GDPR Bouvet. Simen Sommerfeldt

Transkript

1 GDPR Bouvet Simen Sommerfeldt

2 Solide og langsiktige kundeforhold

3 2016

4 Simen Sommerfeldt Ingeniør fra University of Surrey Pappa til tre Rolle: CTO konsern Spesialitet: Kunstig intelligens, GDPR, tingenes internett Grunnlegger av Lær Kidsa Koding!

5 15 kontorer i Norge og Sverige Skandinavisk konsulentselskap 1200 ansatte Notert på Oslo Børs IT Kommunikasjon Virksomhetsstyring

6 Mitt forhold til GDPR

7 Erfaring med GDPR IT-strategi for Høyre og sparringspartner for Stortingets nye IT-satsninger

8 Høsten 2014: Vi leide inn advokat Eva Jarbekk for rådgivning rundt personvern i Skya kunne vi flytte kundens systemer?

9 Det er bra at dere tar tak i dette nå, for uansett må alle bedrifter omstille seg veldig før 2018 Eva Jarbekk, høsten 2014 Partner, Føyen-Torkildsen Advokatfirma

10 Våre tjenester Virksomhetsarkitektur Business Intelligence Multikanalstrategi IT-arkitektur Testledelse Sikkerhet Prosjektledelse Rådgivning Information Management Digital strategi Skreddersydde løsninger Kurs Design Web-løsninger Merkevarebygging Innhold Samhandling Mobile løsninger Brukertesting Sosiale medier Kommunikasjon Teknologi Systemutvikling Analyse Business Intelligence Integrasjon SAP Applikasjonsforvaltning Infrastruktur Åpne kurs Bedriftsinterne kurs

11

12 Så jeg har forsket, hjulpet kunder, blogget og holdt foredrag siden

13 Jeg opprettet Oslo GDPR meetup som fikk 239 medlemmer på en uke

14 Kickoff Foredrag v/ Meg Føyen Torkildsen Datatilsynet Coop

15 Datatilsynets metode for innebygd personvern

16 Metode

17 Bjørn Erik Thon sa at Datatilsynet vil kreve.. Dokumentertepersonvernkonsekvens-vurderinger (DPIA) for alle prosjekter og alle utvidelser/endringer som angår personvern-sensitivedata Forhåndsdrøftelsermed datatilsynetved høy risiko Innebygd personvern Personvernombud. Man snakker om å ansette1500 i offentlig sektor. De kommer til å lage veiledning om det til 15. juni. Det som har mye monitorering, de som har mange personopbjekter i basen sin, Avvikshåndtering. Man skal melde inne mange flere avvik, og innen 72 timer etter at de er oppdagetog man må lage systemer for å avdekkeavvik. Dere må forankre alt dette i internkontrollsystemet

18 I korte trekk.. Skaff deg oversikt Iverksett tiltak for å bli compliant Lag instruksjoner og retningslinjer Etablér et internkontrollsystem

19 Det finnes ingen onesize-fits-all løsning Tjeneste Bransje Systemtype GDPR Andre lover

20 Typiske faser i en GDPR implementasjon 1. Et godt forankret team 2. Analyse og opplæring 3. Justere prosedyrer og implementere endringer 4. Et fungerende internkontrollsystem Tilgang høyt opp Riktige deltagere Felles juridiske og sikkerhetsmessige vurderinger Etablering av prosjekt og dokumentasjon Kartlegging av tilstand per system (inkl. DPIA) Opplæringsaktiviteter Leverandør- og skyvurderinger Estimater og planer for systemporteføljen Implementere nødvendige systemendringer Justering av samtykker Justering av leverandør-avtaler Justering av internkontrollsystemet mht. sikkerhet og GDPR Etablering av avvikshåndtering Etablere kontinuerlig vedlikehold Alle roller har riktig "mindset" Alle vet hvilken kompetanse de skal ha, hvilke spørsmål de skal stille, og hvilke svar de skal gi Fungerende avvikshåndtering Prosjekter kjøres iht. GDPR

21 Fase 1: Skape et godt forankret team o Kartlegge interessenter: IT utvikling og forvaltning HR Sikkerhetsansvarlige Personvernansvarlige Juridisk avdeling Produktutvikling Innkjøp Markedsføring o Etablere tydelig mandat o Forankre GDPR høyt oppe Etablere governance/styringsgruppe CEO/COO/CIO må delta o Bygge konsensus o Grunnleggende opplæring o Sørge for prioritering o Avgjøre om man trenger en DPO o Finne en ansvarlig

22 Noen må være ansvarlig for personvern og sikkerhet, selv hos de som ikke trenger en egen personvern-ansvarlig (DPO)

23 Det må gjøres en felles vurdering med jurist i starten Danne felles oppfatning Finnes det bransjenormer? Er det andre lover og regler som kunden er underlagt? Hva er holdning og avveining til sletting, logging, etc. På tvers av systemer? Utarbeides med juss, IT drift, forretning, sikkerhet Om det finnes et internkontrollsystem med sikkerhets-policy kan denne utvides til å omfatte GDPR GDPR treffer kunder forskjellig Bransje GDPR Systemtype Andre lover

24 prosjekter GDPR og Sikkerhet i en bedrift Bedriftens GDPR- implementasjon vil peke på sikkerhets-policy (ofte ISO 27000) Sikkerhets-policy og GDPR må forankres i internkontroll-systemet Prosjektenes GDPR-implementasjon baserer seg på bedriftens GDPR- og Sikkerhetsopplegg Det påkreves av og til å kjøre personvernkonsekvens-analyser (DPIA) som inkluderer sikkerhet og personvern bedriften System A GDPR DPIA Avhengig av Sikkerhet (ISO ) Avhengig av Avhengig av System B GDPR DPIA GDPR Avhengig av Internkontrollsystemet

25 Fase 2: Analyse og opplæring o Juridisk analyse o Sikkerhetsmessig analyse o Analyse av data og dataflyter o Risikoanalyse o Evaluere leverandør- og skyavtaler o Klassifisere data o Evaluerer datakvalitet o Evaluere forretningsmodeller o Opplæring innen GDPR o Prioritere, planlegge og estimere endringer i systemporteføljen o Forberede endringsledelse

26 Råd: Gjør sikkerhet- og personvern- gjennomgang samtidig. GDPR policy må peke på sikkerhetspolicy

27 Kom i gang med DPIA Digital Privacy Impact Assessment En fetter til Risiko- og Sårbarhetsanalyser (ROS) hvor GDPR er lagt til Påkrevd fra Datatilsynet for alle systemer der angrep eller feil kan medføre risiko for de registrerte En god start er å lage DPIA analyser for alle kundesystemer som omhandler personopplysninger Se

28 Lag en logisk modell over personrelaterte opplysninger

29 Excel, Archimate, Ardoq..

30 Kartlegg hvor de flyter og hvem som håndterer dem per system Husk å dokumentere det rettslige grunnlaget for behandlingen!

31 Kartlegg systemer - Eksempler o Nettbutikk o CRM-system o ERP/logistikk-system o Kundebase o HR-system o Datavarehus o Excel-regneark

32 Kartlegg prosesser og aktiviteter - eksempler o Registrere ny kunde o Ta i mot ordre i nettbutikk o Gjennomføre salg i butikk o Kredittvurdere kunde o Overføre kundedata til samarbeidspartner o Overføre salgsdata til datavarehus o Kundereiser?

33 Kartlegge informasjonsobjekter - eksempler o Kundedata o Ordre/bestilling o Aktivitetslogg

34 Objekt/prosess-matrise Data skapes o Data leses/brukes Data endres

35 Objekt/system-matrise Data skapes o Data leses/brukes Data endres

36 Datamengde og -kvalitet o Har dere rett til å samle inn de data dere har? o Brukes de til riktig (lovlig) formål? o Hva gjøres for å sørge for at data har god nok kvalitet? Relevans Korrekthet

37 Kundens rettigheter o Få kontroll på samtykker o Hvordan håndtere dataportabilitet o Innsyn o Rett til sletting vs hjemmel til å beholde data

38 Bruk gjerne kundereisersom utgangspunkt

39 Etablér instruksjoner og retningslinjer Organisasjonen må få klare retningslinjer om hvordan personopplysninger skal håndteres Datatilsynet har egen veileder for bedrifter Den hardeste kampen er å få det inn i mindset slik at konsepter og produkter blir riktige helt fra idéstadiet

40 Internkontrollsystem Rutiner og et system som fanger opp avvik fra loven Ta utgangspunkt i eksisterende rutiner og kontrollmekanismer Om dere har et internkontrollsystem for sikkerhet (ofte ISO ), kan dette utvides

41 Noen artikler kombinerer flere lover, f.eks regnskapsloven

42 Noen artikler kombinerer flere lover, f.eks regnskapsloven

43 Lag en begrunnelse for håndtering i artikkel i kap. 3 Artikkel 4 Regnskap (Regnskapsloven) Nettbutikken HR systemet Big Data

44 Planlegg hvordan dere automatisk kan slette, eksportere, og anonymisere data

45 Bruk minimums-prinsippet, og hold data så lokale som mulig

46 Ikke glem leverandører og samarbeidspartnere

47 Statistikk/Big Data de fleste rapporterer på grunndata i dag Hva gjør du når kunden skal slettes? I vanlige systemer går ikke det transaksjonene er knyttet til kunde Skal du lage nye tabeller med pre-aggregerte data? Anonymisering er en strategi Men pass på hvis rapporter blir identifiserende Metadata kan være identifiserende Det snakkes en del om Differential privacy Innføring av støy på innsamlingspunktet Støyen fjernes når man lager statistikk

48 Redningen for Big Data kan være anonymisering men.. Krypterte data er personopplysninger så lenge nøkkelen finnes Aggregerte data er ofte personopplysninger Pseudonymiserte data er ofte personopplysninger...fordi metadata ofte er personopplysninger

49 Redningen for Big Data kan være anonymisering men.. Krypterte data er personopplysninger så lenge nøkkelen finnes Aggregerte data er ofte personopplysninger Pseudonymiserte data er ofte personopplysninger...fordi metadata ofte er personopplysninger 'pseudonymisation' means the processing of personal data in such a way that the data can no longer be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisationalmeasures to ensure nonattribution to an identified or identifiable person

50 Nå kan du vurdere kundereisene, interne prosesser, systemer og brukergrensesnitt, leverandører, sikkerhet, etc. opp mot GDPR...

51 ...og iverksett!

52 Start med de tidkrevende prosessene Leverandører Sikkerhet Store fagsystemer Integrasjoner Forhandlinger med myndighetene

53 Bouvet og GDPR Jobber konsekvent med forordningen som utgangspunkt, og bygger kompetanse inn i alle profesjoner Har sikkerhetsfolk og rettsinformatikere Samarbeider med Føyen-Torkildsen om det juridiske Tilbyr gjennomgang og rådgivning Tilbyr tre dagskurs sammen med Føyen-Torkildsen: Grunnopplæring i personvern og GDPR Personvern i organisasjoner og forretningsutvikling Personvern og GDPR i systemutvikling