Den nye Personvernforordningen Frokostseminar 30.mai 2017 Verdien av tillit Personvernforordningen i et virksomhetsstyringsperspektiv
Agenda Viktigheten av tillit i den nye Personvernforordningen Compliance med Personvernforordningen 3 faser og 6 trinn 3
Digitalisering og IoT forutsetter mer tillit fordi mer personinformasjon blir samlet og brukt enn noen gang før Hvorfor er samsvar med ny personvernforordning viktig? Strengere formalkrav for virksomhetene Sterkere eierskap til persondata og rettigheter Kundene har stor tillit til virksomhetene We found that 83% of consumers trust banks and insurers when it comes to data. And while one in four institutions have reported being victim of a hack, just 3% of consumers believe their own bank or insurer has ever been breached. However, with the pending General Data Protection Regulation (GDPR) regulations, this trust factor is likely to change as transparency increases. Financial organizations have to reveal a data breach 72 hours after the incident 5
THE EUROPEAN GENERAL DATA PROTECTION REGULATION, COVERS PRIVACY ISSUES FAIRLY COMPREHENSIVELY. IT SHOULD HELP CLARIFY THE RULES ON HANDLING PERSONAL DATA. SUPERVISORS ARE SLOW, HOWEVER. IT IS UP TO THE INDUSTRY TO RESPOND TO CUSTOMERS DEMANDS WELL BEFORE REGULATORS REQUIRE IT 6
Grad av internkontroll i virksomheten implementert anerkjente prinsipper som samsvarer med kompleksitet Virksomheter har ulikt utgangspunkt i arbeidet mot mai 2018 - dette kan vurderes opp mot kvalitet og forankring av internkontroll Virksomheten må ha internkontroll på både IT-systemer og forretnings- og støtteprosesser «FRONT OFFICE» Drevet av forretning - kjenner bruk av persondata i virksomheten, men ikke relevans, sensitivitet, sikkerhet, tilgang, etc. «WINNER OF TRUST GAME» Front- og back office er koordinerte gjennom vertikal prosessorientering og helhetlig internkontroll - kjenner omfang, kvalitet og bruk av persondata «DIGITAL FOLLOWER» Umodne eller med manuelle prosesser manglende digitaliseringsinitiativ og manglende sporbarhet/ dokumentert bruk av persondata «BACK OFFICE» Drevet av IT kjenner til omfang, kvalitet og sikkerhet i systemer, men ikke hvordan persondata benyttes Grad av internkontroll IT-systemer Dokumentert IT-sikkerhetsarkitektur som samsvarer med forretningsmål 7
Agenda Viktigheten av tillit i den nye Personvernforordningen Compliance med Personvernforordningen 3 faser og 6 trinn 9
Hvordan påvirkes virksomheten av den nye forordningen fra organisasjon og prosesser til IT-systemer og sikkerhetsarkitektur Fem sentrale temaer ved håndtering av personvern danner grunnlag for vår metode Elementer som påvirkes av GDPR er fokus i tre faser med mål om etterlevelse POLICY OG RETNINGSLINJER eksempelvis ved innhenting av samtykke, både administrative og frivillige PROSESSER MED BRUK AV PERSONDATA eksempelvis i markedsføringsaktiviteter, kundeservice 1 ANALYSEFASE IT-ARKITEKTUR OG SYSTEMER eksempelvis CRM-systemer, faktura 2 IMPLEMENTERINGSFASE KONTROLL OG DOKUMENTASJON på tilganger, innhenting, prosessering, sletting av persondata en del av den daglige driften og rutiner 3 FORRETNINGSPRAKSIS KULTUR OG BEVISSTHET I VIRKSOMHETEN for å endre måten å behandle og bruke persondata 11
PROGRAMSTRØMMER AKTIVITETER Capgemini kan bistå i hele verdikjeden for at virksomheten skal etterleve den nye Personvernforordringen Seks trinn for bedre håndtering av personvern 1 ANALYSEFASE 2 IMPLEMENTERINGSFASE 3 FORRETNINGSPRAKSIS TRINN 1 TRINN 2 TRINN 3 TRINN 4 TRINN 5 TRINN 6 JURIDISK ANALYSE PROSESSANALYSE SYSTEMANALYSE PLANLEGGING IMPLEMENTERING ETTERLEVELSE Analyse og tolkning av personvernforordning for å identifisere implikasjonene av de lovpålagte kravene Analyse og kvalitetssikring av nåværende prosesser og utarbeidelse av målbilde sett i lys av den juridiske analysen Analyse av nåværende IT-systemer med informasjonskartlegging og utarbeidelse av målbilde for arkitektur Identifisere og prioritere initiativer for å begrense risiko for mislighold og planlegge neste fase i prosessen for å oppnå etterlevelse av forordningen Scope: Privacy Impact Assessment (PIA) for hele virksomheten, Funksjonsområder eller for Nye forretningsområder Juridisk Programledelse Risikostyring Arkitektur og informasjonssikkerhet Gjennomføre de endringsprosjekter som er nødvendige for å sikre at personvernforordningen etterleves Sørge for at håndtering av persondata samsvarer mht. styring, policy og retningslinjer EVALUERING: 1-3 MÅNEDER DESIGN & IMPLEMENTERING: 3-12 MÅNEDER LØPENDE Capgemini har verktøy og metoder for grundige evalueringer som kan skreddersys etter behov, i tillegg til kompetanse og erfaring med å levere løsninger som effektivt møter kravene til personvern. 12
Hvordan kan din virksomhet sørge for å være klar når loven trer i kraft 25. mai 2018? Capgemini-metoden passer alle utgangspunkt og vurderer de viktigste emnene for ledere angående personvern og sikkerhet EVALUERING RISIKOANALYSE GJENNOMFØRING LØSNING Analyse og anbefalinger om planlegging, styring, prosess, kultur, data og teknologi Kategoriserte funn, vurderinger og anbefalinger for etterlevelse av Personvernforordningen Vurdering av IT sikkerhetsarkitektur Dashboard med gap for hver rolle, risikoscore og kategoriserte risikoreduserende tiltak Forankring Realistisk handlingsplan for å tette gap Innsikt i digitalisering som driver utviklingen av nye forretningsog støtteprosesser Løsninger som understøtter etterlevelse av regelverk og krav til smidige forretnings- og støtteprosesser Integrert del av virksomhetsstyringen (dokumentert) Capgemini kan bistå uansett hvilket utgangspunkt virksomheten har 13
About Capgemini With almost 180,000 people in over 40 countries, Capgemini is one of the world's foremost providers of consulting, technology and outsourcing services. The Group reported 2015 global revenues of EUR 11.9 billion. Together with its clients, Capgemini creates and delivers business and technology solutions that fit their needs and drive the results they want. A deeply multicultural organization, Capgemini has developed its own way of working, the Collaborative Business Experience and draws on Rightshore, its worldwide delivery model. Sogeti is a leading provider of technology and software testing, specializing in Application, Infrastructure and Engineering Services. Sogeti offers cutting-edge solutions around Testing, Business Intelligence & Analytics, Mobile, Cloud and Cyber Security. Sogeti brings together more than 20,000 professionals in 15 countries and has a strong local presence in over 100 locations in Europe, USA and India. Sogeti is a wholly-owned subsidiary of Cap Gemini S.A., listed on the Paris Stock Exchange. Capgemini and Sogeti are experts in IT infrastructure and application integration. Together, we offer a complete range of cybersecurity services to guide and secure the digital transformation of companies and administrations. Our 2,500 professional employees support you in defining and implementing your cybersecurity strategies. We protect your IT, industrial systems, and the Internet of Things (IoT) products & systems. We have the resources to strengthen your defenses, optimize your investments and control your risks. They include our security experts (Infrastructures, Applications, Endpoints, Identity and Access Management), and our R&D team that specializes in malware analysis and forensics. We have ethical hackers, eight security operations centers (SOC) around the world, a Information Technology Security Evaluation Facility, and we are a global leader in the field of testing. www.capgemini.com/cybersecurity www.sogeti.com/cybersecurity The information contained in this presentation is proprietary. Copyright 2017 Capgemini and Sogeti. All rights reserved. Rightshore is a trademark belonging to Capgemini.