En praktisk tilgang til at skabe en langvarig og levedygtig praksis EU Persondataforordningen Frederik Helweg-Larsen, Expert Director, Devoteam 7. marts 2017
Vi kan forsøge at undgå at blive opdaget 2
Vi kan tilpasse os den nye digitale virkelighed. 3
Principper for behandling af personoplysninger 1.Lovlighed, rimelighed og gennemsigtighed 2.Formålsbegrænsning 3.Dataminimering 4.Rigtighed 5.Opbevaringsbegrænsning 6.Integritet og fortrolighed 7.Ansvarlighed Hvis I gør dette, så er compliance ikke noget problem. 4
Legal Compliance EU GDPR Technical Capabilities Governance & Processes Contract management 5, 1a) Lawfulness, Fairness and Transparency 5, 1b) Purpose Limitation Data Protection policies and procedures 5, 1c) Data Minimisation 5, 1d) Accuracy Data Discovery & Shadow IT 5, 1e) Storage Limitation 5, 1f) Integrity and Confidentiality 5, 2) Accountability Review of legal basis and consent 6 Lawfulness of processing 7 Conditions for consent 8 Conditions applicable to child's consent in relation to information society services 12 Transparent information, communication and modalities for the exercise of the rights of the data subject 13 Information to be provided where personal data are collected from the data subject 14 Information to be provided where personal data have not been obtained from the data subject Compliance review of internal processes 28 Processor Legal review of agreements 29 Processing under the authority of the controller or processor Chapter V Transfer of personal data to third countries or international organisations 16 Right to rectification 19 Notification obligation regarding rectification or erasure of personal data or restriction of processing 17 Right to erasure ('right to be forgotten') Information Lifecycle Management 18 Right to restriction of processing 25 Data protection by design and by default 32 Security of processing Identity and Access Governance Data Security Architecture 24 Responsibility of the controller 26 Joint controllers 30 Records of processing activities Organization and design of the DPMS 31 Cooperation with the supervisory authority 33 Notification of a personal data breach to the supervisory authority Business Process & Dataflow Analysis 37 Designation of the data protection officer 38 Position of the data protection officer 9 Processing of special categories of personal data 15 Right of access by the data subject 27 Representatives of controllers or processors not established in the Union 34 Communication of a personal data breach to the data subject 39 Tasks of the data protection officer 10 Processing of personal data relating to criminal convictions and offences 20 Right to data portability 35 Data protection impact assessment Risk & Privacy Impact Assessment 11 Processing which does not require identification 21 Right to object 36 Prior consultation 22 Automated individual decisionmaking, including profiling 23 Restrictions
Sammensætning af Kompetencer og Discipliner Et uperfekt bæredygtigt økosystem
Markedsundersøgelse januar 2017 Devoteam InSight EU Persondataforordningen 500 virksomheder har svaret 90% har en lederrolle i organisationen Små og STORE Offentlige 60 50 40 30 og private 20 10 0 <100 100-499 500-4999 >5000
Markedsundersøgelse januar 2017 Devoteam InSight EU Persondataforordningen Vi er optimistiske i forhold til at nå det til tiden. Alle er i gang og 2/3 er optimiske ift. at nå i mål til tiden. 2/3 er i analysefasen, 1/3 er i gang med implementering. - men over halvdelen har ikke en plan for hvordan 1/4 har planer op til maj 2018, 1/5 har planer der går længere. 12% kan i dag dokumentere deres efterlevelse. Teknologiunderstøttelsen er klassisk. Adgangsstyring og kryptering fylder mest. E-discovery og afdækning af skygge-it vurderes mindst relevant. - på trods af, at IT er med i projekterne 60% af projekterne er forankret i IT. men 25% mener ikke at IT understøttelse er relevant. Forankringen er primært i topledelsen og IT. Eksterne konsulenter anvendes til rådgivning og sparring, men ikke til ledelse. Kommentarer viser, at det stadig kan være svært at få reel deltagelse fra topledelsen. - men, kun halvdelen formaliserer projekterne 60% af offentlige virksomheder og 75% af store virksomheder formaliserer. Kommentarer viser at flere ser det som et forbigående tema.
Fem niveauer af Information Governance Maturity Tag udgangspunkt i det nuværende niveau Usikker Er opmærksom på, at der kan være problemer med databehandlingen, men er ikke proaktiv for at løse problemerne. Overvældet Behandler problemstillingerne med behandling af data når de opstår men uden en langsigtet plan. Struktureret Arbejder med en stærkere forståelse af data og etablerer dokumenterede og gentagelige processer for at undgå fremtidige problemer. Styret Ansvar for data er placeret og data er klassificeret. Processer er implementerede og forbedres efter behov. Optimeret Indblik og forståelse af data på tværs af virksomheden og automatisering af processer til at behandle afvigelser.
Persondata skal have et livsforløb Der er aldrig nogen der rydder op Data skal have de rette parametre når de modtages eller skabes. Det er typisk for sent efter dette punkt. Automate Anvendelsen og tilgangen til data skal hænge sammen med formålet. Det skal være muligt at ændre dette. Deling af data med tredjepart skal hænge sammen med de aftaler der er indgået. Data lækage skal kunne opdages. 11
Få vished for hvor data er opbevaret Stol ikke på processer og interviews alene En scanning giver ofte et helt andet billede af processerne. Software, MSP eller konsulentydelse? Det er ikke trivielt at finde følsomme persondata. Scanninger er eksplorative og baseret på viden og erfaringer. Stiller krav til sikkerheden. Et relevant værktøj for revisorer - og datatilsynet. http://www.ibm.com/analytics/us/en/technology/information-lifecycle-governance/index.html 12
De 8 trin mod forandringen Hvordan du forbereder dig Engager og klargør organisationen Implementer og oprethold forandringen Skab et klima for forandring Etabler en oplevelse af nødvendighed Form en stærk koalition Skab en vision og strategi KommunikerGiv ansvar og Gå efter de visionen kompetencer kortsigtede sejre Konsolider Understøt en gevinster og ny kultur skab mere forandring 13
Eksempel på praktisk projektkatalog byg jeres eget Pas på med templates og løsninger der har svaret 1. Ledelsesforankring, målsætninger, mandat og organisering. 2. Etablere/tilpasse en praktisk governance struktur. 3. Dataanalyse. 4. Risikovurdering og ejerskab af risici. 5. Samtykkeerklæringer og databehandleraftaler. 6. Udarbejdelse af code-of-conduct og formidling af ønsket adfærd. 7. Processer og arbejdsgange for behandling af persondata. Roller, rettigheder og adgangsstyring gennemgås. Gennemgang af it-arkitektur og systemlandskab ift. privacy-by-design. Beredskabsplaner gennemgås med udgangspunkt i informationskravet. 14
Kom godt i gang og kom godt videre 1 2 3 Opnå en bred forankring. Få overblik over helheden og byg videre på det du allerede har. Vær indstillet på at der bliver behov for en balanceret topdown og bottom-up tilgang. Erkend forandringen i databehandlingen, ikke mindst der hvor du allerede er bagud. Ægte compliance kommer når man gør det rigtige - og ikke gennem tjeklister og skabeloner. Skab en fælles spilleplade der er let at formidle og forstå af alle. Det skaber motivation og opbakning! Definer en praksis og gør kernedisciplinerne til dit håndværk. Det er ikke en slankekur. Det er en kostomlægning. 15
I teorien er der ingen forskel mellem teori og praksis. I praksis er der. 16
Hvis du vil vide mere Frederik Helweg-Larsen Expert Director, Risk & Security fhl@devoteam.com T : +45 4057 6828 17
Copyright Devoteams signatur Enkelhed Anvendelighed Vi efterlader aldrig vores kunder med en leverance uden at sikre os at effekten er langvarig. 18 Helhed Vi tilstræber altid at forenkle det komplekse og kommunikere på modtagerens præmisser. Vi træder altid et skridt tilbage fra den konkrete opgave og ser på den større sammenhæng. Kobling Balance Vi sørger for at enhver leverance hænger sammen med eksisterende processer og værktøjer. Ingen parallelle eller isolerede løsninger. Forandring Puls Vi hjælper vores kunder med at finde et passende og afbalanceret sikkerhedsniveau. Vi måler vores resultater ud fra den forandring vi skaber. Vi vurderer altid om vores løsninger er levedygtige på længere sigt.
Devoteam Group - Entrepreneurs in disruptive technology 3600 Professionals 20 Countries 443M Turnover in 2014 At Devoteam we deliver innovative technology consulting for business, to make our clients win their digital battle 20 years of transformation experience Digital Business Models Digital Efficiency Digital Business Transformation IT Service Management Operating Model Agile IT Management Transformation Networks Data Centres Security Sourcing & Cloud Data IT Infrastructure Transformation 1995 Listed on 2005 Euronext 2015 19
Devoteam i Danmark Etableret i Danmark i 1978 Devoteam bruger indsigt i og erfaring med digital teknologi til at skabe nye muligheder og fremgang til det danske samfund og dets virksomheder fra rådgivning til anvendelse. Devoteam Gruppen siden 2001 +100 konsulenter i Danmark +10 års konsulenterfaring +1000 kunder Kontorer i København og Skanderborg 20
Aktuelle Risk & Security projekter Bredt erfaringsgrundlag