Når compliance bliver kultur

Relaterede dokumenter
Når Compliance Bliver Kultur

DER ER GÅET SPORT I INFORMATIONSSIKKERHED

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Struktureret Compliance

Struktureret Compliance. EU-GDPR eftersyn

EU Persondataforordning. One year with GDPR - one year to come

EU-GDPR i ControlManager

GDPR - Bryder verden sammen efter den 25. maj?

Tilsyn med Databehandlere

GDPR og ISO To sider af samme sag Offentlig Digitalisering 2018

GDPR projekt papirtiger Med det rette overblik

GDPR projekt papirtiger. - Med det rette overblik

Når awareness ændrer noget.

One year with GDPR - one year to come

Struktureret Compliance. på tværs af ISO9001, ISO27001 & EU GDPR

Persondataforordningen...den nye erklæringsstandard

VELKOMMEN TIL ERFA-MØDE 8. juni 2017

General Data Protection Regulation

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Vejledning i informationssikkerhedspolitik. Februar 2015

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

GML-HR A/S CVR-nr.:


Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Plan og Handling CVR-nr.:

DATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og

Bilag A Databehandleraftale pr

Lector ApS CVR-nr.:

Bilag B Databehandleraftale pr

Persondataforordningen Agenda

ERFA-MØDE 8. & 15. dec. 2016

Persondataforordningen fra abstrakt lov til operationelt projekt. Offentlig digitaliseringskonference 14. marts 2018

Region Hovedstadens Ramme for Informationssikkerhed

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

Behandling af personoplysninger

1 Informationssikkerhedspolitik

Forordningens sikkerhedskrav

OS2kravmotor Håndtering af GDPR

Aftale vedrørende fælles dataansvar

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

PERSONDATAPOLITIK (EKSTERN)

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Informationssikkerhedspolitik for Odder Gymnasium

Rollen som DPO. September 2016

Komiteen for Sundhedsoplysning CVR-nr.:

Databehandleraftale e-studio.dk Side 1 af 6

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Kontraktbilag 3. Databehandleraftale

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

MedComs informationssikkerhedspolitik. Version 2.2

2. Leverandøren er som databehandler forpligtet til følgende:

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

Bilag 1 Databehandler aftale (v.1.2)

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Fællesregional Informationssikkerhedspolitik

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Digitaliseringsstyrelsens konference 1. marts 2018

1.1. Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

[Firma navn] [Adresse] [Postnummer] [Land] [CVR-nr.] [Navn på kontaktperson] [ ] [Phone number] PSUPPORT.DK ApS. Plantagevej 51, 3460 Birkerød.

Aftale omkring behandling af persondata.

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

3 Omfattede typer af personoplysninger og kategorier af registrerede

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

DATABEHANDLERAFTALE

Databehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Databehandler aftale Bilag til Aftale om MemberLink

3 Omfattede typer af personoplysninger og kategorier af registrerede

Databeskyttelsesdagen

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

Databehandleraftale (v.1.1)

Version: 1.2 Side 1 af 5

Databehandleraftale

! Databehandleraftale

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Dansk Selskab for GCP. Persondatareglerne

Databehandleraftale INDHOLDSFORTEGNELSE

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Transkript:

Når compliance bliver kultur Multidimensional compliance i teori og praksis Siscon & HeroBase 1. maj 2019 info@siscon.dk

Kort om Siscon & HeroBase Multidimensional compliance Krav, standarder og lovgivning et samspil HeroBase s udgangspunkt Gør dit compliance arbejde sammenhængende Forankring i forretningen Kultur & Gevinster

Siscon hjælper med struktur - i forhold til multidimensional compliance

Om Siscon & HeroBase Dansk IT-virksomhed med base i Søborg 30 mand, 10 år Leverer kontaktcentersoftware komplette løsninger til kontaktcentre inkl. backoffice SaaS løsninger inden for Outbound, Inbound og Markt. Automation (digitalisering, integrationer) Mere end 140 kunder i Danmark, Norden og beslægtede lande Every day there is a chance to do something extraordinary

Pres fra alle i organisationen

GDPR projektets aflevering?

Udfordringen i multidimensional compliance Organisationer har mange forskellige eksterne krav de skal være compliant med Ekstern lovgivning Krav om brug af (branche)standarder Krav fra kunder/leverandører Mange krav er helt/delvist overlappende Det er svært at vurdere Hvem gør hvad internt for at sikre compliance? Hvor er der overlap i krav? Hvilke af vores interne tiltag understøtter eksterne krav? Persondataforordningen er blot endnu en række krav

Tænk struktur Hvad er kravet? Hvem skal sikre overholdelse? Hvordan sikres overholdelse? Afd. 3 - Art. 17 Datasubjektet har ret til at få slettet persondata om sig selv uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis data ikke længere er nødvendige i forhold til formålet eller Regel Procesejeransvar (forsimplet) Procesejer er ansvarlig for at udarbejde og vedligeholde instrukser for: - hvor data opbevares - hvor længe de må gemmes - hvordan de slettes efter endt brug

Tænk struktur husk alle ansvarsområder Afd. 3 - Art. 17 Datasubjektet har ret til at få slettet persondata om sig selv uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis data ikke længere er nødvendige i forhold til formålet eller Regel Procesejeransvar (forsimplet) Procesejer er ansvarlig for at udarbejde og vedligeholde instrukser for: - hvor data opbevares - hvor længe de må gemmes - hvordan de slettes efter endt brug Afd. 3 - Art. 17 Datasubjektet har ret til at få slettet persondata om sig selv uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis data ikke længere er nødvendige i forhold til formålet eller Regel Systemejeransvar (forsimplet) Systemejer er ansvarsvarlig for, at udarbejde og vedligeholde instrukser for hvorledes data kan slettes i deres respektive systemer, herunder også fra backup.

Resultat = håndbog Overordnet mål Hvorfor (Strategisk) Sikkerhedsniveau Hvad / Hvem (Taktisk) Politik Regler/retningslinjer Struktureret udarbejdelse af regelsæt ender ud i en håndbog Håndbogen sikrer: Klare rammer for arbejdet Rolle- og ansvarsmodel Sikringstiltag En rød tråd fra krav til tiltag Procedurer mm. Hvordan (Operationelt) Procedure, instrukser, vejledninger

Fra papircompliance -> Faktuel compliance Krav jeg er underlagt Egne regler Hvad betyder det for mig? Skærmbillede fra ControlManager

HeroBase s udgangspunkt både krav og efterspørgsel Vi vil gerne bede om lidt udførlig information om: Organisering af informationssikkerhed Personalesikkerhed Styring af aktiver Adgangsstyring Kryptografi Fysisk sikring og miljøsikring Driftssikkerhed Kommunikationssikkerhed Anskaffelse, udvikling og vedligeholdelse af systemer Leverandørforhold Styring af informationssikkerhedsbrud og hændelser og så bare lige lidt om hvordan I sikrer disse forhold løbende, og hvordan I dokumenterer det naturligvis.

Den famøse 25. maj og kobling med kundebehov GDPR (-efterlevelse) Afdeling 4 Dataansvarlig & Databehandler Art. 28, stk. 1 Den dataansvarlige må udelukkende benytte databehandlere, der kan dokumentere tilstrækkelig garanti for, at passende tekniske og organisatoriske foranstaltninger er implementeret. ISO27001 ISAE3402 (+3000)

Sammenhængen i praksis synergier mellem ISAE 3402 og 3000 ISAE 3000 ISAE3402 (type I) Formålet med denne beskrivelse er at levere information til HeroBases kunder og deres interessenter (herunder revisorer) vedrørende kravene i den internationale revisionsstandard for erklæringsopgaver om kontroller hos en serviceleverandør, ISAE3402. Beskrivelsen har herudover det formål at give information om vores informationssikkerhedsregelsæt, procedurer og kontroller, som er gældende for vores leverance af produktet og ydelsen Hero Outbound til vores kunder. Art. 32 = ISAE 3402 (+ ISO 27001/2) Formålet med denne beskrivelse er at levere information til HeroBases kunder og deres interessenter (herunder revisorer) vedrørende kravene og indholdet i databeskyttelses-forordningen ( GDPR ), beskrevet ud fra rammerne givet i den internationale revisionsstandard ISAE3000, herunder også standarden for erklæringsopgaver om kontroller hos en serviceleverandør, ISAE3402. Beskrivelsen har herudover det formål at give specifik information om forhold vedrørende behandlingssikkerked, tekniske og organisatoriske foranstaltninger, ansvar mellem dataansvarlige (vores kunder) og databehandler (HeroBase), og hvordan løsningen Hero Outbound gennem funktioner til bl.a. understøttelse af datasubjekternes rettigheder, understøtter vores kunder (de dataansvarlige) i at leve op til GDPR, for så vidt angår deres aktiviteter i Hero Outbound. Det beskrevne er altså gældende for vores leverance af produktet og ydelsen Hero Outbound til vores kunder.

ISO27001 BEK425 Cyberforsvar der virker ISAE3000 vejledning EU-GDPR Kundekrav Afd. 3 - Art. 17 Datasubjektet har ret til at få slettet persondata om sig selv uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis data ikke længere er nødvendige i forhold til formålet eller Regel Systemejeransvar (forsimplet) Systemejer er ansvarsvarlig for, at udarbejde og vedligeholde instrukser for hvorledes data kan slettes i deres respektive systemer, herunder også fra backup. Regler kan genbruges til at understøtte flere: Lovkrav (forordningen kræver sletning) Kundekrav (Kennys kunder ønsker sletning) Det bliver nemmere at tilføje nye standarder / lovkrav F.eks. Er mange af vores kunder databehandlere, og vil gerne sikre understøttelse af ISAE3000 erklæringer ISAE3000 dokumenterer kravet omkring sletning

Genbrug af regler EU-GDPR Regel

Udfordringen Med andre ord: 1. Tekniske og organisatoriske foranstaltninger skal designes En del af håndbogen 2. Det skal sikres, at foranstaltningerne er effektive

Tilføjelse af kontroller Afd. 3 - Art. 17 Datasubjektet har ret til at få slettet persondata om sig selv uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis data ikke længere er nødvendige i forhold til formålet eller Regel Procesejeransvar (forsimplet) Procesejer er ansvarlig for at udarbejde og vedligeholde instrukser for: - hvor data opbevares - hvor længe de må gemmes - hvordan de slettes efter endt brug Kontrol Kontrol af procesoverblik Procesejer skal årligt gennemføre en revurdering, af hvorvidt oplysningerne i procesoverblikket er tilstrækkelige.

ISO27001 BEK425 Cyberforsvar der virker ISEA3000 vejledning EU-GDPR Kundekrav Sammenhæng mellem: Lov/Kundekrav/Vejledning Regler Kontroller Patchmanagement Brugerstyring Logning Sletning Brugerstyring Organisationens kontrolkatalog

Compliance dokument Krav Regel Kontrol

Tilbagemelding på en kontrol

Hvorfor er det smart?

Procedurer som Favner det hele (1) Skærmbillede fra ControlManager

Procedurer som Favner det hele (2) Skærmbillede fra ControlManager

Oversigt over gennemførelse af kontroller

Forankring i forretningen En fokusering på kontroller giver ydermere Mulighed for at forankre og følge op på arbejdet ude i organisationen Hvis EU-GDPR skal fungere skal det være forankret i forretningen De skal tage ansvar De skal kende deres eget complianceniveau Vi skal opnå dokumenteret vished

Fra high-level til lavpraktisk

Forankring i forretningen den store sammenhæng Regler Procedurer Kontroller Politikker Noget som LEVER Quizzer og awareness ISMS (efterlevelse dokumenteret med ISAE3402 og ISAE3000) Uddannelse og træning Databehandleraftaler Underdatabehandleraftaler Kortlægning: Processer og dataflows

Gevinster

Gevinster

Gevinster

Gevinster

Gevinster

Gevinster

Gevinsten HUSK du skal IKKE gøre det alene for tilsyn / revisionens skyld Du skal gøre det, fordi det skaber værdi i praksis Det kan være med til at højne sikkerheden generelt Ved at implementere det foreslåede, får du: tolket forskellige rammer i forhold til, hvad de betyder for dig og din organisation defineret roller og ansvar i din organisation skabt løbende overblik over dit complianceniveau etableret muligheden for løbende at opdage og imødekomme problemer - også før tilsynet kommer Du får selv ro i maven og kan måske slappe lidt af i hængekøjen i sommervarmen

TAK FORDI I LYTTEDE! Kontaktinformationer: Jesper B. Hansen Chief Delivery Officer Siscon ApS E-mail: jbh@siscon.dk Kenny Andreasen CTO & CIO HeroBase A/S E-mail: ka@herobase.com Få mere information på: info@siscon.dk www.siscon.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback