Gjør ditt ERP-system klart for de nye personvernreglene GDPR (EU General Data Protection Regulation) Presentert av: Elin Sterner Mikal Nielsen Ivar Mølnvik 2018 2
Introduksjon 3
Hvem er vi Ivar Mølnvik GDPR Teknisk ivar.molnvik@pearlconsulting.no Elin Sterner SAP Logistics Advisor, & GDPR kontaktperson i Pearl Norge elin.sterner@pearlconsulting.no Mikal Nielsen GDPR Teknisk mikal.nielsen@pearlconsulting.no 4
Om Pearl Consulting Etablert i 2006 100 % fokus på SAP og integrasjon til SAP SAP Nordisk Innovasjon Partner 2017 Årets SAP-partner i Norge 2016 Kontorer i: Oslo, Sandefjord, Riga, Kiev, Singapore Ledende SAP S/4HANA-Partner i Europa Ledende SAP Hybris-partner i Norden Mer enn 50 vellykkede SAP implementeringer SAP Platinum Partner SAP Sertifisert «Partner Center of Expertise» Invisterer mye i kompetansebygging Trainee-program 5
Telenorbutikken 6
Tjenester Det kan være krevende å begynne å jobbe med en ny forretningsplattfrom. Vårt utgangspunkt er en bruksklar malløsning som gjør det mulig for din virksomhet å starte opp i et nytt system raskere og mer økonomisk. Med oss får du en langsiktig operasjonell partner, som bidrar strategisk til din bedrifts forretningsutvikling. Specialists PearlCare Implementation 7
Produkter Vi har utviklet en rekke forhåndsdefinerte og sertifiserte løsninger for forskjellige bransjer: Retail Engros Telekommunikasjon E-Commerce og CRM Farmasi 8
Våre verdier er Løsningsoreintert Proaktiv Entusiastisk 9
Agenda 01 Kort intro til personvern & GDPR 02 10 viktige GDPR punkter, og hvilke vi kan hjelpe dere å løse 03 Veien videre 1 0
Kort intro til personvern & GDPR Hva blir nytt? 1 1
GDPR hos dere? Hvor i prosessen er dere? 1 2
Personopplysninger Opplysning eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel: Navn Adresse Telefonnummer E-postadresse IP-adresse Bilnummer Bilder Fødselsnummer Fødselsdato Fingeravtrykk Irismønster Hodeform Adferdsmønstre I administrasjon av kundeforhold og medlemskap vil det som regel være tilstrekkelig å bruke navn, adresse og fødselsdato for å sikre riktig identifisering av en person. Da skal fødselsnummeret ikke brukes. Når fødselsnummer sendes i E-post eller ved hjelp av annen telekommunikasjon, skal det krypteres. Handelshistorikk TV-tittehistorikk Lokasjonsinformasjon Søkebegreper på nett Sensitive personopplysninger er opplysninger om: Rasemessig eller etnisk bakgrunn Politisk, filosofisk eller religiøs oppfatning En person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling Helseforhold Seksuelle forhold Medlemskap i fagforeninger * Sensitive personopplysninger er underlagt særlig strenge regler. 1 3
Datatilsynets 10 regler Hva blir nytt? 1 4
Hva Pearl kan hjelpe deres bedrift med Alle må kunne oppfylle borgernes nye rettigheter Alle virksomheter får nye plikter Forståelig personvernerklæring Alle får nye krav til avvikshåndtering Alle bør samarbeide i egne nettverk og følge bransjenormer 10 1 2 9 3 GDPR 8 4 7 6 5 Alle skal vurdere risiko & personvernkonsekvenser Alle skal bygge personvern inn i nye løsninger Mange virksomheter må opprette personvernombud Alle databehandlere får nye plikter Reglene gjelder også virksomheter utenfor Europa 1 5
Analyse / Kartlegging / Rutiner 1. Alle norske virksomheter får nye plikter Alle virksomheter må sette seg inn i den nye lovgivningen og finne ut hvilke nye plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene. Alle ansatte må følge de nye rutinene når reglene trer i kraft. Hva må dere definere: Dokumentere prosessene som involverer persondata og dokumentere rutiner. 1. Hvor ligger persondata? 2. Hvordan benytter vi persondata? 3. Sendes persondata til andre? Forslag: Kartlegging: Bistå med mapping og rutiner om behov i samarbeid med kunden. Sandbox, utvikling, test, produksjon 3.parts WEB ERP Rapportering Lokalt på PCen Arkiver 1 6
Hvor har dere/sender persondata? Geo Data PIM SAP PI Nettbutikk eks.hybris SAP ERP SAP EWM SAP TM SAP CRM Gateway Apps Kortinfo Bank Leverandør Bisnode SAP BW/BO * Produksjon, Test, Utvikling, Sandbox 1 7
SAP - eksempel på Persondata Alle objekter i dette eksempelet inkluderer persondata. SAP Business Partner Navn Adresse Kontrakt Bankkonto eller kredittinformasjon Ordre Levering Faktura Betaling Solgt til kunde Unik, kundeidentifikasjon Leveringsadresse Fakturaadresse 1 8
Samtykke 2. Alle skal ha en forståelig personvernerklæring Informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå. Forslag: Hva må dere definere: Definer hvor skal master for samtykke ligge. Hvordan blir dine kunder opprettet? Kunder opprettet fra internett Kunde opprettet per telefon Kunde opprettet fra E-post Kunde opprettet i møte i butikk ERP/ Hybris / CRM Hvor ligger informasjonen Kontroll på erklæring og godkjent innhold Kunde må ta et aktivt valg. Samtykke må gjentas i henhold til avtalt frekvens. Gamle kunder må utføre aksept i ettertid o Konsekvens kunden blir slettet, og data på kunden blir anonymisert Mulighet til å trekke samtykke Påkrevet med korte, forståelige samtykketekster Bedriften må dokumentere registrert samtykke 1 9
Registrere Samtykke Forslag til løsning: Samtykketekst i digitale medier: Selve teksten finnes i front-end løsningen. Endringer på teksten blir logget med tidsstempel. På denne måten kan gitt samtykke tidspunkt i CRM linkes opp mot tekst i front-end på tilsvarende tidspunkt. Selve teksten lagres ikke i CRM. Samtykker via kundeservice: Dersom kundeforholdet allerede eksisterer, endrer bedriften på kommunikasjonssamtykker direkte i systemet. Dersom det er et nytt kundeforhold kan ikke dette gjøres pr.mail eller tlf. Her kan for eksempel brev sendes hjem til kunden med betingelsene, og dette må sendes i retur med signatur. Dette oppbevares, men linkes ikke inn i systemet pt. 2 0
Innebygd personvern 4. Alle skal bygge personvern inn i nye løsninger De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer. Hva må dere definere: Forslag: SAP er per definisjon «Compliant by design». Bruk av systemet og tilgangsstyring (roller) er definert av hver enkelt kunde. Innebygd personvern: Autorisasjonsstyring /tilgangsstyring Informasjonssikkerhet automatisk sletting Loggføring Gå gjennom tilgangsstyring for personopplysninger. 2 1
Databehandlere 7. Alle databehandlere får nye plikter Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av IT-tjenester. De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger. Databehandlere skal også si ifra til oppdragsgiveren sin hvis de får instrukser som er i strid med loven. Databehandlere kan bli holdt økonomisk ansvarlig sammen med oppdragsgiver. Oppdragsgiver skal også godkjenne databehandlerens underleverandører. Hva må dere definere: Rutiner må på plass og håndteres f.eks. ved bruk av autorisasjonsstyring. Rutiner for brudd må defineres og hvordan disse vil bli håndtert. Forslag: Ved behov bistå med eksempler på rutiner som kan gjennomføres, f. eks. rutiner for bruk av testdata. Databehandleravtale må inngås 2 2
Retten til å bli glemt Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes blir styrket. Dette kalles «retten til å bli glemt». Norske og europeiske borgere vil blant annet kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat. Dette kalles «dataportabilitet». De kan også motsette seg profilering. Alle henvendelser fra borgere skal besvares innen rimelig tid. Hva må dere definere: Dere må ha på plass system og rutiner for å imøtekomme kravet om: 10. Alle må kunne oppfylle borgernes nye rettigheter Retten til innsyn Retten til korrigering av uriktig/mangelfull informasjon Retten til å bli glemt Retten til å kreve begrensning Retten til dataportabilitet Retten til å motsette seg behandling Forslag: Løsning for utvikling-/test-/produksjonssystemer for personkunder og HR data. Regler må klarlegges for rutiner av hvert enkelt objekt som inneholder personopplysninger. Anonymisering, sletting, arkivering *Eksempelvis rutine for at sandbox, test og utviklingssystemer blir anonymisert ved kopi, eventuelt strengere krav for sletting. Funksjonalitet for å orientere tredjepart hvis Den registrerte har endret opplysninger Den registrerte skal slettes (I løpet av 36 timer) Den registrerte trekker tilbake et samtykke Utlevere kundens data ved forespørsel Få informasjonen du har på meg innen 30 dager 2 3
Kundetilpasset GDPR Overbygg Pearl Løsning 1. Eksporter persondata / Retten til innsyn (HR / Kundedata) Eksporter identifiserte persondata som fil (til vedlegg). 2. Evaluer Sjekker om Person kan slettes. Eventuelle utestående (åpne poster) rapporteres. Anonymisering/sletting kan ikke utføres om utestående er identifisert. 3. Identifiser 3.part Identifiser potensielle underleverandører relatert til Personens data. Melding til disse lages og sendes. (E-post til GDPR-kontakt). 4. Anonymiser Anonymiser samtlige persondata for Person i stamdata og transaksjoner. Sikre at eventuelle tilhørende systemer får distribuert anonymiserte data. 5. Slett Slett relaterte data til Person som vedlegg, kommunikasjonslogger og endringshistorikk. Sett slettemerke på Person og evt. relaterte objekter for arkivering. 6. Logging Loggføring av sletting. Også for anonymisering av test-systemer Arkivering Periodisk arkivering fanger opp og arkiverer/sletter person når tiden er inne. Generelle arkiveringsprosesser må defineres. 2 4
Kundetilpasset GDPR Overbygg Pearl Løsning 1. Eksporter persondata / Retten til innsyn (HR / Kundedata) Pearls GDPR Cockpit oppfyller den registrertes rettigheter til innsyn Løsningen går gjennom systemet og finner alle persondata lagret i ERP Persondataen kan eksporteres til en standard, tabulatorseparert tekstfil Samme fil kan med få modifikasjoner brukes for å etterlevet kravet om den registrertes rett til dataportabilitet Personopplysningene i ERP består typisk av: - Navn - Kontaktinformasjon - Adressedata - Handelshistorikk 2 5
Kundetilpasset GDPR Overbygg Pearl Løsning 2. Evaluer Finnes det åpne poster på en person? Er det opprettet en ordre, men ingen levering? Noen ganger er det nødvendig (og fullt lovlig) å beholde persondata, til tross for at en kunde har bedt om å bli glemt. Pearls GDPR Cockpit foretar en systematisk gjennomgang av dokumenter og poster knyttet til en person. Resultatet er at en persons ønske om å bli glemt ikke nødvendigvis er gjennomførbart Personen vil da bli merket, slik at anonymisering kan skje ved senere anledning (bakgrunnsjobb). NB! Denne evalueringen kan overstyres av brukere med spesielle rettigheter. Særlig tiltenkt test- og utviklingssystemer, hvor det ikke lenger vil være lov å beholde produksjonsdata uten spesielle behov. 2 6
Kundetilpasset GDPR Overbygg Pearl Løsning 3. Identifiser tredjepart Om en person har bedt om å bli glemt, plikter behandlingsansvarlig å varsle eventuelle tredjeparts aktører. Pearls GDPR Cockpit kan konfigureres på ulike måter når det gjelder dette: Forhåndsdefiner tredjeparter, slik at de alltid vil få en varsling ved anonymisering Søk gjennom dokumenter og identifiser tredjeparter som er involvert med den spesifikke brukeren, og kun varsle disse Dette gir mulighet for å direkte varsle de nødvendige tredjeparter om at den registrerte har bedt om å bli glemt. Tredjeparten har selv ansvar for å utfylle kravene videre herifra. 2 7
Kundetilpasset GDPR Overbygg Pearl Løsning 4. Anonymiser Når anonymiseringen har fått klarsignal, utføres denne for samtlige persondata ERP-systemet har på den registrerte. Anonymiseringsprosessen kan enkelt kjøres for én eller flere registrerte, samt utføres som bakgrunnsjobb. Etter anonymisering vil det ikke lenger være mulig å identifisere en fysisk person ut i fra den dataen som er igjen. Stamdata for den registrerte vil få en merking for å opplyse om GDPR-behandlingen. 2 8
Kundetilpasset GDPR Overbygg Pearl Løsning 5. Slett Etter anonymisering er det fortsatt noen punkter som må gjøres for å garantere GDPRstandard Pearls GDPR Cockpit sørger for sletting av relaterte data til person som vedlegg, kommunikasjonslogger og endringshistorikk. Slettemerke settes på Person og evt. relaterte objekter for arkivering. 2 9
Kundetilpasset GDPR Overbygg Pearl Løsning 6. Logg av anonymisering/sletting For å dokumentere at forespurt sletting/anonymisering har blitt gjennomført, logges selve anonymiseringsprosessen. Viser hvilke steg som har blitt gjort Garanti for at det ikke lenger skal være mulig å gjenkjenne den fysiske personen Denne loggingen inneholder ingen persondata 3 0
Hvordan komme i gang 3 1
1. Opplæring Gi de ansatte i bedriften de grunnleggende kunnskapene de behøver for å sikre at organisasjonen etterlever GDPR-kravene. 2. Kartlegg landskapet Den største jobben knyttet til GDPR er å få oversikt over persondata og dataflyt. Dette gjelder særlig komplekse organisasjoner hvor man har systemer som har vokst gradvis over tid. 3. Arkivering Definer arkiveringsstrategi og definer liggetid for deres data. 4. Samtykke Sørg for at krav til samtykke er dekket. 5. Tilgangstyring Kartlegg tilgangstyring. 6. Start implementering Veien Videre Definer GDPR-scenarier og start implementering/testing. Anonymisering/sletting. 3 2
Disclaimer NB! Elementene i denne presentasjonen består Pearl Consultings tolking av GDPR-forordningen og forslag til steg for å imøtekomme de nye kravene GDPR medfører. Denne presentasjonen skal ikke tolkes som noen form for juridisk rådgivning. 3 3
Takk for oss Our main office is in Lysaker Strandveien 8 1366 Lysaker Oslo, Norge +47 67 10 88 00 bernhard@pearlconsulting.no We have an office in Riga Dzirnavu 57-4a Riga, LV-1010 Latvia +371 66 11 89 90 iveta.brinke@pearlconsulting.no Follow Pearl Consulting: