GDPR projekt papirtiger. - Med det rette overblik

Relaterede dokumenter
GDPR projekt papirtiger Med det rette overblik

EU-GDPR i ControlManager

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

One year with GDPR - one year to come

VELKOMMEN TIL ERFA-MØDE 8. juni 2017

EU Persondataforordning. One year with GDPR - one year to come

GDPR og ISO To sider af samme sag Offentlig Digitalisering 2018

ERFA-MØDE 8. & 15. dec. 2016

Struktureret Compliance. på tværs af ISO9001, ISO27001 & EU GDPR

Når compliance bliver kultur

Tilsyn med Databehandlere

Struktureret Compliance

Konsekvensanalyser i praksis: hvorfor, hvornår og hvordan

RISIKOVURDERING I PRAKSIS

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

EU-dataforordningen hvad er formålet og hvad skal du gøre?

Persondataforordningen...den nye erklæringsstandard

Persondataforordningen. Henrik Aslund Pedersen Partner

Introduktion til persondataforordning

Forslag til nye felter i OS2-kitos til understøttelse af GDPR-arbejdet

VELKOMMEN TIL. ERFA-MØDE 14. juni 2016

September Indledning

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Overblik over persondataforordningen

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Område: Udarbejdet: Næste revision:

EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

GDPR og borgerne og arkiverne og arkivloven

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Ny persondataforordning

GDPR og arkivloven. Poul Olsen, DPO, Rigsarkivet

General Data Protection Regulation

Transkript:

GDPR projekt papirtiger - Med det rette overblik

AGENDA KORT PRÆSENTATION AF SISCON SISCON PROJEKTMODEL FOR EU-GDPR FOKUS PÅ DRIFTSFASEN Dashboard til EU-GDPR 1. Strukturering og opbygning af papir-compliance 2. Implementering af faktuel compliance 3. Dataoverblik 4. Datasubjekts risikobillede 5. Overblik over behandlingsaktiviteter OPSUMMERING OG SPØRGSMÅL GDPR projekt papirtiger by ControlManager TM 2

OM SISCON Dansk konsulenthus og softwareleverandør siden 2004 ControlManager - værktøjet der giver et helhedsbillede og dokumentere virksomhedens efterlevlsesniveau Konsulentydelser der matcher og udnytter ControlManagers potentiale Kontor i Allerød med kursusfaciliteter 10 medarbejdere i en virksomhed i vækst Mere end 120 kunder i Danmark og Norge GDPR projekt papirtiger by ControlManager TM 3

CONTROLMANAGER - RYGRADEN I DIT ISMS & GDPR VÆRKTØJ Databehandler Aftaler Dokumentstyring ControlManager TM IT-Risikostyring GDPR-Risikostyring Revisionserklæringer Efterlevelse EU-GDPR Efterlevelse Kontrolkatalog GAP-Analyse Awareness & ledelsesforankring Beredskab Data Breach Notification Dataflow GDPR projekt papirtiger by ControlManager TM 4

OM SISCON ControlManager Rådgivning & sparring IT-Sikkerhedsstyring ISMS opbygning og design Compliancemonitorering (EU-GDPR / ISO) Kontrol og revision efterlevelse/krav Risikostyring Opbygning af risikostyring Ledelsessystem Måling / afrapportering GDPR projekt papirtiger by ControlManager TM 5

HVEM ER VI? JESPER B. HANSEN ESL, CISM, CRISC, CISSP IMPLEMENTERINGSKONSULENT, MED FOKUS PÅ DE BLØDE DELE AF INFORMATIONSSIKKERHED & EU- GDPR: IT-SIKKERHEDSSTRATEGI ISMS IMPLEMENTERING (ISO 27001) KONTROLMILJØOPBYGNING RISIKOVURDERINGER DATAKORTLÆGNING DOKUMENTATION AF BEHANDLINGSAKTIVITETER TIDLIGERE: IT-SIKKERHEDSCHEF PFA KONSULENT PWC KONSULENT PROTEGO LARS BÆRENTZEN HAR 20+ ÅRS ERFARING, INDENFOR FORSKELLIGE IT-SIKKERHED, INFORMATIONSSIKKERHED OG DATABESKYTTELSESDISCIPLINER. SOM KONSULENT HAR JEG BLA. HJULPET MED: OPBYGNING AF ISMS EFTERLEVELSESDOKUMENTATION INFORMATIONSSIKKERHEDSPOLITIKKER GENNEMFØRELSE AF RISIKOVURDERINGER UDARBEJDELSE AF BEREDSKABSPLANER GENNEMFØRELSE AF BEREDSKABSTEST GDPR DATAKORTLÆGNING GDPR GAP-ANALYSER AWARENESS KAMPAGNER.. UDDANNELSE ESL (HOLD 10), CISSP* INGENIØR FRA DTU OFFICER I FORSVARET GDPR projekt papirtiger by ControlManager TM 6

EU-GDPR DET RETTE OVERBLIK

ERFARINGER MED EU-GDPR PROJEKTER Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Etablér projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Etablér projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering pr. proces af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag GAP/RISK på forordningen som helhed Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 GDPR projekt papirtiger by ControlManager TM 8

EU-GDPR PROJEKTET Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Etablér projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Etablér projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering pr. proces af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag GAP/RISK på forordningen som helhed Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 GDPR projekt papirtiger by ControlManager TM 9

GENERISK DASHBOARDET GDPR projekt papirtiger by ControlManager TM 10

Overblik over papir -compliance

UDFORDRINGEN ORGANISATIONER HAR MANGE FORSKELLIGE EKSTERNE KRAV DE SKAL VÆRE COMPLIANT MED Ekstern lovgivning Krav om brug af (branche)standarder Krav fra kunder/leverandører MANGE KRAV ER HELT/DELVIST OVERLAPPENDE DET ER SVÆRT AT VURDERE Hvem gør hvad internt for at sikre compliance? Hvor er der overlap i krav? Hvilke af vores interne tiltag understøtter eksterne krav? EU-GDPR er blot endnu en række krav GDPR projekt papirtiger by ControlManager TM 12

FRA KRAV TIL ET SAMLET REGELSÆT TAG UDGANGSPUNKT I LOV/STANDARD Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov ILLUSTRER HVILKE REGLER DER ER ETABLERET FOR AT UNDERSTØTTE OVERHOLDELSE AF KRAV GDPR projekt papirtiger by ControlManager TM 13

I PRAKSIS EU-GDPR EKSEMPEL EU-GDPR AFDELING 3 BERIGTIGELSE OG SLETNING Art. 17, stk. 1 (a), (b), (c ), (d), (e ), (f) DATASUBJEKTET HAR RET TIL AT FÅ SLETTET PERSONDATA OM SIG SELV UDEN UNØDIG FORSINKELSE, OG DEN DATAANSVARLIGE HAR PLIGT TIL AT SLETTE PERSONOPLYSNINGER UDEN UNØDIG FORSINKELSE, HVIS DATA IKKE LÆNGERE ER NØDVENDIGE I FORHOLD TIL FORMÅLET ELLER, DATASUBJEKTET TRÆKKER SIT SAMTYKKE TILBAGE ELLER GØR INDSIGELSE ELLER MODSÆTTER SIG DATABEHANDLINGEN, SAMT I TILFÆLDE, HVOR DATABEHANDLINGEN ER ULOVLIG, ELLER SKAL SLETTES SOM FØLGE AF LOVGIVNING ELLER ANGÅR INDHENTNING AF PERSONDATA OM BØRN TIL BRUG I INFORMATIONSTJENESTER. GDPR projekt papirtiger by ControlManager TM 14

MAPNING AF EU-GDPR -> REGEL -> KONTROL EU-GDPR Regel Regel Regel Hvordan/detaljer GDPR projekt papirtiger by ControlManager TM 15

RESULTAT = HÅNDBOG STRUKTURERET UDARBEJDELSE AF REGELSÆT ENDER UD I EN HÅNDBOG HÅNDBOGEN SIKRER: Klare rammer for arbejdet Konkret beskrivelse af rolle og ansvarsmodel Beskrivelse sikringstiltag - både tekniske og administrative En rød tråd fra krav til tiltag GDPR projekt papirtiger by ControlManager TM 16

REGLER FOR DE TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER? EN DEL AF EU-GDPR KRAVENE OMHANDLER TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER HVIS VI ALLEREDE HAR ARBEJDET INTENSIVT MED ISO 27001 COMPLIANCE OG HAR REGLER PÅ DETTE KAN DET SÅ GENBRUGES? GDPR projekt papirtiger by ControlManager TM 17

RELATION MELLEM STANDARDER - FOR AT SKABE GENBRUG DET ER MULIGT AT LINKE STANDARDER TIL HINANDEN Gør det muligt at arve regler fra ISO27001 -> EU-GDPR Man vil f.eks. kunne implementeres DI s vejledning på denne måde EU-GDPR by Siscon 18

COMPLIANCE NIVEAU PR. OMRÅDE - EVT. AUTOMATISK MAPPET FRA ISO27001. Automatisk mapning Regler i forhold til EU-GDPR (arvet eller direkte) Regler i forhold til ISO27001 GDPR projekt papirtiger by ControlManager TM 19

GENERISK DASHBOARDET GDPR projekt papirtiger by ControlManager TM 20

Fra papir -compliance -> real-tids vurdering af compliance

UDFORDRINGEN MED ANDRE ORD: 1. Vi skal designe nogle tekniske og organisatoriske foranstaltninger En del af håndbogen 2. Vi skal sikre os, at de er effektive GDPR projekt papirtiger by ControlManager TM 22

FRA KRAV TIL ET SAMLET REGELSÆT TAG UDGANGSPUNKT I LOV/STANDARD ILLUSTRER HVILKE REGLER DER ER ETABLERET FOR AT UNDERSTØTTE OVERHOLDELSE AF LOV Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov ILLUSTRER HVILKE KONTROLLER DER ER PÅ PLADS, FOR AT SIKRE OVERHOLDELSE AF REGEL DOKUMENTER EVIDENS PÅ KONTROLLER GDPR projekt papirtiger by ControlManager TM 23

MAPNING AF EU-GDPR -> REGEL -> KONTROL - TILBAGE TIL EKSEMPLET EU-GDPR Kontrol Regel egel Regel Hvordan/detaljer Hvordan GDPR projekt papirtiger by ControlManager TM 24

FRA PAPIRCOMPLIANCE -> FAKTUEL COMPLIANCE Lovkrav Egne regler Egen kontrol GDPR projekt papirtiger by ControlManager TM ControlManager skærmbillede 25

OVERBLIK OVER GENNEMFØRTE KONTROLLER - FAKTUELT COMPLIANCEOVERBLIK ControlManager skærmbillede EU-GDPR by Siscon 26

OVERBLIK OVER GENNEMFØRTE KONTROLLER - FAKTUELT COMPLIANCEOVERBLIK ControlManager skærmbillede EU-GDPR by Siscon 27

FRA PAPIRCOMPLIANCE -> FAKTUEL COMPLIANCE INTRODUKTIONEN AF KONTROLLER GIVER OVERBLIK OVER: Hvilke kontroller er udført? Hvilke kontroller er fejlet? Hvor er der fundet kritiske fejl? SKIFT FRA PAPIR-COMPLIANCE > OVERBLIK OVER FAKTUELT COMPLIANCENIVEAU GDPR projekt papirtiger by ControlManager TM ControlManager skærmbillede 28

FORANKRING I FORRETNINGEN EN FOKUSERING PÅ KONTROLLER GIVER YDERMERE Mulighed for at forankre og følge op på arbejdet ude i organisationen HVIS EU-GDPR SKAL FUNGERE SKAL DET VÆRE FORANKRET I FORRETNINGEN De skal tage ansvar De skal kende deres eget complianceniveau VI SKAL OPNÅ DOKUMENTERET VISHED GDPR projekt papirtiger by ControlManager TM 29 ControlManager skærmbillede

GENERISK DASHBOARD GDPR projekt papirtiger by ControlManager TM 30

Hvor har vi data?

UDFORDRINGEN EU-GDPR FORDRER, AT DER ER (ET VIST NIVEAU AF) OVERBLIK OVER: Hvor opbevarer vi data? På hvilket systemer? Hos hvilke leverandører? I hvilke lande? Hvem udveksler vi data med? BRUGES I FLERE SAMMENHÆNGE: Indsigtsret Vurdering af risici for datasubjektet Passende tekniske og organisatoriske foranstaltninger Fortegnelse over behandlingsaktiviteter GDPR projekt papirtiger by ControlManager TM 32

DATAKORTLÆGNING EU-GDPR KRÆVER BLANDT ANDET VURDERING AF KONSEKVENSERNE AF DATABEHANDLINGEN FOR AT EVALUERE RISICIENES OPRINDELSE, NATUR, EGENART OG ALVORLIGHED (DPIA) DET FORUDSÆTTER OVERBLIK OVER DATA FUNKTIONSOMRÅDER Identificér relevante funktionsområder processer systemer aktiver DATAKORT Beskriv data: datakilder dataelementer datatyper videregivelse af data DPIA Vurdér: Dataansvarlighed Databehandling Datarettigheder Datasikkerhed GDPR projekt papirtiger by ControlManager TM 33

NIVEAUET AF ANALYSEN? Modtagelse af ansøgninger Virksomhedsområde Rekruttering Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Fastholdelse Funktionsområde Gennemførelse af MUS Proces GDPR projekt papirtiger by ControlManager TM 34

DATAFLOW ELEMENTER HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Online screening Datasæt 1 Mail/kalender (Vedhæftet resultater) Datasæt 2 Filserver (Resultater gemt) Datasæt 3 Datatyper: - Art 6 - Art 9 Datatyper: - Art 10 - Art 6 CPR Datatyper: - Art 6 - Art 9 Fastholdelse Gennemførelse af MUS HR system Datasæt 4 GDPR projekt papirtiger by ControlManagerTM 35

MINIMUMSNIVEAUET? Datasæt 1 Datasæt 2 Datasæt 3 Datasæt 4 ControlManager skærmbillede GDPR projekt papirtiger by ControlManager TM 36

RAPPORTERING FRA DASHBOARDETS HVOR HAR VI HVILKE KATEGORIER AF DATA? Hvad er status på sikringstiltag på disse? HVOR OG HVAD UDVEKSLES EKSTERNT? Har vi tilstrækkelig lovligt grundlag? Er der tilstrækkelig sikkerhed i udvekslingen? Udveksler vi f.eks. CPR-nr over usikker e-mail Har vi tilstrækkelige databehandleraftaler? Får vi løbende indhentet tilstrækkelige: Leverandør statusrapporter? Revisionserklæringer GDPR projekt papirtiger by ControlManager TM 37

GENERISK DASHBOARDET GDPR projekt papirtiger by ControlManager TM 38

Risikoen for datasubjekterne

EU-GDPR: HVEM, HVAD, HVORNÅR DEN DATAANSVARLIGE SKAL FORETAGE EN ANALYSE AF PÅTÆNKTE BEHANDLINGSAKTIVITETERS KONSEKVENSER FOR BESKYTTELSEN AF PERSONDATA, HVIS DER BENYTTES NYE TEKNOLOGIER ELLER ANDEN BEHANDLINGSTYPE, DER PÅ GRUND AF SIN KARAKTER, OMFANG, SAMMENHÆNG OG FORMÅL, SANDSYNLIGVIS VIL INDEBÆRE EN HØJ RISIKO FOR FYSISKE PERSONERS RETTIGHEDER OG FRIHEDSRETTIGHEDER. GDPR projekt papirtiger by ControlManagerTM 40

RISICI I FORORDNINGEN Direkte negativ effekt for datasubjektet Fysisk, materiel eller moralsk skade Diskrimination Identitetstyveri og bedrageri Finansielle tab Skade på omdømme Tab af fortrolighed Økonomiske eller sociale ulemper Begrænsning i udøvelsen af rettigheder og friheder Begrænsning i udøvelse af kontrol over persondata Indirekte negativ effekt for datasubjektet Afdækning af oplysninger om race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, medlemskab af fagforening og om sundhed, sexliv samt strafbare forhold Profilering til forudsigelse af fx arbejdsindsats, økonomisk situation, sundhed, personlige præferencer eller interesser, troværdighed og adfærd, lokation eller bevægelser Behandling af persondata om udsatte grupper, herunder børn Behandling af data i stor skala, der har effekt I forhold til et stort antal datasubjekter Negativ effekt pga. sikkerhedshændelse Uautoriseret afpseudonymisering Hændelig eller ulovlig destruktion, tab eller ændring af data Uautoriseret offentliggørelse af persondata Uautoriseret adgang til persondata under transmission, opbevaring eller anden behandling GDPR projekt papirtiger by ControlManager TM 41

EKSEMPLER PÅ KRAV OM RISIKOANALYSE DEN KOMMENDE EU FORORDNING STILLER KRAV OM RISIKOANALYSER VED BEBEHANDLING AF DATA I STOR SKALA OG I ANDRE SÆRLIGE TILFÆLDE, HVOR DER ER HØJ RISIKO FOR DATASUBJEKTETS RETTIGHEDER Følsomme data race og etnisk oprindelse, politisk eller filosofisk overbevisning, Religion Medlemskab af fagforening, Genetiske og biometriske data Sundhed Sexliv Seksuel orientering. Oplysninger om strafbare forhold Stor skala data Behandling af data på nationalt, regionalt og supranationalt niveau, som berører et stort antal mennesker og indebærer høj risiko for deres følsomme data Når der er høj risiko for at datasubjektet bliver begrænset i at udøve sine rettigheder eller gøre brug af en kontrakt eller en service Overvågning af offentligt tilgængelige steder, især ved anvendelse af optiskelektronisk teknologi En dataansvarligs anvendelse af fælles applikation på tværs af sektorer eller brancher Ved profilering, dvs systematisk og intensiv evaluering af enkeltpersoner med henblik på at træffe en beslutning, der vedrører vedkommende Ved brug af nye teknologier GDPR projekt papirtiger by ControlManager TM 42

DASHBOARDET SKAL DANNE (SAMLET) OVERBLIK Behandlingsaktivitet (evt. nyt projekt) GDPR projekt papirtiger by ControlManager TM 43

DASHBOARDET SKAL SIKRE ALT VI ALTID HAR OVERBLIK OVER DEN AKTUELLE RISIKOBILLED, SOM VI UDSÆTTER VORES DATASUBJEKTER FOR AT DER KAN GRIBES IND OVERFOR NYE INITIATIVER, SOM UDGØR / VIL KUNNE UDGØRE EN STOR RISIKO FOR DATASUBJEKTET KRÆVER AT RISIKO/KONSEKVENSVURDERINGER ER INDLEJRET I Forretningsudvikling (System)-Indkøb Projektstyring IT - Change Management Procesoptimering Etc. GDPR projekt papirtiger by ControlManager TM 44

GENERISK DASHBOARDET GDPR projekt papirtiger by ControlManager TM 45

Behandlingsaktiviteterne Art. 30

ART. 30 FORTEGNELSE GDPR projekt papirtiger by ControlManager TM 47

ORGANISATIONEN GDPR projekt papirtiger by ControlManager TM 48

OVERBLIK OVER PROCESSER OG FLOWS - PR. AFDELING GDPR projekt papirtiger by ControlManager TM 49

STAMBLAD FOR PROCESSEN - OG DATAKORTLÆGNINGEN Hvilke data Behandles? Hvad udveksles? GDPR projekt papirtiger by ControlManager TM 50

YOUR TAKE-AWAY GDPR projekt papirtiger by ControlManager TM 51

SÅDAN KAN FOKUS PÅ TILSYNET HJÆLPE MED OPBYGNING AF DASHBOARD GØR DIG KLART HVILKEN ROLLE DET SPECIFIKKE TILSYN SPILLER Hvad er formålet? Hvad skal kontrolleres? Hvad skal der til for at opgaven løftes bedst muligt? OVERVEJ Hvilken dokumentation gør tilsynets arbejde hurtigt og effektivt? Hvordan skal dokumentationen tilrettelægges, så det bliver så gennemskueligt som muligt GDPR projekt papirtiger by ControlManager TM 52

ET DASHBOARD INDEN MAN OPBYGGER DASHBOARDET BØR MAN VURDERE: 1. Hvad er det for oplysninger som vi som organisation gerne vil se, for at vi har ro-i-maven i forhold til EU-GDPR input fra IT-sikkerhed Jura Compliance 2. Hvilke oplysninger skal vi kunne tilvejebringe til en evt. DPO? 3. Hvilke oplysninger skal vi kunne tilvejebringe til eksternt tilsyn I ØVRIGT OGSÅ GANSKE GODE SPØRGSMÅL INDEN MAN VÆLGER: Rådgiver Værktøj GDPR projekt papirtiger by ControlManager TM 53

I SAMARBEJDER MED VORES KUNDER SKABER VI SUCCES 54

SPØRGSMÅL? SPØRGSMÅL? Lars Bærentzen lab@siscon.dk Jesper Hansen jbh@siscon.dk

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback