GDPR og formåls-orienteret kortlægning af processer og data

Relaterede dokumenter
Formålsorienteret procesmodellering

Privacy-by-design. & compliance i forhold til persondataforordningen med DCR-grafer. Thomas T. Hildebrandt. IT Universitet i København

Persondataforordningen og digitale forretningsprocesser

Undgå at processerne stivner ved at fokusere på hvorfor fremfor hvordan

Kunde-orienterede digitale forretningsprocesser

Agil udvikling af et sagsbehandlingssystem

Adaptive Case Management (ACM) agil bruger- og videreudvikling af proces-orienterede IT-systemer?

EU s persondataforordning

PERSONDATA & PERSONDATAORDBOG

Anvendelse af digitale ressourcer i dansk forskning!

National supercomputing dag Muligheder og Udfordringer

Behandling af personoplysninger

SMART LIBRARIES OG PERSONDATAFORORDNINGEN

Privatlivspolitik for Konferencesalen/Storcenter Nord


Databeskyttelsespolitik

Vilkår og privatlivspolitik

Privacy Policy Statement Privatlivspolitik

GDPR vejledning. 1. maj Indhold. ClientView GDPR vejledning

1. Definitioner og Fortolkning I denne politik skal følgende udtryk have følgende betydninger:

Som dataansvarlig behandler og opbevarer Ø/strøm A/S forskellige personoplysninger, alt afhængigt af hvilken kontakt vi har med dig.

STU Akademiets Persondatapolitik

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik

Persondataerklæring for servicebooker.dk:

EU S PERSONDATAFORORDNING & CLOUD COMPUTING

Overordnede forhold ifm. behandling af persondata Forskningsenheden for Almen Praksis, Aarhus (FE) passer godt på dine data.

Rollen som DPO. September 2016

Vejledning. Tværinstitutionelt samarbejde mellem regioner og universiteter vedrørende sundhedsdata. September 2018

Privatlivspolitik for Wihlborgs A/S

Persondatapolitik for Dahmlos Security [OFF] Gyldig fra d INDLEDNING DATAANSVAR BEHANDLING AF PERSONDATA...

Overordnede forhold ifm. behandling af persondata Forskningsenheden for Almen Praksis, Aarhus (FE) passer godt på dine data.

Klinisk IT Forskning. Jakob E. Bardram, professor, Ph.d.

Oplysninger om vores behandling af personoplysninger vi indsamler om dig

I vores privatlivspolitik kan du læse om, hvordan vi behandler dine personoplysninger.

Privatlivspolitik for Psykologisk Praksis Camilla Schrøder

EU GDPR Endnu en Guide

PRIVATLI V SPO LI TIK FO R CHABBE R

Vilkår og privatlivspolitik

Lunar Way Business Privatlivspolitik

GDPR Persondata- forordningen

Målrettet arbejde med persondataforordningen for

Workshop 2. Hvilke processer skal sikre os en god databeskyttelse? Hvordan uddanner vi medarbejdere i det offentlige til at håndtere data forsvarligt?

Gevinstrealisering med data-baseret, samskabt og forandringsparat digitalisering

Privatlivs- og cookiepolitik

Persondatalovens dokumentationskrav

Arbejdsgange for alle: Itsystemer,

GDPR med den rette partner er din virksomhed sikret! 22. maj 2018 Ballerup 23. maj Århus

AARHUS UNIVERSITET OG ERHVERVSSAMARBEJDE

Internationale projekter Involvering af kommuner og regioner

PERSONDATAPOLITIK. Tryk På Skolen

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Selskabet, som er ansvarlig for håndteringen af dine personoplysninger er:

Privatlivspolitik for

Stor erfaring med sikring hos offentlige kunder via +40 kommuner, stat, regioner, sygehuse, forsvar, politi, forsyningsselskaber m.v.

Generelt om persondata og EU s persondataforordning

Data protection impact assessment

Målrettet arbejde med persondataforordningen for

Case: In-JeT ApS - En virksomhed udviklet på EU forskning. Væksthus Hovedstadsregionen. 4 December 2014 Jesper Thestrup

Privatlivspolitik for LTECH A/S

Privatpolitik Bambino Booking

Persondatapolitik for

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Persondatapolitik 1. GENERELT 2. INDSAMLING AF PERSONOPLYSNINGER SAMT FORMÅL OG RETSGRUNDLAG. Member of Epicent Relations Group

DATABESKYTTELSESPOLITIK FOR AJAX KØBENHAVN

EcoKnow: Big Data i beskæftigelsesindsatsen

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

Persondataforordning og IT-sikkerhed - hvordan har vi grebet det an

Privatlivs- og cookiepolitik

Orientering om EU s Forsvarsfond

Erklæring om beskyttelse af persondata i henhold til persondataforordningen (GDPR)

Behandling af personoplysninger

EU-Persondataforordningen

Time- og eksamensplaner, efterår 2014

Landsforeningen Lænkens Databeskyttelsespolitik

Secure Mail. 1. juni Hvem læser dine s?

EKSTERN PERSONDATAPOLITK

Persondatapolitik Intervare

Privatlivspolitik for Psykolog Stig Jensen

District or. Vejledning til Zonta klubber Sådan behandler vi persondata

Persondataforordningen. Henrik Aslund Pedersen Partner

Målrettet arbejde med persondataforordningen for

Sound Forum Øresund. Om projektet. Lyd-clusteret. Perspektiver. - Et netværksprojekt på tværs af sektorerne. - Rammerne for projektet

Persondatapolitik for VIAVANA.COM. GO WITH PASSION

2.1 Vi behandler persondata og har derfor vedtaget denne persondatapolitik, der beskriver, hvordan vi behandler persondata.

Wila A/S persondatapolitik

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Klagenævnet for Ejendomsformidling

Per Løkken, Partner. CAMPUS November 2018

BILAG 3: PRIVATLIVSFREMMENDE TEKNOLOGIER

Konsekvensanalyse DPIA

P R I V A T L I V S P O L I T I K F O R S A M S Ø S Y L T E F A B R I K

Privatlivspolitik for frivillige

1. INDSAMLING AF PERSONOPLYSNINGERNE

Novo Nordisk erfaringer med ErhvervsPhD

Privatlivspolitik for Fyns Psykologpraksis

INFORMATION TIL JOBANSØGERE OM BEHANDLING AF PERSONOPLYSNINGER

Persondatapolitik. Persondatapolitik

Velkommen VI BYGGER DANMARK MED IT

PRIVATLIVSPOLITIK FOR MATCHWORK, OFIR OG BRANDERO

FMI Industridag 2019: EU s Forsvarsfond. 22. august 2019 Anders Bomholdt

Transkript:

GDPR og formåls-orienteret kortlægning af processer og data Thomas T. Hildebrandt Forskningsgruppen for Process & System Modeller, IT Universitet i København CFIR, Finanssektorens hus, 31. oktober, 2016

En enkelt slide om mig selv 2000: PhD i datalogi, Aarhus Universitet 2000-2003: Leder af studieprogram for Internet & software teknologi ved IT Universitet i København 2004-2011: Leder af PhD-skole for Foundations of Innovative Research-based Software Technologies 2012-: Leder af forskningsgruppen for Process & System Modeller ved IT Universitetet i København 2012-: Konsulent & facilitator af interessegrupper for digitalisering infinit.dk, cfir.dk & videndanmark.dk 2

En enkelt slide om mig selv 2000: PhD i datalogi, Aarhus Universitet 2000-2003: Leder af studieprogram for Internet & software teknologi med offentlige ved og IT private Universitet partnere: i København 007-: Principal investigator ved forskningsprojekter om processer og sikkerhed sammen 2007-11: Computer Supported Mobile Adaptive Business Processes Research Foundation for Technology and Production 2004-2011: Leder af PhD-skole for Foundations of 2010: Innovative Case Studies of Best Research-based Software Technologies Practice Workflow and Workflow in Practice Infinit Inovation Network 2008-2012: Trustworthy Pervasive Healthcare Processes (TrustCare) Council for Strategic Research 2011-2014: Flexible Cross-organizational Case Management Industrial PhD 2012-: Leder af forskningsgruppen for Process & System Modeller ved IT Universitetet i København 2014-17: Computational Artifacts: Design Oriented Theory of Computational Artifacts in Cooperative Work Practices Velux Foundation, www.compart.ku.dk 2015-16: ProSec: Cyber security and ICT Infrastructure with importance to crucial functions in Denmark - Mapping Emergency and Security Processes in the Danish Public Transport Sector and their Dependency on ICT - the Royal Danish Defence Agency 2012-: EU COST Action IC1201 - Behavioural Types for Reliable Large-Scale Software Systems 2012-: Konsulent & facilitator af interessegrupper for digitalisering infinit.dk, cfir.dk & videndanmark.dk 2

Hvad slags data? Relevant person henførbar data: Data der bliver behandlet automatisk eller gemt, og som kan henføres til en person - direkte eller indirekte (navn eller anden ID, lokation & tid, IP nummer, genetisk ) 3

Indsamling af data Der er ikke noget nyt i, at der indsamles personhenførbare data i forbindelse med forretningsprocesser for at yde en god service 4

Digitalisering og automa7sering Digitaliseringen og automatisering af forretningsprocesser har gjort det nemmere at (gen)bruge data til at yde en endnu bedre service men også at miste overblikket over, hvor data er gemt, hvem der har adgang, hvordan den bruges og til hvilket formål den blev givet 5

Krav 7l den dataansvarlige 6

Krav 7l den dataansvarlige Forordningen tvinger den dataansvarlige til at 6

Krav 7l den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata 6

Krav 7l den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål 6

Krav 7l den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål kun at benytte persondata, hvis nødvendigt 6

Krav 7l den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål kun at benytte persondata, hvis nødvendigt kun at gemme persondata med gyldigt formål 6

Krav 7l den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål kun at benytte persondata, hvis nødvendigt kun at gemme persondata med gyldigt formål kunne slette eller anonymisere persondata 6

Krav 7l den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål kun at benytte persondata, hvis nødvendigt kun at gemme persondata med gyldigt formål kunne slette eller anonymisere persondata kunne udlevere persondata i maskinlæsbart format 6

Krav 7l den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål kun at benytte persondata, hvis nødvendigt kun at gemme persondata med gyldigt formål kunne slette eller anonymisere persondata kunne udlevere persondata i maskinlæsbart format kunne forklare automatiserede beslutninger 6

Krav 7l den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål kun at benytte persondata, hvis nødvendigt kun at gemme persondata med gyldigt formål kunne slette eller anonymisere persondata kunne udlevere persondata i maskinlæsbart format kunne forklare automatiserede beslutninger sikre at persondata er up-to-date før de bruges 6

Krav 7l den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål kun at benytte persondata, hvis nødvendigt kun at gemme persondata med gyldigt formål kunne slette eller anonymisere persondata kunne udlevere persondata i maskinlæsbart format kunne forklare automatiserede beslutninger sikre at persondata er up-to-date før de bruges dokumentere behandling og overholdelse af lov 6

Krav 7l den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål kun at benytte persondata, hvis nødvendigt kun at gemme persondata med gyldigt formål kunne slette eller anonymisere persondata kunne udlevere persondata i maskinlæsbart format kunne forklare automatiserede beslutninger sikre at persondata er up-to-date før de bruges dokumentere behandling og overholdelse af lov og forpligte tredjeparts behandlere at gøre det samme! 6

Hvordan gør vi det så? Kortlægning af faktiske processer - med fokus på formål og databehandling Sikring af adgangskontrol, tilføjelse af tilsagn, opfølgende sletning eller anonymisering Vedligeholdelse af proceskort Proces og data overvågning og sikring af compliance 7

Forskning ved ITU Agil kortlægning og digitalisering af processer med Dynamic Condition Response Graphs Procesovervågning og proaktiv compliance Process mining & prescriptive process management 8

Dynamic Condi7on Response Graphs (resultat af erhvervsph.d.-projekt af T. Slaats ved Exformatics og ITU, samt CFIR mini-projekt) Istedet for at beskrive hvordan en proces udføres, beskrives formål, forudsætninger (conditions), opfølgende handlinger (responses), handlinger der udelukker andre (dynamic exclusion) handling der gøre andre relevante (dynamic inclusion) i værktøj der understøtter simulering og samarbejde Giver fleksibilitet, kan holdes ved lige og ændres dynamisk 9

Eksempel: Huskøb Oplysninger om økonomi er en betingelse for at kunne estimere købesum Når købesummen er estimeret skal mægleren finde huse 10 DCRGraphs.net

Simulering af mulige sagsgange i DCRGraphs.net Thomas T. Hildebrandt

Personhenførbare data? 12 DCRGraphs.net

Personhenførbare data? Købesum Navn, cpr, budget, lønsedler, etc Behandling af data (kundenavn og cpr?) 12 DCRGraphs.net

Tilsagn om brug af data 7l formål Hvor længe må data gemmes? 13 DCRGraphs.net

Regler for sletning af data 14

Levende dokumenta7on 15

Rapporter (word, pdf, html) 16

Analyser 17

Overvågning Mægler Bank hændelser (events) Compliance monitor (event-processing) 18

Proak7v compliance Mægler Bank Proactive Policy Enforcement Point (kan udføre handlinger om nødvendigt) [In the Nick of Time: Proactive Prevention of Obligation Violations Computer Security Foundations (CSF) Symposium 2016] 19

Process Mining & Prescrip7ve Analy7cs Mining constraints & successful paths 20

Process Mining & Prescrip7ve Analy7cs Mining constraints & successful paths 20

Opsummering Samarbejde om kortlægning af faktiske processer - med fokus på formål og databehandling Forudgående tilsagn, opfølgende sletning eller anonymisering kan tilføjes dynamisk Levende DCR Proceskort: Fleksibilitet og holdbarhed Proces og data-overvågning og proaktiv compliance Process mining kan tegne kort på baggrund af historik Interesseret i mini-projekt/samarbejde? Skriv til mig! 21

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback