En praktisk tilgang til at skabe en langvarig og levedygtig praksis

Relaterede dokumenter
Information Lifecycle Management

Implementering af EU Persondataforordningen

DEVOTEAM GDPR MARKEDSUNDERSØGELSE. Danske virksomheder venter forgæves på åbenbaringen om persondataforordningen

Få en globalt anerkendt persondatacertificering

GDPR erklæringer - nu er det nu Claus Hartmann Lund september 2018

Få en globalt anerkendt persondata-certificering

SISCON Revisorerklæringer om Privacy

Nyheder inden for drift og outsourcing

PERSONDATAPOLITIK / PERSONAL DATA POLICY. dk3 ApS Hustedgaardvej 1 DK-8722 Hedensted CVR

Persondataforordningen. Konsekvenser for virksomheder

RÅDET FOR DIGITAL SIKKERHED

PERSONDATA & PERSONDATAORDBOG

EU S PERSONDATAFORORDNING & CLOUD COMPUTING

Få en globalt anerkendt persondatacertificering

Hvilke personoplysninger behandles om dig I forbindelse med ovenstående kan vi blandt andet indsamle følgende personoplysninger om dig:

Persondataforordningen...den nye erklæringsstandard

Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Teknologispredning i sundhedsvæsenet DK ITEK: Sundhedsteknologi som grundlag for samarbejde og forretningsudvikling

TEMAMØDE 16. MARTS 2016

PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE. DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind

Hvad er Informationssikkerhed

Lars Neupart Director GRC Stifter, Neupart

Lancering af Exchange Server November 2009

EU Persondataforordningen, skærpet krav til sikkerheden om data

Databeskyttelsesdagen

Persondataforordningen. Hvad kan vi bruge KITOS til?

Vær i kontrol! Compliantkan du være ved et tilfælde!

General Data Protection Regulation

Kursus: Ledelse af it- sikkerhed

EU Persondataforordning GDPR

RÅDET FOR DIGITAL SIKKERHED

OPLYSNINGSPLIGT UNDER REKRUTTERING. (Personal data in connection with recruitment please see below for English)

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Målrettet arbejde med persondataforordningen for

OFFENTLIG DIGITALISERING NYE DIGITALE SIKKERHEDSMODELLER DANSK IT - ÅRHUS 23. MAJ 2012

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Persondataretlig compliance - Hvordan bliver din organisation klar?

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

Cookie-reglerne set fra myndighedsside Dansk Forum for IT-ret 5. november 2012

Folketinget Retsudvalget Christiansborg 1240 København K DK Danmark

Et godt og effektivt vedligehold af en ISO27001 certificering. Erwin Lansing Head of Security & Chief Technologist

Hyper V og System Center løsninger

GDPR og ISO-standarderne Få styr på værktøjskassen af ISO-standarder

Per Løkken, Partner. CAMPUS November 2018

Encryption for the cloud. secure convenient cost efficient

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

EU-Persondataforordningen

Målrettet arbejde med persondataforordningen for

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Ma lrettet arbejde med persondataforordningen for

GDPR NÅR FORORDNINGEN MØDER VIRKELIGHEDEN

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

Identity og Access Management

HACKERNE BLIVER BEDRE, SYSTEMERNE BLIVER MERE KOMPLEKSE OG PLATFORMENE FORSVINDER HAR VI TABT KAMPEN? MARTIN POVELSEN - KMD

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

Erhvervsleder i Praktik og IBM

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Tjekliste: Sådan laver du en it-risikovurdering i TRIN. Sikker it-drift. Leveret af specialister.

KONKRET HÅNDTERING AF PERSONDATAFORORDNINGEN

CGI Microsoft-dagen 2015

Persondataforordningen. Fra papir til handling

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

Erfaringer med EUTR / Due Diligence 02/

Overordnet organisering af personoplysninger

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

Praktisk persondatacompliance

EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

Privatlivspolitik i forbindelse med henvendelser til Danren Bogdol A/S

Må lrettet årbejde med persondåtåforordningen for

Nyt om persondata. Birgitte Toxværd, advokat

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

Projektledelse i praksis

Sikkerhed på nettet for applikationer og identiteter

Målrettet arbejde med persondataforordningen for

Persondataretlige aspekter ved cloud computing

Copyright SaaS-it Consult Er Cloud Computing blot en hype eller repræsenterer det virkelig værdi? Teknologisk Institut 13.

Plesner Certifikat i Persondataret

CONNECTING PEOPLE AUTOMATION & IT

Security & Risk Management Update 2017

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

HVORDAN REAGERER STATSFORVALTNINGEN PÅ EU S PERSONDATA- FORORDNING?

RFID teknologien 4 Privacy & Sikkerhed. Henrik B. Granau

EU-GDPR i ControlManager

Security & Risk Management Summit

PERSONDATAFORORDNINGEN. DRF s årsmøde, april 2017

Byg din informationsarkitektur ud fra en velafprøvet forståelsesramme The Open Group Architecture Framework (TOGAF)

Introduktion til NNIT

Hvad skal der skrives under på? - A4 og A5 v/ Tais Sandal Nissen

HYBRID TAKEOFF REDEFINED JOURNEY TO THE CLOUD BY EMC Søren Holm, Proact

persondataforordningen

1. Formål og mål med indførelsen af værktøjet

Persondataforordningen. Henrik Aslund Pedersen Partner

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Forordningen er på plads, hvad nu?

Ma lrettet arbejde med persondataforordningen for

Accountability Hvad kan vi lære af den finansielle sektor

Målrettet arbejde med persondataforordningen for Østermarie Vandværk

Digital verden post GDPR

Transkript:

En praktisk tilgang til at skabe en langvarig og levedygtig praksis EU Persondataforordningen Frederik Helweg-Larsen, Expert Director, Devoteam 7. marts 2017

Vi kan forsøge at undgå at blive opdaget 2

Vi kan tilpasse os den nye digitale virkelighed. 3

Principper for behandling af personoplysninger 1.Lovlighed, rimelighed og gennemsigtighed 2.Formålsbegrænsning 3.Dataminimering 4.Rigtighed 5.Opbevaringsbegrænsning 6.Integritet og fortrolighed 7.Ansvarlighed Hvis I gør dette, så er compliance ikke noget problem. 4

Legal Compliance EU GDPR Technical Capabilities Governance & Processes Contract management 5, 1a) Lawfulness, Fairness and Transparency 5, 1b) Purpose Limitation Data Protection policies and procedures 5, 1c) Data Minimisation 5, 1d) Accuracy Data Discovery & Shadow IT 5, 1e) Storage Limitation 5, 1f) Integrity and Confidentiality 5, 2) Accountability Review of legal basis and consent 6 Lawfulness of processing 7 Conditions for consent 8 Conditions applicable to child's consent in relation to information society services 12 Transparent information, communication and modalities for the exercise of the rights of the data subject 13 Information to be provided where personal data are collected from the data subject 14 Information to be provided where personal data have not been obtained from the data subject Compliance review of internal processes 28 Processor Legal review of agreements 29 Processing under the authority of the controller or processor Chapter V Transfer of personal data to third countries or international organisations 16 Right to rectification 19 Notification obligation regarding rectification or erasure of personal data or restriction of processing 17 Right to erasure ('right to be forgotten') Information Lifecycle Management 18 Right to restriction of processing 25 Data protection by design and by default 32 Security of processing Identity and Access Governance Data Security Architecture 24 Responsibility of the controller 26 Joint controllers 30 Records of processing activities Organization and design of the DPMS 31 Cooperation with the supervisory authority 33 Notification of a personal data breach to the supervisory authority Business Process & Dataflow Analysis 37 Designation of the data protection officer 38 Position of the data protection officer 9 Processing of special categories of personal data 15 Right of access by the data subject 27 Representatives of controllers or processors not established in the Union 34 Communication of a personal data breach to the data subject 39 Tasks of the data protection officer 10 Processing of personal data relating to criminal convictions and offences 20 Right to data portability 35 Data protection impact assessment Risk & Privacy Impact Assessment 11 Processing which does not require identification 21 Right to object 36 Prior consultation 22 Automated individual decisionmaking, including profiling 23 Restrictions

Sammensætning af Kompetencer og Discipliner Et uperfekt bæredygtigt økosystem

Markedsundersøgelse januar 2017 Devoteam InSight EU Persondataforordningen 500 virksomheder har svaret 90% har en lederrolle i organisationen Små og STORE Offentlige 60 50 40 30 og private 20 10 0 <100 100-499 500-4999 >5000

Markedsundersøgelse januar 2017 Devoteam InSight EU Persondataforordningen Vi er optimistiske i forhold til at nå det til tiden. Alle er i gang og 2/3 er optimiske ift. at nå i mål til tiden. 2/3 er i analysefasen, 1/3 er i gang med implementering. - men over halvdelen har ikke en plan for hvordan 1/4 har planer op til maj 2018, 1/5 har planer der går længere. 12% kan i dag dokumentere deres efterlevelse. Teknologiunderstøttelsen er klassisk. Adgangsstyring og kryptering fylder mest. E-discovery og afdækning af skygge-it vurderes mindst relevant. - på trods af, at IT er med i projekterne 60% af projekterne er forankret i IT. men 25% mener ikke at IT understøttelse er relevant. Forankringen er primært i topledelsen og IT. Eksterne konsulenter anvendes til rådgivning og sparring, men ikke til ledelse. Kommentarer viser, at det stadig kan være svært at få reel deltagelse fra topledelsen. - men, kun halvdelen formaliserer projekterne 60% af offentlige virksomheder og 75% af store virksomheder formaliserer. Kommentarer viser at flere ser det som et forbigående tema.

Fem niveauer af Information Governance Maturity Tag udgangspunkt i det nuværende niveau Usikker Er opmærksom på, at der kan være problemer med databehandlingen, men er ikke proaktiv for at løse problemerne. Overvældet Behandler problemstillingerne med behandling af data når de opstår men uden en langsigtet plan. Struktureret Arbejder med en stærkere forståelse af data og etablerer dokumenterede og gentagelige processer for at undgå fremtidige problemer. Styret Ansvar for data er placeret og data er klassificeret. Processer er implementerede og forbedres efter behov. Optimeret Indblik og forståelse af data på tværs af virksomheden og automatisering af processer til at behandle afvigelser.

Persondata skal have et livsforløb Der er aldrig nogen der rydder op Data skal have de rette parametre når de modtages eller skabes. Det er typisk for sent efter dette punkt. Automate Anvendelsen og tilgangen til data skal hænge sammen med formålet. Det skal være muligt at ændre dette. Deling af data med tredjepart skal hænge sammen med de aftaler der er indgået. Data lækage skal kunne opdages. 11

Få vished for hvor data er opbevaret Stol ikke på processer og interviews alene En scanning giver ofte et helt andet billede af processerne. Software, MSP eller konsulentydelse? Det er ikke trivielt at finde følsomme persondata. Scanninger er eksplorative og baseret på viden og erfaringer. Stiller krav til sikkerheden. Et relevant værktøj for revisorer - og datatilsynet. http://www.ibm.com/analytics/us/en/technology/information-lifecycle-governance/index.html 12

De 8 trin mod forandringen Hvordan du forbereder dig Engager og klargør organisationen Implementer og oprethold forandringen Skab et klima for forandring Etabler en oplevelse af nødvendighed Form en stærk koalition Skab en vision og strategi KommunikerGiv ansvar og Gå efter de visionen kompetencer kortsigtede sejre Konsolider Understøt en gevinster og ny kultur skab mere forandring 13

Eksempel på praktisk projektkatalog byg jeres eget Pas på med templates og løsninger der har svaret 1. Ledelsesforankring, målsætninger, mandat og organisering. 2. Etablere/tilpasse en praktisk governance struktur. 3. Dataanalyse. 4. Risikovurdering og ejerskab af risici. 5. Samtykkeerklæringer og databehandleraftaler. 6. Udarbejdelse af code-of-conduct og formidling af ønsket adfærd. 7. Processer og arbejdsgange for behandling af persondata. Roller, rettigheder og adgangsstyring gennemgås. Gennemgang af it-arkitektur og systemlandskab ift. privacy-by-design. Beredskabsplaner gennemgås med udgangspunkt i informationskravet. 14

Kom godt i gang og kom godt videre 1 2 3 Opnå en bred forankring. Få overblik over helheden og byg videre på det du allerede har. Vær indstillet på at der bliver behov for en balanceret topdown og bottom-up tilgang. Erkend forandringen i databehandlingen, ikke mindst der hvor du allerede er bagud. Ægte compliance kommer når man gør det rigtige - og ikke gennem tjeklister og skabeloner. Skab en fælles spilleplade der er let at formidle og forstå af alle. Det skaber motivation og opbakning! Definer en praksis og gør kernedisciplinerne til dit håndværk. Det er ikke en slankekur. Det er en kostomlægning. 15

I teorien er der ingen forskel mellem teori og praksis. I praksis er der. 16

Hvis du vil vide mere Frederik Helweg-Larsen Expert Director, Risk & Security fhl@devoteam.com T : +45 4057 6828 17

Copyright Devoteams signatur Enkelhed Anvendelighed Vi efterlader aldrig vores kunder med en leverance uden at sikre os at effekten er langvarig. 18 Helhed Vi tilstræber altid at forenkle det komplekse og kommunikere på modtagerens præmisser. Vi træder altid et skridt tilbage fra den konkrete opgave og ser på den større sammenhæng. Kobling Balance Vi sørger for at enhver leverance hænger sammen med eksisterende processer og værktøjer. Ingen parallelle eller isolerede løsninger. Forandring Puls Vi hjælper vores kunder med at finde et passende og afbalanceret sikkerhedsniveau. Vi måler vores resultater ud fra den forandring vi skaber. Vi vurderer altid om vores løsninger er levedygtige på længere sigt.

Devoteam Group - Entrepreneurs in disruptive technology 3600 Professionals 20 Countries 443M Turnover in 2014 At Devoteam we deliver innovative technology consulting for business, to make our clients win their digital battle 20 years of transformation experience Digital Business Models Digital Efficiency Digital Business Transformation IT Service Management Operating Model Agile IT Management Transformation Networks Data Centres Security Sourcing & Cloud Data IT Infrastructure Transformation 1995 Listed on 2005 Euronext 2015 19

Devoteam i Danmark Etableret i Danmark i 1978 Devoteam bruger indsigt i og erfaring med digital teknologi til at skabe nye muligheder og fremgang til det danske samfund og dets virksomheder fra rådgivning til anvendelse. Devoteam Gruppen siden 2001 +100 konsulenter i Danmark +10 års konsulenterfaring +1000 kunder Kontorer i København og Skanderborg 20

Aktuelle Risk & Security projekter Bredt erfaringsgrundlag

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback