eu-ds-gvo roadshow - sas · copyright © sas institute inc. all rights reserved. personal data? •...

Copyright © SAS Inst itute Inc. A l l r ights reserved.

EU-DS-GVO RoadshowEU-Datenschutz - technische Umsetzung mit SAS

Zürich, 12.9.2017

Copyright © SAS Inst itute Inc. A l l r ights reserved.

DS-GVO: 9 Grundsätze

§ Richtigkeit§ Speicherbegrenzung§ Integrität und

Vertraulichkeit§ Rechenschaftspflicht

§ Rechtmäßigkeit§ Treu & Glauben§ Transparenz§ Zweckbindung§ Datenminimierung

Copyright © SAS Inst itute Inc. A l l r ights reserved.

EU-DS-GVOWie weit sind wir in der Umsetzung?

Copyright © SAS Inst itute Inc. A l l r ights reserved.

EU-DS-GVOBestandsaufnahme

„Bei der Umsetzung […] hapert es“http://www.it-business.de (11.9.2017)

„[…] Unternehmen überschätzen sich“http://blog.wiwo.de (11.9.2017)

Copyright © SAS Inst itute Inc. A l l r ights reserved.

EU-DS-GVOBestandsaufnahme

Können Sie personenbezogene Daten löschen?

Ja Nein Quelle: Citrix

Copyright © SAS Inst itute Inc. A l l r ights reserved.

EU-DS-GVOBestandsaufnahme

Wissen Sie, wo personenbezogene Daten gespeichert werden?

Ja Nein Quelle: Citrix

Copyright © SAS Inst itute Inc. A l l r ights reserved.

EU-DS-GVOBestandsaufnahme

Quelle: Trend-Micro-Studio

Handelt es sich hierbei um personenbezogene Daten?

77%

66%

35%

Email Adresse Geburtsdatum

Copyright © SAS Inst itute Inc. A l l r ights reserved.

EU-DS-GVOBestandsaufnahme

SAS Blog: Die EU-DS-GVO kommt näher – ausweichen oder draufhalten?

Copyright © SAS Inst itute Inc. A l l r ights reserved.

EU-DS-GVOBestandsaufnahme

"Das ist ein wirklich wichtiges Thema, ABER ..."

• „Mal sehen, was die Aufsicht da wirklich interessiert“• „Geprüft werden sicher zuerst mal nur die Banken.“• "Das macht die andere Abteilung."• "Es gibt da einen Kollegen der sich damit befasst."• „Das ist doch wieder nur bloßes ‚Paperwork‘, das machen die

Anwälte dann schon.“

Copyright © SAS Inst itute Inc. A l l r ights reserved.

DS-GVO: 9 Grundsätze

§ Richtigkeit§ Speicherbegrenzung§ Integrität und

Vertraulichkeit§ Rechenschaftspflicht

§ Rechtmäßigkeit§ Treu & Glauben§ Transparenz§ Zweckbindung§ Datenminimierung

Copyright © SAS Inst itute Inc. A l l r ights reserved.

Wieso ist das Thema so dringend und nichtbloß “Paperwork”?

Copyright © SAS Inst itute Inc. A l l r ights reserved.

Auskunfts-pflicht

Es geht nicht um die Aufsicht, sondern um den Bürger!

Copyright © SAS Inst itute Inc. A l l r ights reserved.

Data Governance & Data Protection

Business Data Glossary

Personal Data Identification

Lineage

Reports & Dashboards

Data AccessSecurity

DataMasking

Audit Log&

CentralAdmin.

Data Access

Data QualityConsent Data Management

Policies & Controls

Management

Data Protection

Impact Assessment

Enterprise view of your risk exposure

Remediation

Copyright © SAS Inst itute Inc. A l l r ights reserved.

Personal Data ChallengesEU-DS-GVO

PersonalData

How do we define?

How do we collect?

Where is it stored?

Who can access?

Who is responsible?How do we use?

How do we secure?How do we control?

“Have you documented what personal data you hold, where it came from”?

▪ Find and catalog personal data.

▪ Analyze personal data attributes, patterns and contexts to evaluate need for de-identification.

▪ Analyze personal data for risk assessment.

Identify Personal Data

Copyright © SAS Inst itute Inc. A l l r ights reserved.

EU-DS-GVO unraveled

Personen

Prozesse IT

- Verantwortliche- Betroffene

Copyright © SAS Inst itute Inc. A l l r ights reserved.

EU-DS-GVO unraveled

Personen

Prozesse IT

- Verantwortliche- Betroffene

Copyright © SAS Inst itute Inc. A l l r ights reserved.

Personal Data?

• Bank Account• Bank Identifier Code

(BIC)• IBAN

• Credit Card Number• American Express• VISA• MasterCard• Dinners Club• Discover• JCB• …

• Demographic Data• Name• Gender• Date of Birth• Age• Nationality

• Channels• Phone Number• Postal Address• City• Country• Email Address

• Government Identifiers• National Id• Passport Number• Social Security Number• Vehicle Registration

Number• Driver License

• Digital Identifiers• IP Address (V4, V6)• MAC Address• X/Y Geographic

Coordinate

• Social Media• Twitter Account• URL FaceBook• URL Linkedin• URL Pinterest• URL Instagram

• Organization• Employee ID• Position• Studies• Specialties• …

• Sensitive Data• Health, Sex• Political• Religious• Philosophical• Trade union member

info• Genetic• Biometric• Race• Gender• Ethnicity• Children

• Pictures• …• Footsteps ?

Copyright © SAS Inst itute Inc. A l l r ights reserved.

Categorize the Information SAS Data Quality – Personal Data Identification

?Casper Pedersen Individual

casper.pedersen@sas.com E-mail

178056938906326 Social Security Number

?

?

Copyright © SAS Inst itute Inc. A l l r ights reserved.

SAS Personal Data Sniffer aka SAS Quality Knowledge Base (QKB)

SASQKB

In Teradata/In Hadoop

In Batch/In Real-Time

In SQL

In Hadoop Data Prep

Event Stream Processing

SAS Data QualityCustomize

Copyright © SAS Inst itute Inc. A l l r ights reserved.

Personal Data Discovery Dashboards

Copyright © SAS Inst itute Inc. A l l r ights reserved.

EU-DS-GVO mit SAS

Data Quality Lineage Business Data Network Federation Server Visual Analytics

Erkennen

• Identifizieren personenbezog. Feldinhalte (DQ- Exploration und Scan)

• Inventurliste PD-kritischerFelder

Identifizieren

• Verbinden mitden Datenfluss-Metadaten zur Dokumentation der Prozesse

• Visualisierung der Lineage

Zuordnen

• Rollenbasiertes Glossar mit Verantwortlichen

• Verknüpfung fachlicher Verfahren mit technischem Data Dictionary

Absichern

• Zentrale Zugriffs-beschränkung mit dynamischen User-Rechten

• Federation

• Pseudonymisierung

• Anonymisierung

Überwachen

• DSB-Dashboard

• Auditing-Logs

• Monitoring

• Eskalieren und Nachhalten von Verstößen per Workflow

Software beschleunigt die Compliance

Copyright © SAS Inst itute Inc. A l l r ights reserved.

Sneak PreviewSAS GDPR Survey: White Paper

???

Copyright © SAS Inst itute Inc. A l l r ights reserved.

EU-DS-GVOFragen?