Die DSGVO mit SAS Die (ersten) Schritte zur Compliance Rainer Sternecker
Worum geht es? EU-Datenschutz-Grundverordnung (DSGVO) • Die Verordnung ist am 24. Mai 2016 in Kraft getreten und wird zum 25. Mai 2018 wirksam. • Die Reform stärkt Grundrechte der EU-Bürger im digitalen Raum mit Fokus auf personenbezogene Daten. • Die Verordnung fordert Techniken wie Anonymisierung (PD* entfernen), Auditing, Monitoring und Data Lineage. • europa.eu/rapid/press-release_MEMO-15-6385_de.htm
*) personenbezogene Daten
Inhalte (Auszug) 1. Verantwortung und Nachweispflicht a. b.
Data Protection Impact Assessments (DPIA) Privacy by Design und Privacy by Default
2. Einverständnis a.
b.
Eine valide Einverständniserklärung muss explizit für die gesammelten Daten und ihren Verwendungszweck vorliegen. Datenverantwortliche müssen Einverständnis nachweisen können (Opt-in); das Einverständnis kann widerrufen werden.
3. Datenschutzbeauftragter (Data Protection Officer) a.
verantwortlich für Sicherstellung der Compliance im Unternehmen
4. Datenschutzverletzungen a. b.
Wie reagieren Sie bei einer Verletzung des Datenschutzes/ der Datensicherheit? Rechtliche Verpflichtung, die Aufsichtsbehörden unmittelbar zu informieren
Company Confidential - For Internal Use Only, Copyright © 2016, SAS Institute Inc. All rights reserved.
5. Löschpflichten a.
Recht auf Vergessenwerden / Löschen
6. Datenübertragbarkeit a.
b.
Übertragung der personenbezogenen Daten von einem elektronischen Verarbeitungssystem in ein anderes Grenzüberschreitende Datenübermittlung
Die DSGVO und wir: Vor- und Nachteile
Vorteile
Nachteile
für Bürger:
Datenschutz Recht auf Vergessen Datenzugriff Recht auf Auskunft
keine
für Unternehmen:
keine 1 Regelung statt 28 1 Aufsicht statt 28 1 Recht für alle Datenzugriff endlich unternehmensweite DQ/DG!!!
Themenfelder mit Bauchweh und Handlungs-/Klärungsbedarf Informationspflicht
Informationen an die betroffene Person bezüglich der verarbeiteten Daten, des Verantwortlichen, des Zwecks sowie der entsprechenden Aufbewahrungspflichten.
Datenübertragbarkeit
Die betroffene Person hat das Recht, die sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbarem Format zu erhalten.
Berichtigung
Personenbezogene Daten müssen korrekt sein und berichtigt werden (spätestens nach Aufforderung der betroffenen Person).
Löschen/Sperren
Die Möglichkeit, personenbezogene Daten nach Ablauf aller entsprechenden Aufbewahrungsfristen zu löschen.
Einschränkung der Verarbeitung
Die betroffene Person hat in bestimmten Fällen das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen.
Automatisierte Entscheidung
Die betroffene Person hat bei der automatischen Entscheidung das Recht, das Eingreifen eines Menschen zu verlangen.
Welche Daten sind nochmal betroffen? Alle Daten. Wirklich „alle“ Daten? Ja, alle Daten.
EU-Datenschutz-Grundverordnung (DSGVO) Eine Person gilt als bestimmbar, wenn sie direkt oder indirekt identifiziert werden kann. Indirekt = Zuordnung zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.
Big Data versus Datenschutz Studie https://ico.org.uk/for-organisations/guide-to-data-protection/big-data/ “A recent MIT study looked at records of three months of credit card transactions for 1.1 million people and claimed that, using the dates and locations of four purchases, it was possible to identify 90 percent of the people in the dataset.”
“It may not be possible to establish with absolute certainty that an individual cannot be identified from a particular dataset[…] The issue is not about eliminating the risk of re-identification altogether, but whether it can be mitigated so it is no longer significant.” Copy rig ht © SA S Institute Inc. A ll rig hts re se rve d.
Autarke Systeme versus Data Governance Ein neues Dilemma
Artificial Intelligence Self-/Deep-Learning Dezentrale Systeme
Compliance Datenschutz Transparenz Kontrolle
Copy rig ht © SA S Institute Inc. A ll rig hts re se rve d.
Personal Data Protection Merkmale •
Bank Account
•
o Bank Identifier Code (BIC) o IBAN
•
•
American Express VISA MasterCard Dinners Club Discover JCB
•
Name Geschlecht Geburtsdatum Alter Nationalität
•
Copyright © 2016, SAS Institute Inc. All rights reserved.
Digitale Identifizierungsmerkmale
Sociale Medien o o o o o
Kanäle o Telefonnummer o Adresse o Stadt o Land o Email Addresse
Passnummer Sozialversicherungsnummer Fahrgestellnummer Führerschein
o IP Adresse (V4, V6) o MAC Adresse o X/Y Geographische Koordinaten
Demographische Daten o o o o o
•
o o o o
Kreditkartennummer o o o o o o
Behörden Identifizierungsmerkmal
•
Twitter Account URL FaceBook URL Linkedin URL Pinterest URL Instagram
Organisation
•
Sensitive Daten o o o o o o o o o
Gesundheit Politisch Religiös Philosophisch Genetisch Biometrisch Ethnisch Kinder Mitgliedschaften
DSGVO Analyse Operative Systeme
DWH Data Stores
Datenprozesse IDV - CI - Analytics
Web
Reports / Analysen
User Operative Entscheidungen Dieses Produkt dem Kunden anbieten?
ERP
Strategische Entscheidungen In neue Märkte investieren?
CRM
Offenlegungen Behörden Stakeholder Partner
SCM
Copy rig ht © SA S Institute Inc. A ll rig hts re se rve d.
DSGVO Analyse (1) Erkennen von PD Operative Systeme
DWH Data Stores
Datenprozesse IDV - CI - Analytics
Web
Reports / Analysen
User Operative Entscheidungen Dieses Produkt dem Kunden anbieten?
ERP
Strategische Entscheidungen In neue Märkte investieren?
CRM
Offenlegungen Behörden Stakeholder Partner
SCM
Copy rig ht © SA S Institute Inc. A ll rig hts re se rve d.
ACCELERATOR FOR EU DATA PROTECTION
Beispiel:
Aufspüren und Extrahieren mithilfe vordefinierter DQ-Regelwerke (SAS® Quality Knowledge Base)
Copyright © 2016, SAS Institute Inc. All rights reserved.
DSGVO Analyse (2) Identifizieren und (3) Zuordnen Operative Systeme
DWH Data Stores
Datenprozesse IDV - CI - Analytics
Web
Reports / Analysen
User Operative Entscheidungen Dieses Produkt dem Kunden anbieten?
ERP
Strategische Entscheidungen In neue Märkte investieren?
CRM
Offenlegungen Behörden Stakeholder Partner
SCM
Copy rig ht © SA S Institute Inc. A ll rig hts re se rve d.
ACCELERATOR FOR EU DATA PROTECTION
Verknüpfung von Systemen, Prozessen und Verantwortlichen entlang der Datenflüsse
Copyright © 2016, SAS Institute Inc. All rights reserved.
ACCELERATOR FOR EU DATA PROTECTION
•
Automatisiertes Glossar der personenbezogenen Daten
•
Definition von Begriffen und Geschäftsobjekten, um eine Zusammenarbeit von Fachabteilung und IT zu gewährleisten
•
Klare Übersicht der Rollen und Verantwortlichkeiten
Copyright © 2016, SAS Institute Inc. All rights reserved.
DSGVO Analyse (5) Überwachen Operative Systeme
DWH Data Stores
Datenprozesse IDV - CI - Analytics
Web
Reports / Analysen
User Operative Entscheidungen Dieses Produkt dem Kunden anbieten?
ERP
Strategische Entscheidungen In neue Märkte investieren?
CRM
Offenlegungen Behörden Stakeholder Partner
SCM
Copy rig ht © SA S Institute Inc. A ll rig hts re se rve d.
DSGVO mit SAS Data Quality
Lineage
Business Data Network
Federation Server
Visual Analytics
Erkennen
Identifizieren
Zuordnen
Absichern
Überwachen
• Identifizieren personenbezog. Feldinhalte (DQ- Exploration und Scan) • Inventurliste PD-kritischer Felder
• Verbinden mit den DatenflussMetadaten zur Dokumentation der Prozesse • Visualisierung der Lineage
• Rollenbasiertes Glossar mit Verantwortlichen • Verknüpfung fachlicher Verfahren mit technischem Data Dictionary
• Zentrale Zugriffsbeschränkung mit dynamischen UserRechten • Federation • Pseudonymisierung • Anonymisierung
• DSB-Dashboard • Auditing-Logs • Monitoring • Eskalieren und Nachhalten von Verstößen per Workflow
Copy rig ht © SA S Institute Inc. A ll rig hts re se rve d.
Zusammenfassung • • • •
Anforderungsaufnahme
Definierter Umfang Kurze Projektlaufzeit - Schneller Erfolg End-to-End Unterstützung durch SAS Quickstart Service individuell erweiterbar
Installation
Access
Identify
Govern
Protect
Audit
• Profiling • Identifikation persönlicher Daten • Erste DQ-Analyse (z.B. DuplikateCheck)
• Dokumentation von Datenflüssen • Analyse von Auswirkungen und Abhängigkeiten • Erstellung eines Glossars
• Anonymisierung (PD entfernen) / Pseudonymisierung (PD ersetzen) / Verschlüsselung
• Erstellung eines Beispielberichts der Benutzerzugriffe
Implementierung
Coaching / Training
• Anbindung einer Datenquelle • Exemplarische Vergabe von Zugriffsrechten