehandleraftale: https://www.datatilsynet.dk/nyheder/nyhed/artikel/ny-skabelon-skal-hjlpevirksomheder-og-myndigheder-med-at-blive-klar-til-databeskyttelsesforordning/ 25

Kontraktvilkår Hav en standardkontrakt der som minimum inkluderer følgende Sikring af data Underleverandører Pludselige og udefrakommende uforudsete omstændigheder, der fører til tab af data Adgang til de data, der lagres hos leverandøren Adgang til data ved driftsstop, misligholdelse, opsigelse, konkurs mv Forpligtigelse til at håndtere, dokumentere og rapportere på væsentlige sikkerhedsbrud Håndtering af uvedkommendes adgang til data (eksempelvis straksrapportering) Håndtering af myndigheders ønske om adgang til data, herunder regeringer og domstole Adgang for revision Krav til revisionserklæring Se også https://digst.dk/sikkerhed/styring-af-leverandoerer/styrkelse-af-sikkerheden-i-statensoutsourcede-it-drift/ 26

Agenda for workshoppen Overordnet proces Overblik over leverandører Kritiske leverandører Sikkerhedskrav Kontrakt Opfølgning Opsamling 27

Opfølgning Overvej hvordan I vil følge op på sikkerheds- og kontraktkrav Ekstern revision Løbende opfølgning: månedsmøder, månedsrapporter, SLA opfølgning Intern revision 28

SMART metodik Målbart Specifikt Accepteret Realistisk Mål Tidsbegrænset 29

Øvelse 3 Opfølgning Hvordan vil I måle/følge op på om leverandøren overholder service og sikkerhedskravene? 1o minutter Skriv jeres gruppes svar på øvelsen på en post-it og sæt den på tavlen. 30

Opsamling øvelse 3 31

Agenda for workshoppen Overordnet proces Overblik over leverandører Kritiske leverandører Sikkerhedskrav Kontrakt Opfølgning Opsamling 32

Opsummering Få overblik over leverandører Definer hvad der er kritiske leverandører Definer sikkerhedskrav Husk kontraktlige krav Opfølgning på sikkerhedskrav, kontraktlige krav og leverede services 33

Tak for jeres tid 34

Sikkerhedskrav Inspiration til bilag med standard sikkerhedskrav Inspiration til sikkerhedskrav: Katalog Sådan stiller du krav til leverandører om informationssikkerhed katalog GDPR Folder Cyberforsvar der virker https://www.datatilsynet.dk/fileadmin/user_uploa d/dokumenter/12_spoergsmaal_-_gdpr.pdf https://digst.dk/styring/standardkontrakter/klausul er-til-informationssikkerhed/kravkatalog-tilleverandoerer https://feddis.dk/cfcs/cfcsdocuments/cyberforsvar%20 der%20virker.pdf Lovgivningsmæssige krav ISO27001 anneks A kontroller CIS security controls https://www.sans.org/securityresources/posters/20-critical-securitycontrols/55/download Interne krav 35

Leverandørstyring skaber vi sammen... Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen. 2017 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer til PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed. Succes skaber vi sammen

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback