Accountability Hvad kan vi lære af den finansielle sektor



Relaterede dokumenter
Plesner Certifikat i Persondataret

Plesner Certifikat i Persondataret

Persondataforordningen

Plesner Certifikat i Persondataret

Ledelsesbekendtgørelsen

Høring af ændring af bekendtgørelse om ledelse, styring og administration af danske UCITS

TEMAMØDE 16. MARTS 2016

Konsekvensanalyse/Data Protection Impact Assessment (DIA)

Fællesregional Informationssikkerhedspolitik

Indgåelse af aftaler med sikkerhedsmæssigt indhold

Hvordan kommer mit selskab i gang med arbejdet vedr. persondata. Dansk Fjernvarme

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Forsikringstilsynet har reduceret antallet af politikker i forhold til den danske bekendtgørelse.

FAST FORRETNINGSSTED FAST FORRETNINGSSTED I DANSK PRAKSIS

Kommissorium for Revisionsudvalget i Spar Nord Bank A/S

Hvor meget fylder IT i danske bestyrelser. 7. september 2012 Torben Nielsen

investeringsfonde m.v.

Dokumentation af produktionsudstyr til fødevarer

RÅDET FOR DIGITAL SIKKERHED

Boligselskabet Borgerbo, Humlebæk

Cookie-reglerne set fra myndighedsside Dansk Forum for IT-ret 5. november 2012

Risikovurdering. - Fagnotat, screening Ny forbindelse - Storstrømmen

Tilladelse til vævscenter til håndtering af humane væv og celler Authorisation of tissue establishment for the handling of human tissues and cells

Director Onboarding Værktøj til at sikre at nye bestyrelsesmedlemmer hurtigt får indsigt og kommer up to speed

Polen Vind A/S CVR-nr Central Business Registration No Årsrapport 2015 Annual report 2015

Databeskyttelsesdagen

Grundlæggende processer du skal have styr på ift. Informationsaktiv beskyttelse

Bofællesskaberne Edelsvej

Finanskrisens årsager. Anders Jensen 23. september 2013

DEN DANSKE MARITIME FOND

Informationssikkerhedspolitik

DEN DANSKE MARITIME FOND

Spaltningsregnskab pr Spaltning af: Foreningen Østifterne f.m.b.a. CVR-nr til Østifterne f.m.b.a. (nydannet forening)

Markedsmisbrugsforordningen. De vigtigste ændringer for udstedere

Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder

VEDTÆGTER. Psykiatri Plus A/S Centre, CVR-nr Dateret 23. december 2015

Markedsmisbrugsforordningen. De vigtigste ændringer for udstedere

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

CSM Risikoledelse giver det værdi

DEN DANSKE MARITIME FOND

Fokus Forslag til forordning om benchmarks

MOOS-BJERRE ApS. Årsrapport 1. januar december Årsrapporten er fremlagt og godkendt på selskabets ordinære generalforsamling den

PFA HOLDING OG PFA PENSION AFLØNNINGSRAPPORT FOR 2015

ISO som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

Lov om forvaltere af alternative investeringsfonde (FAIF)

Sikkerhed & Revision 2013

Lønpolitik for PenSam Liv forsikringsaktieselskab

DE 4 NØGLEFUNKTIONER UNDER SOLVENS II A PUBLICATION BY FCG THE FINANCIAL COMPLIANCE GROUP

EU GDPR Endnu en Guide

RÅDET FOR DIGITAL SIKKERHED

Aftale vedrørende fælles dataansvar

ALM. BRAND FOND. Årsrapport 1. januar december Årsrapporten er fremlagt og godkendt på selskabets ordinære generalforsamling den

Internetdagen 2016 NIS-direktivet. Afdelingschef Thomas Kristmar

Godkendelse af evaluering af implementeringen af sociale klausuler

Kontrakt om IT-infrastruktur-services 2017

Årsrapport Barsel.dk

Revision af risikorapportering V. Claus Sonne Linnedal og Steen Jensen. Sikkerhed & Revision 2015

Foreningen for certificerede IT-advokater

Vejledning til ledelsestilsyn

Ejendomsselskabet Borups Allé P/S

Tilladelse til udvidelse af kaj- og moleanlæg på Skagen Havn

Revisionsinstituttet. Arbejderbevægelsens Kooperative Finansieringsfond. Arsrapport for CVR. nr

Forberedelse til persondataforordningen. Plesners projektmodel

F. Salling Invest A/S. Højbjerg

Persondataforordningen den 20. februar 2018

Ledelse og styring af forsikringsselskaber og tværgående pensionskasser

Persondataforordningen...den nye erklæringsstandard

Persondataretlig compliance - Hvordan bliver din organisation klar?

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Databeskyttelsesrådgiver/DPO. artikel 37-39

Jeudan I A/S. Årsrapport for 2014

12, rue Alcide De Gasperi - L-1615 Luxembourg T (+352) E eca-info@eca.europa.eu eca.europa.eu

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Erhvervsklubben for Mors-Thy Håndbold. Årsrapport 2014/15

Offentliggørelse af oplysninger vedrørende overholdelse af ledelseskrav.

Ordblinde/Dysleksiforeningen i Danmark Blekinge Boulevard Taastrup. Årsregnskab CVR nr

EU-persondataforordningen AWARENESS Oplæg til DAK-møde den 22. marts 2018

Informationssikkerhedspolitik. Frederiksberg Kommune

Kommuneplantillæg 1. til Kommuneplan Klimatilpasningsplan

ISO DI Konference 8 marts Fra OHSAS til ISO 45001

CVR-nr Den Danske Vedligeholdsforening Købmagergade 86, 7000 Fredericia. Årsrapport 2015

UVMs bidrag til GDPR implementering i uddannelsessektoren

Europaudvalget 2014 KOM (2014) 0121 Offentligt

Politik for håndtering af interessekonflikter i Sparinvest

Ringkjøbing Landbobank s Adfærdskodeks (Code of Conduct)

Dagplejepædagogen. En garant for pædagogisk kvalitet i dagplejen

EU-GDPR, Persondataforordningen Databeskyttelsesforordningen , PROSA

ATEX direktivet. Vedligeholdelse af ATEX certifikater mv. Steen Christensen

Honorering af Direktøren fastsættes af bestyrelsen inden for rammerne af den vedtagne lønpolitik. Bestyrelsen vurderer årligt Direktørens vederlag.

Persondata og sikkerhedsbrud

Fra Amgros indledte Dorthe Bartels, Chef for Udbud & Logistik Lægemidler, mødet med at byde velkommen og præsentere eftermiddagens program.

GML-HR A/S CVR-nr.:

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

K e n d e l s e: Ved skrivelse af 3. juli 2009 har Revisortilsynet klaget over revisionsvirksomheden R v/ RR og statsautoriseret revisor RR.

Cookie direktivet. Hvordan skal kommunerne forholde sig til det? KL s arrangemenet d. 12. december 2012

Revideret indstilling om forslag til modeller for ændring af Københavns Kommunes revisionsordning, herunder Intern Revision og Revisionsudvalget.

Glostrup Kommune 2015

News & Updates Arbejds- og Ansættelsesret. Vikarer ikke omfattet af brugervirksomheds overenskomst

Dato: 13. november 2015 Rettet af: Anne Lund Version: 1 Sagsnr.: P Projekt: Revision af sammenhængende børne- og ungepolitik

MAERSK BROKER A/S. Årsrapport 1. januar december Årsrapporten er fremlagt og godkendt på selskabets ordinære generalforsamling den

Transkript:

Accountability Hvad kan vi lære af den finansielle sektor Databeskyttelsesdagen 28. januar 2016

Forordningens krav til accountability Article 5(2) The controller shall be responsible for and be able to demonstrate compliance with paragraph 1 (Accountability) Article 22 Taking into account the nature, scope, context and purpose of the processing as well as the risks of varying likelihood and severity for the rights and freedoms of individuals, the controller shall implement appropriate technical and organisational measures to ensure and be able to demonstrate that the processing of personal data is performed in compliance with this Regulation. These measures shall be reviewed and updated where necessary. Article 28 Each controller and, if any, the controller's representative, shall maintain a record of processing activities under its responsibility. [ ] 2

Accountability Kontrol over "kæden" fra identifikation af behandlinger over risikoanalyse til udførte processer og kontroller Vi siger, hvad vi gør og vi kan forklare hvorfor Vi gør, hvad vi siger og vi kan bevise det 3

Accountability Dokumenterede procedurer, som beskriver hvordan organisationen sikrer at alle behandlinger er identificerede at behandlinger risikovurderes systematisk at der implementeres processer og kontroller, som modsvarer identificerede risici at processer og kontroller er beskrevet og relevante medarbejdere uddannes i disse Dokumentation for efterlevelse Dokumentation som viser, at procedurer er efterlevet og relevante kontroller udført; f.eks. Udfyldte formularer og checklister Kvitteringer/signoffs Systemunderstøttede workflows og kontroller Hvis man kan dokumentere, at man har kontrol over systemændringer og brugeradgange 4

og hvad har det så med den finansielle sektor at gøre? 28. januar 2016

Forordningens krav til accountability Article 5(2) The controller shall be responsible for and be able to demonstrate compliance with paragraph 1 (Accountability) Article 22 Taking into account the nature, scope, context and purpose of the processing as well as the risks of varying likelihood and severity for the rights and freedoms of individuals, the controller shall implement appropriate technical and organisational measures to ensure and be able to demonstrate that the processing of personal data is performed in compliance with this Regulation. These measures shall be reviewed and updated where necessary. Article 28 Each controller and, if any, the controller's representative, shall maintain a record of processing activities under its responsibility. [ ] 6

Lov om finansiel virksomhed, 71 En finansiel virksomhed, en finansiel holdingvirksomhed og en forsikringsholdingvirksomhed skal have effektive former for virksomhedsstyring, herunder 1) en klar organisatorisk struktur med en veldefineret, gennemskuelig og konsekvent ansvarsfordeling, 2) en god administrativ og regnskabsmæssig praksis, 3) skriftlige forretningsgange for alle de væsentlige aktivitetsområder, 4) effektive procedurer til at identificere, forvalte, overvåge og rapportere om de risici, som virksomheden er eller kan blive udsat for, 5) de ressourcer, der er nødvendige for den rette gennemførelse af dens virksomhed, og hensigtsmæssig anvendelse af disse, 6) procedurer med henblik på adskillelse af funktioner i forbindelse med håndtering og forebyggelse af interessekonflikter, 7) fyldestgørende interne kontrolprocedurer, 8) betryggende kontrol- og sikringsforanstaltninger på it-området, 9) en skriftlig lønpolitik, der er i overensstemmelse med og fremmer en sund og effektiv risikostyring, og 10) personalemæssige og økonomiske ressourcer, der er nødvendige for at sikre tilstrækkelige muligheder for introduktions- og efteruddannelseskurser til medlemmer af bestyrelsen og direktionen. 7

Ledelsesbekendtgørelsen 2 Bestyrelsen henholdsvis direktionen i de af 1, stk. 1, omfattede virksomheder skal træffe foranstaltninger, der er tilstrækkelige til, at virksomheden drives betryggende. Bestyrelsen henholdsvis direktionen skal herunder tage stilling til, hvilke foranstaltninger, der er tilstrækkelige til, at bestemmelserne overholdes. Hvilke foranstaltninger, der er tilstrækkelige, vil afhænge af virksomhedens forretningsmodel, herunder 1) virksomhedens størrelse, 2) virksomhedens struktur samt strukturen af den koncern, hvori virksomheden måtte indgå, 3) de forretningsmæssige og geografiske områder, som virksomheden opererer på, 4) de finansielle tjenesteydelser, som virksomheden tilbyder, og 5) de finansielle produkter, som virksomheden handler med. 6 På grundlag af risikovurderingen, jf. 5, og i henhold til de i 4 besluttede politikker skal bestyrelsen udstede skriftlige retningslinjer til direktionen. 8

Hvordan kommer man i gang? Få overblik over hvilke data organisationen har, og hvilke behandlinger disse data indgår i (artikel 28) Indledende risikovurdering af identificerede behandlinger med fokus på risikoen for krænkelse af den registreredes rettigheder og frihedsrettigheder Prioritering af behandlinger Gap-analyse med henblik på at identificere de områder, hvor justeringer/forbedringer er nødvendige for at leve op til forordningens krav (bortset fra artikel 5(2) og artikel 22, som behandles særskilt) Etablering af kontrolmål (hvad skal vi sikre) Mapning af eksisterende processer og kontrolmål mod de definerede kontrolmål Tilpasning af processer og kontroller Skal dække hele kæden fra sikring af at behandlinger af persondata identificeres til dokumentation af, at behandlinger udføres i overensstemmelse med vedtagne processer og kontroller Skal sikre samlet opnåelse af de definerede kontrolmål Implementering, drift og governance 9

Plesner Plesner Advokatfirma Amerika Plads 37 2100 København Ø Denmark T: +45 33 12 11 33 Fax: +45 33 12 00 14 CVR: 42 93 85 13 www.plesner.com Informationerne i denne præsentation er af generel karakter og er ikke at forveksle med juridisk rådgivning. Anvendelse af præsentationens informationer sker på eget ansvar. Du er velkommen til at kontakte Plesner ved behov for rådgivning.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback