SESAM GDPR PLATTFORM. Den enkleste og mest effektive løsningen når virksomheten skal etterleve de funksjonelle kravene med GDPR.

Transkript

1 SESAM GDPR PLATTFORM Den enkleste og mest effektive løsningen når virksomheten skal etterleve de funksjonelle kravene med GDPR. 1

2 Hva er SESAM? SESAM er et produkt. Produktet er en integrasjonsplattform med et unikt datahub for å samle, koble og dele data på tvers av IT-systemer, uten å måtte endre systemene. Produktet ble opprinnelig utviklet for én kunde med behov for å få løst utfordringer knyttet til at endringshastigheten for data, datakilder og mottakere av data øker eksponentielt. Løsningen var så vellykket at den ble etablert som et eget produkt. SESAM er en startup og en del av av det store konsulentselskapet Bouvet. Selskapet ble etablert for å disrupte måten systemarkitektur og integrasjoner blir gjort på i dag. Ifølge store internasjonale analytikere (bl.a. Gartner) løser SESAM dataflyt slik de mener det vil bli gjort i fremtiden. Startupen brøyter altså vei og er i front, i påvente av mer modenhet i markedet. 2

3 SESAM er en bevegelse. Vi forstår at data er verdifullt. Vi tror på demokratisering av data, og økt tilgang. For tilgang til data gir innsikt. Denne innsikten er vi overbevist om at kan brukes til å lage bedre tjenester, både for virksomheten og for kundene. Data er kjernen i nesten all innovasjon. Vi ønsker derfor at data skal kunne flyte fritt, der det er lovlig selvsagt. Å sikre fri flyt vil igjen skape en bedre, raskere og billigere måte å digitalisere Norge på. Ideen SESAM ble unnfanget av en punker som også er Mensa-medlem en smart rebell, med andre ord. Han ville frigjøre dataene. Selskapet SESAM vil gi friheten til alle deler av en organisasjon og deres kunder eller brukere. Etablert: 2014 Antall ansatte: 30 Lisensinntekter, årlig: ,- 3

4 Personvernforordningen (GDPR) trer i kraft 25. mai 2018 og skal styrke og harmonisere personvernet ved behandling av personopplysninger i EU. GDPR stiller mange krav som selskap og organisasjoner må etterleve. Blant annet: Rett til innsyn (artikkel 15) Samtykkehåndtering (artikkel 7) Rett til endring (artikkel 16) Rett til å bli glemt (artikkel 17) Rett til dataportabilitet (artikkel 20) I praksis må virksomheten kunne tilby den registrerte personen: En løsning som gir både tilgang til opplysningene virksomheten har om ham eller henne, og mulighet til å administrere disse. Den registrerte skal på en lett tilgjengelig og forståelig måte informeres om hvorfor virksomheten behandler personopplysningene, behandlingsgrunnlaget for opplysningene, formålene opplysningene brukes til og selvsagt hvilke opplysninger det er snakk Underretning om brudd (artikkel 34) Rett til å motsette seg behandling (artikkel 21) Rett til å motsette seg automatiserte avgjørelser (artikkel 22) Rett til å begrense behandling (artikkel 18) Et annet grunnleggende krav ifølge GDPR er kravet om innebygd personvern og personvern som standardinnstilling (artikkel 25). Dette kravet gjelder uavhengig av om systemet er nytt eller gammelt, og det skal være en del av kjernefunksjonaliteten. Hvis dette ikke er på plass, blir det i realiteten vanskelig å etterleve øvrige krav i GDPR. 4

5 5

6 Hovedutfordringen med GDPR ligger i de eksisterende systemene Det er i utgangspunktet ikke vanskelig å utvikle nye systemer som tilfredsstiller kravene i GDPR. Utfordringen ligger i de eksisterende systemene Selv små og mellomstore virksomheter har en rekke ulike datasystemer, fra regnskaps- og økonomisystemer til HR og CRM. Mange av disse inneholder personopplysninger. 7 3 Hver og en av disse må tilpasses forordningen uansett alder og kompleksitet. Kontinuerlig flyt av data Samtidig ligger det en utfordring i at dataene flyter på tvers av systemene. Selv om hvert enkelt system kan tilpasses kravene i GDPR, må systemene i tillegg kunne samhandle både internt og mot tredjepart Dagens utfordring 6

7 Løsningen er å frigjøre dataene fra systemene Det er altså omfattende endringer som må til, og kravene i GDPR oppleves derfor av mange som svært vanskelig å tilfredsstille, og noe som vil koste virksomhetene og samfunnet store summer. 7 3 SESAM GDPR PLATTFORM endrer dette bildet totalt ved å knytte sammen data, ikke systemer. Det betyr kort sagt at opplysningene frigjøres fra hvert enkelt system, slik at de kan utveksles på en fleksibel og effektiv måte Løsning med SESAM GDPR PLATTFORM 7

8 1 6 2 Samle, koble og dele data SESAM GDPR PLATTFORM drives av en avansert integrasjonsplattform som benytter en unik datahub-tilnærming for å samle, koble sammen, omforme og dele data uavhengig av systemet de ligger i

9 Oversetter ulike data til det språket systemet forstår SESAMs datahub omformer dataene slik at alle systemer kan behandle dem, uavhengig av hvor dataene kommer fra i utgangspunktet. Dermed utgjør ikke ulike formater eller programmeringsspråk noe hinder i utvekslingen av opplysninger, og slik kan data deles på tvers av alle systemer! 9

10 Innebygd personvern i gamle, eksisterende systemer SESAMs unike datahub samler kontinuerlig data fra alle systemer. Deretter kobler og analyserer huben dataene og sørger for at de respektive systemene bare får tilbake de dataene de skal ha, og for å slette det de ikke skal ha. På denne måten sørger SESAM for at kravet om innebygd personvern kontinuerlig innfris i gamle systemer, uten behov for å endre selve systemene. Dette vil spare virksomhetene og samfunnet for tid og kostnader samtidig som personvernet til individet ivaretas til en hver tid på en effektiv og god måte. 10

11 1 SESAM innhenter 2 Transformerer og 3 Sender tilbake oppdaterte data data fra ulike systemer analyser dataene til systemene som påvirkes Data om Ola Nordmann Navn Adresse Telefonnummer E-post Data om Ola Nordmann Navn Adresse Innhenter all data, og sender kun tilbake den informasjonen systemet skal ha. 11

12 Portalløsning gir tilgjengelighet for brukerne I tilgangsportalen får registrerte personer enkelt oversikt og forståelse for hvilke opplysninger virksomheten har om dem og årsaken til dette. Portalen gir mulighet til å:? se hvorfor dataene er innhentet laste ned dataene i et maskinlesbart format se formål og behandlingsgrunnlag, inkl. raskt få varsel om brudd på personvernet endre samtykker motsette seg og begrense behandling foreta forespørsel om korrigering 12

13 13

14 14 Fullautomatisert GDPR PLATTFORM

15 SESAM GDPR PLATTFORM legger til rette for full automatisering og digitalisering av alle prosesser og tiltak rundt innsamling og tilgjengeliggjøring av personopplysninger. Eksempler på dette er:? Oppdage endringer i grunnlaget for behandlingen/-lagringen Innhente personopplysninger Anonymisere personopplysninger Endre personopplysninger Slette Sikker identifikasjon Redigere innstillinger for endring av personopplysninger Tilgang og redigeringsinnstillinger for samtykke Portabel kopi av personopplysningene Varselmekanisme til rammede registrerte ved brudd på personvernet En slik automatisering vil begrense ressursbruken i virksomheten, redusere risikoen for feilbehandling, styrke sikkerheten i flyten av personopplysninger og dermed også øke personopplysningssikkerheten for den enkelte. En fullautomatisert løsning passer for virksomheter med relativt stort antall forespørsler om innsyn eller virksomheter med mange og eventuelt komplekse systemer. Automatisering ut fra behov Virksomheten bestemmer alltid hvilke prosesser den vil automatisere og når den vil gjøre dette. SESAM GDPR PLATTFORM kan leveres med den grad av automatisering virksomheten ønsker ut fra egen kost-/nyttevurdering av hver prosess. 15

16 Automatisering og effektivisering Personopplysninger er ikke statiske, men i stadig endring. Data flyter kontinuerlig etterhvert som samtykker og behandlingsgrunnlag endres. En automatisering av overvåkning og oppdatering vil redusere risikoen for feilbehandling, styrke sikkerheten i flyten av personopplysninger og øke personvernet for den registrerte samtidig som virksomheten kan begrense ressursbruken. Rett til innsyn Artikkel 15 SESAM tilbyr en komplett løsning på kravene til autentisering av registrerte personer. Det er en ut-av-boksen-integrasjon med mange av de vanlige identifikasjonstjenestene og et brukervennlig rammeverk for tilkobling av tilleggstjenester. SESAMs tilgangsportal leverer alle personopplysninger som er relatert til en registrert person. Opplysningene kan tilgjengeliggjøres sikkert til en identifisert registrert person gjennom et standardisert, søkbart brukergrensesnitt. Grensesnittet kan konfigureres av behandlingsansvarlig. 16

17 Samtykkehåndtering Artikkel 7 SESAM støtter innsamling av samtykker fra alle datasystemer, både interne og eksterne. Brukergrensesnittet i SESAMs tilgangsportal kan konfigureres til å presentere en komplett liste over alle formål og tilhørende samtykker som den registrerte har gitt til behandling av personopplysninger. Den registrerte har mulighet til å filtrere samtykkene, blant annet basert på formål, samt gi eller trekke tilbake sitt samtykke. Eventuell endring av samtykker kan hentes av SESAM, og vil da automatisk utløse oppdateringer hos alle datasystemer som behandler disse personopplysningene. Rett til å bli glemt Artikkel 17 SESAM tilbyr en komplett løsning for å automatisere sletting av data fullt ut. Dette kan gjøres både ved fjerning av personopplysningene eller ved anonymisering. Enhver forutsetning for behandlingen kan automatisk lastes inn i SESAM, og enhver endring av statusen til forutsetningen kan få SESAM til å utløse den nødvendige slettingen eller anonymiseringen. Datatilgangsportalen vil også gjenspeile informasjonsoppdateringen til den registrerte slik at han eller hun kan se endringer/ slettinger som er gjort. 17

18 Forespørsel om korrigering Artikkel 16 SESAM støtter redigering av de tilgjengeliggjorte opplysningene. Selskapet kan selv velge ut hvilke opplysninger som kan redigeres utover de som er lovpålagt. Den registrerte personen gis deretter anledning til å redigere selv. Forespørselen vil bli lagret separat fra de opprinnelige opplysningene og kan vises separat i tilgangsportalen. SESAM kan da hente og distribuere korrigeringsforespørselen. Rett til dataportabilitet Artikkel 20 SESAM består av all funksjonalitet som kreves for å overholde dette kravet. Alle personopplysninger som er relatert til den registrerte tilgjengeliggjøres i tilgangsportalen. Denne informasjonen kan også lastes ned i et portabelt format på samme side. Den registrerte kan enkelt velge nedlastning i formatet RDF eller JSON. RDF er en kjent standard, bygget av samme standardiseringsbyrå som skapte internett (W3C), og formatet er bygget spesielt for datainteroprabilitet. 18

19 @ Underretning om brudd Artikkel 34? Rett til å motsette seg behandling Artikkel 21 Detaljer om brudd og berørte personopplysningskategorier kan samles av SESAM. SESAM vil distribuere all informasjon om bruddet til tilgangsportalen for å beskrive bruddet, samt de personopplysningene som er berørt. SESAM vil sende varsel til alle berørte registrerte, både via SMS og via e-post. Advarselen vil inneholde en kobling tilbake til tilgangsportalen, slik at de berørte kan logge inn og se detaljene for bruddet. Rett til å motsette seg automatiserte avgjørelser Artikkel 22 Rett til å begrense behandling Artikkel 18 SESAM vil stoppe automatisk behandling i Sesam, og eventuelt sende varsel til dataansvarlige slik at nødvendige vurderinger og aksjoner kan foretas. 19

20 Slik fungerer automatisert SESAM GDPR PLATTFORM 1. Ola Nordmann ønsker innsyn i sine data. Dette kan han få ved å logge på SESAM GDPR PLATTFORMEN, levert i virksomhetens visuelle identitet. Dersom han ringer eller sender e-post, henvises han til GDPR PLATTFORMEN. 2. Ola Nordmanns data og formålene for bruken av disse hentes ut fra en datahub som er knyttet til selskapets systemer. Opplysningene legges på et sikkert lagringssted og tilgjengliggjøres i GDPR PLATTFORMEN i et brukervennlig format. Focused Other Today Acompany Din data er nå tilgjengelig 3. Hastigheten på leveransen av dataene kan variere og dersom resultatene ikke vises med en gang vil Ola Nordmann få beskjed om at han får en e-post når dataene er klare. 4. Så kan Ola Nordmann administrere sine opplysninger som han vil: Laste ned sine data Sende forespørsel om korrigering Se og endre sine samtykker 20

21 Adressen til Ola Nordmann Samtykke fra Ola Nordmann 12 Registerert dato Ola Nordmann Formål for Ola Nordmann CRM data Ola Nordmann 21

22 22 Grunnpakke

23 SESAM GDPR PLATTFORM kan også leveres som en grunnpakkeløsning. Denne fungerer spesielt godt for mindre virksomheter med begrenset antall forespørsler om innsyn. Den kan også være et utgangspunkt for bedrifter som har større pågang, men som ønsker å utvikle GDPR-løsningen gradvis. Grunnpakkeløsningen krever ingen teknisk implementering og kan være oppe og gå i det du bestiller! Virksomheten trenger kun å fylle ut formål, med behandlingsgrunnlag og datatyper. Denne løsningen er fleksibel og skalerbar og kan oppgraderes etter hvert. Ingen teknisk implementering Krever manuell innsats hos virksomheten Umiddelbart klar til bruk Kan skaleres og oppgraderes etter behov Passer mindre virksomheter 1480 kr/mnd Opptil 1 GB data 23

24 Slik fungerer grunnpakken av SESAM GDPR PLATTFORM 1. Ola Nordmann ber om innsyn, ved å logge på selskapets GDPR PLATTFORM, levert av SESAM i selskapets visuelle identitet. 2. Selskapet fyller inn data (basert på formål og datatyper) om Ola Nordmann, i Excel-malen levert av SESAM. 3. Selskapet laster opp Excel-arket til SESAM GDPR PLATTFORM, hvor det oversettes til et brukervennlig format og lagres sikkert. Focused Other Today Acompany Din data er nå tilgjengelig 4. Ola Nordmann får en e-post om at opplysningene han har bedt om innsyn i, er klare. Han logger seg inn via lenken i e-posten for å se informasjonen. 7. SESAM GDPR PLATTFORM presenterer de opplysningene selskapet har i et digitalt og oversiktlig format. Selskapet kan ha promotert data som de syns er mest relevant for Ola Nordmann. 8. Så kan Ola Nordmann administrere sine opplysninger som han vil: Laste ned sine data Sende forespørsel om endring Se og endre sine samtykker 24

25 1. Virksomheten fyller ut Excel-malen levert av SESAM 3. Brukeren får tilgang til sin data 2. Virksomheten laster opp Excel-arket 25

26 7. Viktige kvalitetstegn ved SESAM GDPR PLATTFORM SESAM GDPR PLATTFORM er bra for individet og personvernet fordi: Enkel tilgjengelighet styrker den enkeltes kontroll over egne opplysninger Innsyn og innsikt senker terskelen for å bruke rettighetene i personvernregelverket Automatisering av underliggende prosesser styrker informasjonssikkerheten SESAM GDPR PLATTFORM er bra for virksomhetene fordi: Det er raskt og enkelt å hente data fra alle eksisterende systemer Den gir en løsning og en fast mal for å presentere dataene for brukerne Automatisering gir høy effektivitet og lav feilprosent Den gjør det enklere å etterleve regelverket Fleksibilitet og skalerbarhet senker terskelen for oppstart, samtidig som automatisering kan iverksettes gradvis SESAM GDPR PLATTFORM har teknisk kvalitet fordi: Det er en eksisterende løsning som allerede er brukt til mer enn GDPR Den er gjennomprøvd og foredlet gjennom mange år i tett samarbeid med norske kunder Den er utviklet av et Norges mest anerkjente IT-selskap SESAM GDPR PLATTFORM er moden fordi: Plattformen har eksistert i over fem år, men er nå skreddersydd for GDPR-formål En avansert integrasjonsplattform i bunn gir virksomheten en bedre, raskere og billigere måte å håndtere dataflyt og digitalisere på også utover GDPR. 26

27 SESAM GDPR PLATTFORM er innovativt fordi: Integrasjonsplattformen med sin unike datahub-tilnærming gjør det enklere å samle, koble, omforme og dele data på tvers av systemer, nye og gamle. Analytikere fra Gartner tror også at dette blir fremtidens måte å løse integrasjoner på. Inngangsbilletten er svært rimelig grunnpakkeløsningen krever ingen teknisk implementering. Virksomheten betaler bare for mengden av data den ønsker å behandle. Den er fleksibel og skalerbar alle prosesser kan digitaliseres/automatiseres etter behov SESAM GDPR PLATTFORM forbedrer kvalitet og effektivitet i offentlige tjenester fordi: Det offentlige har ofte mange og eldre systemer i IT-porteføljen. SESAM GDPR PLATTFORM er den eneste løsningen som legger til rette for bruk av eksisterende systemer, uten å måtte endre dem. 12 SESAM GDPR PLATTFORM er bra for samfunnet fordi: Den sparer virksomheter for integrasjonsressurser som heller kan benyttes til å skape bedre og mer effektive tjenester for virksomheten og dens kunder Automatisering skaper større informasjonssikkerhet og mindre behov for offentlig overvåking 27

28 Oppsummert: Hvorfor benytte SESAM GDPR PLATTFORM? Fordi det å etterleve kravene i personvernforordningen krever et godt system som er: Sikkert Etterrettelig Automatisert Tilgjengelig SESAM GDPR PLATTFORM sørger for å gi eksisterende systemer innebygd personvern og personvern som standardinnstilling. SESAM GDPR PLATTFORM tilbyr en løsning for personer som ønsker innsyn i hvordan en virksomhet behandler personopplysningene deres. SESAM GDPR PLATTFORM tilbyr virksomheten en skalerbar plattform for automatisering av prosessene bak håndteringen av personopplysninger Automatisering gir vesentlig høyere sikkerhet og kvalitet på tjenesten virksomheten tilbyr sluttbrukerne, sammenlignet med en manuell prosess. Samtidig kan virksomheten spare betydelige beløp. Det gjør SESAM GDPR PLATTFORM til en smart investering for virksomheter av alle størrelser. 28

29 SESAM GDPR PLATTFORM gjør deg klar for GDPR uten at du må bruke store ressurser. 29