PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE. DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind

Relaterede dokumenter
General Data Protection Regulation

Sikkerhed & Revision 2016 den 2. september B:4 Stream B Governance, Risk & Compliance

Rollen som DPO. September 2016

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Leverandørstyring: Stil krav du kan måle på

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

EU Persondataforordning. One year with GDPR - one year to come

Persondataforordningen...den nye erklæringsstandard

Persondataretlig compliance - Hvordan bliver din organisation klar?

Interviewskema Udgangspunkt

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

TEMAMØDE 16. MARTS 2016

Plesner Certifikat i Persondataret

Kursus: Ledelse af it- sikkerhed

EU-Persondataforordningen. Steen Okkels Nørby, Supply Chain Manager/Projektleder hos NOVAX, IT-branchen 20 år,

Er du nu HELT klar til GDPR? Bosted Temadag Rune Andersen, Manager, Product Management, EG

- Der bør ikke ske en førtidig implementering af kravet om operationel revision

Persondataforordningen. Henrik Aslund Pedersen Partner

Plesner Certifikat i Persondataret

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

Persondataforordningen. Konsekvenser for virksomheder

Data protection impact assessment

Forsikringstilsynet har reduceret antallet af politikker i forhold til den danske bekendtgørelse.

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

PERSONDATAFORORDNINGSPROJEKTET

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Roadmap til håndtering af EU-persondataforordningen. Klaus Kongsted, Vejle, den 21. maj 2015

EU Persondataforordningen, skærpet krav til sikkerheden om data

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

Bilag 6.2 IT-Revision

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Informationssikkerhedspolitik for Horsens Kommune

GDPR - Bryder verden sammen efter den 25. maj?

Målrettet arbejde med persondataforordningen for

Målrettet arbejde med persondataforordningen for

Security & Risk Management Summit

Dansk Selskab for GCP. Persondatareglerne

Ma lrettet arbejde med persondataforordningen for

EU GDPR Endnu en Guide

Politik for håndtering af interessekonflikter i Sparinvest

Kommissorium for revisions- og risikoudvalget Middelfart Sparekasse 2017

GDPR erklæringer - nu er det nu Claus Hartmann Lund september 2018

Må lrettet årbejde med persondåtåforordningen for

Når Compliance Bliver Kultur

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Databeskyttelsesdagen

Ilisimatusarfik 11. maj Privatlivsbeskyttelse og Informationssikkerhed i Grønland

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Ma lrettet arbejde med persondataforordningen for

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

6.1 Introduktion. Af Jeppe Høyer Jørgensen, LETT Advokatpartnerselskab Indhold. Denne artikel har følgende

Security & Risk Management Summit 2016

Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

EU-Persondataforordningen

IT sikkerhedspolitik for Business Institute A/S

28 August Data privacy i SAP Lyngby 27/8 2015

Målrettet arbejde med persondataforordningen for

EU-GDPR i ControlManager

One year with GDPR - one year to come

Struktureret Compliance. på tværs af ISO9001, ISO27001 & EU GDPR

Bliv klar til Persondataforordningen

Hvilke forberedelser kræver EUpersondataforordningen? Klaus Kongsted, Dubex A/S, 11. juni 2015

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

BIG DATA OG PERSONDATABESKYTTELSE

INTRO TIL PERSONDATAFORORDNINGEN. Væsentligste nyskabelser af relevans for IT-leverandører 8. juni 2016

RÅDET FOR DIGITAL SIKKERHED

Er I klar til den nye persondataforordning?

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

It-revision af Sundhedsdatanettet januar 2016

GDPR projekt papirtiger Med det rette overblik

Revisionsudvalgets mandat

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

Konsekvensanalyser i praksis: hvorfor, hvornår og hvordan

Jesper Andersen / Lone Forsberg Databeskyttelsesrådgiveren September 2018

Hvordan styrer vi leverandørerne?

IT risici og compliance. Hvad driver mig? Det gode råd med på vejen?

Birgitte Toxværd Bruun & Hjejle

Den nye persondataforordning. 2. februar 2017

DE 4 NØGLEFUNKTIONER UNDER SOLVENS II A PUBLICATION BY FCG THE FINANCIAL COMPLIANCE GROUP

Revision af risikorapportering V. Claus Sonne Linnedal og Steen Jensen. Sikkerhed & Revision 2015


Overblik over persondataforordningen. v/advokat Jesper Løffler Nielsen

Digitaliseringsstyrelsens konference 1. marts 2018

KONKRET HÅNDTERING AF PERSONDATAFORORDNINGEN

Ledelsesbekendtgørelsen

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

MedCom Systemforvaltning (SDN/VDX/KIH) Danske Regioner


IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa

IT- og Informationssikkerhed

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Transkript:

PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind 1 1

MIT KØREKORT 16 år i Topdanmark i it-sikkerhedschefstolen Complianceansvarlig for IT Formand ESL-foreningen, fg. Foreningen af IT-sikkerhedschefer i Danmark Exam. IT-sikkerhedsleder CISA, CISM, CRISC DPO kursus og DPO netværk 2 2

AGENDA 1. Persondatagruppe nedsat i 2012 2. GAP analyse og indstilling gennemført 2013 3. Iværksættelse af persondataprojekt Q1 2016 4. Data Protection model 5. Indførelse af PIA sommeren 2015 6. Hændelsesrapportering og Privacy 7. Kontrol med eksterne serviceleverandører 3 3

PERSONDATAGRUPPE NEDSAT I 2012 Noget er på vej fra EU 3-mands arbejdsgruppe; Compliancechef persondataretsekspert Koncern IT-sikkerhedschef Bygge bro mellem nuværende og kommende lovgivning, herunder vurdere konsekvensen for Topdanmark 4 4

GAP ANALYSE OG INDSTILLING 2013 GAP analyse: Hvor trykker skoen? Forundersøgelse og pipelinenotat med hjælp fra Projektcenteret Indstilling til direktionen Compliancechefens mandat 5 5

IVÆRKSÆTTELSE AF PROJEKT Q1 2016 Projektforløb 2016 2018 Forretningsledet styregruppe Persondatagruppen med i beslutningsgruppe og kerneteamet Kun interne ressourcer To opgaver; 1. Lukning af gap et 2. Compliant med ny lovgivning til tiden 6 6

PERSONDATAPROJEKTETS ORGANISERING Styregruppe Projektleder Beslutningsgruppe Erhverv & Industri Liv Marketing Landbrug Skade Statistik Koncernjura Compliance Koncern IT sikkerhed IT Arkitektur (AAA ere) Koncernjura Centralt team: FO/Stab IT område Koncern IT Sikkerhed Tung forr.repr. PPO Teknisk arkitekt Compliance-funktion Specialist FO/Stab FO/Stab IT område IT område Forandringsleder 7 7

DATA PROTECTION ASSESSMENT MODEL Data Protection Legal Privacy Impact IT Risk 8 8

MÅLSÆTNING KoncernJura, Compliance og Koncern IT-sikkerhed skal tidligt ind i processen, gerne i idéfasen, for at sikre, at projektet opfylder Topdanmarks krav til compliance Således skal det være positivt medvirkende til, at projektet når i mål til tiden med den rette datakvalitet Der skal sikres den nødvendige dokumentation for disse vurderinger Krav i Topdanmarks Udviklingsmodel 9 9

COMPLIANCEKRAV Projekter kan ikke sættes i produktion før, der er gennemført en "Data Protection (DPA), der er godkendt af de ansvarlige roller. I større projekter, ved særlige hensyn, stor risiko, konsekvens m.m. bør DPA forelægges og godkendes den ansvarlige Forretningschef Projektledere er ansvarlige for, at det vurderes, hvorvidt en DPA skal gennemføres KoncernJura, Compliancefunktion og Koncern IT sikkerhed skal inddrages i denne vurdering, og det skal dokumenteres, hvis der ikke skal gennemføres en DPA 10 10

DATA PROTECTION ASSESSMENT MODEL Data Protection Legal Privacy Impact IT Risk 11 11

LEGAL ASSESSMENT Lovgivning Kontraktuelle forhold Evt. databehandleraftale, herunder krav til audit og revisionsrapporter Solvenskrav/datakvalitet Kontraktuelle formaliteter Og sikkert meget mere 12 12

DATA PROTECTION ASSESSMENT MODEL Data Protection Legal Privacy Impact IT Risk 13 13

PRIVACY IMPACT ASSESSMENT Afdækning af anvendelse af persondata Dataflow Klassifikation Behandlingskrav Samtykke Serviceleverandører Og alle de øvrige krav i PIA en Det er ikke en svær disciplin 14 14

INDFØRELSE AF PIA SOMMEREN 2015 Hvad gik forud? Inspirationsmateriale Conducting privacy impact assessments - Code of practice fra Det engelske datatilsyn, Information Commissioner s Office Betatest på nogle mindre og mellemstore opgaver 15 15

DATA PROTECTION ASSESSMENT MODEL Data Protection Legal Privacy Impact IT Risk 16 16

IT RISK ASSESSMENT Lovkrav IT-sikkerhedspolitikkens krav Outsourcing Serviceleverandører Revisionserklæringer Audits Security by Default - Security by Design Sikkerhedstest Og sikkert meget mere 17 17

HÆNDELSESRAPPORTERING OG PRIVACY Hændelsesrapportering i Topdanmark 18 18

HÆNDELSESREGISTRERING - GENERELT Baggrund I henhold til bekendtgørelse om ledelse og styring af forsikringsselskaber (Ledelsesbekendtgørelsen) skal Topdanmark overvåge og rapportere om operationelle risici Vi har en proces til registrering af hændelser Hændelserne bliver indsamlet og rapporteret videre i ledelsessystemet 19 19

RAPPORTERING - GENERELT Formålet med at opsamle hændelser er: At få identificeret potentielle risici og eventuelle indsatsområder At undgå at den uønskede hændelse opstår igen At få adgang til statistisk materiale Hændelsesregisteret skal således hjælpe os med at forebygge fejl 20 20

HVAD SKAL IT SÅ RAPPORTERE? IT skal rapportere væsentlige IT-hændelser, der enten har eller potentielt kunne medføre økonomisk tab for Topdanmark eller vores kunder manglende overholdelse af lovgivning og interne forretningsgange, fx IT-sikkerhedspolitikken privacy konsekvenser Har Major Incident Management funktionen været indblandet, så skal der som udgangspunkt rapporteres 21 21

EKSTERNE SERVICELEVERANDØRER Kontrolprocedure Indhentning af revisionserklæringer 1. ISAE 3402 erklæringer 2. ISAE 3000 erklæringer på persondata Samarbejde mellem Compliance, Intern revision og Koncern IT-sikkerhed To-faset opfølgning 22 22

SPØRGSMÅL? 23

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback