PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind 1 1
MIT KØREKORT 16 år i Topdanmark i it-sikkerhedschefstolen Complianceansvarlig for IT Formand ESL-foreningen, fg. Foreningen af IT-sikkerhedschefer i Danmark Exam. IT-sikkerhedsleder CISA, CISM, CRISC DPO kursus og DPO netværk 2 2
AGENDA 1. Persondatagruppe nedsat i 2012 2. GAP analyse og indstilling gennemført 2013 3. Iværksættelse af persondataprojekt Q1 2016 4. Data Protection model 5. Indførelse af PIA sommeren 2015 6. Hændelsesrapportering og Privacy 7. Kontrol med eksterne serviceleverandører 3 3
PERSONDATAGRUPPE NEDSAT I 2012 Noget er på vej fra EU 3-mands arbejdsgruppe; Compliancechef persondataretsekspert Koncern IT-sikkerhedschef Bygge bro mellem nuværende og kommende lovgivning, herunder vurdere konsekvensen for Topdanmark 4 4
GAP ANALYSE OG INDSTILLING 2013 GAP analyse: Hvor trykker skoen? Forundersøgelse og pipelinenotat med hjælp fra Projektcenteret Indstilling til direktionen Compliancechefens mandat 5 5
IVÆRKSÆTTELSE AF PROJEKT Q1 2016 Projektforløb 2016 2018 Forretningsledet styregruppe Persondatagruppen med i beslutningsgruppe og kerneteamet Kun interne ressourcer To opgaver; 1. Lukning af gap et 2. Compliant med ny lovgivning til tiden 6 6
PERSONDATAPROJEKTETS ORGANISERING Styregruppe Projektleder Beslutningsgruppe Erhverv & Industri Liv Marketing Landbrug Skade Statistik Koncernjura Compliance Koncern IT sikkerhed IT Arkitektur (AAA ere) Koncernjura Centralt team: FO/Stab IT område Koncern IT Sikkerhed Tung forr.repr. PPO Teknisk arkitekt Compliance-funktion Specialist FO/Stab FO/Stab IT område IT område Forandringsleder 7 7
DATA PROTECTION ASSESSMENT MODEL Data Protection Legal Privacy Impact IT Risk 8 8
MÅLSÆTNING KoncernJura, Compliance og Koncern IT-sikkerhed skal tidligt ind i processen, gerne i idéfasen, for at sikre, at projektet opfylder Topdanmarks krav til compliance Således skal det være positivt medvirkende til, at projektet når i mål til tiden med den rette datakvalitet Der skal sikres den nødvendige dokumentation for disse vurderinger Krav i Topdanmarks Udviklingsmodel 9 9
COMPLIANCEKRAV Projekter kan ikke sættes i produktion før, der er gennemført en "Data Protection (DPA), der er godkendt af de ansvarlige roller. I større projekter, ved særlige hensyn, stor risiko, konsekvens m.m. bør DPA forelægges og godkendes den ansvarlige Forretningschef Projektledere er ansvarlige for, at det vurderes, hvorvidt en DPA skal gennemføres KoncernJura, Compliancefunktion og Koncern IT sikkerhed skal inddrages i denne vurdering, og det skal dokumenteres, hvis der ikke skal gennemføres en DPA 10 10
DATA PROTECTION ASSESSMENT MODEL Data Protection Legal Privacy Impact IT Risk 11 11
LEGAL ASSESSMENT Lovgivning Kontraktuelle forhold Evt. databehandleraftale, herunder krav til audit og revisionsrapporter Solvenskrav/datakvalitet Kontraktuelle formaliteter Og sikkert meget mere 12 12
DATA PROTECTION ASSESSMENT MODEL Data Protection Legal Privacy Impact IT Risk 13 13
PRIVACY IMPACT ASSESSMENT Afdækning af anvendelse af persondata Dataflow Klassifikation Behandlingskrav Samtykke Serviceleverandører Og alle de øvrige krav i PIA en Det er ikke en svær disciplin 14 14
INDFØRELSE AF PIA SOMMEREN 2015 Hvad gik forud? Inspirationsmateriale Conducting privacy impact assessments - Code of practice fra Det engelske datatilsyn, Information Commissioner s Office Betatest på nogle mindre og mellemstore opgaver 15 15
DATA PROTECTION ASSESSMENT MODEL Data Protection Legal Privacy Impact IT Risk 16 16
IT RISK ASSESSMENT Lovkrav IT-sikkerhedspolitikkens krav Outsourcing Serviceleverandører Revisionserklæringer Audits Security by Default - Security by Design Sikkerhedstest Og sikkert meget mere 17 17
HÆNDELSESRAPPORTERING OG PRIVACY Hændelsesrapportering i Topdanmark 18 18
HÆNDELSESREGISTRERING - GENERELT Baggrund I henhold til bekendtgørelse om ledelse og styring af forsikringsselskaber (Ledelsesbekendtgørelsen) skal Topdanmark overvåge og rapportere om operationelle risici Vi har en proces til registrering af hændelser Hændelserne bliver indsamlet og rapporteret videre i ledelsessystemet 19 19
RAPPORTERING - GENERELT Formålet med at opsamle hændelser er: At få identificeret potentielle risici og eventuelle indsatsområder At undgå at den uønskede hændelse opstår igen At få adgang til statistisk materiale Hændelsesregisteret skal således hjælpe os med at forebygge fejl 20 20
HVAD SKAL IT SÅ RAPPORTERE? IT skal rapportere væsentlige IT-hændelser, der enten har eller potentielt kunne medføre økonomisk tab for Topdanmark eller vores kunder manglende overholdelse af lovgivning og interne forretningsgange, fx IT-sikkerhedspolitikken privacy konsekvenser Har Major Incident Management funktionen været indblandet, så skal der som udgangspunkt rapporteres 21 21
EKSTERNE SERVICELEVERANDØRER Kontrolprocedure Indhentning af revisionserklæringer 1. ISAE 3402 erklæringer 2. ISAE 3000 erklæringer på persondata Samarbejde mellem Compliance, Intern revision og Koncern IT-sikkerhed To-faset opfølgning 22 22
SPØRGSMÅL? 23