EU-GDPR i ControlManager

Relaterede dokumenter
One year with GDPR - one year to come

VELKOMMEN TIL ERFA-MØDE 8. juni 2017

GDPR projekt papirtiger. - Med det rette overblik

EU Persondataforordning. One year with GDPR - one year to come

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

GDPR projekt papirtiger Med det rette overblik

ERFA-MØDE 8. & 15. dec. 2016

GDPR og ISO To sider af samme sag Offentlig Digitalisering 2018

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

Når compliance bliver kultur

Struktureret Compliance

Tilsyn med Databehandlere

Konsekvensanalyser i praksis: hvorfor, hvornår og hvordan

Struktureret Compliance. på tværs af ISO9001, ISO27001 & EU GDPR

KOMBIT OG SIKKERHED NU, OM LIDT OG FREMTIDEN

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

DER ER GÅET SPORT I INFORMATIONSSIKKERHED

Persondataforordningen...den nye erklæringsstandard

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

BILAG 5 DATABEHANDLERAFTALE

RISIKOVURDERING I PRAKSIS

Databeskyttelsesdagen

Handleplan for informationssikkerhed 2017 i Region Midtjylland - oversigt over initiativer/faser som forventes afsluttet i 2017

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Leverandørstyring: Stil krav du kan måle på

Er du nu HELT klar til GDPR? Bosted Temadag Rune Andersen, Manager, Product Management, EG

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondatalovens dokumentationskrav

VELKOMMEN TIL. ERFA-MØDE 14. juni 2016

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa


Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

EU S PERSONDATAFORORDNING & CLOUD COMPUTING

Bilag A Databehandleraftale pr

Transkript:

EU-GDPR i ControlManager

HVEM ER JEG? LARS BÆRENTZEN HAR 20+ ÅRS ERFARING, INDENFOR FORSKELLIGE IT-SIKKERHED, INFORMATIONSSIKKERHED OG DATABESKYTTELSESDISCIPLINER. SOM KONSULENT HAR JEG BLA. HJULPET MED: OPBYGNING AF ISMS EFTERLEVELSESDOKUMENTATION INFORMATIONSSIKKERHEDSPOLITIKKER GENNEMFØRELSE AF RISIKOVURDERINGER UDARBEJDELSE AF BEREDSKABSPLANER GENNEMFØRELSE AF BEREDSKABSTEST GDPR DATAKORTLÆGNING GDPR GAP-ANALYSER AWARENESS KAMPAGNER KONTAKT CHRISTINA WULFF JENSEN HVIS DU VIL VIDE MERE OM HVAD SISCON KAN! MAIL: CWJ@SISCON.DK TEL: 40 93 17 42 2

OM SISCON Dansk konsulenthus og softwareleverandør siden 2004 ControlManager - værktøjet der giver et helhedsbillede og dokumentere virksomhedens data- og informationssikkerhed Konsulentydelser der matcher og udnytter ControlManagers potentiale Kontor i Allerød med kursusfaciliteter 10 medarbejdere en virksomhed i vækst Mere end 120 kunder i Danmark og Norge ControlManager by Siscon AAA rating for 2010, 2011, 2012, 2013, 2014, 2015 3

I SAMARBEJDER MED VORES KUNDER SKABER VI SUCCES

CONTROLMANAGER - DEN ULTIMATIVE VÆRKTØJSKASSE Databehandler Aftaler Revisionserklæringer Dokumentstyring ControlManager TM IT-Risikostyring GDPR-Risikostyring EU-GDPR Efterlevelse Efterlevelse Kontrolkatalog GAP-Analyse Awareness & ledelsesforankring Data Breach Notification Beredskab Dataflow ControlManager by Siscon 5

EU-GDPR IMPLEMENTERET I CONTROLMANAGER

PROJEKTET - DET VI MENER MAN SKAL UNDGÅ - MEN SOM ER PÅ VEJ NOGEN STEDER EU-GDPR Eksisterende Compliance ControlManager by Siscon 7

ERFARINGER MED EU-GDPR PROJEKTER Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Etablér projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Etablér projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering pr. proces af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag GAP/RISK på forordningen som helhed Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser understøttes C af ControlManager 25. maj 2018 ControlManager by Siscon 8

PROJEKTGRUPPENS SAMMENSÆTNING OG MANDAT - SIKRER SUCCESEN DE PROJEKTER SOM SER UD TIL PT. AT HAVE DEN STØRSTE SUCCES HAR EN RIGTIG GOD FORSTÅELSE FOR: Forretningen IT-landskabet En stærk projektledelse De juridiske problemstillinger (Pragmatisk!) Løsningen skal: virke i praksis passe ind i organisationen Eksisterende kontrolstrukturer Ønsker til fremadrettet dokumentation af kontrolstrukturer, rapportering og compliance Et vågent øje på den kulturelle forandring Projektgruppen er/skal være garant for at projektet integreres i eksisterende processer/strukturer ControlManager by Siscon 9

DATAFLOWANALYSER EU-GDPR KRÆVER VURDERING AF KONSEKVENSERNE AF DATABEHANDLINGEN FOR AT EVALUERE RISICIENES OPRINDELSE, NATUR, EGENART OG ALVORLIGHED DET FORUDSÆTTER OVERBLIK OVER DATA FUNKTIONSOMRÅDER Identificér relevante funktionsområder processer systemer aktiver DATAFLOWS Beskriv dataflows: datakilder dataelementer datatyper videregivelse af data DPIA Vurdér: Dataansvarlighed Databehandling Datarettigheder Datasikkerhed ControlManager by Siscon IT-landskabet 10

RELEVANTE OMRÅDER Overblik over databehandlingen Overblik over faktuelt complianceniveau Opbevaring og vedligeholdelse revisionserklæringer og databehandleraftaler ControlManager by Siscon 11

HVAD DIKTERER NIVEAUET? 1) DEN JURIDISKE GAP-ANALYSE - I PROJEKTET 2) HVAD ØNSKER DPO AF INDBLIK - I DRIFTEN Forordningen som helhed Databehandlingen (Procesmæssig GAP) Tekniske og organisatoriske sikringsforanstaltninger Samlet GAP I HVILKE PROCESSER OG SYSTEMER INDGÅR PERSONHENFØRBARE OPLYSNINGER? HVILKE PROCESSER ER UNDERSTØTTET AF DATABEHANDLERAFTALER? HVOR HAR VI OVERFØRSEL TIL 3. LANDE? HVILKE KANALER ANVENDER VI TIL DATAUDVEKSLING? HVOR SKER DER FORMÅLSFORSKYDNING? HVORDAN DOKUMENTERER VI, AT DATAKORTLÆGNINGEN ER TILSTRÆKKELIG ControlManager by Siscon 12

FOR SCREENING HVOR SKAL VI GENNEMFØRE ANALYSE? R&D IT HR System Service Virksomhed Produktion Salg og marketing Kunde Service Økonomi ControlManager by Siscon 13

NIVEAUET AF ANALYSEN? Modtagelse af ansøgninger Virksomhedsområde Rekruttering Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Fastholdelse Funktionsområde Gennemførelse af MUS Proces ControlManager by Siscon 14

DATAFLOW ELEMENTER HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Online screening Datasæt 1 Mail/kalender (Vedhæftet resultater) Datasæt 2 Filserver (Resultater gemt) Datasæt 3 Data: - A - B Data: - E - F - G Data: - C - H - I Fastholdelse Gennemførelse af MUS HR system Datasæt 4 ControlManager by Siscon 15

MINIMUMSNIVEAUET? Datasæt 1 Datasæt 2 Datasæt 3 Datasæt 4 ControlManager skærmbillede ControlManager by Siscon 16

DET SOM MANGLER TIL DEN KLASSISKE RISIKO MODEL - IKKE UDTØMMENDE LISTE KORTLÆGNING HVILKE DATA(TYPER) ER PLACERET HVOR? Typer (Følsomme/Almindelige etc.) SIKKERHED PÅ KANAL FOR UDVEKSLING Mail, WWW, SMS, Brev GAP ER DER TÆNKT OVER DATAMINIMERING? HVOR OFTE/HVORDAN SLETTES DATA? ER DER TILSTRÆKKELIG LOVHJEMMEL? samtykke kontrakt samfundets interesse ER DER (UNDER)DATABEHANDLERE? Databehandleraftaler Revisionserklæringer ER DER STYR PÅ TEKNISKE OG ORGANISATORISKE SIKRINGSFORANSTALTNINGER (I FORHOLD TIL DATA)? Logning Brugerstyring Beredskab ControlManager by Siscon 17

EU-GDPR PROJEKTMODEL Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Skab projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Skab projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Proces GAP Gennemfør GAP/RISK vurdering pr. proces af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag GAP/RISK på forordningen som helhed Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 ControlManager by Siscon 18

GAP/RISK/DPIA Model 1 - Ren GAP GAP/DPIA/Risk Model 2 - DPIA (med risikovurdering) ControlManager by Siscon 19

RELEVANTE OMRÅDER Overblik over databehandlingen Overblik over faktuelt complianceniveau Opbevaring og vedligeholdelse revisionserklæringer og databehandleraftaler ControlManager by Siscon 20

EFTERLEVELSESDOKUMENTATION HÅNDBOGEN SIKRER: Klare rammer for arbejdet Beskrivelse af konkrete tiltag, både tekniske og administrative En rød tråd fra krav til tiltag til opfølgning Direkte dokumentation af efterlevelse af standarder Dokumentation for kontrol af tiltag Forankring i organisationen ControlManager by Siscon 21

Sammenhæng fra top til bund ET SAMLET REGELSÆT Standarder F.eks. ISO 27001 Love / Bekendtgørelser Persondata forordningen Branchespecifikke vejledninger Publikationer F.eks. Cyberforsvar der virker Et samlet regelsæt Kontrol Dimension IT Drift IT Udvikling ISMS Styring Kontroller Periodisk review af brugere Kontrol af patchniveau Penetrationstest Risikovurdering ControlManager by Siscon 22

VURDERING AF COMPLIANCE-NIVEAU TAG UDGANGSPUNKT I LOV/STANDARD Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov ILLUSTRER HVILKE REGLER DER ER ETABLERET FOR AT UNDERSTØTTE OVERHOLDELSE AF LOV ILLUSTRER HVILKE KONTROLLER DER ER PÅ PLADS, FOR AT SIKRE OVERHOLDELSE AF REGEL DOKUMENTER EVIDENS PÅ KONTROLLER ControlManager by Siscon 23

I PRAKSIS EU-GDPR EKSEMPEL EU-GDPR AFDELING 3 BERIGTIGELSE OG SLETNING 17, stk. 1 (a), (b), (c ), (d), (e ), (f) DATASUBJEKTET HAR RET TIL AT FÅ SLETTET PERSONDATA OM SIG SELV UDEN UNØDIG FORSINKELSE, OG DEN DATAANSVARLIGE HAR PLIGT TIL AT SLETTE PERSONOPLYSNINGER UDEN UNØDIG FORSINKELSE, HVIS DATA IKKE LÆNGERE ER NØDVENDIGE I FORHOLD TIL FORMÅLET ELLER, DATASUBJEKTET TRÆKKER SIT SAMTYKKE TILBAGE ELLER GØR INDSIGELSE ELLER MODSÆTTER SIG DATABEHANDLINGEN, SAMT I TILFÆLDE, HVOR DATABEHANDLINGEN ER ULOVLIG, ELLER SKAL SLETTES SOM FØLGE AF LOVGIVNING ELLER ANGÅR INDHENTNING AF PERSONDATA OM BØRN TIL BRUG I INFORMATIONSTJENESTER. ControlManager by Siscon 24

MAPNING AF EU-GDPR -> REGEL -> KONTROL EU-GDPR Kontrol Regel egel Regel Hvordan/detaljer Hvordan ControlManager by Siscon 25

FASTLÆGGELSE AF ROLLER OG ANSVAR GENNEM REGLER Lov-tekst Regler Kontroller ControlManager by skærmbillede Siscon 26

OVERBLIK OVER GENNEMFØRTE KONTROLLER - FAKTUELT COMPLIANCEOVERBLIK ControlManager skærmbillede ControlManager by Siscon 27

OVERBLIK OVER GENNEMFØRTE KONTROLLER - FAKTUELT COMPLIANCEOVERBLIK ControlManager skærmbillede ControlManager by Siscon 28

RELEVANTE OMRÅDER Overblik over databehandlingen Overblik over faktuelt complianceniveau Opbevaring og vedligeholdelse revisionserklæringer og databehandleraftaler ControlManager by Siscon 29

DOKUMENTARKIV OPBEVARING AF Sletteinstrukser Databehandleraftaler Revisionserklæringer PERIODISK REVURDERING AF Gyldighed RELATERET TIL Processer/Services/ Aktiver/Datakortlægning ControlManager by Siscon 30

DATAFLOW ELEMENTER Online screening HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Mail/kalender (Vedhæftet resultater) Filserver (Resultater gemt) HR system Fastholdelse Gennemførelse af MUS ControlManager by Siscon 31

EU-GDPR PROJEKTMODEL Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Skab projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Skab projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering pr. proces af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag GAP/RISK på forordningen som helhed Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 ControlManager by Siscon 32

DRIFTSFASEN GÅR UD PÅ AT UNDGÅ - (KORT SAGT) 1. AT ÆNDRINGER ØDELÆGGER SETUP ET Ændringer vil kunne rykke det billede vi har af: processer systemer data tiltag Disse ændringer kan blive initialiseret flere steder, det er derfor vigtigt, at i har styr på ændringsprocesser : Forretningsudvikling Indkøb Projektstyring IT - Change Management 2. MANGLENDE KONTROL MED DET PROJEKTET HAR IMPLEMENTERET ControlManager by Siscon 33

JUST DO IT!!!! Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Etablér projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Etablér projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering pr. proces af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag GAP/RISK på forordningen som helhed Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser understøttes C af ControlManager 25. maj 2018 ControlManager by Siscon 34

KONTAKT KONTAKT CHRISTINA WULFF JENSEN HVIS DU VIL VIDE MERE OM HVORDAN SISCON KAN UNDERSTØTTE DIN VIRKSOMHED MED INFORMATIONSSIKKERHED OG GDPR MAIL: CWJ@SISCON.DK TEL: +45 40 93 17 42 ControlManager by Siscon

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback