Information Lifecycle Management

Relaterede dokumenter
Implementering af EU Persondataforordningen

En praktisk tilgang til at skabe en langvarig og levedygtig praksis

GDPR erklæringer - nu er det nu Claus Hartmann Lund september 2018

Nyheder inden for drift og outsourcing

RÅDET FOR DIGITAL SIKKERHED

Få en globalt anerkendt persondatacertificering

PERSONDATAPOLITIK / PERSONAL DATA POLICY. dk3 ApS Hustedgaardvej 1 DK-8722 Hedensted CVR

SISCON Revisorerklæringer om Privacy

Persondataforordningen. Hvad kan vi bruge KITOS til?

Hvilke personoplysninger behandles om dig I forbindelse med ovenstående kan vi blandt andet indsamle følgende personoplysninger om dig:

RÅDET FOR DIGITAL SIKKERHED

Få en globalt anerkendt persondata-certificering

Få en globalt anerkendt persondatacertificering

Persondataforordningen. Konsekvenser for virksomheder

Lancering af Exchange Server November 2009

EU-Persondataforordningen

Lars Neupart Director GRC Stifter, Neupart

OFFENTLIG DIGITALISERING NYE DIGITALE SIKKERHEDSMODELLER DANSK IT - ÅRHUS 23. MAJ 2012

OPLYSNINGSPLIGT UNDER REKRUTTERING. (Personal data in connection with recruitment please see below for English)

Privatlivspolitik i forbindelse med henvendelser til Danren Bogdol A/S

Teknologispredning i sundhedsvæsenet DK ITEK: Sundhedsteknologi som grundlag for samarbejde og forretningsudvikling

Director Onboarding Værktøj til at sikre at nye bestyrelsesmedlemmer hurtigt får indsigt og kommer up to speed

Online kursus: Certified Information Security Manager (CISM)

HACKERNE BLIVER BEDRE, SYSTEMERNE BLIVER MERE KOMPLEKSE OG PLATFORMENE FORSVINDER HAR VI TABT KAMPEN? MARTIN POVELSEN - KMD

General Data Protection Regulation

Byg din informationsarkitektur ud fra en velafprøvet forståelsesramme The Open Group Architecture Framework (TOGAF)

KONKRET HÅNDTERING AF PERSONDATAFORORDNINGEN

DATABESKYTTELSESPOLITIK FOR AJAX KØBENHAVN

Cookie-reglerne set fra myndighedsside Dansk Forum for IT-ret 5. november 2012

Persondataforordningen. Henrik Aslund Pedersen Partner

Projektledelse i praksis

United Nations Secretariat Procurement Division

Målrettet arbejde med persondataforordningen for

Folketinget Retsudvalget Christiansborg 1240 København K DK Danmark

Encryption for the cloud. secure convenient cost efficient

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Persondataforordningen og digitale forretningsprocesser

Ma lrettet arbejde med persondataforordningen for

FRA PERSONDATALOV TIL PERSONDATAFORORDNING

Grundlæggende processer du skal have styr på ift. Informationsaktiv beskyttelse

First name: Surname: Address:

Persondataforordningen. Fra papir til handling

Målrettet arbejde med persondataforordningen for

Forbrugerrettens betydning for persondataretten. Jan Trzaskowski Associate Professor, Ph.D. Copenhagen Business School

Persondataforordningen...den nye erklæringsstandard

Ma lrettet arbejde med persondataforordningen for

Introduktion til NNIT

Hygiejne & fødevaresikkerhed - udfordringer og løsninger

Bornholms Regionskommune Rapportering

Per Løkken, Partner. CAMPUS November 2018

The SourceOne Family Today and Tomorrow. Michael Søriis Business Development Manager, EMC FUJITSU

DEN KOMMENDE EU-FORORDNING

Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

GDPR En praktisk tilgang

EU S PERSONDATAFORORDNING & CLOUD COMPUTING

Eksempel på en sponsor GDPR-parathedsanalyse. Peter Noes Senior Pharma Consultant, Pharma IT

EU Persondataforordningen, skærpet krav til sikkerheden om data

Sikkerhed på nettet for applikationer og identiteter

CGI Microsoft-dagen 2015

SAS Data Governance Hvad er det, og hvordan kommer man i gang? Frans Holm, Advisor Data Management/SAS Platform

DIRF Samspil mellem IR og øvrig ekstern kommunikation

EU GDPR Endnu en Guide

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

GDPR NÅR FORORDNINGEN MØDER VIRKELIGHEDEN

PERSONDATA & PERSONDATAORDBOG

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

Velkommen VI BYGGER DANMARK MED IT

Security & Risk Management Summit

Mapning af forretningsprocesserne og IAM

Databehandlingspolitik

Må lrettet årbejde med persondåtåforordningen for

DIS ISO Status Maj 2017

OIOEA and Archimate. Kuno Brodersen and John Gøtze

Optimér din forretning med Master Data Management til Microsoft Dynamics AX

Identifying Gender BILL EVANS SEDOR WENDLANDT EVANS & FILIPPI LLC NOVEMBER 11, 2016

Persondatapolitik for

Sustainable investments an investment in the future Søren Larsen, Head of SRI. 28. september 2016

Standardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Tilladelse til vævscenter til håndtering af humane væv og celler Authorisation of tissue establishment for the handling of human tissues and cells

Databeskyttelsesdagen

Accountability Hvad kan vi lære af den finansielle sektor

CONNECTING PEOPLE AUTOMATION & IT

MOC On-Demand Identity with Windows Server 2016 [20742]

Hvad kommer ITIL V3 og Cobit til at betyde for IT-supporten? Ole Westergaard Westergaard CSM

Hvad er INSPIRE? - visionen - infrastrukturen - relationer til danske forhold

Finn Gilling The Human Decision/ Gilling September Insights Danmark 2012 Hotel Scandic Aarhus City

Aktivitet Dag Start Lektioner Uge BASP0_V1006U_International Human Resource Management/Lecture/BASP0V1006U.LA_E15 onsdag 11:

Managing Risk Enabling Growth Through Compliance! Alex Sinvani Copenhagen,

Rollen som DPO. September 2016

Registreret er enhver identificeret eller identificerbar fysisk person, hvis personoplysninger behandles af den ansvarlige for behandlingen.

RFID teknologien 4 Privacy & Sikkerhed. Henrik B. Granau

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

PERSONDATABESKYTTELSESPOLITIK FOR ADVOKATFIRMAET KRARUP

EU GDPR og IT-sikkerhedsløsninger v/jørgen Hartig

Nyhedsopdatering januar 2014 august Dias 1

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Nyt om persondata. Birgitte Toxværd, advokat

Persondatapolitik for

Transkript:

Information Lifecycle Management Persondataforordningen og Privacy-by-design Frederik Helweg-Larsen, Principal, Devoteam fhl@devoteam.com 12. oktober 2016

2

3

Principper for behandling af personoplysninger 1. Lovlighed, rimelighed og gennemsigtighed 2. Formålsbegrænsning 3. Dataminimering 4. Rigtighed 5. Opbevaringsbegrænsning 6.Integritet og fortrolighed 7. Ansvarlighed Hvis I gør dette, så er compliance ikke noget problem. 4

Vigtige pointer fra EU Persondataforordningen En ny tilgang til datahåndtering Det er en ny kvalitativ tilgang til data - fremfor en kvantitativ. Sikkerhed er ikke en tilstrækkelig foranstaltning længere. Information Lifecycle Management er en meget central proces. Virksomhedens data er også dem der ikke ligger på egne systemer. Processer og systemer skal hænge sammen for at lykkes med dette. Det er ikke muligt at implementere uden teknologiunderstøttelse. Forordningen handler om at følge principperne og gøre det rigtige - ikke om at skrive en masse dokumenter... 5

Legal Compliance EU GDPR Technical Capabilities Governance & Processes Contract management 5, 1a) Lawfulness, Fairness and Transparency 5, 1b) Purpose Limitation Data Protection policies and procedures 5, 1c) Data Minimisation 5, 1d) Accuracy Data Discovery & Shadow IT 5, 1e) Storage Limitation 5, 1f) Integrity and Confidentiality 5, 2) Accountability Review of legal basis and consent 6 Lawfulness of processing 7 Conditions for consent 8 Conditions applicable to child's consent in relation to information society services Compliance review of internal processes 12 Transparent information, communication and 28 Processor modalities for the exercise of the rights of the data subject Legal review of agreements 13 Information to be provided where personal data are collected from the data subject 14 Information to be provided where personal data have not been obtained from the data subject 29 Processing under the authority of the controller or processor Chapter V Transfer of personal data to third countries or international organisations 16 Right to rectification 19 Notification obligation regarding rectification or erasure of personal data or restriction of processing 17 Right to erasure ('right to be forgotten') Information Lifecycle Management 18 Right to restriction of processing 25 Data protection by design and by default 32 Security of processing Identity and Access Governance Data Security Architecture 24 Responsibility of the controller 26 Joint controllers 30 Records of processing activities Organization and design of the DPMS 31 Cooperation with the supervisory authority 33 Notification of a personal data breach to the supervisory authority Business Process & Dataflow Analysis 37 Designation of the data protection officer 38 Position of the data protection officer 9 Processing of special categories of personal data 15 Right of access by the data subject 27 Representatives of controllers or processors not established in the Union 34 Communication of a personal data breach to the data subject 39 Tasks of the data protection officer 10 Processing of personal data relating to criminal convictions and offences 20 Right to data portability 35 Data protection impact assessment Risk & Privacy Impact Assessment 11 Processing which does not require identification 21 Right to object 36 Prior consultation 22 Automated individual decisionmaking, including profiling 23 Restrictions

Business Process & Dataflow Analysis Business Processes, systems & data Governance & Processes Technical Capabilities Legal Compliance Organization and design of the DPMS Risk & Data Privacy Impact Assessment Data Protection policies and procedures Information Lifecycle Management Data Discovery & Shadow IT Data Security Architecture Identity and Access Governance Contract management Legal review of agreements Review of legal basis and consent Long Term Compliance Assurance Data types & Risk Assessment Information Lifecycle, Rights Mngt, Security, Compliance, Communication Retention, portability and deletion (right to be forgotten) Sensitive data in unauthorized systems Data storage, it-security, vendor assessments, privacy by design Verify access to sensitive data Aggregation of all contracts and agreements Legal entities, suppliers and contractors Lawfulness of processing 7 Compliance review of internal processes Coverage of data subject rights in policies and procedures

Centrale processer der skal fungere Data Protection Management System Business Process Management Legal Review and Audit Management Information Lifecycle Management DPMS Policy Management Risk Management Incident Reporting Compliance Management Agreement & Contract Management Identity & Access Governance Privacy by Design IT implementation 8

Problemet med den uopfordrede ansøgning - og hvorfor processer ikke gør det alene 9

10

Persondata skal have et livsforløb Der er aldrig nogen der rydder op Data skal have de rette parametre når de modtages eller skabes. Det er typisk for sent efter dette punkt. Automate Anvendelsen og tilgangen til data skal hænge sammen med formålet. Det skal være muligt at ændre dette. 11 Er systemerne bygget til at understøtte politikker for opbevaring og sletning? Kan data slettes automatisk eller skal det ske som en manuel proces? Deling af data med tredjepart skal hænge sammen med de aftaler der er indgået. Data lækage skal kunne opdages.

Fem niveauer af Information Governance Maturity Tag udgangspunkt i det nuværende niveau 12

Hvordan kommer du i gang? 1. Skab overblik over hvilke systemer der indeholder persondata. 2. Udarbejd en politik for opbevaring og sletning af specifikke datatyper. 3. Afdæk hvilke systemer der anvendes til at behandle persondata. 4. Undersøg systemernes egnethed til at eksekvere data politikker. 1. Understøtter politik. 2. Tillader metadata. 3. Giver mulighed angivelse af opbevaringsperiode. 4. Giver mulighed for automatisk sletning. 5. Husk backup og restore processer. Datatype Aftale Opbevaring System Ansøgninger Kræves 6 måneder E-mail Kundeemner Nej 12 måneder fra opdatering CRM Kundedata Ja -afklares- CRM ERP 13

Systemers egenskaber varierer Undersøg mulighederne 14

Tre gode råd 1 2 3 Få overblik over datatyper og kravene til opbevaring og sletning. Gennemgå de systemer der anvendes til opbevaring af data og deres egenskaber. Overvej om systemer skal opdateres, konsolideres eller udskiftes. 15

I teorien er der ingen forskel mellem teori og praksis. I praksis er der. 16

Hvis du vil vide mere Frederik Helweg-Larsen Principal Consultant, Risk & Security fhl@devoteam.com T : +45 4057 6828 17

Devoteam Group - Entrepreneurs in disruptive technology 3600 Professionals 20 Countries 443M Turnover in 2014 At Devoteam we deliver innovative technology consulting for business, to make our clients win their digital battle 20 years of transformation experience Digital Business Models Digital Efficiency Digital Business Transformation IT Service Management Operating Model Agile IT Management Transformation Networks Data Centres Security Sourcing & Cloud Data IT Infrastructure Transformation 1995 Listed on 2005 Euronext 2015 18

Devoteam i Danmark Etableret i Danmark i 1978 Devoteam bruger indsigt i og erfaring med digital teknologi til at skabe nye muligheder og fremgang til det danske samfund og dets virksomheder fra rådgivning til anvendelse. Devoteam Gruppen siden 2001 +100 konsulenter i Danmark +10 års konsulenterfaring +1000 kunder Kontorer i København og Skanderborg 19

Devoteams signatur Enkelhed Anvendelighed Vi efterlader aldrig vores kunder med en leverance uden at sikre os at effekten er langvarig. 20 Helhed Vi tilstræber altid at forenkle det komplekse og kommunikere på modtagerens præmisser. Vi træder altid et skridt tilbage fra den konkrete opgave og ser på den større sammenhæng. Kobling Balance Vi sørger for at enhver leverance hænger sammen med eksisterende processer og værktøjer. Ingen parallelle eller isolerede løsninger. Forandring Puls Vi hjælper vores kunder med at finde et passende og afbalanceret sikkerhedsniveau. Vi måler vores resultater ud fra den forandring vi skaber. Vi vurderer altid om vores løsninger er levedygtige på længere sigt. Copyright

Aktuelle Risk & Security projekter Bredt erfaringsgrundlag

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback