Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
(D)PIA meets Data Mapping
Operationalisierung der Datenschutz-
Grundverordnung
Berlin, Mittwoch, 21. Juni 2017
Agenda
1 | Data Mapping Definition
2 | Data Mapping Operationalisierung
3 | PIA/DPIA Definition
| Q&A
4 | PIA/DPIA Operationalisierung
5
Data Mapping Definition
Was hat Data Mapping mit der DSGVO zu tun?
• Artikel 30 DSGVO “Verzeichnis von Verarbeitungstätigkeiten” weist
spezifische Anforderungen aus, die es künftig einzuhalten gilt• Übliche Gefahren:
Bisherige Anforderungen ähnlich aber nicht identisch
Verwechslungsgefahr (z.B. PCI, BCR oder Information.Governance)
• Relevante Artikel und Erwägungsgründe:• Artikel 30
• Erwägungsgrund 13, 39, 82
• Ausführlichkeit: weitere Artikel (6/15/32) / kommende Regularien aufnehmen
Data Mapping aus zwei Betrachtungswinkeln – Teil 1
• Data Inventory beinhaltet tabellarische Aufzeichnungen aller personenbezogenen Daten
und damit verbundenen Informationen einer Organisation
• Beispiele:
• Datenart
• Datenerhebung
• Datenverarbeitung
• Datentransfer
• Datenspeicherung
• Datensicherheit
• Datenlöschung
Data Mapping aus zwei Betrachtungswinkeln – Teil 2
• Data Map verweist visuell auf (globale) Datenflüsse und Asset Locations auf Grundlage des
Data Inventory
Operationalisierung des Data Mappings in 6 Schritten
Schritt 1: Was hat man und was braucht man zukünftig?
• Auflistung
eigener Assets
(CMDB)
• Geschäfts-
prozesse
• Drittparteien /
Vendors
• Alle DSGVO
Anforderungen
abgedeckt?
Gaps (Art.30) ?
• Einbezug von
weiteren
Elementen
(Art.15/32…)?
Schritt 2: Welche Zuordnung erscheint sinnvoll?
1. Geschäftsprozesse
2. Applikationen
Auch beides als Hybrid
sowie weitere möglich
• ? • ?
Schritt 3: Wie befüllen Sie das Data Mapping?
Drei Möglichkeiten:
API Integrationen(Bestehendes weiterer Systeme)
1Data Discovery
(Automatisiertes Scanning)
2Art. 30 DSGVO
Fragebögen
3
Schritt 4: Mit welchem Projektteam starten Sie?
• Leichtester Prozess
Vs.
• Schwerster Prozess
Vs.
• Höchste Risiken
Schritt 5: Wer macht die ganze Arbeit?
Binden Sie früh “Privacy Champions” und Fachexperten mit ins Thema ein
Kern-Datenschutz-Team
Privacy Champions &
Fachexperten aus:
• HR
• Marketing
• Einkauf
• IT
• Compliance
• Usw.
Schritt 6: Wie halten Sie das Data Mapping aktuell?
Wiederkehrende Prüfung über Änderungen nach Risikograd
UND
Scanning Ergebnisse weisen auf Updates hin
UND
Verknüpfung von PIA/DPIAs und Data Mapping
PIA/DPIA Definition
Deutung der Begriffe PIA/DPIA
• Ein Privacy Impact Assessment (PIA)
ist ein Fragebogen zum Identifizieren von Datenschutzrisiken
sowie eine Hilfe zur Reduzierung dieser..
• Ein Data Protection Impact Assessment (DPIA)
ist eine spezielle Variante des PIAs, welcher in der DSGVO mit
besonderen Pflichten verbunden ist (Artikel 35 DSGVO)..
PIA ≠ DPIA
Schwellwertanalyse Risikobewertung Ausführlicher DPIA
1 2 3
Gibt es einen
Einfluss?
Hohe Risiken
enthalten?
DPIA Auslöser
Kann man die
Risiken
mindern?
1 -10 Fragen
Sind personen-
bezogene Daten
enthalten?
Maßnahmen
ergreifen
Risiko des
Einzelnen,
Rücksprache
DPO etc.
DPA Beratung
4
Ersuch der
Akzeptanz
Ein Vorschlag zur Entwicklung eines DPIA (DSFA)
20 – 40 Fragen
Dokumentation
und Prüfung der
Datenflüsse
Austausch mit
DS-Aufsicht
Mehrnutzen im
Vergleich zum
entstehenden
Schaden abwägen
Verknüpfung von Schwellwertanalyse und DPIA
PIA/DPIA Operationalisierung6 weitere Punkte
Zu beachtende Punkte bei der Erstellung eines PIA/DPIA
• DM Elemente können mit PIA/DPIA verknüpft werden
• DM wird somit stets automatisch aktualisiert
• Auslegung des Fragebogens nach DSGVO
• Checkliste gestalten
• Rücksprache mit Rechtsberatung
• Fragen nach Sektionen unter-teilen
• Erleichtert die Handhabung bei Beantwortung und Prüfung
DSGVO beachten Art. 30 Fragen integrieren Klare Struktur
2 31
Zu beachtende Punkte bei der Erstellung eines PIA/DPIA
• Mehr Information führt zu qualtitativerAntwort
• Anhänge, Beschreibungen, Verweise, etc.
• Antworten vielfältig gestalten
• Befragte kommen aus diversen Fachbereichen
• Fragen Sie nicht zu direkt: Erfassen sie personen-bezogene Daten?
Verständlichkeit der
Fragen
Weitere Informationen &
Flexibiliät bereitstellen
54
Beispiele effizienter und qualitativer Fragestellungen
Zu beachtende Punkte bei der Erstellung eines PIA/DPIA
• Mehr Information führt zu qualtitativerAntwort
• Anhänge, Beschreibungen, Verweise, etc.
• Befragte kommen aus diversen Fachbereichen
• Fragen Sie nicht zu direkt: Erfassen sie personen-bezogene Daten?
• Wenn-Dann-Logik einbauen
• Nur relevante Fragen werden gestellt
• Risiken können vordefiniert werden
Verständlichkeit der
Fragen
Weitere Informationen
bereitstellenAutomatisierte Prozesse
5 64
So könnten Automatisierungsprozesse aussehen…
Weiteres Vorgehen in der PIA/DPIA Praxis
• Cockpit mit effizienten Fragebögen
• Auswahl eines Fragebogens bei neuem PIA/DPIA Projekt
• Zuordnung des Projekts zum Befragten
• Qualitative Beantwortung der richtigen Fragen
• Überprüfung der Fragen durch DPO
• Risiken manuell setzen & automatisierte Risiken prüfen
• Milderung der Risiken
• Projekt abschließen
• Reportfähig mit nur einem Klick
OneTrust - Die meistverbreitete Privacy Management Software
Beliebteste Technologie der Branche
über 1.000 OrganisationenGrößtes Team der Branche
über 100 Mitarbeiter
PIA/DPIA
Automation
Subject Access
Request Portal
Readiness &
Accountability Tool
Data Mapping
Automation
Incident and Breach
Management
Vendor Risk
Management
Website Scanning &
Cookie Compliance
Consent Receipt
Management
Q & A
Robert SindlingerMaster of Science BWL (LMU); CIPP/E
[email protected]+49 175 371 29 83
www.onetrust.com