One year with GDPR - one year to come

Relaterede dokumenter
EU-GDPR i ControlManager

EU Persondataforordning. One year with GDPR - one year to come

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

VELKOMMEN TIL ERFA-MØDE 8. juni 2017

GDPR projekt papirtiger Med det rette overblik

GDPR projekt papirtiger. - Med det rette overblik

Struktureret Compliance. EU-GDPR eftersyn

GDPR og ISO To sider af samme sag Offentlig Digitalisering 2018

GDPR - Bryder verden sammen efter den 25. maj?

Når Compliance Bliver Kultur

ERFA-MØDE 8. & 15. dec. 2016

Struktureret Compliance. på tværs af ISO9001, ISO27001 & EU GDPR

Når compliance bliver kultur

Tilsyn med Databehandlere

Konsekvensanalyser i praksis: hvorfor, hvornår og hvordan

Struktureret Compliance

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

RISIKOVURDERING I PRAKSIS

SISCON årskonference 2016 Bella Sky Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Persondataforordningen...den nye erklæringsstandard

EU Persondataforordning GDPR

PERSONDATA & PERSONDATAORDBOG

Databeskyttelsesdagen

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE

Forstå de nye krav til databehandling og lær at afkræfte myter om persondata

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

EU-dataforordningen hvad er formålet og hvad skal du gøre?

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

GML-HR A/S CVR-nr.:

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE. DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind

Må lrettet årbejde med persondåtåforordningen for

Persondata på Københavns Universitet

Præsentation Tid +/- 25 minutter i praktik

Komiteen for Sundhedsoplysning CVR-nr.:

VELKOMMEN TIL. ERFA-MØDE 14. juni 2016

General Data Protection Regulation


JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

Persondatalovens dokumentationskrav

DATABESKYTTELSESPOLITIK FOR AJAX KØBENHAVN

Vi passer på dine persondata

Målrettet arbejde med persondataforordningen for

Lector ApS CVR-nr.:

OS2kravmotor Håndtering af GDPR

Per Løkken, Partner. CAMPUS November 2018

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

MedComs informationssikkerhedspolitik. Version 2.2

Persondataforordningen. Henrik Aslund Pedersen Partner

Hvordan kommer mit selskab i gang med arbejdet vedr. persondata. Dansk Fjernvarme

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

Er du nu HELT klar til GDPR? Bosted Temadag Rune Andersen, Manager, Product Management, EG

Plan og Handling CVR-nr.:

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

DER ER GÅET SPORT I INFORMATIONSSIKKERHED

SISCON GDPR I revisionsmæssigt perspektiv incl. præcisering vedrørned DPIA

EU-Persondataforordningen. Steen Okkels Nørby, Supply Chain Manager/Projektleder hos NOVAX, IT-branchen 20 år,

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

Behandling af personoplysninger

De første 350 dage med den nye databeskyttelsesforordning

KOMBIT OG SIKKERHED NU, OM LIDT OG FREMTIDEN

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Ejendomsforeningen Danmark Administratorkonference Status på persondataforordning

Persondataretlig compliance - Hvordan bliver din organisation klar?

Persondatapolitik for. Klippinge Vandværk

I vores privatlivspolitik kan du læse om, hvordan vi behandler dine personoplysninger.

Kontrakt om IT-infrastruktur-services 2017

Foreløbige erfaringer med implementering af persondataforordningen i Kulturministeriet Torsten Friis

SOPHIAGÅRD ELMEHØJEN

Persondataforordningen. Hvad kan vi bruge KITOS til?

Handleplan for informationssikkerhed 2017 i Region Midtjylland - oversigt over initiativer/faser som forventes afsluttet i 2017

Politikken beskrivelser hvordan vi behandler persondata om vores medlemmer og netværk.

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

Ma lrettet arbejde med persondataforordningen for

Persondata politik for GHP Gildhøj Privathospital

HJULMANDKAPTAIN PERSONDATA REGLER OG IMPLEMENTERING. OPLÆG TIL DANSKE BUSVOGMÆND DEN 29. NOVEMBER 2017 Advokat Karina Søndergaard

Assens Kommune Politik for databeskyttelse og informationssikkerhed

Dansk Selskab for GCP. Persondatareglerne

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

Databeskyttelsespolitik for DSI Midgård

Hvad er Informationssikkerhed

Målrettet arbejde med persondataforordningen for

Persondataforordningen

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Svanningevej 2 DK-9220 Aalborg Øst Tel

Målrettet arbejde med persondataforordningen for

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

Data protection impact assessment

Procedure for tilsyn af databehandleraftale

Plesner Certifikat i Persondataret

Persondatapolitik. Side 1 af 5

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

Fællesregional Informationssikkerhedspolitik

AMU-Vests Persondatapolitik

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

Transkript:

One year with GDPR - one year to come

HVEM ER JEG? JESPER HANSEN HAR 15+ ÅRS ERFARING, INDENFOR FORSKELLIGE IT-SIKKERHEDSDISCIPLINER. FOKUS PÅ STYRING AF VIRKSOMHEDERS INFORMATIONSSIKKERHED, HERUNDER IMPLEMENTERING AF ISO27001 BASERET ISMS, KONTROLMILJØER, EU-GDPR ANALYSER OG IMPLEMENTERINGER PROFESSIONEL TRACK-RECORD LEDER AF PFA INFRASTRUKTURAFDELING IT-SIKKERHEDSCHEF PFA MANAGER PWC UDDANNELSE ESL (HOLD 17), CISM, CRISC, CISSP, ITIL V3. DATALOG, KØBENHAVNS UNIVERSITET HD I/Ø FAGLIGE NETVÆRK MEDLEM AF RÅDET FOR DIGITAL SIKKERHED Kontakt: JBH@Siscon.dk One year with GDPR - one year to come 2

OM SISCON Dansk konsulenthus og softwareleverandør siden 2004 ControlManager Værktøjet der giver et helhedsbillede og dokumentere virksomhedens Informationssikkerhedsniveau Konsulentydelser der matcher og udnytter ControlManagers potentiale Kontor i Allerød med kursusfaciliteter 10 medarbejdere i en virksomhed i vækst Mere end 110 kunder i Danmark og Norge One year with GDPR - one year to come AAA rating for 2010, 2011, 2012, 2013 & 2014 3

(NOGET AF) DET VI HJÆLPER VORES KUNDER MED - SOM CONTROLMANAGER TM UNDERSTØTTER Overblik over eksterne krav (Lov, standarder) Realtidsoverblik over faktuelt complianceniveau Dataflowanalyser Kortlægning af risikobillede Overblik over databehandleraftaler One year with GDPR - one year to come 4

ERFARINGER MED EU-GDPR PROJEKTER Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Etablér projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Etablér projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 One year with GDPR - one year to come 5

EU-GDPR PROJEKTMODEL Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Etablér projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Etablér projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 One year with GDPR - one year to come 6

PROJEKTET - DET VI MENER MAN SKAL UNDGÅ - MEN SOM ER PÅ VEJ NOGEN STEDER EU-GDPR projekt Eksisterende Compliance tiltag One year with GDPR - one year to come 7

PROJEKTGRUPPENS SAMMENSÆTNING OG MANDAT - SIKRER SUCCESEN DE PROJEKTER SOM SER UD TIL PT. AT HAVE DEN STØRSTE SUCCES HAR EN RIGTIG GOD FORSTÅELSE FOR: Forretning IT-landskabet De juridiske problemstillinger (Pragmatisk!) Løsningen skal virke i praksis passe ind i organisationens kultur Eksisterende kontrolstrukturer Ønsker til fremtidige kontrolstrukturer, rapportering og compliance En stærk projektledelse Et vågent øje på den kulturelle forandring Projektgruppen er/skal være garant for at projektet integreres i eksisterende processer/strukturer One year with GDPR - one year to come 8

BEGREBSAFKLARING BEGREBSAFKLARING KAN MED FORDEL INDARBEJDES I OPSTARTEN OMKRING DATAFLOW-ANALYSERNE VI OPLEVER, AT DER ANVENDES FORSKELLIGE ROLLEBEGREBER RUNDT OMKRING I ORGANISATIONEN Projektet skal være forsigtige med ikke at opfinde et nyt begrebsapparat One year with GDPR - one year to come 9

OVERGANG TIL DRIFT - ROLLE- / BEGREBSAFKLARING IDENTIFICER EKSISTERENDE OG FASTLÆG I FÆLLESSKAB ENSARTEDE ROLLER: Procesejer / Systemejer Systemansvarlig / Driftsansvarlig Dataejer / Datakustode FASTLÆG I FÆLLESSKAB BETYDNINGEN AF DEN BASALE ROLLE- OG ANSVARSMODEL Hvem ejer data? (forretningen/it) Hvem er ansvarlig for datas sikkerhed? (forretningen/it) Hvad hvis ting er outsourcet? eller købes som services? Hvem er så ansvarlig? (outsourcingsleverandøren?) One year with GDPR - one year to come 10

EU-GDPR PROJEKTMODEL Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Skab projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Skab projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 One year with GDPR - one year to come 11

FOKUSOMRÅDER I GDPR GAP-ANALYSEN FAVNER DE BESTEMMELSER I GDPR, SOM PÅLÆGGER DATAANSVARLIGE OG DATABEHANDLERE, EN RÆKKE FORPLIGTELSER I FORHOLD TIL: Governance og transparens Datakvalitet Sikring af datasubjektets kontrol med egne data Sikkerhed Databeskyttelsespolitik og retningslinjer Procedurer og processer Anvendte standarder, fx. ISO27001 Databehandleraftaler DPO Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesser Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Sikkerhed Fortrolighed Integritet Tilgængelighed Robusthed Adgangsrettigheder Dataansvarlighed Datarettigheder One year with GDPR - one year to come 12

DATAFLOWANALYSER EU-GDPR KRÆVER VURDERING AF KONSEKVENSERNE AF DATABEHANDLINGEN FOR AT EVALUERE RISICIENES OPRINDELSE, NATUR, EGENART OG ALVORLIGHED (DPIA) DET FORUDSÆTTER OVERBLIK OVER DATAFLOWS HVILER PÅ ET OVERBLIK OVER IT-INFRASTRUKTUR FUNKTIONSOMRÅDER Identificér relevante funktionsområder processer systemer aktiver DATAFLOWS Beskriv dataflows: datakilder dataelementer datatyper videregivelse af data DPIA Vurdér: Dataansvarlighed Databehandling Datarettigheder Datasikkerhed One year with GDPR - one year to come IT-landskabet 13

HVAD DIKTERER NIVEAUET? 1) DEN JURIDISKE GAP-ANALYSE - I PROJEKTET 2) HVAD ØNSKER DPO AF INDBLIK - I DRIFTEN Forordningen som helhed Databehandlingen (Procesmæssig GAP) Tekniske og organisatoriske sikringsforanstaltninger Samlet GAP I HVILKE PROCESSER OG SYSTEMER INDGÅR PERSONHENFØRBARE OPLYSNINGER? HVILKE PROCESSER ER UNDERSTØTTET AF DATABEHANDLERAFTALER? HVOR HAR VI OVERFØRSEL TIL 3. LANDE? HVILKE KANALER ANVENDER VI TIL DATAUDVEKSLING? HVOR SKER DER SAMTYKKEFORSKYDNING? Og er den godkendt? HVORDAN DOKUMENTERER VI, AT DATAKORTLÆGNINGEN ER TILSTRÆKKELIG One year with GDPR - one year to come 14

NIVEAUET AF ANALYSEN? Modtagelse af ansøgninger Virksomhedsområde Rekruttering Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Fastholdelse Funktionsområde Gennemførelse af MUS Proces One year with GDPR - one year to come 15

DATAFLOW ELEMENTER HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Online screening Datasæt 1 Mail/kalender (Vedhæftet resultater) Datasæt 2 Filserver (Resultater gemt) Datasæt 3 Data: - A - B Data: - E - F - G Data: - C - H - I Fastholdelse Gennemførelse af MUS HR system Datasæt 4 One year with GDPR - one year to come 16

MINIMUMSNIVEAUET? Datasæt 1 Datasæt 2 Datasæt 3 Datasæt 4 ControlManager skærmbillede Data som udveksles og type samt sikkerhed på kanal One year with GDPR - one year to come 17

EU-GDPR PROJEKTMODEL Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Skab projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Skab projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 One year with GDPR - one year to come 18

SIKKERHEDSHÅNDBOG SIKKERHEDSHÅNDBOGEN SIKRER: Klare rammer for sikkerhedsarbejdet Beskrivelse af konkrete sikringstiltag, både tekniske og administrative En rød tråd fra krav til tiltag til opfølgning Dokumentation for efterlevelse af standarder og andre krav Dokumentation for kontrol af sikringstiltag Forankring i organisationen One year with GDPR - one year to come 19

FORDELEN VED AT BRUGE REGLER TAG UDGANGSPUNKT I LOV/STANDARD Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov ILLUSTRER HVILKE REGLER DER ER ETABLERET FOR AT UNDERSTØTTE OVERHOLDELSE AF LOV ILLUSTRER HVILKE KONTROLLER DER ER PÅ PLADS, FOR AT SIKRE OVERHOLDELSE AF REGEL DOKUMENTER EVIDENS PÅ KONTROLLER One year with GDPR - one year to come 20

FASTLÆGGELSE AF ROLLER OG ANSVAR INDENFOR EU-GDPR EU-GDPR AFDELING 3 BERIGTIGELSE OG SLETNING 17, stk. 1 (a), (b), (c ), (d), (e ), (f) DATASUBJEKTET HAR RET TIL AT FÅ SLETTET PERSONDATA OM SIG SELV UDEN UNØDIG FORSINKELSE, OG DEN DATAANSVARLIGE HAR PLIGT TIL AT SLETTE PERSONOPLYSNINGER UDEN UNØDIG FORSINKELSE, HVIS DATA IKKE LÆNGERE ER NØDVENDIGE I FORHOLD TIL FORMÅLET ELLER, DATASUBJEKTET TRÆKKER SIT SAMTYKKE TILBAGE ELLER GØR INDSIGELSE ELLER MODSÆTTER SIG DATABEHANDLINGEN, SAMT I TILFÆLDE, HVOR DATABEHANDLINGEN ER ULOVLIG, ELLER SKAL SLETTES SOM FØLGE AF LOVGIVNING ELLER ANGÅR INDHENTNING AF PERSONDATA OM BØRN TIL BRUG I INFORMATIONSTJENESTER. One year with GDPR - one year to come 21

HUSK FASTLÆGGELSE AF ROLLER OG ANSVAR PÅ EU- GDPR EU-GDPR Kontrol Regel egel Regel Hvordan/detaljer Hvordan One year with GDPR - one year to come 22

FASTLÆGGELSE AF ROLLER OG ANSVAR GENNEM REGLER Lov-tekst Regler Kontroller ControlManager One year with GDPR skærmbillede - one year to come 23

COMPLIANCE OVERBLIK Her er der et stykke vej endnu MEN model kan anvendes til den overordnede GAP analyse ControlManager skærmbillede One year with GDPR - one year to come 24

RELATION MELLEM LOV/STANDARD - MULIGHED FOR GENBRUG GENBRUG EVT. REGLER FRA ISO 27001/2 Brug f.eks. DI s vejledning til at genbruge eksisterende regler Mapning One year with GDPR - one year to come 25

RESULTATERNE Automatisk mapning Regler i forhold til EU-GDPR (arvet eller direkte) Regler i forhold til ISO27001 One year with GDPR - one year to come 26

EU-GDPR PROJEKTMODEL Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Skab projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Skab projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 One year with GDPR - one year to come 27

DRIFTSFASEN GÅR UD PÅ AT UNDGÅ - (KORT SAGT) 1. AT ÆNDRINGER ØDELÆGGER SETUP ET Ændringer vil kunne rykke det billede vi har af: processer systemer data sikringsforanstaltninger Disse ændringer kan blive initialiseret flere steder, det er derfor vigtigt, at i har styr på ændringsprocesser: Forretningsudvikling Indkøb Projektstyring IT - Change Management 2. MANGLENDE KONTROL MED DET PROJEKTET HAR IMPLEMENTERET Min kollega Lars har et indlæg i morgen omkring driftsfasen herunder kontroller og compliance One year with GDPR - one year to come 28

KOM OG BESØG OS PÅ VORES STAND TIL EN DIALOG OM DATA- & INFORMATIONSSIKKERHED DELTAG I KONKURRENCEN OM ET PRAKTISK GDPR KURSUS MED SISCON & CARVE PÅ VORES STAND KAN DU HØRE HVAD VI KAN GØRE I SAMARBEJDE MED DIG! Konsulentsparring: GDPR baggrund og indhold med fokus på forskellige målgrupper Datakortlægning / dataflow DPIA Design af konsekvens- og risikoanalyser ControlManager som forankring og understøttelse til GDPR implementering Modenhedsanalyser - Organisationens ISMS og GDPR modenhed Rådgivning om ISMS og GDPR planlægning, implementering, vedligehold og evaluering Christina Wulff CWJ@siscon.dk Camilla Bruun CAB@siscon.dk Jesper B. Hansen JBH@siscon.dk Lars Bærentzen LAB@siscon.dk Henrik Tobias HET@siscon.dk Henrik Drøscher HED@siscon.dk

CHRISTINA & HENRIK BYDER PÅ ET GLAS VIN & LIVE DEMO AF CONTROLMANAGER I DAG KL. 15:30 I LOKALE 101 TILMELDING ER NØDVENDIG BEGRÆNSEDE PLADSER! TILMELD DIG DEMO PÅ SISCONS STAND Christina Wulff CWJ@siscon.dk Henrik Drøscher HED@siscon.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback