Når Compliance Bliver Kultur

Relaterede dokumenter
Når compliance bliver kultur

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

DER ER GÅET SPORT I INFORMATIONSSIKKERHED

Struktureret Compliance. EU-GDPR eftersyn

Struktureret Compliance

GDPR - Bryder verden sammen efter den 25. maj?

EU-GDPR i ControlManager

GDPR projekt papirtiger Med det rette overblik

EU Persondataforordning. One year with GDPR - one year to come

GDPR projekt papirtiger. - Med det rette overblik

Struktureret Compliance. på tværs af ISO9001, ISO27001 & EU GDPR

One year with GDPR - one year to come

GDPR og ISO To sider af samme sag Offentlig Digitalisering 2018

VELKOMMEN TIL ERFA-MØDE 8. juni 2017

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

Tilsyn med Databehandlere

ERFA-MØDE 8. & 15. dec. 2016

Plan og Handling CVR-nr.:

GML-HR A/S CVR-nr.:

General Data Protection Regulation

Persondataforordningen...den nye erklæringsstandard

Lector ApS CVR-nr.:

Komiteen for Sundhedsoplysning CVR-nr.:

Når awareness ændrer noget.

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Databeskyttelsesdagen

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Bilag A Databehandleraftale pr

Bilag B Databehandleraftale pr

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

GML-HR A/S CVR-nr.:

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

OS2kravmotor Håndtering af GDPR

Kontrakt om IT-infrastruktur-services 2017

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Leverandørstyring: Stil krav du kan måle på


Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

Kontraktbilag 3. Databehandleraftale

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

DATABEHANDLERAFTALE

DATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og

Behandling af personoplysninger

Persondataforordningen Agenda

EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

BILAG 14: DATABEHANDLERAFTALE

1.1. Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Vejledning i informationssikkerhedspolitik. Februar 2015

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

! Databehandleraftale

1 Informationssikkerhedspolitik

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Databehandler aftale Bilag til Aftale om MemberLink

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

PERSONDATA & PERSONDATAORDBOG

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Aftale vedrørende fælles dataansvar

3 Omfattede typer af personoplysninger og kategorier af registrerede

Forsvarsministeriets Materiel- og Indkøbsstyrelse

KOMBIT sikkerhedspolitik

Bilag 1 Databehandler aftale (v.1.2)

Persondataforordningen

Er du nu HELT klar til GDPR? Bosted Temadag Rune Andersen, Manager, Product Management, EG

Aftale omkring behandling af persondata.

Procedure for tilsyn af databehandleraftale

Persondataforordningen. Hvad kan vi bruge KITOS til?

3 Omfattede typer af personoplysninger og kategorier af registrerede

Region Hovedstadens Ramme for Informationssikkerhed

Databeskyttelsespolitik (oplysningspligten) 1. Introduktion. 2. Vores behandlingsaktiviteter Kundesamarbejdet

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Forordningens sikkerhedskrav

Databehandleraftale

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

DATABEHANDLERAFTALE [LEVERANDØR]

Standardvilkår. Databehandleraftale

Tilsynsbesøget fandt sted den 9. november 2018.

Informationssikkerhedspolitik for Odder Gymnasium

Databehandleraftale (v.1.1)

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

Workshop 2. Hvilke processer skal sikre os en god databeskyttelse? Hvordan uddanner vi medarbejdere i det offentlige til at håndtere data forsvarligt?

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Persondatapolitik for Metropark ApS

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Persondatapolitik Vordingborg Gymnasium & HF

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

GDPR og operationel compliance. Jesper Husmer Vang og Sara Holst Sonne

2. Leverandøren er som databehandler forpligtet til følgende:

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

IDQ A/S CVR-nr.:

BILAG 5 DATABEHANDLERAFTALE

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Transkript:

Når Compliance Bliver Kultur ISO27001, ISAE 3402/3000 & EU GDPR i teori og praksis Siscon & HeroBase 17. Januar 2019

AGENDA KORT OM SISCON & HEROBASE KRAV, STANDARDER OG LOVGIVNING ET SAMSPIL HEROBASE S UDGANGSPUNKT GØR DIT COMPLIANCE ARBEJDE SAMMENHÆNGENDE FORANKRING I FORRETNINGEN KULTUR & GEVINSTER Databeskyttelsesdagen 2019 2

OM SISCON & HEROBASE Dansk konsulenthus og softwareleverandør siden 2004 ControlManager skaber fundamentet virksomhedens ISMS / Complianceprogram Konsulentydelser der matcher og udnytter ControlManagers potentiale Mere end 130 kunder i Danmark og Norge Kontor i Allerød med kursusfaciliteter 18 medarbejdere i en virksomhed i vækst 3

OM SISCON & HEROBASE Dansk IT-virksomhed med base i Søborg 30 mand, 10 år Leverer kontaktcentersoftware komplette løsninger til kontaktcentre inkl. backoffice SaaS løsninger inden for Outbound, Inbound og Markt. Automation (digitalisering, integrationer) Mere end 140 kunder i Danmark, Norden og beslægtede lande Every day there is a chance to do something extraordinary Databeskyttelsesdagen 2019 4

PRES FRA ALLE I ORGANISATIONEN Databeskyttelsesdagen 2019 5

GDPR PROJEKTETS AFLEVERING? Databeskyttelsesdagen 2019 6

UDFORDRINGEN ORGANISATIONER HAR MANGE FORSKELLIGE EKSTERNE KRAV DE SKAL VÆRE COMPLIANT MED Ekstern lovgivning Krav om brug af (branche)standarder Krav fra kunder/leverandører MANGE KRAV ER HELT/DELVIST OVERLAPPENDE DET ER SVÆRT AT VURDERE Hvem gør hvad internt for at sikre compliance? Hvor er der overlap i krav? Hvilke af vores interne tiltag understøtter eksterne krav? Persondataforordningen er blot endnu en række krav Databeskyttelsesdagen 2019 7

I PRAKSIS EU-GDPR EKSEMPEL EU-GDPR AFDELING 3 BERIGTIGELSE OG SLETNING Art. 17, stk. 1 (a), (b), (c ), (d), (e ), (f) DATASUBJEKTET HAR RET TIL AT FÅ SLETTET PERSONDATA OM SIG SELV UDEN UNØDIG FORSINKELSE, OG DEN DATAANSVARLIGE HAR PLIGT TIL AT SLETTE PERSONOPLYSNINGER UDEN UNØDIG FORSINKELSE, HVIS DATA IKKE LÆNGERE ER NØDVENDIGE I FORHOLD TIL FORMÅLET ELLER, DATASUBJEKTET TRÆKKER SIT SAMTYKKE TILBAGE ELLER GØR INDSIGELSE ELLER MODSÆTTER SIG DATABEHANDLINGEN, SAMT I TILFÆLDE, HVOR DATABEHANDLINGEN ER ULOVLIG, ELLER SKAL SLETTES SOM FØLGE AF LOVGIVNING ELLER ANGÅR INDHENTNING AF PERSONDATA OM BØRN TIL BRUG I INFORMATIONSTJENESTER. Databeskyttelsesdagen 2019 8

MAPNING AF EU-GDPR -> REGEL -> KONTROL - BÅDE GDPR OG TEKNISK OG ORG. KONTROLLER EU-GDPR ISO 27001/2 9. 2. 5. Gennemgang af brugeradgangsrettigheder Aktivejere skal med jævne mellemrum gennemgå brugernes adgangsrettigheder. Regel Regel Regel Regel Systemejeren er ansvarlig for, med udgangspunkt i oversigt fra Brugeradministration, at gennemgå alle brugernes adgangsrettigheder, for deres respektive systemer, hver 3. måned. Hvordan/detaljer Hvordan/detaljer Databeskyttelsesdagen 2019 9

RESULTAT = HÅNDBOG STRUKTURERET UDARBEJDELSE AF REGELSÆT ENDER UD I EN HÅNDBOG HÅNDBOGEN SIKRER: Klare rammer for arbejdet Rolle- og ansvarsmodel Sikringstiltag En rød tråd fra krav til tiltag VISHED FOR AT VI HAR STYR PÅ ALLE FACETTER AF EU-GDPR Databeskyttelsesdagen 2019 10

FRA PAPIRCOMPLIANCE -> FAKTUEL COMPLIANCE Krav jeg er underlagt Egne regler Hvad betyder det for mig? Databeskyttelsesdagen 2019 Skærmbillede fra ControlManager 11

HEROBASE S UDGANGSPUNKT BÅDE KRAV OG EFTERSPØRGSEL Vi vil gerne bede om lidt udførlig information om: Organisering af informationssikkerhed Personalesikkerhed Styring af aktiver Adgangsstyring Kryptografi Fysisk sikring og miljøsikring Driftssikkerhed Kommunikationssikkerhed Anskaffelse, udvikling og vedligeholdelse af systemer Leverandørforhold Styring af informationssikkerhedsbrud og hændelser og så bare lige lidt om hvordan I sikrer disse forhold løbende, og hvordan I dokumenterer det naturligvis. Databeskyttelsesdagen 2019 12

DEN FAMØSE 25. MAJ OG KOBLING MED KUNDEBEHOV EU-GDPR AFDELING 4 DATAANSVARLIG & DATABEHANDLER Art. 28, stk. 1 DEN DATAANSVARLIGE MÅ UDELUKKENDE BENYTTE DATABEHANDLERE, DER KAN DOKUMENTERE TILSTRÆKKELIG GARANTI FOR, AT PASSENDE TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER ER IMPLEMENTERET. Databeskyttelsesdagen 2019 13

SAMMENHÆNGEN I PRAKSIS GDPR (-efterlevelse) ISO27001 ISAE3402 (+3000) Databeskyttelsesdagen 2019 14

SAMMENHÆNGEN I PRAKSIS SYNERGIER MELLEM ISAE 3402 OG 3000 ISAE 3000 ISAE3402 (type I) Formålet med denne beskrivelse er at levere information til HeroBases kunder og deres interessenter (herunder revisorer) vedrørende kravene i den internationale revisionsstandard for erklæringsopgaver om kontroller hos en serviceleverandør, ISAE3402. Beskrivelsen har herudover det formål at give information om vores informationssikkerhedsregelsæt, procedurer og kontroller, som er gældende for vores leverance af produktet og ydelsen Hero Outbound til vores kunder. Art. 32 = ISAE 3402 (+ ISO 27001/2) Formålet med denne beskrivelse er at levere information til HeroBases kunder og deres interessenter (herunder revisorer) vedrørende kravene og indholdet i databeskyttelses-forordningen ( GDPR ), beskrevet ud fra rammerne givet i den internationale revisionsstandard ISAE3000, herunder også standarden for erklæringsopgaver om kontroller hos en serviceleverandør, ISAE3402. Beskrivelsen har herudover det formål at give specifik information om forhold vedrørende behandlingssikkerked, tekniske og organisatoriske foranstaltninger, ansvar mellem dataansvarlige (vores kunder) og databehandler (HeroBase), og hvordan løsningen Hero Outbound gennem funktioner til bl.a. understøttelse af datasubjekternes rettigheder, understøtter vores kunder (de dataansvarlige) i at leve op til GDPR, for så vidt angår deres aktiviteter i Hero Outbound. Det beskrevne er altså gældende for vores leverance af produktet og ydelsen Hero Outbound til vores kunder. Databeskyttelsesdagen 2019 15

UNDERSTØTTELSE AF FLERE KRAV REGLER KAN GENBRUGES TIL AT UNDERSTØTTE FLERE LOVKRAV / STANDARDER OL. FSR s ISAE3000 vejl. Systemejer er ansvarlig for, at sikre, at data kan slettes DET BLIVER NEMMERE AT TILFØJE NYE STANDARDER / LOVKRAV F.eks. Er mange af vores kunder databehandlere, og vil gerne sikre understøttelse af ISAE3000 erklæringer Databeskyttelsesdagen 2019 16

GENBRUG AF REGLER FSR ISO Lovkrav 27002 ISAE EU-GDPR Krav 3000 Vejl. Egne regler Skærmbillede fra ControlManager Databeskyttelsesdagen 2019 17

UDFORDRINGEN MED ANDRE ORD: 1. Tekniske og organisatoriske foranstaltninger skal designes En del af håndbogen 2. Det skal sikres, at foranstaltningerne er effektive Databeskyttelsesdagen 2019 18

FRA KRAV TIL ET SAMLET REGELSÆT SAMMENHÆNG MELLEM: LOV/STANDARD REGLER Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov UDBYGGES MED: KONTROLLER - FOR AT SIKRE OVERHOLDELSE AF REGEL EVIDENS SOM DOKUMENTATION FOR GENNEMFØRELSE Databeskyttelsesdagen 2019 19

MAPNING AF EU-GDPR -> REGEL -> KONTROL - TILBAGE TIL EKSEMPLET EU-GDPR Kontrol Regel Regel Regel Hvordan/detaljer Hvordan Databeskyttelsesdagen 2019 20

FRA PAPIRCOMPLIANCE -> FAKTUEL COMPLIANCE Krav jeg er underlagt Egne regler Hvad betyder det for mig? Egen kontrol Overholder jeg krav? Databeskyttelsesdagen 2019 Skærmbillede fra ControlManager 21

TILBAGEMELDING PÅ EN KONTROL Databeskyttelsesdagen 2019 22

Hvorfor er det smart?

PROCEDURER SOM FAVNER DET HELE (1) Skærmbillede fra ControlManager Databeskyttelsesdagen 2019 24

PROCEDURER SOM FAVNER DET HELE (2) Skærmbillede fra ControlManager Databeskyttelsesdagen 2019 25

OVERSIGT OVER GENNEMFØRELSE AF KONTROLLER Databeskyttelsesdagen 2019 26

FORANKRING I FORRETNINGEN EN FOKUSERING PÅ KONTROLLER GIVER YDERMERE Mulighed for at forankre og følge op på arbejdet ude i organisationen HVIS EU-GDPR SKAL FUNGERE SKAL DET VÆRE FORANKRET I FORRETNINGEN De skal tage ansvar De skal kende deres eget complianceniveau VI SKAL OPNÅ DOKUMENTERET VISHED Databeskyttelsesdagen 2019 27 ControlManager skærmbilleder

FRA HIGH-LEVEL TIL LAVPRAKTISK Databeskyttelsesdagen 2019 28

FORANKRING I FORRETNINGEN DEN STORE SAMMENHÆNG Regler Procedurer Kontroller Politikker Noget som LEVER Quizzer og awareness ISMS (efterlevelse dokumenteret med ISAE3402 og ISAE3000) Uddannelse og træning Databehandleraftaler Underdatabehandleraftaler Kortlægning: Processer og dataflows Databeskyttelsesdagen 2019 29

Gevinster

GEVINSTER Databeskyttelsesdagen 2019 31

GEVINSTER Databeskyttelsesdagen 2019 32

GEVINSTER Databeskyttelsesdagen 2019 33

GEVINSTER Databeskyttelsesdagen 2019 34

GEVINSTER Databeskyttelsesdagen 2019 35

YOUR TAKE-AWAY Databeskyttelsesdagen 2019 36

GEVINSTEN HUSK DU SKAL IKKE GØRE DET ALENE FOR TILSYN / REVISIONENS SKYLD Du skal gøre det, fordi det skaber værdi i praksis Det kan være med til at højne sikkerheden generelt VED AT IMPLEMENTERE DET FORESLÅEDE, FÅR DU: tolket forskellige rammer i forhold til, hvad de betyder for dig og din organisation defineret roller og ansvar i din organisation skabt løbende overblik over dit complianceniveau etableret muligheden for løbende at opdage og imødekomme problemer - også før tilsynet kommer DU FÅR SELV RO I MAVEN OG KAN MÅSKE SLAPPE LIDT AF I HÆNGEKØJEN Databeskyttelsesdagen 2019 37

TAK FORDI I LYTTEDE! Kontaktinformationer: Jesper B. Hansen Senior Implementeringskonsulent Siscon ApS E-mail: jbh@siscon.dk Kenny Andreasen CTO & CIO HeroBase A/S E-mail: ka@herobase.com

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback