Aibel Vår tilnærming til GDPR Elin H Madell HR System Owner
About Aibel Aibel AS is a leading supplier of services related to oil, gas and renewable energy Around 4,000 employees More than a hundred years of proud history A global company with roots in Norway
GDPR Bakgrunn Ny Personvernlov fra 01.08.2018 GDPR prosjekt oppstart oktober 2017 Prosjektet delt inn i faser Fase 1 Kartlegging av hvilke persondata vi lagrer, hvor og hvordan Fase 2 Få på plass dokumentasjon og overordnede rutiner Fase 3 Implementere løsninger som gjør oss GDPR compliante Aibel håndterer persondata hovedsakelig på bakgrunn av at vi er en arbeidsgiver Aibel som arbeidsgiver overholder generelt eksisterende lover og forskrifter, men må tilpasse seg de nye GDPR kravene
Aibel s Locations
Kartlegging 126 systemer inneholder persondata 32 systemer med potensielt GDPR risiko kartlagt i detalj Risikovurdering basert på sannsynlighet for brudd på GDPR regelverk og potensielle konsekvenser Second Priority Systems with large volume of personell data but good security. Need documentation and agreements with 3rd parties First Priority Systems with large volume of personaldata and low degree of documentation Third Priority Systems with low datasecurity or under external control. Low Consequence if breach, but need security by 3rd party
Hovedfunn i kartleggingen Manglende rutiner og prosedyrer i henhold til nye GDPR regelverk Manglende avtaler for overføring av personopplysninger innenfor selskapet, spesielt mot Singapore og Thailand Utfordringer med å slette persondata når man ikke lengre har et behandlingsgrunnlag Begrenset tilgangskontroll til personopplysninger i systemer Kritiske områder hvor Aibel behandler personlige data i tillegg til å være en arbeidsgiver: Persondata i forbindelse med leverandør due diligence prosess Personlige data knyttet til tilgangskontroll og videoovervåking i kontorområder hvor Aibel leier ut kontorplasser Manglende intern prosedyre og ansvarlig for overholdelse og beskyttelse av Persondata
Databehandler avtaler Opprettet en egen Databehandler avtale mal Fortrinnsvis «Kategori A» systemer, men har siden valgt å sende til alle Databehandlerne vi har kartlagt Ressurskrevende å få på plass avtalene Leverandører ønsker ofte å bruke egne utarbeidete databehandler avtaler Kompetanse og best praksis
Styringsdokumenter xx
Datadokumentasjon/Dataflyt Fått på plass en database som dokumenterer selskapets håndtering av personopplysninger i de ulike systemer og prosesser Systemeiere og prosesseiere har ansvar for å dokumentere persondatahåndtering i de systemer/prosesser som man har ansvar for Dokumentasjonen er satt opp ihht krav i artikkel 30 Fått på plass krypteringsverktøy Office 365 og mail Kartlagt persondataflyt i sentralt dataflyt verktøy Fjernet persondata i databaser der behovet for persondata ikke var nødvendig
Opplæring Artikkel om GDPR på intranettet Opprettet E læringskurs Ansatte Ledere og utvalgte fagressurser Personvernerklæring som forteller hvordan Aibel håndterer persondata er utsendt til alle ansatte Opplæring bruk av krypteringsverktøy
Personvernkomite Innkjøp Ansatt Representant Legal Personvernkomite IT Compliance HR
Strukturelle autorisasjoner Tilpasset rollene våre i forhold til den nye personvernlovgivningen Fått HR autorisasjoner som er spesifisert til de oppgaver en sluttbruker skal ha for å utføre arbeidsoppgavene sine Ryddet i eksisterende roller Fått bedre styring og kontroll på innholdet i HR rollene Tettet «hull» i eksisterende roller Automatisert tilgangstildeling på enkelte roller. Muligheter til å differensiere tilgang til HR data Satt opp en autorisasjonsmatrise som gir oversikt på hvilke roller man kan kombinere
Personalarkiv Elektronisk HR arkiv Muligheter å dele og gi innsyn til Personalarkivet på tvers av lokasjoner og roller Kun gi innsyn i arkivet til det man har behov for å utføre sine arbeidsoppgaver Egne autorisasjoner satt opp til Personal arkiv løsningen. Ha kontroll på hvem som har tilgang til enhver tid Lettere å vedlikeholde og ha oversikt med egne EFM autorisasjoner Splitte tilgangene til dokumentene på et mer detaljert nivå Knytte enkelte roller opp automatisk ut i fra HR SAP roller
Personalarkiv Det er blitt satt opp en dokument matrise som er inndelt i Dokumentmappe Dokumentsubfolder Dokumenttyper Tilgangstyring på hvem som skal kunne Lese dokumenter Laste inn dokumenter Flytte dokumenter Slette dokumenter Printe dokumenter
Fokusområder neste fase Etablere Personvernkomite Implementere rutiner for å møte GDPR krav i fagenhetene som forvalter store mengder persondata Implementere rutiner og muligheter til å slette data i systemene Etterleve at man har ett masterdata system hvor persondata oppstår Databehandleravtaler med alle kunder og leverandører Personvern håndtering må gjennom alle prosesser og systemer ha kontinuerlig fokus og utvikling
2008