Copyright © SAS Inst itute Inc. A l l r ights reserved.
EU-DS-GVO RoadshowEU-Datenschutz - technische Umsetzung mit SAS
Zürich, 12.9.2017
Copyright © SAS Inst itute Inc. A l l r ights reserved.
DS-GVO: 9 Grundsätze
§ Richtigkeit§ Speicherbegrenzung§ Integrität und
Vertraulichkeit§ Rechenschaftspflicht
§ Rechtmäßigkeit§ Treu & Glauben§ Transparenz§ Zweckbindung§ Datenminimierung
Copyright © SAS Inst itute Inc. A l l r ights reserved.
EU-DS-GVOWie weit sind wir in der Umsetzung?
Copyright © SAS Inst itute Inc. A l l r ights reserved.
EU-DS-GVOBestandsaufnahme
„Bei der Umsetzung […] hapert es“http://www.it-business.de (11.9.2017)
„[…] Unternehmen überschätzen sich“http://blog.wiwo.de (11.9.2017)
Copyright © SAS Inst itute Inc. A l l r ights reserved.
EU-DS-GVOBestandsaufnahme
Können Sie personenbezogene Daten löschen?
Ja Nein Quelle: Citrix
Copyright © SAS Inst itute Inc. A l l r ights reserved.
EU-DS-GVOBestandsaufnahme
Wissen Sie, wo personenbezogene Daten gespeichert werden?
Ja Nein Quelle: Citrix
Copyright © SAS Inst itute Inc. A l l r ights reserved.
EU-DS-GVOBestandsaufnahme
Quelle: Trend-Micro-Studio
Handelt es sich hierbei um personenbezogene Daten?
77%
66%
35%
Email Adresse Geburtsdatum
Copyright © SAS Inst itute Inc. A l l r ights reserved.
EU-DS-GVOBestandsaufnahme
SAS Blog: Die EU-DS-GVO kommt näher – ausweichen oder draufhalten?
Copyright © SAS Inst itute Inc. A l l r ights reserved.
EU-DS-GVOBestandsaufnahme
"Das ist ein wirklich wichtiges Thema, ABER ..."
• „Mal sehen, was die Aufsicht da wirklich interessiert“• „Geprüft werden sicher zuerst mal nur die Banken.“• "Das macht die andere Abteilung."• "Es gibt da einen Kollegen der sich damit befasst."• „Das ist doch wieder nur bloßes ‚Paperwork‘, das machen die
Anwälte dann schon.“
Copyright © SAS Inst itute Inc. A l l r ights reserved.
DS-GVO: 9 Grundsätze
§ Richtigkeit§ Speicherbegrenzung§ Integrität und
Vertraulichkeit§ Rechenschaftspflicht
§ Rechtmäßigkeit§ Treu & Glauben§ Transparenz§ Zweckbindung§ Datenminimierung
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Wieso ist das Thema so dringend und nichtbloß “Paperwork”?
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Auskunfts-pflicht
Es geht nicht um die Aufsicht, sondern um den Bürger!
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Data Governance & Data Protection
Business Data Glossary
Personal Data Identification
Lineage
Reports & Dashboards
Data AccessSecurity
DataMasking
Audit Log&
CentralAdmin.
Data Access
Data QualityConsent Data Management
Policies & Controls
Management
Data Protection
Impact Assessment
Enterprise view of your risk exposure
Remediation
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Personal Data ChallengesEU-DS-GVO
PersonalData
How do we define?
How do we collect?
Where is it stored?
Who can access?
Who is responsible?How do we use?
How do we secure?How do we control?
“Have you documented what personal data you hold, where it came from”?
▪ Find and catalog personal data.
▪ Analyze personal data attributes, patterns and contexts to evaluate need for de-identification.
▪ Analyze personal data for risk assessment.
Identify Personal Data
Copyright © SAS Inst itute Inc. A l l r ights reserved.
EU-DS-GVO unraveled
Personen
Prozesse IT
- Verantwortliche- Betroffene
Copyright © SAS Inst itute Inc. A l l r ights reserved.
EU-DS-GVO unraveled
Personen
Prozesse IT
- Verantwortliche- Betroffene
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Personal Data?
• Bank Account• Bank Identifier Code
(BIC)• IBAN
• Credit Card Number• American Express• VISA• MasterCard• Dinners Club• Discover• JCB• …
• Demographic Data• Name• Gender• Date of Birth• Age• Nationality
• Channels• Phone Number• Postal Address• City• Country• Email Address
• Government Identifiers• National Id• Passport Number• Social Security Number• Vehicle Registration
Number• Driver License
• Digital Identifiers• IP Address (V4, V6)• MAC Address• X/Y Geographic
Coordinate
• Social Media• Twitter Account• URL FaceBook• URL Linkedin• URL Pinterest• URL Instagram
• Organization• Employee ID• Position• Studies• Specialties• …
• Sensitive Data• Health, Sex• Political• Religious• Philosophical• Trade union member
info• Genetic• Biometric• Race• Gender• Ethnicity• Children
• Pictures• …• Footsteps ?
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Categorize the Information SAS Data Quality – Personal Data Identification
?Casper Pedersen Individual
[email protected] E-mail
178056938906326 Social Security Number
?
?
Copyright © SAS Inst itute Inc. A l l r ights reserved.
SAS Personal Data Sniffer aka SAS Quality Knowledge Base (QKB)
SASQKB
In Teradata/In Hadoop
In Batch/In Real-Time
In SQL
In Hadoop Data Prep
Event Stream Processing
SAS Data QualityCustomize
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Personal Data Discovery Dashboards
Copyright © SAS Inst itute Inc. A l l r ights reserved.
EU-DS-GVO mit SAS
Data Quality Lineage Business Data Network Federation Server Visual Analytics
Erkennen
• Identifizieren personenbezog. Feldinhalte (DQ- Exploration und Scan)
• Inventurliste PD-kritischerFelder
Identifizieren
• Verbinden mitden Datenfluss-Metadaten zur Dokumentation der Prozesse
• Visualisierung der Lineage
Zuordnen
• Rollenbasiertes Glossar mit Verantwortlichen
• Verknüpfung fachlicher Verfahren mit technischem Data Dictionary
Absichern
• Zentrale Zugriffs-beschränkung mit dynamischen User-Rechten
• Federation
• Pseudonymisierung
• Anonymisierung
Überwachen
• DSB-Dashboard
• Auditing-Logs
• Monitoring
• Eskalieren und Nachhalten von Verstößen per Workflow
Software beschleunigt die Compliance
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Sneak PreviewSAS GDPR Survey: White Paper
???
Copyright © SAS Inst itute Inc. A l l r ights reserved.
EU-DS-GVOFragen?