One year with GDPR - one year to come
HVEM ER JEG? JESPER HANSEN HAR 15+ ÅRS ERFARING, INDENFOR FORSKELLIGE IT-SIKKERHEDSDISCIPLINER. FOKUS PÅ STYRING AF VIRKSOMHEDERS INFORMATIONSSIKKERHED, HERUNDER IMPLEMENTERING AF ISO27001 BASERET ISMS, KONTROLMILJØER, EU-GDPR ANALYSER OG IMPLEMENTERINGER PROFESSIONEL TRACK-RECORD LEDER AF PFA INFRASTRUKTURAFDELING IT-SIKKERHEDSCHEF PFA MANAGER PWC UDDANNELSE ESL (HOLD 17), CISM, CRISC, CISSP, ITIL V3. DATALOG, KØBENHAVNS UNIVERSITET HD I/Ø FAGLIGE NETVÆRK MEDLEM AF RÅDET FOR DIGITAL SIKKERHED Kontakt: JBH@Siscon.dk One year with GDPR - one year to come 2
OM SISCON Dansk konsulenthus og softwareleverandør siden 2004 ControlManager Værktøjet der giver et helhedsbillede og dokumentere virksomhedens Informationssikkerhedsniveau Konsulentydelser der matcher og udnytter ControlManagers potentiale Kontor i Allerød med kursusfaciliteter 10 medarbejdere i en virksomhed i vækst Mere end 110 kunder i Danmark og Norge One year with GDPR - one year to come AAA rating for 2010, 2011, 2012, 2013 & 2014 3
(NOGET AF) DET VI HJÆLPER VORES KUNDER MED - SOM CONTROLMANAGER TM UNDERSTØTTER Overblik over eksterne krav (Lov, standarder) Realtidsoverblik over faktuelt complianceniveau Dataflowanalyser Kortlægning af risikobillede Overblik over databehandleraftaler One year with GDPR - one year to come 4
ERFARINGER MED EU-GDPR PROJEKTER Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Etablér projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Etablér projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 One year with GDPR - one year to come 5
EU-GDPR PROJEKTMODEL Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Etablér projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Etablér projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 One year with GDPR - one year to come 6
PROJEKTET - DET VI MENER MAN SKAL UNDGÅ - MEN SOM ER PÅ VEJ NOGEN STEDER EU-GDPR projekt Eksisterende Compliance tiltag One year with GDPR - one year to come 7
PROJEKTGRUPPENS SAMMENSÆTNING OG MANDAT - SIKRER SUCCESEN DE PROJEKTER SOM SER UD TIL PT. AT HAVE DEN STØRSTE SUCCES HAR EN RIGTIG GOD FORSTÅELSE FOR: Forretning IT-landskabet De juridiske problemstillinger (Pragmatisk!) Løsningen skal virke i praksis passe ind i organisationens kultur Eksisterende kontrolstrukturer Ønsker til fremtidige kontrolstrukturer, rapportering og compliance En stærk projektledelse Et vågent øje på den kulturelle forandring Projektgruppen er/skal være garant for at projektet integreres i eksisterende processer/strukturer One year with GDPR - one year to come 8
BEGREBSAFKLARING BEGREBSAFKLARING KAN MED FORDEL INDARBEJDES I OPSTARTEN OMKRING DATAFLOW-ANALYSERNE VI OPLEVER, AT DER ANVENDES FORSKELLIGE ROLLEBEGREBER RUNDT OMKRING I ORGANISATIONEN Projektet skal være forsigtige med ikke at opfinde et nyt begrebsapparat One year with GDPR - one year to come 9
OVERGANG TIL DRIFT - ROLLE- / BEGREBSAFKLARING IDENTIFICER EKSISTERENDE OG FASTLÆG I FÆLLESSKAB ENSARTEDE ROLLER: Procesejer / Systemejer Systemansvarlig / Driftsansvarlig Dataejer / Datakustode FASTLÆG I FÆLLESSKAB BETYDNINGEN AF DEN BASALE ROLLE- OG ANSVARSMODEL Hvem ejer data? (forretningen/it) Hvem er ansvarlig for datas sikkerhed? (forretningen/it) Hvad hvis ting er outsourcet? eller købes som services? Hvem er så ansvarlig? (outsourcingsleverandøren?) One year with GDPR - one year to come 10
EU-GDPR PROJEKTMODEL Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Skab projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Skab projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 One year with GDPR - one year to come 11
FOKUSOMRÅDER I GDPR GAP-ANALYSEN FAVNER DE BESTEMMELSER I GDPR, SOM PÅLÆGGER DATAANSVARLIGE OG DATABEHANDLERE, EN RÆKKE FORPLIGTELSER I FORHOLD TIL: Governance og transparens Datakvalitet Sikring af datasubjektets kontrol med egne data Sikkerhed Databeskyttelsespolitik og retningslinjer Procedurer og processer Anvendte standarder, fx. ISO27001 Databehandleraftaler DPO Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesser Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Sikkerhed Fortrolighed Integritet Tilgængelighed Robusthed Adgangsrettigheder Dataansvarlighed Datarettigheder One year with GDPR - one year to come 12
DATAFLOWANALYSER EU-GDPR KRÆVER VURDERING AF KONSEKVENSERNE AF DATABEHANDLINGEN FOR AT EVALUERE RISICIENES OPRINDELSE, NATUR, EGENART OG ALVORLIGHED (DPIA) DET FORUDSÆTTER OVERBLIK OVER DATAFLOWS HVILER PÅ ET OVERBLIK OVER IT-INFRASTRUKTUR FUNKTIONSOMRÅDER Identificér relevante funktionsområder processer systemer aktiver DATAFLOWS Beskriv dataflows: datakilder dataelementer datatyper videregivelse af data DPIA Vurdér: Dataansvarlighed Databehandling Datarettigheder Datasikkerhed One year with GDPR - one year to come IT-landskabet 13
HVAD DIKTERER NIVEAUET? 1) DEN JURIDISKE GAP-ANALYSE - I PROJEKTET 2) HVAD ØNSKER DPO AF INDBLIK - I DRIFTEN Forordningen som helhed Databehandlingen (Procesmæssig GAP) Tekniske og organisatoriske sikringsforanstaltninger Samlet GAP I HVILKE PROCESSER OG SYSTEMER INDGÅR PERSONHENFØRBARE OPLYSNINGER? HVILKE PROCESSER ER UNDERSTØTTET AF DATABEHANDLERAFTALER? HVOR HAR VI OVERFØRSEL TIL 3. LANDE? HVILKE KANALER ANVENDER VI TIL DATAUDVEKSLING? HVOR SKER DER SAMTYKKEFORSKYDNING? Og er den godkendt? HVORDAN DOKUMENTERER VI, AT DATAKORTLÆGNINGEN ER TILSTRÆKKELIG One year with GDPR - one year to come 14
NIVEAUET AF ANALYSEN? Modtagelse af ansøgninger Virksomhedsområde Rekruttering Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Fastholdelse Funktionsområde Gennemførelse af MUS Proces One year with GDPR - one year to come 15
DATAFLOW ELEMENTER HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Online screening Datasæt 1 Mail/kalender (Vedhæftet resultater) Datasæt 2 Filserver (Resultater gemt) Datasæt 3 Data: - A - B Data: - E - F - G Data: - C - H - I Fastholdelse Gennemførelse af MUS HR system Datasæt 4 One year with GDPR - one year to come 16
MINIMUMSNIVEAUET? Datasæt 1 Datasæt 2 Datasæt 3 Datasæt 4 ControlManager skærmbillede Data som udveksles og type samt sikkerhed på kanal One year with GDPR - one year to come 17
EU-GDPR PROJEKTMODEL Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Skab projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Skab projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 One year with GDPR - one year to come 18
SIKKERHEDSHÅNDBOG SIKKERHEDSHÅNDBOGEN SIKRER: Klare rammer for sikkerhedsarbejdet Beskrivelse af konkrete sikringstiltag, både tekniske og administrative En rød tråd fra krav til tiltag til opfølgning Dokumentation for efterlevelse af standarder og andre krav Dokumentation for kontrol af sikringstiltag Forankring i organisationen One year with GDPR - one year to come 19
FORDELEN VED AT BRUGE REGLER TAG UDGANGSPUNKT I LOV/STANDARD Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov ILLUSTRER HVILKE REGLER DER ER ETABLERET FOR AT UNDERSTØTTE OVERHOLDELSE AF LOV ILLUSTRER HVILKE KONTROLLER DER ER PÅ PLADS, FOR AT SIKRE OVERHOLDELSE AF REGEL DOKUMENTER EVIDENS PÅ KONTROLLER One year with GDPR - one year to come 20
FASTLÆGGELSE AF ROLLER OG ANSVAR INDENFOR EU-GDPR EU-GDPR AFDELING 3 BERIGTIGELSE OG SLETNING 17, stk. 1 (a), (b), (c ), (d), (e ), (f) DATASUBJEKTET HAR RET TIL AT FÅ SLETTET PERSONDATA OM SIG SELV UDEN UNØDIG FORSINKELSE, OG DEN DATAANSVARLIGE HAR PLIGT TIL AT SLETTE PERSONOPLYSNINGER UDEN UNØDIG FORSINKELSE, HVIS DATA IKKE LÆNGERE ER NØDVENDIGE I FORHOLD TIL FORMÅLET ELLER, DATASUBJEKTET TRÆKKER SIT SAMTYKKE TILBAGE ELLER GØR INDSIGELSE ELLER MODSÆTTER SIG DATABEHANDLINGEN, SAMT I TILFÆLDE, HVOR DATABEHANDLINGEN ER ULOVLIG, ELLER SKAL SLETTES SOM FØLGE AF LOVGIVNING ELLER ANGÅR INDHENTNING AF PERSONDATA OM BØRN TIL BRUG I INFORMATIONSTJENESTER. One year with GDPR - one year to come 21
HUSK FASTLÆGGELSE AF ROLLER OG ANSVAR PÅ EU- GDPR EU-GDPR Kontrol Regel egel Regel Hvordan/detaljer Hvordan One year with GDPR - one year to come 22
FASTLÆGGELSE AF ROLLER OG ANSVAR GENNEM REGLER Lov-tekst Regler Kontroller ControlManager One year with GDPR skærmbillede - one year to come 23
COMPLIANCE OVERBLIK Her er der et stykke vej endnu MEN model kan anvendes til den overordnede GAP analyse ControlManager skærmbillede One year with GDPR - one year to come 24
RELATION MELLEM LOV/STANDARD - MULIGHED FOR GENBRUG GENBRUG EVT. REGLER FRA ISO 27001/2 Brug f.eks. DI s vejledning til at genbruge eksisterende regler Mapning One year with GDPR - one year to come 25
RESULTATERNE Automatisk mapning Regler i forhold til EU-GDPR (arvet eller direkte) Regler i forhold til ISO27001 One year with GDPR - one year to come 26
EU-GDPR PROJEKTMODEL Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Skab projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Skab projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 One year with GDPR - one year to come 27
DRIFTSFASEN GÅR UD PÅ AT UNDGÅ - (KORT SAGT) 1. AT ÆNDRINGER ØDELÆGGER SETUP ET Ændringer vil kunne rykke det billede vi har af: processer systemer data sikringsforanstaltninger Disse ændringer kan blive initialiseret flere steder, det er derfor vigtigt, at i har styr på ændringsprocesser: Forretningsudvikling Indkøb Projektstyring IT - Change Management 2. MANGLENDE KONTROL MED DET PROJEKTET HAR IMPLEMENTERET Min kollega Lars har et indlæg i morgen omkring driftsfasen herunder kontroller og compliance One year with GDPR - one year to come 28
KOM OG BESØG OS PÅ VORES STAND TIL EN DIALOG OM DATA- & INFORMATIONSSIKKERHED DELTAG I KONKURRENCEN OM ET PRAKTISK GDPR KURSUS MED SISCON & CARVE PÅ VORES STAND KAN DU HØRE HVAD VI KAN GØRE I SAMARBEJDE MED DIG! Konsulentsparring: GDPR baggrund og indhold med fokus på forskellige målgrupper Datakortlægning / dataflow DPIA Design af konsekvens- og risikoanalyser ControlManager som forankring og understøttelse til GDPR implementering Modenhedsanalyser - Organisationens ISMS og GDPR modenhed Rådgivning om ISMS og GDPR planlægning, implementering, vedligehold og evaluering Christina Wulff CWJ@siscon.dk Camilla Bruun CAB@siscon.dk Jesper B. Hansen JBH@siscon.dk Lars Bærentzen LAB@siscon.dk Henrik Tobias HET@siscon.dk Henrik Drøscher HED@siscon.dk
CHRISTINA & HENRIK BYDER PÅ ET GLAS VIN & LIVE DEMO AF CONTROLMANAGER I DAG KL. 15:30 I LOKALE 101 TILMELDING ER NØDVENDIG BEGRÆNSEDE PLADSER! TILMELD DIG DEMO PÅ SISCONS STAND Christina Wulff CWJ@siscon.dk Henrik Drøscher HED@siscon.dk