Sikkerhed & Revision 2016 den 2. september B:4 Stream B Governance, Risk & Compliance

Relaterede dokumenter
IT-Ansvar God skik og ansvarlighed. Persondataforordningen. Jørgen Granborg

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Revisionsudvalg Kommissorium. Juni 2016

Persondataforordningen...den nye erklæringsstandard

Rollen som DPO. September 2016

PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE. DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind

Vejledning om funktionsbeskrivelse for intern revision

Overblik over persondataforordningen

DE 4 NØGLEFUNKTIONER UNDER SOLVENS II A PUBLICATION BY FCG THE FINANCIAL COMPLIANCE GROUP

Jesper Andersen / Lone Forsberg Databeskyttelsesrådgiveren September 2018

Persondataforordningen. Henrik Aslund Pedersen Partner

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

EU Persondataforordning GDPR

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

HJULMANDKAPTAIN PERSONDATA REGLER OG IMPLEMENTERING. OPLÆG TIL DANSKE BUSVOGMÆND DEN 29. NOVEMBER 2017 Advokat Karina Søndergaard

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

PERSONDATAFORORDNINGEN. DRF s årsmøde, april 2017

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Introduktion til persondataforordning

Persondatalovens dokumentationskrav

Revisionsudvalg. Kommissorium. Skjern Bank

Kommissorium for revisions- og risikoudvalget Middelfart Sparekasse 2017

Hvor meget fylder IT i danske bestyrelser. 7. september 2012 Torben Nielsen

Dispensation fra lov om kommunernes styrelse

Forsikringstilsynet har reduceret antallet af politikker i forhold til den danske bekendtgørelse.

- Der bør ikke ske en førtidig implementering af kravet om operationel revision

EU Persondataforordning. One year with GDPR - one year to come

Til Økonomi- og Indenrigsministeriet 18. september 2017

GML-HR A/S CVR-nr.:

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

Databeskyttelsesdagen

Leverandørstyring: Stil krav du kan måle på

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Plesner Certifikat i Persondataret

Revisionsudvalg. Kommissorium. Skjern Bank

Europaudvalget EUU Alm.del EU Note 27 Offentligt

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Webinar om Persondataforordningen. 10. april :30-10:15 Advokat Lars Japp Haslund

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

Er du klar til den nye Persondataforordning?

IT risici og compliance. Hvad driver mig? Det gode råd med på vejen?


KOMMISSORIUM FOR REVISIONS- OG RISIKOUDVALG KØBENHAVNS LUFTHAVNE A/S CVR NR

Tilsyn med Databehandlere

Retningslinje om databeskyttelsesrådgivere

Revisionsudvalgets mandat

Forretningsgang for Kundebehandling

Præsentation Tid +/- 25 minutter i praktik

Offentliggørelse af oplysninger vedrørende overholdelse af ledelseskrav.

Plan og Handling CVR-nr.:

Retningslinje om databeskyttelsesrådgivere

Har I styr på reglerne? Forsyningsselskabers behandling af persondata

Adgang til mikrodata på Danmarks Statistik set i lyset af Persondataforordningen (GDPR)

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa

Notat. Databeskyttelsesrådgiver. Anvendelsesområde. Formål. Definitioner. Retningslinje om databeskyttelsesrådgivere. Danske Gymnasiers medlemsskoler

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Den 10. august Kommissorium for revisionsudvalget i Danmarks Skibskredit A/S

2.1 Vi behandler persondata og har derfor vedtaget denne persondatapolitik, der beskriver, hvordan vi behandler persondata.

Persondata på Københavns Universitet

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Den nye persondataforordning. 2. februar 2017

Data Protection Officer: krav og outsourcing af DPO-rollen. Uddannelsesdagen 2017

Adfærdsregler (Code of conduct)

Skema til kortlægning af dataflow i STIL s produkter

PERSONDATAPOLITIK FOR ORDET OG ISRAEL

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Behandling af persondata i EL Andersen A/S

Kommissorium for Revisionsudvalget Forsikringsselskabet Danica, skadesforsikringsaktieselskab af 1999 CVR-nr

Bestyrelsesudvalg - arbejdsopgaver Offentliggjort den 31. januar 2018

Hvorfor er informationssikkerhed et ledelsesansvar?

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

General Data Protection Regulation

Seminar om databehandleraftalen IT-Branchen 28. februar 2018

Persondataloven. og den nye persondataforordning

Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?

3 Omfattede typer af personoplysninger og kategorier af registrerede

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Foreløbige erfaringer med implementering af persondataforordningen i Kulturministeriet Torsten Friis

Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr

Persondataforordningen

DATABEHANDLERAFTALE [LEVERANDØR]

Er I klar til den nye persondataforordning?

Forretningsorden for Revisionsudvalg Topdanmark Forsikring A/S

Rådgivning om persondataret i Danske Medier

Persondata fra en it-vinkel. Dansk Fjernvarme

Politik for mangfoldighed i bestyrelsen. Februar 2016

Komiteen for Sundhedsoplysning CVR-nr.:

Regler om persondata Koordinatormøde den 28. nov. 2017

Databeskyttelsesrådgiver/DPO. artikel 37-39

Retningslinjer for behandling af personoplysninger for kunder og leverandører i med Anker Hansen og Co. A/S ( AHC ) CVR-nr

3 Omfattede typer af personoplysninger og kategorier af registrerede

Denne Cookie- og Privatlivspolitik ejes og drives af NORD.investments A/S, herefter omtalt ved NORD, vi, vores eller os.

Transkript:

OVERVEJELSER I FORHOLD TIL NY PERSONDATAFORORDNING HERUNDER DPO Sikkerhed & Revision 2016 den 2. september 2016 B:4 Stream B Governance, Risk & Compliance

AGENDA Præsentation Hvorfor Persondata Hvor er PFA Univers af udfordringer Ny Persondataforordning Hvem skal have en DPO Hvad skal DPO 3LoD Hvem kan være DPO 2

PRÆSENTATION MORTEN BENDTSEN Koncernrevisionschef i PFA Pension (15. maj 2015 - ) Revisionschef i Finansiel Stabilitet (1. februar 2012 til 30. april 2015) Områdechef i Danske Banks interne revision (+10 år) 3

HVORFOR PERSONDATA (1), BESTYRELSENS KRAV Intern Revision i PFA varetager også rollen som Intern Auditfunktion i regi af Solvens II. Intern Revision er ansvarlig for at udføre revision af operationelle forhold, regeloverholdelsen, kapital- og risikostyring samt pålideligheden af intern og ekstern rapportering. Koncernrevisionschefen påtegner ikke årsregnskabet. I årsprotokollatet afgiver Intern Revision en konklusion om det interne kontrol kontrolsystem. Gennem uafhængig og objektiv efterprøvning skal Intern Revision skabe værdi og forbedringer af koncernens processer, risikoforståelsen og den interne kontrol samt understøtte målopfyldelsen og forandringsprocessen i koncernen. 4

HVORFOR PERSONDATA (2), FINANSTILSYNETS KRAV Reference Indhold 21 stk. 1 Den af intern revision udførte revision skal omfatte alle væsentlige og risikofyldte områder i virksomheden jf. bilag 4 27 Den interne revision skal i årsprotokollatet konkludere, hvorvidt virksomhedens risikostyring, compliancefunktion, forretningsgange og interne kontroller på alle væsentlige og risikofyldte områder er tilrettelagt og fungerer på betryggende vis, jf. bilag 4 Bilag 4 Intern Revision skal fx: Vurdere, hvorvidt virksomheden har identificeret alle væsentlige risici og rapporteret dette til bestyrelsen Udfordre ledelsens syn på risikostyring i virksomheden Vurdere pålideligheden af ledelsesrapporteringen, samt overholdelse af love og regler Bistår bestyrelsen med at beskytte virksomhedens aktiver, omdømme og fortsat drift Have fokus på de forretningsgange og kontroller, der understøtter virksomhedens beslutningsprocesser Effektivitetsvurdering (IAS 610) af risikofunktioner Revisionen skal, uanset om intern revision påtegner årsregnskabet delårsregnskaber eller ej, omfatte virksomhedens regnskabsaflæggelsesproces. 5

HVORFOR PERSONDATA (3), IBOENDE RISIKO Konsekvens 6

HVOR ER PFA Modenhedsvurdring udarbejdet af PWC (base-line og i forhold til kommende krav) Risikoanalyse udarbejdet af Compliance funktionen i PFA Drøftelser i revisionsudvalg og i koncernledelsen Foranalyse (Intern Revision deltager som observatør) Datatilsynets hjemmeside om persondatareformen => 21. juni 2016 Q&A 7

UNIVERS AF UDFORDRINGER Dataklassifi kation Awareness System- og datasammen hænge Politikker og forretningsg ange Brugeradgange og autorisationer Hvem, hvad, hvor og hvornår Roller og ansvar Outsourcing og databehandlere Data kommunikati on Sletteproce durer Cyber Risk Opbevaring 8

NY PERSONDATAFORORDNING (1) Same, same eller Dokumentationskrav Risikostyring, herunder DPO Rettigheder Samtykke Incidents (databrud) Proaktivt tilsyn Sanktioner Man skal udarbejde politikker, forretningsgange, drøfte risikoniveauer, gentænke udviklingsmodel for IT, udarbejde beredskabsplaner for databrud, gentænke databehandleraftaler og assurancekrav 9

NY PERSONDATAFORORDNING (2) Konsekvenserne er stigende Omdømme: øget risiko for negativ presseomtale og kundereaktion Konkurrenceparametre: øget krav fra kunder herunder fremvisning Store bøder: 75 mio. kr. til 1,0 mia. kr. (hvad er omsætning?) 10

HVEM SKAL HAVE EN DPO Det skal man, hvis man kan nikke ja til bare ét af disse tre punkter: Hvis man er en offentlig myndighed (undtagen domstole) Hvis man er en virksomhed, hvis primære ydelse er at behandle persondata, som forudsætter jævnlig og systematisk overvågning af de registrerede personer Hvis man er en virksomhed, hvis primære ydelse er at behandle særlige kategorier af oplysninger om registrerede personer, fx politisk tilhørsforhold, helbredsoplysninger, seksuel orientering etc. PFA rammer punkt nr. 3 Alle virksomheder skal overhold persondataforordningens krav DPO en er ikke virksomhedens interne kontrol men et ekstra sikkerhedslag for den registrerede! 11

HVAD SKAL DPO (1) Forudsætninger: Rapportering og reference til øverste ledelsesniveau Opgaver skal løses uafhængigt Skal inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger Efteruddannelse Ikke underlagt instrukser Ikke tildelt instruktionsbeføjelser Beskyttet stilling 12

HVAD SKAL DPO (2) Overvåge efterlevelsen af persondataforordningen og virksomhedens politikker Rådgivning og oplyse om rettigheder og forpligtelser ift. databehandling Holder ledelsen orienteret om dens forpligtelser i forhold persondataloven Fungerer som primær kontaktperson for tilsynsmyndigheder (fx Datatilsynet) 13

3LOD Risiko 14

HVEM SKAL VÆRE DPO Risikometodik Systemkendskab Rapportering Dataflow Underviser Assurance Provider Jura Kommunikator It-sikkerhed D&I 15

16

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback