Acando Simplifying GDPR. ACANDO CAPABLE BUSINESS GDPR Från ord till handling

Transkript

1 Acando Simplifying GDPR ACANDO CAPABLE BUSINESS GDPR Från ord till handling

2 Agenda 1 Välkomna! 2 GDPR i korthet 3 Hur kommer vi i mål? Vad finns det för nyttoeffekter? 4 Verktyg: SAP, IAM, RPA 5 Vad händer efter den 25 maj? 6 Avslutning

3 Presentatör Acando Simplifying GDPR Vi hjälper er under hela GDPR-resan!

4 GDPR i korthet EUs nya dataskyddsförordning Ska skydda personers grundläggande fri- och rättigheter vid behandling av personuppgifter. Antogs i april Träder i kraft i maj Risk för vite om upp till 4% av omsättningen eller 20 miljoner. Personuppgifter En personuppgift utgörs av all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Exempel: namn, adress, personnummer, ljudupptagning, bild, ip-adress, etniskt ursprung, politisk åsikt, tro, hälsoinformation, Behandling av personuppgifter är endast tillåten när otvetydigt samtycke lämnats. det är nödvändigt för att fullfölja ett avtal. en rättslig skyldighet ska fullgöras. den registrerades vitala intressen ska skyddas. en uppgift i allmänhetens intresse ska utföras. inom ramen för legitima intressen hos personuppgiftsansvarig. Dataskyddsprinciper Laglighet, korrekthet, och öppenhet. Ändamålsbegränsning. Uppgiftsminimering. Lagringsminimering. Integritet och konfidentialitet. Korrekthet.

5 Hur kommer vi i mål? 25:e maj 2018 Artikel 24 Den personuppgiftsansvariges ansvar: Säkerställa efterlevnad av lagstiftningen. Tekniska och organisatoriska åtgärder. Behandlingsregister. GDPR-organisation. Styrande dokument. Avtal. Processer. Utbildning. IT-säkerhet. Godkända uppförandekoder. Certifiering. Tillsynsmyndighet i Sverige

6 En katalysator för förbättringar! Bättre verksamhetsprocesser Kartläggning och dokumentation av processer och ändamål för behandling av persondata GDPR innebär att verksamhetsprocesser behöver kartläggas och dokumenteras för att ha kontroll över var persondata finns och till vilka ändamål den används Detta leder till att vissa processer kanske behöver förändras vilket t.ex. skapar möjligheter till att bygga mer relevanta och bättre kundrelationer Bättre verksamhetsarkitektur (EA) Kartläggning och dokumentation av processer, information och IT-lösningar GDPR innebär inte bara kartläggning och dokumentation av processer, utan även information och IT-lösningar Detta utgör en bra grund för att bygga eller förbättra sin verksamhetsarkitektur (EA) och på så vis få bättre stöd för framtida förändringsarbete Bättre masterdatahantering Kartläggning och dokumentation av persondata som bearbetas och var den finns GDPR innebär att man måste identifiera vilken typ av persondata som bearbetas, var den finns och hur den distribueras, samt säkerställa att den är korrekt Detta leder till behov av en konsoliderad masterdatahantering av persondata (Party MDM) som kan stötta hela verksamhetens processer och IT-lösningar Bättre IT-säkerhet Bättre IAM-hantering och säkrare integrationslösningar GDPR innebär att man måste ha kontroll över att persondata inte hamnar i orätta händer vilket kan leda till skada för någon Detta leder till en möjlighet att se över och förbättra vem som har tillgång till vilken information och säkerställa att den distribueras på ett säkert sätt

7 Acando GDPR SAP ECC Compliance Check UTMANINGEN FÖRDELARNA LÖSNINGEN RESULTATEN GDPR kräver kontroll över persondata. (vad, var, vem, varför?) System måste utformas för korrekta lagringstider, borttagning och skydd av persondata (Privacy by Design). Var i mitt SAP-system finns det persondata, vad används den till och vem har tillgång till den? Acando GDPR SAP ECC Compliance Check levereras till ett fast pris och baseras på: En kombination av SAP standardrapporter tillsammans med fördefinierade SAPdefinitioner av typiska fält som innehåller persondata. Acandos bevisade erfarenhet inom SAP Security och Identity and Access Management (IAM). Acando GDPR SAP ECC Compliance Check erbjuder en teknisk analys på tabell- och fältnivå av ert SAP ECCsystem. Roller och användare analyseras för att avgöra nuvarande behörighet till persondata. En lista med tabeller som innehåller persondata ner till fältnivå. En lista med roller och tilldelade användare som har tillgång till tabeller som innehåller persondata. Ingen persondata visas i rapporten! Analysen levereras i form av en rapport som kan ligga till grund för det fortsatta GDPR-arbetet.

8 Identity & Access Management (IAM) P P P 1 2 HR skapar en användare och begär åtkomst 5 min Endast chefen behöver godkänna Job Function: Accounting Assistant 3 Systemets regelverk identifierar otillåtna kombinationer av roller och åtkomst (SoD) P Ge nya medarbetare och konsulter snabb tillgång till rätt system och information, med rätt behörigheter. Ta vara på energin och viljan hos nya medarbetare Delegera ansvaret till verksamheten istället för IT Ha fullständig kontroll på vilka som har tillgång och när. Spårbarhet och loggning SoD (Segregation of duties)

9 RPA-lösningar för GDPR Anställ en robot som medarbetare Förenklar tidskrävande manuell hantering! Personers rättigheter Vilken information har ni om mig? Den är inkorrekt var vänlig uppdatera! Jag vill inte längre finnas i era system! Medgivande till bearbetning för givet ändamål?! Självbetjäningstjänster Robotic Process Automation (RPA)? MDM HR CRM

10 Master Data Management Party Masterdatahantering av personuppgifter är en åtgärd att vidta för att säkerställa efterlevnad av GDPR! PERSONUPPGIFTER Platser Korrekthet. Samtycke. Party-centrisk modell Part (Party) är den centrala entiteten som är unik och sparas en gång och hanteras på ett ställe. Parter kan ha flera olika roller (kund, anställd, systemanvändare). Parter har relationer till andra entiteter som avtal, platser (adress, telefon, epost), andra parter. Parter kan vara både organisationer/företag och personer. Roller Produkter Avtal Relationer Raymond Anneborg (Party Person)

11 Privacy by Design Inbyggt dataskydd (privacy by design) innebär att man tar hänsyn till integritetsskyddsreglerna redan när man utformar IT-system och rutiner. Kravet på dataskydd som standard innebär i korthet att den som behandlar personuppgifter ska se till att personuppgifter inte behandlas i onödan. Några punkter att tänka på: Minimera mängden personuppgifter. Begränsa åtkomsten till uppgifterna. (Identity & Access Management) Skydda uppgifterna. Låt systemet styra användaren rätt. Ytterligare detaljer kring privacy by design finns på Datainspektionens hemsida.

12 Kvalitetssäkring av genomfört arbete GDPR Audit Granskning av genomfört arbete med avseende på efterlevnad av dataskyddsförordningen (GDPR). Sammanställning av en efterlevnadsrapport med identifierade brister och rekommendationer till åtgärder. Rekommendation kring förbättringar och effektivisering av organisatoriska och tekniska säkerhetsåtgärder som implementerats, t.ex. att automatisera en manuell process för dataskydd. Dataskyddsombud (Data Protection Officer DPO) Obligatoriskt att utse för: myndigheter, företag vars kärnverksamhet innebär övervakning i stor omfattning (t.ex. säkerhetsföretag), när personuppgifter som rör fällande domar i brottmål hanteras. Även om det inte är obligatoriskt att utnämna ett dataskyddsombud kan det ibland vara bra för organisationerna att ändå göra det frivilligt. Ett dataskyddsombud hjälper organisationen i arbetet med dataskydd och fungerar som kontaktpunkt för Datainspektionen och de registrerade.

13 Acando Simplifying GDPR Vi hjälper er under hela GDPR-resan! Program- och projektledning Kartläggning, dokumentation och analys av persondata Hantering och åtgärdande av brister Upphandlingsstöd Kvalitetssäkring av genomfört arbete Riktlinjer för Privacy by Design SAP ECC Compliance Check IAM-lösningar och informationssäkerhet RPA-lösningar för GDPR Masterdatahantering av persondata Mer information om GDPR-insikter och Acandos GDPR-erbjudanden hittar du på vår hemsida! IAM Identity and Access Management RPA Robotic Process Automation

14 Kontakt Acando Simplifying GDPR Vi hjälper er under hela GDPR-resan!