Information Lifecycle Management Persondataforordningen og Privacy-by-design Frederik Helweg-Larsen, Principal, Devoteam fhl@devoteam.com 12. oktober 2016
2
3
Principper for behandling af personoplysninger 1. Lovlighed, rimelighed og gennemsigtighed 2. Formålsbegrænsning 3. Dataminimering 4. Rigtighed 5. Opbevaringsbegrænsning 6.Integritet og fortrolighed 7. Ansvarlighed Hvis I gør dette, så er compliance ikke noget problem. 4
Vigtige pointer fra EU Persondataforordningen En ny tilgang til datahåndtering Det er en ny kvalitativ tilgang til data - fremfor en kvantitativ. Sikkerhed er ikke en tilstrækkelig foranstaltning længere. Information Lifecycle Management er en meget central proces. Virksomhedens data er også dem der ikke ligger på egne systemer. Processer og systemer skal hænge sammen for at lykkes med dette. Det er ikke muligt at implementere uden teknologiunderstøttelse. Forordningen handler om at følge principperne og gøre det rigtige - ikke om at skrive en masse dokumenter... 5
Legal Compliance EU GDPR Technical Capabilities Governance & Processes Contract management 5, 1a) Lawfulness, Fairness and Transparency 5, 1b) Purpose Limitation Data Protection policies and procedures 5, 1c) Data Minimisation 5, 1d) Accuracy Data Discovery & Shadow IT 5, 1e) Storage Limitation 5, 1f) Integrity and Confidentiality 5, 2) Accountability Review of legal basis and consent 6 Lawfulness of processing 7 Conditions for consent 8 Conditions applicable to child's consent in relation to information society services Compliance review of internal processes 12 Transparent information, communication and 28 Processor modalities for the exercise of the rights of the data subject Legal review of agreements 13 Information to be provided where personal data are collected from the data subject 14 Information to be provided where personal data have not been obtained from the data subject 29 Processing under the authority of the controller or processor Chapter V Transfer of personal data to third countries or international organisations 16 Right to rectification 19 Notification obligation regarding rectification or erasure of personal data or restriction of processing 17 Right to erasure ('right to be forgotten') Information Lifecycle Management 18 Right to restriction of processing 25 Data protection by design and by default 32 Security of processing Identity and Access Governance Data Security Architecture 24 Responsibility of the controller 26 Joint controllers 30 Records of processing activities Organization and design of the DPMS 31 Cooperation with the supervisory authority 33 Notification of a personal data breach to the supervisory authority Business Process & Dataflow Analysis 37 Designation of the data protection officer 38 Position of the data protection officer 9 Processing of special categories of personal data 15 Right of access by the data subject 27 Representatives of controllers or processors not established in the Union 34 Communication of a personal data breach to the data subject 39 Tasks of the data protection officer 10 Processing of personal data relating to criminal convictions and offences 20 Right to data portability 35 Data protection impact assessment Risk & Privacy Impact Assessment 11 Processing which does not require identification 21 Right to object 36 Prior consultation 22 Automated individual decisionmaking, including profiling 23 Restrictions
Business Process & Dataflow Analysis Business Processes, systems & data Governance & Processes Technical Capabilities Legal Compliance Organization and design of the DPMS Risk & Data Privacy Impact Assessment Data Protection policies and procedures Information Lifecycle Management Data Discovery & Shadow IT Data Security Architecture Identity and Access Governance Contract management Legal review of agreements Review of legal basis and consent Long Term Compliance Assurance Data types & Risk Assessment Information Lifecycle, Rights Mngt, Security, Compliance, Communication Retention, portability and deletion (right to be forgotten) Sensitive data in unauthorized systems Data storage, it-security, vendor assessments, privacy by design Verify access to sensitive data Aggregation of all contracts and agreements Legal entities, suppliers and contractors Lawfulness of processing 7 Compliance review of internal processes Coverage of data subject rights in policies and procedures
Centrale processer der skal fungere Data Protection Management System Business Process Management Legal Review and Audit Management Information Lifecycle Management DPMS Policy Management Risk Management Incident Reporting Compliance Management Agreement & Contract Management Identity & Access Governance Privacy by Design IT implementation 8
Problemet med den uopfordrede ansøgning - og hvorfor processer ikke gør det alene 9
10
Persondata skal have et livsforløb Der er aldrig nogen der rydder op Data skal have de rette parametre når de modtages eller skabes. Det er typisk for sent efter dette punkt. Automate Anvendelsen og tilgangen til data skal hænge sammen med formålet. Det skal være muligt at ændre dette. 11 Er systemerne bygget til at understøtte politikker for opbevaring og sletning? Kan data slettes automatisk eller skal det ske som en manuel proces? Deling af data med tredjepart skal hænge sammen med de aftaler der er indgået. Data lækage skal kunne opdages.
Fem niveauer af Information Governance Maturity Tag udgangspunkt i det nuværende niveau 12
Hvordan kommer du i gang? 1. Skab overblik over hvilke systemer der indeholder persondata. 2. Udarbejd en politik for opbevaring og sletning af specifikke datatyper. 3. Afdæk hvilke systemer der anvendes til at behandle persondata. 4. Undersøg systemernes egnethed til at eksekvere data politikker. 1. Understøtter politik. 2. Tillader metadata. 3. Giver mulighed angivelse af opbevaringsperiode. 4. Giver mulighed for automatisk sletning. 5. Husk backup og restore processer. Datatype Aftale Opbevaring System Ansøgninger Kræves 6 måneder E-mail Kundeemner Nej 12 måneder fra opdatering CRM Kundedata Ja -afklares- CRM ERP 13
Systemers egenskaber varierer Undersøg mulighederne 14
Tre gode råd 1 2 3 Få overblik over datatyper og kravene til opbevaring og sletning. Gennemgå de systemer der anvendes til opbevaring af data og deres egenskaber. Overvej om systemer skal opdateres, konsolideres eller udskiftes. 15
I teorien er der ingen forskel mellem teori og praksis. I praksis er der. 16
Hvis du vil vide mere Frederik Helweg-Larsen Principal Consultant, Risk & Security fhl@devoteam.com T : +45 4057 6828 17
Devoteam Group - Entrepreneurs in disruptive technology 3600 Professionals 20 Countries 443M Turnover in 2014 At Devoteam we deliver innovative technology consulting for business, to make our clients win their digital battle 20 years of transformation experience Digital Business Models Digital Efficiency Digital Business Transformation IT Service Management Operating Model Agile IT Management Transformation Networks Data Centres Security Sourcing & Cloud Data IT Infrastructure Transformation 1995 Listed on 2005 Euronext 2015 18
Devoteam i Danmark Etableret i Danmark i 1978 Devoteam bruger indsigt i og erfaring med digital teknologi til at skabe nye muligheder og fremgang til det danske samfund og dets virksomheder fra rådgivning til anvendelse. Devoteam Gruppen siden 2001 +100 konsulenter i Danmark +10 års konsulenterfaring +1000 kunder Kontorer i København og Skanderborg 19
Devoteams signatur Enkelhed Anvendelighed Vi efterlader aldrig vores kunder med en leverance uden at sikre os at effekten er langvarig. 20 Helhed Vi tilstræber altid at forenkle det komplekse og kommunikere på modtagerens præmisser. Vi træder altid et skridt tilbage fra den konkrete opgave og ser på den større sammenhæng. Kobling Balance Vi sørger for at enhver leverance hænger sammen med eksisterende processer og værktøjer. Ingen parallelle eller isolerede løsninger. Forandring Puls Vi hjælper vores kunder med at finde et passende og afbalanceret sikkerhedsniveau. Vi måler vores resultater ud fra den forandring vi skaber. Vi vurderer altid om vores løsninger er levedygtige på længere sigt. Copyright
Aktuelle Risk & Security projekter Bredt erfaringsgrundlag