SlideShare une entreprise Scribd logo

Seminarie göteborg: GDPR i praktiken

Acando Sweden
Acando Sweden

Presentation från seminariet i Göteborg 29 september 2017

Marketing
1  sur  38
Télécharger pour lire hors ligne
GDPR i praktiken Erfarenheter och handfasta råd
GDPR och Analytics Introduktion GDPR och SAP GAP-analys AGENDA
VAD ÄR GDPR? EUs nya Dataskyddsförordning Krav på att ni ska ha kontroll över vilka personuppgifter som behandlas samt i vilka system de förekommer. Ökade krav och skärpt ansvarsutkrävningen både när ni är Personuppgiftsansvariga och då ni är Personuppgiftsbiträden Krav på att ni utför lämpliga tekniska och organisatoriska åtgärder utformade för för att säkerställa ett inbyggt dataskydd och dataskydd som standard. Ska skydda personers grundläggande fri- och rättigheter vid behandling av personuppgifter Trädder i kraft maj 2018 och tiden innan dess bör användas för att förbereda sig Företag som inte uppfyller lagen hotas med vite på upptill 4% av global årsinkomst eller 20 miljoner För er organisation innebär det:
VAD ÄR EN PERSONUPPGIFT? ALL SLAGS INFORMATION SOM DIREKT ELLER INDIREKT KAN HÄNFÖRAS TILL EN FYSISK PERSON SOM ÄR I LIVET 4
FÖRÄNDRINGAR ATT LÄGGA PÅ MINNET 5 STRAFFAVGIFTERSÄKERHETSINCIDENTER PRIVACY BY DESIGN SAMTYCKE REGLERAD DATA UTÖKADE RÄTTIG- & SKYLDIGHETER MISSBRUKSREGELNSAMTYCKE BARN
DATASKYDDSPRINCIPER 6 LAGLIGHET, KORREKTHET OCH ÖPPENHET Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. ÄNDAMÅLSBEGRÄSNING De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. UPPGIFTSMINIMERING De ska vara adekvata, relevanta och begränsade till vad som krävs i förhållande till de ändamål för vilka de behandlas. KORREKTHET De ska vara korrekta och om nödvändigt uppdaterade, om inte ska de utan dröjsmål raderas eller rättas. INTEGRITET OCH KONFIDENTIALITET* De ska behandlas på ett sätt som säkerställer vederbörlig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder. ANSVARSSKYLDIGHET* Den registeransvarige ska ansvara för och kunna visa att principerna efterlevs. Artikel 5, skäl 39, artikel 6.4, skäl 50 LAGRINGSMINIMERING De ska förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. 1 2 4 3 5 6 7 Sammanfattar huvudsakliga ansvarsområden för personuppgiftsbehandling
Ny inhämtning Inhämtning Samtycke Nytt medgivande Nytt anv.omr 3att bli glömd att korrigera till transparens till portabilitet Jag har rätt: Jag måste säkerställa Privacy by design bl a genom att alltid ha korrekt information och vara transparent. Lagring 4 Rättelse Information 1 2 5 Gallring 6 PERSONUPPGIFTENS LIVCYKEL
8 Article 3 and Recital 19-22 ÖVERFÖRING AV PERSONUPPGIFTER FRÅN EU TILL LAND UTANFÖR EU Hanterar personuppgifter inom ramen av verksamhet oavsett om behandlingen utförs i unionen
GDPR och Analytics Introduktion GDPR och SAP GAP-analys AGENDA
HUR KAN VI HANTERA GDPR KRAVEN I SAP 10
EN GRUNDLÄGGANDE PORTFOLIO FÖR ATT MÖTA KRAVEN FRÅN GDPR I SAP GOVERNANCE, RISK AND COMPLIANCE SAP PROCESS CONTROL OCH SAP RISK MANAGEMENT ÄR DOM INITIALT VIKTIGASTE KOMPONENTERNA FÖR ATT MÖTA KRAVEN FRÅN GDPR Är För att möta kraven från GDPR
Archiving Objects MED SAP INFORMATION LIFECYCLE MANAGEMENT OCH DATA ARCHIVING KAN KRAV PÅ LIVSCYKEL AV PERSONDATA MÖTAS MASTER DATA & TRANSACTION DATA DATA ARCHIVES ILM Archiving objects Residence periods Processing in accordance with intended purpose Deletion Processing in accordance with intended purpose Blocking period Deletion End of Purpose: ”retention only” – X Years End of retention period – X Years DATA LIFECYCLE
FÖR MÄRKNING, KLASSIFICERING OCH SKANNING AV PERSONDATA INFORMATION STEWARD – DATA TAGGING CELONIS – PROCESS MINING SAP HANA EIM – DATA TAGGING
GDPR och Analytics Introduktion GDPR och SAP GAP-analys AGENDA
PERSONUPPGIFTSLAGEN ERSÄTTS AV DATASKYDDSFÖRORDINGEN 15 Personuppgiftslagen Dataskyddsförordningen
16 1§ - ”Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.” Artikel 24 – Den personuppgiftsansvariges ansvar Informationssäkerhetsarbete EN VIKTIG BYGGSTEN FÖR ATT LEVA UPP TILL DEN NYA LAGEN ÄR ATT HA ETT FUNGERANDE INFORMATIONSSÄKERHETSARBETE
STÖTTNING OCH METODSTÖD FÖR ATT GÅ FRÅN TEORI TILL PRAKTIK I PÅBÖRJAT GDPR-ARBETE 17 ? Ramverk, klassificeringsmodell och krav Kartläggning av informationstillgångar Innehåller personuppgifter Genomförd klassificering Har vi landat rätt? Vad börjar vi med? Hur tar vi det vidare snabbt?
ACANDO GENOMFÖRDE EN GAP-ANALYS SOM HANTERADE TRE KÄRNFRÅGOR 18 KRAV Vilka krav behöver vi ställa på oss och på våra systemleverantörer? KRAVUPPFYLLNAD Hur ser kravuppfyllnad ut idag och var finns det brister? PRIORITERING Var ska vi börja?
KRAVEN SKAPADES FRÅN FYRA PERSPEKTIV INOM INFORMATIONSSÄKERHET 19 KONFIDENTIALITET RIKTIGHET TILLGÄNGLIGHET SPÅRBARHET ÅTKOMST TILL INFORMATION för rätt personer och roller KORREKT INFORMATION som går att lita på TILLGÄNGLIG INFORMATION på rätt plats och vid rätt tillfälle ÄNDRINGAR AV INFORMATION kan härledas till tid och person Klass 4 Klass 3 Klass 2 Klass 1 Säkerhetskrav 1 Säkerhetskrav 2 Säkerhetskrav n Klass 4 Klass 3 Klass 2 Klass 1 Säkerhetskrav 1 Säkerhetskrav 2 Säkerhetskrav n Klass 4 Klass 3 Klass 2 Klass 1 Säkerhetskrav 1 Säkerhetskrav 2 Säkerhetskrav n Klass 4 Klass 3 Klass 2 Klass 1 Säkerhetskrav 1 Säkerhetskrav 2 Säkerhetskrav n
INFORMATIONSSÄKERHETSKRAVEN SOM ANVÄNDES I UPPDRAGET VAR AV BÅDE TEKNISK OCH ORGANISATORISK KARAKTÄR 20 EXEMPEL PÅ OLIKA KRAV PÅ SKYDD INFORMATIONSSÄKERHET BEFOGENHET Enbart unika anställda och godkända externa personer med påskrivet NDA har tillgång till information ÅTERSTÄLLNING Återställning vid dataförlust garanteras inom 48 timmar TILLGÄNGLIGHET Tillgänglighet enligt SLA-nivå 99,5% KONFIDENTIALITET Information skyddas genom medelstarka lösenordsinställningar SPÅRBARHET Åtkomst och förändring till information ska loggas och kunna kopplas till tid och individ RIKTIGHET Förändringar till system genomförs i enlighet med en rigid process som säkerställer att informationens riktighet bevaras
KRAVEN ANALYSERADES UTIFRÅN STANDARDER OCH FÖRBÄTTRADES MED HJÄLP AV ACANDOS TIDIGARE ERFARENHETER Har• vi ställt rimliga krav? Har• vi missat viktiga områden? Förstår• både vi och leverantörer vad vi menar? • Kvalitetssäkring med utgångspunkt från ISO 27001-27002, Acandos samlade erfarenheter och ‘best practice’ UTMANING ACANDOS LÖSNING 21
ACANDO GENOMFÖRDE EN GAP-ANALYS SOM HANTERADE TRE KÄRNFRÅGOR 22 KRAV Vilka krav behöver vi ställa på oss och på våra systemleverantörer? KRAVUPPFYLLNAD Hur ser kravuppfyllnad ut idag och var finns det brister? PRIORITERING Var ska vi börja?
ANALYS AV KRAVUPPFYLLNADEN KOORDINERADES MED SYSTEMÄGARE OCH DRIFTLEVERANTÖR • Ont om tid • Få personer med rätt kompetens • Betydande koordinerings- och analysarbete att samla in och sammanställa svar från informations- och systemägare • Drev uppdraget från start till mål • Målgruppsanpassad information och krav • Formulär • Sammanställning UTMANING ACANDOS LÖSNING 23
KRAVUPPFYLLNADEN GENERERADE MYCKET DATA SOM AGGREGERADES FÖR ATT SKAPA INSIKTER 24
TIPS FÖR INFORMATIONSKLASSIFICERING 25 Genomför informationsklassificering – men stanna inte därKLASSIFICERING Gör inte allting på samma gång och börja på rätt ställePRIORITERA Kom ihåg att informationsklassificera innan nya systeminköpSYSTEMINKÖP Utse en ansvarig person med uppgift att samordna arbetetANSVARIG
GDPR och Analytics Introduktion GDPR och SAP GAP-analys AGENDA
INNEBÄR GDPR-KRAVEN EN MÅLKONFLIKT MELLAN DET DATA-DRIVNA FÖRETAGETS AGENDA OCH INDIVIDENS LAGSTIFTADE DATASKYDD? 27 TRANSPARENS DATA SOM EN TILLGÅNG DATA FÖR ATT DRIVA AFFÄREN LÄTT TILLGÄNGLIG DATA LÄTT TILLGÄNGLIG ANALYS FÖRSTÅ DATA PÅ DJUPET DATA FINNS ÖVERALLT DATA WAREHOUSE
INNEBÄR GDPR-KRAVEN EN MÅLKONFLIKT MELLAN DET DATA-DRIVNA FÖRETAGETS AGENDA OCH INDIVIDENS LAGSTIFTADE DATASKYDD? 28 RADERBARHET BORTGALLRING FLYTTBAR INBYGGD INTEGRITET PSEUDONYMISERAD INVÄNDBAR BEGRÄNSA BEHANDLING DATA PRISON or [VOID] Det måste finnas ett på förhand bestämt ändamål med att lagra uppgifter
VAD INNEBÄR BEGREPPET PRIVACY BY DESIGN FÖR FÖRMEDLING AV DATA TILL ETT WAREHOUSE OCH HANTERINGEN AV DATA? − UPPGIFTSMINIMERING − Pseudonymisering av data (fortfarande personuppgift) − Anonymisering av data (informationen ej längre personuppgift) 29 Metoder för Privacy by design i praktiken Vad får dessa metoder för konsekvenser i praktiken för ett data warehouse? Vilka utmaningar finns att bibehålla analytisk förmåga kopplat till personuppgifter?
ÄR PSEUDONYMISERING OCH ANONYMISERING ENKELT ELLER SVÅRT NÄR VI VILL BEHÅLLA VÅR ANALYTISKA FÖRMÅGA? 30
VILKEN GENERELL STRATEGI FÖR ATT HANTERA INFORMATION I DATALAGRET I RELATION TILL GDPR ÄR ATT FÖREDRA? Total transparens: samma data finns tillgänglig i datalager som i de transaktionella systemen Konsekvens:− metoder för presentation och borttagning av data måste etableras i datalagret− du skall kunna beskriva för den som förmedlat sina personuppgifter exakt vad som görs med datan och varför den används− restriktioner i den interna tillgängligheten av information i datalagret måste hanteras− medgivande måste erhållas rörande historisk lagring och bearbetning för angivna syften− Neutralisering: Anonymisera all data som finns i datalagret Konsekvens:− data kan inte spåras till individ och kan behållas som statistiskt underlag.− Ansvaret för informationen endast inom datalagret förvaltningsram.− Problem uppstår vid vissa typer av analys där personuppgifter på individnivå behövs− Hybridsetup Viss data, t.ex. aktualiserad för en viss tidshorisont innehåller personliga uppgifter medan äldre data anonymiseras− Konsekvens:− Anpassning och hantering av analysmodeller i datalagret för att hantera tidsdjup m.m.− 31
KAN INFORMATIONEN I DATALAGRET PSEUDONYMISERAS/ANONYMISERAS UTAN KONSEKVENSER FÖR INFORMATIONSDISTRIBUTIONEN I ARKITEKTUREN? 32 Källsystem DW Analys och rapportering Källsystem DW Analys och rapportering Andra källsystem
GDPR KAN OCKSÅ HA STOR PÅVERKAN PÅ HANTERING AV BIG DATA OCH FÖR METODER SOM ANVÄNDS VID AVANCERAD ANALYS 33 MOSAIKEFFEKTEN AUTOBESLUT och PROFILERING V3
SAMMANFATTNING Säkerställ att datalagrets roll i systemarkitekturen möjliggör hantering av GDPR-krav Säkerställ Privacy by design också för datalagren och företagets analytiska förmågor Ta fram en strategi kring hur ni hanterar personlig information också i datalagren Anonymisering säkerställer alla GDPR-relaterade frågeställningar i relation till datalagret men kan få negativ påverkan på informationens användbarhet för verksamheten. Medvetandegör de grundläggande reglerna bland anställda och projektdeltagare. Avdömningar av nya initiativ måste göras kontinuerligt med dataskyddsombudet 34
VAR BÖRJAR VI? 35
Compliance all the way to trust 3. Implementation av GDPR “compliance” baseline 1. GDPR complianceanalys 2. GDPR-arkitektur och planering 4. GDPR baseline validering och verifiering Risker och svagheter mitigerade i företagets arkitektur och planer Känn till dina risker och svagheter Steg för steg uppnå “compliance” Kontinuerligt mäta och kontrollera hygiennivå “Paper trail to demonstrate compliance” - En väl dokumenterad process för att vid ev incident eller revision kunna bevisa att ni har gjort vad ni förmår för att förhindra incidenter. ACANDOS FÖRSLAG PÅ ANGREPPSSÄTT GDPR complianceanalys
KOMPETENS Vi är experter inom valda branscher och lösningar HELTÄCKANDE Vi tillhandahåller ett heltäckande erbjudande inom Management och IT KAPACITET Vi är ett av de största konsultbolagen i Norden VARFÖR ACANDO? NÄRA Vi arbetar nära våra kunder och har en stark närvaro i norra Europa KULTUR Vi är ett nordiskt bolag med starka värderingar
KONTAKT SARABERGENHEIM sara.bergenheim@acando.com 0705607542

Recommandé

Integration och GDPR det här måste du tänka på
Integration och GDPR det här måste du tänka påIntegration och GDPR det här måste du tänka på
Integration och GDPR det här måste du tänka påAcando Sweden
 
Frontit seminarium: Business Security Stockholm 31/1 2018
Frontit seminarium: Business Security Stockholm 31/1 2018Frontit seminarium: Business Security Stockholm 31/1 2018
Frontit seminarium: Business Security Stockholm 31/1 2018Frontit
 
GDPR - efter den 25 maj
GDPR - efter den 25 majGDPR - efter den 25 maj
GDPR - efter den 25 majJeanette Öhlund
 
Datainspektionen informationssakerhet
Datainspektionen informationssakerhetDatainspektionen informationssakerhet
Datainspektionen informationssakerhetnibar
 
General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)Maria Duni
 
Förberedande uppgifter för införandet av klientdataarkivet för socialvården
Förberedande uppgifter för införandet av klientdataarkivet för socialvårdenFörberedande uppgifter för införandet av klientdataarkivet för socialvården
Förberedande uppgifter för införandet av klientdataarkivet för socialvårdenTHL
 
Wistrand broschyr Personuppgifter 2.0
Wistrand broschyr Personuppgifter 2.0Wistrand broschyr Personuppgifter 2.0
Wistrand broschyr Personuppgifter 2.0Erik Ullberg
 
Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23Lars Blixt
 

Recommandé

Integration och GDPR det här måste du tänka på
Integration och GDPR det här måste du tänka påIntegration och GDPR det här måste du tänka på
Integration och GDPR det här måste du tänka påAcando Sweden
 
Frontit seminarium: Business Security Stockholm 31/1 2018
Frontit seminarium: Business Security Stockholm 31/1 2018Frontit seminarium: Business Security Stockholm 31/1 2018
Frontit seminarium: Business Security Stockholm 31/1 2018Frontit
 
GDPR - efter den 25 maj
GDPR - efter den 25 majGDPR - efter den 25 maj
GDPR - efter den 25 majJeanette Öhlund
 
Datainspektionen informationssakerhet
Datainspektionen informationssakerhetDatainspektionen informationssakerhet
Datainspektionen informationssakerhetnibar
 
General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)Maria Duni
 
Förberedande uppgifter för införandet av klientdataarkivet för socialvården
Förberedande uppgifter för införandet av klientdataarkivet för socialvårdenFörberedande uppgifter för införandet av klientdataarkivet för socialvården
Förberedande uppgifter för införandet av klientdataarkivet för socialvårdenTHL
 
Wistrand broschyr Personuppgifter 2.0
Wistrand broschyr Personuppgifter 2.0Wistrand broschyr Personuppgifter 2.0
Wistrand broschyr Personuppgifter 2.0Erik Ullberg
 
Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23Lars Blixt
 
NIS i Sverige
NIS i SverigeNIS i Sverige
NIS i SverigePeter Atterfjäll
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetTranscendent Group
 
Förberedande uppgifter för införandet av Klientdataarkivet för socialvården
Förberedande uppgifter för införandet av Klientdataarkivet för socialvårdenFörberedande uppgifter för införandet av Klientdataarkivet för socialvården
Förberedande uppgifter för införandet av Klientdataarkivet för socialvårdenTHL
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Transcendent Group
 
Drift av affärssystem (ERP)
Drift av affärssystem (ERP)Drift av affärssystem (ERP)
Drift av affärssystem (ERP)Idenet
 
WordPress Meetup Westeros (2018-05-17): GDPR för WordPress
WordPress Meetup Westeros (2018-05-17): GDPR för WordPressWordPress Meetup Westeros (2018-05-17): GDPR för WordPress
WordPress Meetup Westeros (2018-05-17): GDPR för WordPressErik Bernskiöld
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarTranscendent Group
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Transcendent Group
 
Logica dlp event presentation
Logica dlp event presentationLogica dlp event presentation
Logica dlp event presentationNils Thulin
 
Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...
Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...
Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...Acando Sweden
 
Logganalys med Elastic & Findwise
Logganalys med Elastic & FindwiseLogganalys med Elastic & Findwise
Logganalys med Elastic & FindwiseFindwise
 
SäKerhet I Molnen
SäKerhet I MolnenSäKerhet I Molnen
SäKerhet I MolnenPredrag Mitrovic
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagTranscendent Group
 
MSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptxMSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptxAdvania
 
Bif Med Bild[1]
Bif Med Bild[1]Bif Med Bild[1]
Bif Med Bild[1]gomel
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Transcendent Group
 
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka påInför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka påcloudnine
 
Triggerfish och gdpr
Triggerfish och gdprTriggerfish och gdpr
Triggerfish och gdprJakob Pernvik
 
Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013
Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013
Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013IBM Sverige
 
Detta är Strikersoft
Detta är StrikersoftDetta är Strikersoft
Detta är StrikersoftStrikersoft
 
Avancerad analys dma seminarium utskick
Avancerad analys dma seminarium utskickAvancerad analys dma seminarium utskick
Avancerad analys dma seminarium utskickAcando Sweden
 
Acando loyalty program bildspel
Acando loyalty program bildspelAcando loyalty program bildspel
Acando loyalty program bildspelAcando Sweden
 

Contenu connexe

Similaire à Seminarie göteborg: GDPR i praktiken

Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetTranscendent Group
 
Förberedande uppgifter för införandet av Klientdataarkivet för socialvården
Förberedande uppgifter för införandet av Klientdataarkivet för socialvårdenFörberedande uppgifter för införandet av Klientdataarkivet för socialvården
Förberedande uppgifter för införandet av Klientdataarkivet för socialvårdenTHL
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Transcendent Group
 
Drift av affärssystem (ERP)
Drift av affärssystem (ERP)Drift av affärssystem (ERP)
Drift av affärssystem (ERP)Idenet
 
WordPress Meetup Westeros (2018-05-17): GDPR för WordPress
WordPress Meetup Westeros (2018-05-17): GDPR för WordPressWordPress Meetup Westeros (2018-05-17): GDPR för WordPress
WordPress Meetup Westeros (2018-05-17): GDPR för WordPressErik Bernskiöld
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarTranscendent Group
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Transcendent Group
 
Logica dlp event presentation
Logica dlp event presentationLogica dlp event presentation
Logica dlp event presentationNils Thulin
 
Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...
Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...
Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...Acando Sweden
 
Logganalys med Elastic & Findwise
Logganalys med Elastic & FindwiseLogganalys med Elastic & Findwise
Logganalys med Elastic & FindwiseFindwise
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagTranscendent Group
 
MSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptxMSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptxAdvania
 
Bif Med Bild[1]
Bif Med Bild[1]Bif Med Bild[1]
Bif Med Bild[1]gomel
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Transcendent Group
 
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka påInför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka påcloudnine
 
Triggerfish och gdpr
Triggerfish och gdprTriggerfish och gdpr
Triggerfish och gdprJakob Pernvik
 
Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013
Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013
Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013IBM Sverige
 
Detta är Strikersoft
Detta är StrikersoftDetta är Strikersoft
Detta är StrikersoftStrikersoft
 

Similaire à Seminarie göteborg: GDPR i praktiken (20)

NIS i Sverige
NIS i SverigeNIS i Sverige
NIS i Sverige
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
 
Förberedande uppgifter för införandet av Klientdataarkivet för socialvården
Förberedande uppgifter för införandet av Klientdataarkivet för socialvårdenFörberedande uppgifter för införandet av Klientdataarkivet för socialvården
Förberedande uppgifter för införandet av Klientdataarkivet för socialvården
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
 
Drift av affärssystem (ERP)
Drift av affärssystem (ERP)Drift av affärssystem (ERP)
Drift av affärssystem (ERP)
 
WordPress Meetup Westeros (2018-05-17): GDPR för WordPress
WordPress Meetup Westeros (2018-05-17): GDPR för WordPressWordPress Meetup Westeros (2018-05-17): GDPR för WordPress
WordPress Meetup Westeros (2018-05-17): GDPR för WordPress
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07
 
Logica dlp event presentation
Logica dlp event presentationLogica dlp event presentation
Logica dlp event presentation
 
Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...
Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...
Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...
 
Logganalys med Elastic & Findwise
Logganalys med Elastic & FindwiseLogganalys med Elastic & Findwise
Logganalys med Elastic & Findwise
 
SäKerhet I Molnen
SäKerhet I MolnenSäKerhet I Molnen
SäKerhet I Molnen
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
 
MSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptxMSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptx
 
Bif Med Bild[1]
Bif Med Bild[1]Bif Med Bild[1]
Bif Med Bild[1]
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145
 
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka påInför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
 
Triggerfish och gdpr
Triggerfish och gdprTriggerfish och gdpr
Triggerfish och gdpr
 
Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013
Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013
Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013
 
Detta är Strikersoft
Detta är StrikersoftDetta är Strikersoft
Detta är Strikersoft
 

Plus de Acando Sweden

Avancerad analys dma seminarium utskick
Avancerad analys dma seminarium utskickAvancerad analys dma seminarium utskick
Avancerad analys dma seminarium utskickAcando Sweden
 
Acando loyalty program bildspel
Acando loyalty program bildspelAcando loyalty program bildspel
Acando loyalty program bildspelAcando Sweden
 
Peter Burman, Boliden
Peter Burman, BolidenPeter Burman, Boliden
Peter Burman, BolidenAcando Sweden
 
Ola Reppling, Microsoft
Ola Reppling, MicrosoftOla Reppling, Microsoft
Ola Reppling, MicrosoftAcando Sweden
 
Erik Gustafsson, Vizendo
Erik Gustafsson, VizendoErik Gustafsson, Vizendo
Erik Gustafsson, VizendoAcando Sweden
 
Cecilia Haraldsson, Gustav Gullberg Acando, Transformator Design
Cecilia Haraldsson, Gustav Gullberg Acando, Transformator DesignCecilia Haraldsson, Gustav Gullberg Acando, Transformator Design
Cecilia Haraldsson, Gustav Gullberg Acando, Transformator DesignAcando Sweden
 
Carl Fredrik Bernmar - Toyota Material Handling
Carl Fredrik Bernmar - Toyota Material HandlingCarl Fredrik Bernmar - Toyota Material Handling
Carl Fredrik Bernmar - Toyota Material HandlingAcando Sweden
 
Jon Bokrantz, Chalmers
Jon Bokrantz, ChalmersJon Bokrantz, Chalmers
Jon Bokrantz, ChalmersAcando Sweden
 
Digital workplace med office 365 & power bi summering av microsoft ignite
Digital workplace med office 365 & power bi summering av microsoft igniteDigital workplace med office 365 & power bi summering av microsoft ignite
Digital workplace med office 365 & power bi summering av microsoft igniteAcando Sweden
 
170427 acando seminarium från crm till dynamics 365
170427 acando seminarium från crm till dynamics 365170427 acando seminarium från crm till dynamics 365
170427 acando seminarium från crm till dynamics 365Acando Sweden
 
170223 Acando seminar Masterdata
170223 Acando seminar Masterdata170223 Acando seminar Masterdata
170223 Acando seminar MasterdataAcando Sweden
 
Acando Seminar Best of ignite 2016
Acando Seminar Best of ignite 2016Acando Seminar Best of ignite 2016
Acando Seminar Best of ignite 2016Acando Sweden
 
Ett friskare Sverige - Göran Modin
Ett friskare Sverige - Göran Modin Ett friskare Sverige - Göran Modin
Ett friskare Sverige - Göran Modin Acando Sweden
 
Ett friskare Sverige - Kristina Hagström
Ett friskare Sverige - Kristina Hagström Ett friskare Sverige - Kristina Hagström
Ett friskare Sverige - Kristina Hagström Acando Sweden
 
Ett friskare Sverige - Lars-Åke Brattlund
Ett friskare Sverige - Lars-Åke Brattlund Ett friskare Sverige - Lars-Åke Brattlund
Ett friskare Sverige - Lars-Åke Brattlund Acando Sweden
 
Trendspaning Healthcare
Trendspaning HealthcareTrendspaning Healthcare
Trendspaning HealthcareAcando Sweden
 
Acando Inspiration Day - King
Acando Inspiration Day - KingAcando Inspiration Day - King
Acando Inspiration Day - KingAcando Sweden
 
Acando Inspiration Day - TV4
Acando Inspiration Day - TV4Acando Inspiration Day - TV4
Acando Inspiration Day - TV4Acando Sweden
 
Acando Inspiration Day - Microsoft
Acando Inspiration Day - MicrosoftAcando Inspiration Day - Microsoft
Acando Inspiration Day - MicrosoftAcando Sweden
 
Acando Inspiration Day - Apotek Hjärtat
Acando Inspiration Day - Apotek HjärtatAcando Inspiration Day - Apotek Hjärtat
Acando Inspiration Day - Apotek HjärtatAcando Sweden
 

Plus de Acando Sweden (20)

Avancerad analys dma seminarium utskick
Avancerad analys dma seminarium utskickAvancerad analys dma seminarium utskick
Avancerad analys dma seminarium utskick
 
Acando loyalty program bildspel
Acando loyalty program bildspelAcando loyalty program bildspel
Acando loyalty program bildspel
 
Peter Burman, Boliden
Peter Burman, BolidenPeter Burman, Boliden
Peter Burman, Boliden
 
Ola Reppling, Microsoft
Ola Reppling, MicrosoftOla Reppling, Microsoft
Ola Reppling, Microsoft
 
Erik Gustafsson, Vizendo
Erik Gustafsson, VizendoErik Gustafsson, Vizendo
Erik Gustafsson, Vizendo
 
Cecilia Haraldsson, Gustav Gullberg Acando, Transformator Design
Cecilia Haraldsson, Gustav Gullberg Acando, Transformator DesignCecilia Haraldsson, Gustav Gullberg Acando, Transformator Design
Cecilia Haraldsson, Gustav Gullberg Acando, Transformator Design
 
Carl Fredrik Bernmar - Toyota Material Handling
Carl Fredrik Bernmar - Toyota Material HandlingCarl Fredrik Bernmar - Toyota Material Handling
Carl Fredrik Bernmar - Toyota Material Handling
 
Jon Bokrantz, Chalmers
Jon Bokrantz, ChalmersJon Bokrantz, Chalmers
Jon Bokrantz, Chalmers
 
Digital workplace med office 365 & power bi summering av microsoft ignite
Digital workplace med office 365 & power bi summering av microsoft igniteDigital workplace med office 365 & power bi summering av microsoft ignite
Digital workplace med office 365 & power bi summering av microsoft ignite
 
170427 acando seminarium från crm till dynamics 365
170427 acando seminarium från crm till dynamics 365170427 acando seminarium från crm till dynamics 365
170427 acando seminarium från crm till dynamics 365
 
170223 Acando seminar Masterdata
170223 Acando seminar Masterdata170223 Acando seminar Masterdata
170223 Acando seminar Masterdata
 
Acando Seminar Best of ignite 2016
Acando Seminar Best of ignite 2016Acando Seminar Best of ignite 2016
Acando Seminar Best of ignite 2016
 
Ett friskare Sverige - Göran Modin
Ett friskare Sverige - Göran Modin Ett friskare Sverige - Göran Modin
Ett friskare Sverige - Göran Modin
 
Ett friskare Sverige - Kristina Hagström
Ett friskare Sverige - Kristina Hagström Ett friskare Sverige - Kristina Hagström
Ett friskare Sverige - Kristina Hagström
 
Ett friskare Sverige - Lars-Åke Brattlund
Ett friskare Sverige - Lars-Åke Brattlund Ett friskare Sverige - Lars-Åke Brattlund
Ett friskare Sverige - Lars-Åke Brattlund
 
Trendspaning Healthcare
Trendspaning HealthcareTrendspaning Healthcare
Trendspaning Healthcare
 
Acando Inspiration Day - King
Acando Inspiration Day - KingAcando Inspiration Day - King
Acando Inspiration Day - King
 
Acando Inspiration Day - TV4
Acando Inspiration Day - TV4Acando Inspiration Day - TV4
Acando Inspiration Day - TV4
 
Acando Inspiration Day - Microsoft
Acando Inspiration Day - MicrosoftAcando Inspiration Day - Microsoft
Acando Inspiration Day - Microsoft
 
Acando Inspiration Day - Apotek Hjärtat
Acando Inspiration Day - Apotek HjärtatAcando Inspiration Day - Apotek Hjärtat
Acando Inspiration Day - Apotek Hjärtat
 

Seminarie göteborg: GDPR i praktiken

  • 1. GDPR i praktiken Erfarenheter och handfasta råd
  • 2. GDPR och Analytics Introduktion GDPR och SAP GAP-analys AGENDA
  • 3. VAD ÄR GDPR? EUs nya Dataskyddsförordning Krav på att ni ska ha kontroll över vilka personuppgifter som behandlas samt i vilka system de förekommer. Ökade krav och skärpt ansvarsutkrävningen både när ni är Personuppgiftsansvariga och då ni är Personuppgiftsbiträden Krav på att ni utför lämpliga tekniska och organisatoriska åtgärder utformade för för att säkerställa ett inbyggt dataskydd och dataskydd som standard. Ska skydda personers grundläggande fri- och rättigheter vid behandling av personuppgifter Trädder i kraft maj 2018 och tiden innan dess bör användas för att förbereda sig Företag som inte uppfyller lagen hotas med vite på upptill 4% av global årsinkomst eller 20 miljoner För er organisation innebär det:
  • 4. VAD ÄR EN PERSONUPPGIFT? ALL SLAGS INFORMATION SOM DIREKT ELLER INDIREKT KAN HÄNFÖRAS TILL EN FYSISK PERSON SOM ÄR I LIVET 4
  • 5. FÖRÄNDRINGAR ATT LÄGGA PÅ MINNET 5 STRAFFAVGIFTERSÄKERHETSINCIDENTER PRIVACY BY DESIGN SAMTYCKE REGLERAD DATA UTÖKADE RÄTTIG- & SKYLDIGHETER MISSBRUKSREGELNSAMTYCKE BARN
  • 6. DATASKYDDSPRINCIPER 6 LAGLIGHET, KORREKTHET OCH ÖPPENHET Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. ÄNDAMÅLSBEGRÄSNING De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. UPPGIFTSMINIMERING De ska vara adekvata, relevanta och begränsade till vad som krävs i förhållande till de ändamål för vilka de behandlas. KORREKTHET De ska vara korrekta och om nödvändigt uppdaterade, om inte ska de utan dröjsmål raderas eller rättas. INTEGRITET OCH KONFIDENTIALITET* De ska behandlas på ett sätt som säkerställer vederbörlig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder. ANSVARSSKYLDIGHET* Den registeransvarige ska ansvara för och kunna visa att principerna efterlevs. Artikel 5, skäl 39, artikel 6.4, skäl 50 LAGRINGSMINIMERING De ska förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. 1 2 4 3 5 6 7 Sammanfattar huvudsakliga ansvarsområden för personuppgiftsbehandling
  • 7. Ny inhämtning Inhämtning Samtycke Nytt medgivande Nytt anv.omr 3att bli glömd att korrigera till transparens till portabilitet Jag har rätt: Jag måste säkerställa Privacy by design bl a genom att alltid ha korrekt information och vara transparent. Lagring 4 Rättelse Information 1 2 5 Gallring 6 PERSONUPPGIFTENS LIVCYKEL
  • 8. 8 Article 3 and Recital 19-22 ÖVERFÖRING AV PERSONUPPGIFTER FRÅN EU TILL LAND UTANFÖR EU Hanterar personuppgifter inom ramen av verksamhet oavsett om behandlingen utförs i unionen
  • 9. GDPR och Analytics Introduktion GDPR och SAP GAP-analys AGENDA
  • 10. HUR KAN VI HANTERA GDPR KRAVEN I SAP 10
  • 11. EN GRUNDLÄGGANDE PORTFOLIO FÖR ATT MÖTA KRAVEN FRÅN GDPR I SAP GOVERNANCE, RISK AND COMPLIANCE SAP PROCESS CONTROL OCH SAP RISK MANAGEMENT ÄR DOM INITIALT VIKTIGASTE KOMPONENTERNA FÖR ATT MÖTA KRAVEN FRÅN GDPR Är För att möta kraven från GDPR
  • 12. Archiving Objects MED SAP INFORMATION LIFECYCLE MANAGEMENT OCH DATA ARCHIVING KAN KRAV PÅ LIVSCYKEL AV PERSONDATA MÖTAS MASTER DATA & TRANSACTION DATA DATA ARCHIVES ILM Archiving objects Residence periods Processing in accordance with intended purpose Deletion Processing in accordance with intended purpose Blocking period Deletion End of Purpose: ”retention only” – X Years End of retention period – X Years DATA LIFECYCLE
  • 13. FÖR MÄRKNING, KLASSIFICERING OCH SKANNING AV PERSONDATA INFORMATION STEWARD – DATA TAGGING CELONIS – PROCESS MINING SAP HANA EIM – DATA TAGGING
  • 14. GDPR och Analytics Introduktion GDPR och SAP GAP-analys AGENDA
  • 15. PERSONUPPGIFTSLAGEN ERSÄTTS AV DATASKYDDSFÖRORDINGEN 15 Personuppgiftslagen Dataskyddsförordningen
  • 16. 16 1§ - ”Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.” Artikel 24 – Den personuppgiftsansvariges ansvar Informationssäkerhetsarbete EN VIKTIG BYGGSTEN FÖR ATT LEVA UPP TILL DEN NYA LAGEN ÄR ATT HA ETT FUNGERANDE INFORMATIONSSÄKERHETSARBETE
  • 17. STÖTTNING OCH METODSTÖD FÖR ATT GÅ FRÅN TEORI TILL PRAKTIK I PÅBÖRJAT GDPR-ARBETE 17 ? Ramverk, klassificeringsmodell och krav Kartläggning av informationstillgångar Innehåller personuppgifter Genomförd klassificering Har vi landat rätt? Vad börjar vi med? Hur tar vi det vidare snabbt?
  • 18. ACANDO GENOMFÖRDE EN GAP-ANALYS SOM HANTERADE TRE KÄRNFRÅGOR 18 KRAV Vilka krav behöver vi ställa på oss och på våra systemleverantörer? KRAVUPPFYLLNAD Hur ser kravuppfyllnad ut idag och var finns det brister? PRIORITERING Var ska vi börja?
  • 19. KRAVEN SKAPADES FRÅN FYRA PERSPEKTIV INOM INFORMATIONSSÄKERHET 19 KONFIDENTIALITET RIKTIGHET TILLGÄNGLIGHET SPÅRBARHET ÅTKOMST TILL INFORMATION för rätt personer och roller KORREKT INFORMATION som går att lita på TILLGÄNGLIG INFORMATION på rätt plats och vid rätt tillfälle ÄNDRINGAR AV INFORMATION kan härledas till tid och person Klass 4 Klass 3 Klass 2 Klass 1 Säkerhetskrav 1 Säkerhetskrav 2 Säkerhetskrav n Klass 4 Klass 3 Klass 2 Klass 1 Säkerhetskrav 1 Säkerhetskrav 2 Säkerhetskrav n Klass 4 Klass 3 Klass 2 Klass 1 Säkerhetskrav 1 Säkerhetskrav 2 Säkerhetskrav n Klass 4 Klass 3 Klass 2 Klass 1 Säkerhetskrav 1 Säkerhetskrav 2 Säkerhetskrav n
  • 20. INFORMATIONSSÄKERHETSKRAVEN SOM ANVÄNDES I UPPDRAGET VAR AV BÅDE TEKNISK OCH ORGANISATORISK KARAKTÄR 20 EXEMPEL PÅ OLIKA KRAV PÅ SKYDD INFORMATIONSSÄKERHET BEFOGENHET Enbart unika anställda och godkända externa personer med påskrivet NDA har tillgång till information ÅTERSTÄLLNING Återställning vid dataförlust garanteras inom 48 timmar TILLGÄNGLIGHET Tillgänglighet enligt SLA-nivå 99,5% KONFIDENTIALITET Information skyddas genom medelstarka lösenordsinställningar SPÅRBARHET Åtkomst och förändring till information ska loggas och kunna kopplas till tid och individ RIKTIGHET Förändringar till system genomförs i enlighet med en rigid process som säkerställer att informationens riktighet bevaras
  • 21. KRAVEN ANALYSERADES UTIFRÅN STANDARDER OCH FÖRBÄTTRADES MED HJÄLP AV ACANDOS TIDIGARE ERFARENHETER Har• vi ställt rimliga krav? Har• vi missat viktiga områden? Förstår• både vi och leverantörer vad vi menar? • Kvalitetssäkring med utgångspunkt från ISO 27001-27002, Acandos samlade erfarenheter och ‘best practice’ UTMANING ACANDOS LÖSNING 21
  • 22. ACANDO GENOMFÖRDE EN GAP-ANALYS SOM HANTERADE TRE KÄRNFRÅGOR 22 KRAV Vilka krav behöver vi ställa på oss och på våra systemleverantörer? KRAVUPPFYLLNAD Hur ser kravuppfyllnad ut idag och var finns det brister? PRIORITERING Var ska vi börja?
  • 23. ANALYS AV KRAVUPPFYLLNADEN KOORDINERADES MED SYSTEMÄGARE OCH DRIFTLEVERANTÖR • Ont om tid • Få personer med rätt kompetens • Betydande koordinerings- och analysarbete att samla in och sammanställa svar från informations- och systemägare • Drev uppdraget från start till mål • Målgruppsanpassad information och krav • Formulär • Sammanställning UTMANING ACANDOS LÖSNING 23
  • 24. KRAVUPPFYLLNADEN GENERERADE MYCKET DATA SOM AGGREGERADES FÖR ATT SKAPA INSIKTER 24
  • 25. TIPS FÖR INFORMATIONSKLASSIFICERING 25 Genomför informationsklassificering – men stanna inte därKLASSIFICERING Gör inte allting på samma gång och börja på rätt ställePRIORITERA Kom ihåg att informationsklassificera innan nya systeminköpSYSTEMINKÖP Utse en ansvarig person med uppgift att samordna arbetetANSVARIG
  • 26. GDPR och Analytics Introduktion GDPR och SAP GAP-analys AGENDA
  • 27. INNEBÄR GDPR-KRAVEN EN MÅLKONFLIKT MELLAN DET DATA-DRIVNA FÖRETAGETS AGENDA OCH INDIVIDENS LAGSTIFTADE DATASKYDD? 27 TRANSPARENS DATA SOM EN TILLGÅNG DATA FÖR ATT DRIVA AFFÄREN LÄTT TILLGÄNGLIG DATA LÄTT TILLGÄNGLIG ANALYS FÖRSTÅ DATA PÅ DJUPET DATA FINNS ÖVERALLT DATA WAREHOUSE
  • 28. INNEBÄR GDPR-KRAVEN EN MÅLKONFLIKT MELLAN DET DATA-DRIVNA FÖRETAGETS AGENDA OCH INDIVIDENS LAGSTIFTADE DATASKYDD? 28 RADERBARHET BORTGALLRING FLYTTBAR INBYGGD INTEGRITET PSEUDONYMISERAD INVÄNDBAR BEGRÄNSA BEHANDLING DATA PRISON or [VOID] Det måste finnas ett på förhand bestämt ändamål med att lagra uppgifter
  • 29. VAD INNEBÄR BEGREPPET PRIVACY BY DESIGN FÖR FÖRMEDLING AV DATA TILL ETT WAREHOUSE OCH HANTERINGEN AV DATA? − UPPGIFTSMINIMERING − Pseudonymisering av data (fortfarande personuppgift) − Anonymisering av data (informationen ej längre personuppgift) 29 Metoder för Privacy by design i praktiken Vad får dessa metoder för konsekvenser i praktiken för ett data warehouse? Vilka utmaningar finns att bibehålla analytisk förmåga kopplat till personuppgifter?
  • 30. ÄR PSEUDONYMISERING OCH ANONYMISERING ENKELT ELLER SVÅRT NÄR VI VILL BEHÅLLA VÅR ANALYTISKA FÖRMÅGA? 30
  • 31. VILKEN GENERELL STRATEGI FÖR ATT HANTERA INFORMATION I DATALAGRET I RELATION TILL GDPR ÄR ATT FÖREDRA? Total transparens: samma data finns tillgänglig i datalager som i de transaktionella systemen Konsekvens:− metoder för presentation och borttagning av data måste etableras i datalagret− du skall kunna beskriva för den som förmedlat sina personuppgifter exakt vad som görs med datan och varför den används− restriktioner i den interna tillgängligheten av information i datalagret måste hanteras− medgivande måste erhållas rörande historisk lagring och bearbetning för angivna syften− Neutralisering: Anonymisera all data som finns i datalagret Konsekvens:− data kan inte spåras till individ och kan behållas som statistiskt underlag.− Ansvaret för informationen endast inom datalagret förvaltningsram.− Problem uppstår vid vissa typer av analys där personuppgifter på individnivå behövs− Hybridsetup Viss data, t.ex. aktualiserad för en viss tidshorisont innehåller personliga uppgifter medan äldre data anonymiseras− Konsekvens:− Anpassning och hantering av analysmodeller i datalagret för att hantera tidsdjup m.m.− 31
  • 32. KAN INFORMATIONEN I DATALAGRET PSEUDONYMISERAS/ANONYMISERAS UTAN KONSEKVENSER FÖR INFORMATIONSDISTRIBUTIONEN I ARKITEKTUREN? 32 Källsystem DW Analys och rapportering Källsystem DW Analys och rapportering Andra källsystem
  • 33. GDPR KAN OCKSÅ HA STOR PÅVERKAN PÅ HANTERING AV BIG DATA OCH FÖR METODER SOM ANVÄNDS VID AVANCERAD ANALYS 33 MOSAIKEFFEKTEN AUTOBESLUT och PROFILERING V3
  • 34. SAMMANFATTNING Säkerställ att datalagrets roll i systemarkitekturen möjliggör hantering av GDPR-krav Säkerställ Privacy by design också för datalagren och företagets analytiska förmågor Ta fram en strategi kring hur ni hanterar personlig information också i datalagren Anonymisering säkerställer alla GDPR-relaterade frågeställningar i relation till datalagret men kan få negativ påverkan på informationens användbarhet för verksamheten. Medvetandegör de grundläggande reglerna bland anställda och projektdeltagare. Avdömningar av nya initiativ måste göras kontinuerligt med dataskyddsombudet 34
  • 36. Compliance all the way to trust 3. Implementation av GDPR “compliance” baseline 1. GDPR complianceanalys 2. GDPR-arkitektur och planering 4. GDPR baseline validering och verifiering Risker och svagheter mitigerade i företagets arkitektur och planer Känn till dina risker och svagheter Steg för steg uppnå “compliance” Kontinuerligt mäta och kontrollera hygiennivå “Paper trail to demonstrate compliance” - En väl dokumenterad process för att vid ev incident eller revision kunna bevisa att ni har gjort vad ni förmår för att förhindra incidenter. ACANDOS FÖRSLAG PÅ ANGREPPSSÄTT GDPR complianceanalys
  • 37. KOMPETENS Vi är experter inom valda branscher och lösningar HELTÄCKANDE Vi tillhandahåller ett heltäckande erbjudande inom Management och IT KAPACITET Vi är ett av de största konsultbolagen i Norden VARFÖR ACANDO? NÄRA Vi arbetar nära våra kunder och har en stark närvaro i norra Europa KULTUR Vi är ett nordiskt bolag med starka värderingar