Post on 13-Feb-2017
transcript
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
Dr. iur. Bruno Wildhaber & Dr. Daniel Burgwinkel
1
Geschäftsrelevante Daten in der Cloud
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
Informationen verstehen - nutzen - optimieren - beherrschen
2
Das Kompetenzzentrum Records Management (KRM) ist 2002 aus den Arbeiten an der Revision der handelsrechtlichen Aufbewahrungspflichten (Art.957 ff OR) und der Geschäftsbücherverordnung («GeBüV») hervorgegange. Es vermittelt Know-how und berät Kunden im Umgang mit Information. Beratung zu Information Governance und anverwandten Themen ist unsere Kernkompetenz.
www.informationgovernance.ch
Wir bieten ein umfassendes Beratungsangebot zu Information Governance, Records Management, Elektronischer Archivierung
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
Agenda
u Was ist Information Governance?
u Information Governance in der Cloud
u FAQ – Aufbewahrung von Daten in der Cloud
u Prüfung und Zertifizierung von Digitalisierungslösungen
3
4 Video: https://youtu.be/DZFWPeP_hS0
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
5
Information Governance ist darauf ausgerichtet, die informationsbezogene Risikobewältigung des
Unternehmens zu optimieren.
Beschreibt die Verfahren, Organisation und Technologien welche
benötigt werden, um Informationen während ihres gesamten Lebenszyklus (Nutzen, Erfassen, Klassieren, Speichern, Löschen) in
Übereinstimmung mit den strategischen Vorgaben des Unternehmens und den externen und internen Vorschriften aktiv zu bewirtschaften.
Information Governance umfasst Teilbereiche des Information Managements, der IT-Governance und des Risk Managements.
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
6
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
Gesetzliche Grundlagen: Pflicht des VR
Information Governance ist Teil der Corporate Governance
Die wichtigsten Aufgaben des CH-Verwaltungsrats sind (OR 716ff. OR):
• Normative Funktion: Erstellen der notwendigen Vorgaben für die Unternehmensführung
• Erstellen von Strategische Vorgaben für die Entwicklung des Unternehmens, inkl. Einstufung der Rolle von Daten/Information
• Kontrolle und Überwachungstätigkeiten, inkl. Risiko Management
• Entwicklung der personellen Ressourcen und Teamentwicklung
• Kommunikation
Der VR muss sich aus zwei Perspektiven um Information kümmern:
• Externe Sicht: Nutzung von Informationen zur Steuerung des Unternehmens
• Interne Sicht: Effiziente Nutzung von Information zur Wahrnehmung der Aufgabe als VR
7
Einhaltung der Gesetze und Regulative Gewinnerzielung
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
Traditionelle Sicherheit
Services & Verträge
Identitätsmanagement
© Bruno Wildhaber, Zürich 2010
Cloud Governance
8
Auswahl des Anbieters und Management der Beziehungen
SLA
Klare Festlegung, wo sich die Daten befinden (Lifecycle Management)
Zugriffe durch Dritte identifizieren und beschreiben (Risikoanalyse)
Identitätsmanagement und Zugriffsschutz
Klare Haftungssituation schaffen (Verträge)
Datentransfer und - rückgabe zu Beginn regeln
Disaster Recovery und Katastrophenvorsorge
Verantwortlichkeit des Business regeln; Bypass um IT
Compliance, u.a. Datenschutz
IG Methode
RZ Sicherheit / Betrieb
Incident Response / Überwachung Anwendungssicherheit
Verschlüsselung / Key Management
Virtualisierung
Audit
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
Der Druck auf die Unternehmen steigt, die Daten und Dokumente ordnungsgemäss aufzubewahren
• Daten und Dokumente müssen ordnungsgemäss und rechtskonform aufbewahrt werden, d.h.
• Aufbewahrungsfristen müssen beachtet werden
• Organisatorische und technische Anforderungen wie Schutz vor Veränderungen müssen erfüllt werden
• Daten zum richtigen Zeitpunkt löschen und einen Nachweis der Löschung erbringen (Datenschutz, Rechtsfälle etc.)
• Im Fall von Gerichtsverfahren müssen Daten zeitnah an die Behörden ausgeliefert werden
Veränderungen Gesetze Risiken bzgl.Skandalen
Neue Trends in der IT(Cloud, Industrie 4.0, Social
Media, Mobile)
Wie steuert die Organisation den Umgang
mit digitalen Informationen und Geschäftsunterlagen
DigitaleTransformation
Effizienz und Kostendruck
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
e-Business Verträge
Elektronische Aufbewahrung Urkundenschutz
(Strafrecht)
e-Government Vollstreckung
Datenschutz
Digitale Signatur, Zertifizierung
Beweismittel im Prozess
Steuerrecht
Rechtlicher Kontext
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
Merksatz
11
Art. 958f Abs. 3 OR: Die Geschäftsbücher und die Buchungsbelege können auf Papier, elektronisch oder in vergleichbarer Weise aufbewahrt werden, soweit dadurch die Übereinstimmung mit den zugrunde liegenden Geschäftsvorfällen und Sachverhalten gewährleistet ist und wenn sie jederzeit wieder lesbar gemacht werden können.
Wegfall der Aufbewahrungspflicht von Geschäftskorrespondenz seit 1.1.13
Es gibt für 90% der CH-Unternehmen keinen Grund, Unterlagen physisch aufzubewahren!
Vorbehältlich Speziabestimmungen und gesetzlich geregelter Ausnahmen, macht ca. 2-10% des Gesamtvolumens aus.
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
Fallstudie(n)
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
FAQ – Aufbewahrung von Daten in der Cloud
ü Welche rechtlichen Vorgaben muss ich beachten?
ü Welche Branchennormen sind für mich relevant?
ü Welchen Einfluss haben die aktuellen Diskussionen und Veränderungen im Datenschutzr (EU-USA)?
ü Die verschiedenen Cloudanbieter nennen verschiedenen Standards/Zertifizierungen. Welche sind für mich relevant?
ü Was muss ich beim Vertragsabschluss beachten und welche Punkte muss ich regelmässig prüfen?
ü Welche ISO Normen sind hilfreich? Welchen Nutzen hat die in 2015 publizierte ISO 30302 „Management systems for records - Guidelines for implementation“?
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
Vision: unternehmensweites Managementsystem für Records
Geschäftsprozesse
IT-Applikationen
Infrastruktur
Daten/Dokumente
Management-system
Realität: - viele Subsysteme in den Daten verarbeitet werden- Verschiedene Managementsysteme und
Verantwortlichkeiten für z.B. Qualität, Datenschutz, Sicherheit
…
…
Daten X
Cloud
ERP
QM- Doku
Vision: Ein unternehmensweites Managementsystem für alle Geschäftsunterlagen/Daten
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
Wenn Sie sich absichern möchten...
Prüfung und Zertifizierung von DigitalisierungslösungenInformationsveranstaltungen z.B. am 16.3. / Region ZürichVeranstaltungen: http://informationgovernance.ch/events/
Erfüllt die Anwendung/Lösung die gesetzlichen Anforderungen?
• Um diese Frage zu beantworten, führen wir einen st
rukturierten Audit durch und erstellen einen Bericht
mit Zertifikat.
• Dabei berücksichtigen wir natürlich nicht nur die
GeBüV, sondern alle für Sie relevanten Vorgaben.
• Wir bestätigen die rechtskonforme Behandlung
digitaler Unterlagen nach GeBüV, Datenschutz,
Cloud- und IT-Recht sowie Verträgen.
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
Allgemeine Grundsätze
Grundsätze ordnungsgemässer Führung und Aufbewahrung der Bücher
• Ordnungsgemässe Buchführung gemäss anerkannten kaufmännischen Grundsätzen
• Einhaltung der Grundsätze der ordnungsgemässen Datenverarbeitung
• Verweis auf allgemein anerkannte Regelwerke und Fachempfehlungen
Integrität
• Echtheit
• Unverfälschbarkeit
Dokumentation
• Organisation, Prozesse
• Aktualisierung
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
Hilfe für den Einstieg in die Umsetzung
17 www.informationgovernance.ch
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
GOVERNANCEINFORMATION
LEITFADEN
Heerausgeber: Koompetenzzenzenttrurumm Records Management«TThe Swiswiss IInfonformation Governance Comompetpeteence Center»t C t
mit Checklisten, Mustern und Vorlagen
Von Bruno Wildhdhaber
AAutoren: Daniel Burgwinkel, Jürg Hagmann, Stephan Holländer,Peter K. Neuenschwander, Dieter Schmutz, Daniel SpicichthtyDieter Schmutz Daniel Spichtyty
Der erste deutschsprachige Leitfaden zum Thema Information Governance mit Fokus Schweiz
18
Case Studies: • eDiscovery • ERP Datenhaltung • eHealth Patientendossier • ECM im Autohandel
Methoden und Checklisten zu den wichtigsten Information Governance Fragen
Rechtliche Rahmenbedingungen in der Schweiz + Internationaler Ausblick
© Kompetenzzentrum Records Management, Zollikon 2015
THE SWISS INFORMATION GOVERNANCE
COMPETENCE CENTER
KRM Produkte
19
Leitfaden Information Governance
MATRIO® Methode
Leitfaden Records Management
Information Management (Digitalisierungsstrategie)
www.informationgovernance.ch