Συνεργασία PRIORITY & INTERAMERICAN: GDPR, από τη θεωρία στην πράξη Δ. Στασινόπουλος PRIORITY, IT Governance Dep. Director 22Φεβρουάριου 2019 Σ.Μολίνου INTERAMERICAN, Information Security & Data Protection Officer
πρωτοπόρος εταιρεία συμβούλων οργάνωσης και ΙΤ από το 1995 βελτιστοποίηση επιχειρησιακών διαδικασιών σύμφωνα με βέλτιστες πρακτικές κανονιστικό πλαίσιο διεθνή πρότυπα εξειδίκευση στη διακυβέρνηση πληροφορικής Ποιοι είμαστε PRIORITY προστασία δεδομένων ασφάλεια πληροφοριών επιχειρησιακή συνέχεια διαχείριση υπηρεσιών ΙΤ 50 στελέχη πελατολόγιο: 3000 έργα 1300 επιχειρήσεις
Μας εμπιστεύονται
ενδεικτικά έργα GDPR Alpha Υποστηρικτικών Εργασιών
Ιστορική αναδρομή 2015-16: Ανάπτυξη και Εφαρμογή Συστήματος Ποιότητας & Οδικής Ασφάλειας Πιστοποίηση κατά ISO 9001 & ISO39001 Η συνεργασία μας με τη INTERAMERICAN 2016-17: Εφαρμογή Συστήματος Επιχειρησιακής Συνέχειας Πιστοποίηση κατά ISO 22301 2016-17: Διενέργεια Data Protection Impact Assessment στις ΙΝΤΕΡΑΜΕΡΙΚΑΝ ΖΗΜΙΩΝ, ΙΝΤΕΡΑΜΕΡΙΚΑΝ ΒΟΗΘΕΙΑΣ, INTERAMERICAN ΕΛΛΗΝΙΚΗ ΖΩΗΣ 2018: Διενέργεια Data Protection Impact Assessment σε νέα υπηρεσία δραστηριότητα 2018-19: Επικαιροποίηση Data Protection Impact Assessment στον Όμιλο
Διενέργεια Data Protection Impact Assessment Ομάδα έργου PM/DPO ρόλοι & αρμοδιότητες Προετοιμασία kick-off awareness session Διάγνωση Data Flow Mapping Gap Analysis Compliance Plan παρουσίαση και συμφωνία Χρονοδιάγραμμα: Δεκ 2016 έως Μάιος 2017
Δυσκολίες που είχαμε να αντιμετωπίσουμε Επιφυλακτικότητα Λάθος ερμηνεία- Παραφιλολογία Δυσπιστία Αντίσταση στην αλλαγή Ιδιαιτερότητες του έργου
Δυσκολίες που είχαμε να αντιμετωπίσουμε Επιφυλακτικότητα Λάθος ερμηνεία- Παραφιλολογία Δυσπιστία Αντίσταση στην αλλαγή Ιδιαιτερότητες του έργου Το στοίχημα που έπρεπε να κερδίσουμε Να κερδίσουμε εμπιστοσύνη Μη διατάραξη του business Να παραμείνουμε customer friendly
Τεχνογνωσία και συναντίληψη Τρόπος διαχείρισης Εφικτές και έξυπνες αλλαγές στα operations Πολλαπλή προσέγγιση Νομική, Business, IT, Ασφάλεια Πληροφοριών Συμμετοχή και αλληλεπίδραση
To project σε αριθμούς 41 Business Units 24 Εβδομάδες 3 Εταιρίες 60 workshops 5 αρχικές εκπαιδεύσεις 114 αποκλίσεις 17 μήνες έως 25/5/18 30% 39% 1. Βασικές αρχές επεξεργασίας 4. Οργανωτική δομή 7 Πυλώνες Αξιολόγησης 2. Διασφάλιση δικαιωμάτων φ.π. 5. Πολιτικές & διαδικασίες 7. Ασφάλεια πληροφοριών 3. Γνωστοποίηση παραβιάσεων 6. Συνεχής συμμόρφωση 5% 16% 4% 3% 3% Βασικές αρχές επεξεργασίας π.δ. Γνωστοποίηση παραβιάσεων π.δ. Πολιτικές & διαδικασίες Ασφάλεια πληροφοριών Διασφάλιση δικαιωμάτων φ.π. Οργανωτική δομή Επιθεωρήσεις & συνεχή συμμόρφωση
πρόκειται για μια νέα αφετηρία; αποτελεί εχθρό;
είναι μια επιχειρηματική ευκαιρία; πιο απλά μια ευκαιρία για νοικοκύρεμα ;
Εμείς το είδαμε ως ευκαιρία για Προστιθέμενη Αξία και Επιχειρησιακή Διάκριση
Continuous Awareness Program Πως φτάσαμε ως εδώ.. Υλοποίηση Λύσεων Ενσωμάτωση απαιτήσεων ιδιωτικότητας Προσδιορισμός KPIs & αξιολόγηση αυτών Καταγραφή Αποτελεσμάτων και Αποκλίσεων 9 10 11 8 Εκτέλεση DPIA Εμπλοκή Επιχειρησιακών Μονάδων Καθορισμός Μεθοδολογίας Υλοποίησης 7 6 5 Δημιουργία Οργανωτικής Δομής & Ανάθεση Αρμοδιοτήτων Ανάλυση Κανονισμού Παρουσίαση Απαιτήσεων στη Διοίκηση Καθορισμός Πλαισίου GDPR & DPIA 1 2 3 4
Data Protection HUB Data Protection Office Information Security Office Legal Representative Compliance Office Risk Management Representative IT Security Representative
Διενέργεια DPIA Kick off Συναντήσεις Βασικές Έννοιες GDPR Σκοπός Έργου Επεξήγηση μεθοδολογίας Πως επηρεάζει ο καθένας με τη δουλειά του Συνεντεύξεις Ανασκόπηση & Μελέτη Αποτύπωση Ροής Δεδομένων Αξιολόγηση υφιστάμενων μέτρων Επισκόπηση Αρχιτεκτονικής Ασφάλειας Παραλαβή Παραδοτέων Gap Analysis (μη συμμορφώσεις) Compliance Plan (Privacy Framework, Data Security)
Πως τα αξιοποιήσαμε Προτεραιοποίηση ενεργειών βάσει κρισιμότητας Δημιουργία LoE - Level Of Effort Συναντήσεις με τα business units (ανάθεση tasks, επεξηγήσεις κλπ) Αλλαγές σε πρακτικές & σε διαδικασίες του οργανισμού Ενσωμάτωση αυτών στις λειτουργίες μας Υλοποίηση νέων ή/και βελτιστοποίηση υφιστάμενων τεχνικών μέτρων
Δυσκολίες που αντιμετωπίσαμε Προτεραιότητα έργου Δέσμευση υπαλλήλων Κουλτούρα εταιρίας Προστασία δεδομένων χωρίς να επιβαρύνεται το business Διαφορετικά κανάλια επικοινωνίας Πολυπλοκότητα Συστημάτων Παρακολούθηση Συστημάτων Ασφαλείας Μεγάλος όγκος δεδομένων
υψηλό ποσοστό υιοθέτησης τεχνικών & οργανωτικών μέτρων Επικαιροποίηση της DPIA: Τι διαπιστώσαμε κατάρτιση στελεχών κουλτούρα δέσμευση ικανότητα αλλαγή συμπεριφοράς ευαισθητοποίηση προσωπικού Χρονοδιάγραμμα: Σεπτ 2018 έως Δεκ 2018
Οφέλη που προκύπτουν Αναγνωρίζουμε την αξία των πληροφοριών και των προσωπικών δεδομένων που επεξεργαζόμαστε Επιβεβαιώνουμε την ορθότητα των πληροφοριών ώστε να διατηρούμε ποιοτικά δεδομένα Μαθαίνουμε καλύτερα τη λειτουργία της εταιρία μας Ενισχύουμε την φήμη της εταιρίας μας Βελτιώνουμε την ασφάλεια των δεδομένων Μειώνουμε τους κινδύνους πιθανών διαρροών Ενισχύουμε την αξιοπιστία των πελατών μας
Κρίσιμοι Παράγοντες Επιτυχίας δέσμευση και συμμετοχή στελεχών εξειδίκευση και εμπειρία συμβούλου στο GDPR ικανός βαθμός λεπτομέρειας για υλοποίηση Compliance Plan Multidisciplinary ομάδα συνέπεια στην τήρηση χρονοδιαγραμ μάτων
Κρίσιμοι Παράγοντες Επιτυχίας δέσμευση και συμμετοχή στελεχών εξειδίκευση και εμπειρία συμβούλου στο GDPR ικανός βαθμός λεπτομέρειας για υλοποίηση Compliance Plan Multidisciplinary ομάδα συνέπεια στην τήρηση χρονοδιαγραμ μάτων & επόμενα βήματα Συνεχής παρακολούθηση πλαισίου Ωρίμανση υφιστάμενων μέτρων & διαδικασιών Συναφείς πιστοποιήσεις (πχ.iso27001, BS10012,.)
Ευχαριστούμε Ερωτήσεις;