Persondataforordningen og digitale forretningsprocesser

Relaterede dokumenter
Formålsorienteret procesmodellering

Privacy-by-design. & compliance i forhold til persondataforordningen med DCR-grafer. Thomas T. Hildebrandt. IT Universitet i København

GDPR og formåls-orienteret kortlægning af processer og data

Persondatapolitik for

I vores privatlivspolitik kan du læse om, hvordan vi behandler dine personoplysninger.

Persondatapolitik. Persondatapolitik


Undgå at processerne stivner ved at fokusere på hvorfor fremfor hvordan

Privacy Policy Statement Privatlivspolitik

Persondatapolitik for

Behandling af personoplysninger

PERSONDATA & PERSONDATAORDBOG

Persondatapolitik for

Persondataforordning GDPR Privatlivs- og persondatapolitik

PRIVATLIVSPOLITIK FOR MATCHWORK, OFIR OG BRANDERO

Konsekvensanalyse DPIA

Persondatapolitik for

2.1 Vi behandler persondata og har derfor vedtaget denne persondatapolitik, der beskriver, hvordan vi behandler persondata.

Privatlivspolitik for LTECH A/S

SMART LIBRARIES OG PERSONDATAFORORDNINGEN

Persondataerklæring for servicebooker.dk:

Persondatapolitik. Oplysninger om vores behandling af dine personoplysninger mv.

Vilkår og privatlivspolitik

PERSONDATAPOLITIK. Tryk På Skolen

PERSONDATAPOLITIK EO-SERVICE

Konsekvensanalyse DPIA

Persondatapolitik for Jesperhus Legindvej 30, 7900 Nykøbing Mors

Tjekliste når du bruger apps og tjenester

Persondataforordningen. Henrik Aslund Pedersen Partner

EU s persondataforordning

Kunde-orienterede digitale forretningsprocesser

Privatlivspolitik for Konferencesalen/Storcenter Nord

I denne privatlivspolitik beskriver vi vores behandling af oplysninger om kunder.

STU Akademiets Persondatapolitik

Databeskyttelsespolitik

Persondata- og cookiepolitik

Som dataansvarlig behandler og opbevarer Ø/strøm A/S forskellige personoplysninger, alt afhængigt af hvilken kontakt vi har med dig.

Privatlivspolitik hos TAG Copenhagen A/S (GDPR)

Hillerød Affaldshåndtering A/S

Erklæring om beskyttelse af persondata i henhold til persondataforordningen (GDPR)

Konsekvensanalyse DPIA

Hillerød Spildevand A/S

Vi sikrer, at dine personoplysninger behandles i overensstemmelse med gældende persondatalovgivning.

Vi behandler persondata og har derfor vedtaget denne privatlivsbeskyttelsespolitik, der fortæller dig, hvordan vi behandler dine data.

KERTEMINDE FORSYNING - VARME A/S Kohaven Kerteminde CVR-nr Kundeservice:

BILAG 3: PRIVATLIVSFREMMENDE TEKNOLOGIER

PRIVATLIVSPOLITIK - NETTO-BÅDENE A/S

Generelt om persondata og EU s persondataforordning

Behandling af personoplysninger

DATABESKYTTELSESPOLITIK FOR AJAX KØBENHAVN

Vi passer på dine persondata

Privatlivspolitik. TEKNIK OG MILJØ AffaldVarme Aarhus Aarhus Kommune

1. Definitioner og Fortolkning I denne politik skal følgende udtryk have følgende betydninger:

Persondataforordningen

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Agil udvikling af et sagsbehandlingssystem

Persondatapolitik Axel Madsen Health Care A/S

Privatlivspolitik og databehandling i klinikken. Psykologisk Praksis v/ Susanne Scherff

Som dataansvarlig behandler og opbevarer VEKSEL A/S forskellige personoplysninger, alt afhængigt af hvilken kontakt vi har med dig.

Alle er til enhver tid velkommen til at rette henvendelse til vores kontaktperson omkring behandling af egne personoplysninger.

Privatlivspolitik Nuværende og tidligere kunder hos VandCenter Syd as

EKSTERN PERSONDATAPOLITK

Persondatapolitik 1. GENERELT 2. INDSAMLING AF PERSONOPLYSNINGER SAMT FORMÅL OG RETSGRUNDLAG. Member of Epicent Relations Group

Information om vores behandling af personoplysninger

KV Fonden foretager en elektronisk registrering af disse oplysninger og bruger dem i behandlingen af din ansøgning.

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

Nuværende og tidligere kunder hos Vand og Affald i Svendborg.

Studio DNA er en it-virksomhed, der udvikler brugervenlige it-løsninger til optimering af drift og vedligeholdelse af alle bygningstyper.

District or. Vejledning til Zonta klubber Sådan behandler vi persondata

PERSONDATAPOLITIK FOR CENTER FOR DIGITAL PÆDAGOGIK

Svanningevej 2 DK-9220 Aalborg Øst Tel

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Vilkår og privatlivspolitik

PERSONDATAPOLITIK SOCIALDEMOKRATIET RINGSTED. Vi er de dataansvarlige hvordan kontakter du os?

Alm. Brands persondatapolitik

Privatlivspolitik Thisted Vand

Persondatapolitik - Advokatfirmaet Christian Blixen-Thiele

NY PERSONDATALOV (GDPR) HVAD BETYDER DET FOR DIN VIRKSOMHED?

Persondataforordning og IT-sikkerhed - hvordan har vi grebet det an

Privatlivspolitik. Nuværende og tidligere kunder hos Sønderborg Forsyning. Indholdsfortegnelse

Nuværende og tidligere kunder hos BlueKolding Spildevand A/S og BlueKolding. Den dataansvarlige virksomheds identitet og kontaktoplysninger

Information om personoplysninger som kunde hos Redmark

Læs venligst denne Persondatapolitik omhyggeligt da den indeholder vigtige informationer.

Almindelig viden om persondataforordningen

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

PERSONDATAPOLITIK. for. Frida Forsikring Agentur A/S

Privatlivspolitik Muhabet Aarhus

1.3. Kentaur er dataansvarlig for dine personoplysninger. Al henvendelse til Kentaur skal ske via kontaktoplysningerne anført under pkt. 7.

GDPR Persondata- forordningen

Provas Privatlivspolitik

Denne Cookie- og Privatlivspolitik ejes og drives af NORD.investments A/S, herefter omtalt ved NORD, vi, vores eller os.

Behandling af personoplysninger

GDPR Beskyttelse af persondata

Privatlivspolitik og databehandling i Klinikken Psykolog Allan Blaabjerg

EU Persondataforordningen, skærpet krav til sikkerheden om data

Privatlivspolitik Nuværende og tidligere kunder hos Fredericia Spildevand og Energi A/S

J U H L - S Ø R E N S E N

Privatlivspolitik for Solar Group

Persondatapolitik for Vores Elnet A/S

Privatlivspolitik kundeoplysninger

Transkript:

Persondataforordningen og digitale forretningsprocesser ved hjælp af Dynamic Condition Response (DCR) grafer Thomas T. Hildebrandt Leder af forskningsgruppen for Process Intelligens, Modellering og Optimering (samarbejde med S. Debois, M. Marquard, D. Basin) OpenITU 15. september, 2017

Kort om mig selv 2000: PhD i datalogi, Aarhus Universitet 2000-2003: Studieprogramleder for Internet & software teknologi, IT Universitet i København (ITU) 2004-2011: Daglig leder af PhD-skole for ITU, KU, RUC og DTU 2007- Leder af flere forskningsprojekter indenfor sikkerhed og digitalisering af forretningsprocesser sammen med virksomheder bla. Microsoft, Resultmaker, Exformatics, DSB, BaneDanmark, 2012-: Konsulent & facilitator af interessegrupper for digitalisering infinit.dk, cfir.dk & videndanmark.dk 2

Hvad slags data? Relevant personhenførbar data: Data der bliver behandlet automatisk eller gemt, og som kan henføres til en person - direkte eller indirekte (navn eller anden ID, lokation & tid, IP nummer, genetisk ) Fra lønseddel til ID & DNA 3

Brug af persondata ikke nyt at benytte persondata i forretningsprocesser. 4

Digitalisering Digitaliseringen gør det nemmere at indsamle, bruge og genbruge data 5

Digitalisering Digitaliseringen gør det nemmere at indsamle, bruge og genbruge data men også at miste overblikket over, hvor data er gemt, hvem der har adgang, hvordan den bruges og til hvilket formål 6

Mulighed for bevidst misbrug 7

eller ved uheld 8

Persondataforordningen siger blandt andet at: 9

Persondataforordningen siger blandt andet at: Persondata må - by-design & default - kun benyttes, når det er nødvendigt til et oplyst og eksplicit godkendt formål (bla. artikel 5 og 12) 9

Persondataforordningen siger blandt andet at: Persondata må - by-design & default - kun benyttes, når det er nødvendigt til et oplyst og eksplicit godkendt formål (bla. artikel 5 og 12) Personoplysningerne bør være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålene med deres behandling. Dette kræver navnlig, at det sikres, at perioden for opbevaring af personoplysningerne ikke er længere end strengt nødvendigt 9

Persondataforordningen siger blandt andet at: Persondata må - by-design & default - kun benyttes, når det er nødvendigt til et oplyst og eksplicit godkendt formål (bla. artikel 5 og 12) Personoplysningerne bør være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålene med deres behandling. Dette kræver navnlig, at det sikres, at perioden for opbevaring af personoplysningerne ikke er længere end strengt nødvendigt 9

Persondataforordningen siger blandt andet at: Persondata må - by-design & default - kun benyttes, når det er nødvendigt til et oplyst og eksplicit godkendt formål (bla. artikel 5 og 12) Personoplysningerne bør være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålene med deres behandling. Dette kræver navnlig, at det sikres, at perioden for opbevaring af personoplysningerne ikke er længere end strengt nødvendigt Man skal kunne gøre rede for, hvordan man har sikret sig: 9

Persondataforordningen siger blandt andet at: Persondata må - by-design & default - kun benyttes, når det er nødvendigt til et oplyst og eksplicit godkendt formål (bla. artikel 5 og 12) Personoplysningerne bør være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålene med deres behandling. Dette kræver navnlig, at det sikres, at perioden for opbevaring af personoplysningerne ikke er længere end strengt nødvendigt Man skal kunne gøre rede for, hvordan man har sikret sig: For at sikre, at personoplysninger ikke opbevares i længere tid end nødvendigt, bør den dataansvarlige indføre tidsfrister for sletning eller periodisk gennemgang. 9

Krav til den dataansvarlige 10

Krav til den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata 10

Krav til den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål 10

Krav til den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål kun at benytte persondata, hvis nødvendigt 10

Krav til den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål kun at benytte persondata, hvis nødvendigt kun at gemme persondata med gyldigt formål 10

Krav til den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål kun at benytte persondata, hvis nødvendigt kun at gemme persondata med gyldigt formål kunne slette eller anonymisere persondata 10

Krav til den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål kun at benytte persondata, hvis nødvendigt kun at gemme persondata med gyldigt formål kunne slette eller anonymisere persondata kunne udlevere persondata i maskinlæsbart format 10

Krav til den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål kun at benytte persondata, hvis nødvendigt kun at gemme persondata med gyldigt formål kunne slette eller anonymisere persondata kunne udlevere persondata i maskinlæsbart format kunne forklare automatiserede beslutninger 10

Krav til den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål kun at benytte persondata, hvis nødvendigt kun at gemme persondata med gyldigt formål kunne slette eller anonymisere persondata kunne udlevere persondata i maskinlæsbart format kunne forklare automatiserede beslutninger sikre at persondata er up-to-date før de bruges 10

Krav til den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål kun at benytte persondata, hvis nødvendigt kun at gemme persondata med gyldigt formål kunne slette eller anonymisere persondata kunne udlevere persondata i maskinlæsbart format kunne forklare automatiserede beslutninger sikre at persondata er up-to-date før de bruges dokumentere behandling og overholdelse af lov 10

Krav til den dataansvarlige Forordningen tvinger den dataansvarlige til at oplyse om formålet med indsamling af persondata kun at benytte persondata til det oplyste formål kun at benytte persondata, hvis nødvendigt kun at gemme persondata med gyldigt formål kunne slette eller anonymisere persondata kunne udlevere persondata i maskinlæsbart format kunne forklare automatiserede beslutninger sikre at persondata er up-to-date før de bruges dokumentere behandling og overholdelse af lov og forpligte tredjeparts behandlere at gøre det samme! 10

Kend formålet med databehandling Strengt nødvendigt at få styr på formål for persondataindsamling & -behandling! 11

Formål = forretningsproces Skal vi så til at beskrive alle vores forretningsprocesser som detaljerede rutediagrammer? Nej, rutediagrammer er ufleksible, dyre og svære at vedligeholde 12

Data-indsamling & behandling Kortlæg aktiviteter der indsamler persondata og identificer formålet, dvs. de forretningsprocesser der behandler den indsamlede persondata Dokumenter begrundelse for at data er nødvendig til formålet. Husk at der kan være anden lovgivning. Udfordring: Forretningsprocesser kendes bedst af forretningen - og er evigt foranderlige!

Eksempel - huskøb

Eksempel - huskøb Overdragelse af persondata til nyt formål & behandler

Privacy by design Etabler mekanismer der sikrer tilsagn om brug af persondata før den indsamles brug og adgang begrænset til lovligt formål (proces) sletning/anonymisering af data efter lovligt formål (proces) er ophørt Fra rollebaseret til procesbaseret adgangskontrol Udfordring: Forretningsprocesser skal kunne forandres!

Dynamic Condition Response (DCR) Grafer Istedet for at beskrive ruter Beskriv regler (kortet) simuler og beregn ruter

Eksempel: Lån til huskøb Formål Formål opgivet

Eksempel: Lån til huskøb Kundens formål: Køb af hus Bankens formål: Beregn lånesum, Opret lån Mæglers formål: Find og sælg huse

Eksempel: Lån til huskøb Kundens formål: Køb af hus Bankens formål: Beregn lånesum, Opret lån

Eksempel: Lån til huskøb Kundens formål: Køb af hus Bankens formål: Beregn lånesum, Opret lån Mæglers formål: Find og sælg huse

Scenarie med hensyn til GDPR

GDPR regler

Sæt strøm til processerne

Overvågning Mægler Bank hændelser (events) Compliance monitor 24

Proaktiv compliance Mægler Bank Proactive Policy Enforcement Point (kan bede om at få udført handlinger om nødvendigt, f.eks. tilsagn eller sletning af data) 25

Perspektiver: Håndtering af tilsagn x Giv tilsagn til at Max. lånebeløb benyttes af mægler til at finde huse 26

Perspektiver: Process Mining Analyser log-filer og udled ruter og dataflow 27

Perspektiver: Process Mining Analyser log-filer og udled ruter og dataflow 27

Summa summarum Nødvendigt med agil kortlægning af de faktiske processer - med fokus på formål og databehandling Dynamic Condition Response Graphs DCRGraphs.com: Fleksible proceskort der kan vedligeholdes, simuleres og analyseres Grundlaget for process-støtte i næste generation af KMD WorkZone Regel-baseret tilgang: Ekstra handlinger f.eks. persondatahåndtering kan flettes ind og ud Automatisering: Mulighed for overvågning og proaktiv compliance 28

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback