datenschutzrechtliche anforderungen an das ... · hinter hype-cycle oft von “outsidern”...
TRANSCRIPT
-
Datenschutzrechtliche Anforderungenan das Lieferantenmanagement
Salvatore SaporitoLexisNexis GmbH
Karl ViertelAlyne GmbH
-
KARL VIERTEL
CEO und Gründer Alyne
● Background in Cyber Security und Datenschutz
● Zuvor Director bei Deloitte im Bereich Cyber Risk Management
● Erfahrung in der Gestaltung und Umsetzung von Cyber Security und Datenschutz Projekten in Europa und Asien - Fokus auf Financial Services
-
AGENDA
FINTECH VS. REGTECH
ALYNE FACTS
DS-GVO LIEFERANTENPRÜFUNG
-
FINTECH VS. REGTECH
-
FINTECH VS. REGTECH
FINTECH
End-Kunden fokussiert
Experimente mit neuen Ansätzen
Hinter Hype-Cycle
Oft von “Outsidern” betrieben
REGTECH
Fokus auf Back Office
Digitalisierung bestehender Prozesse
Pre Hype-Cycle
Aus “leidvoller Erfahrung” geboren
-
ALYNE SAAS FÜR MODERNES RISIKOMANAGEMENT UND COMPLIANCE
LIEFERANTEN PRÜFUNG
DATENSCHUTZ BASELINE
IMPLEMENTIERUNG VON REGULIERUNG
CYBER SECURITY MANAGEMENT
OPRISK MANAGEMENT
USE CASE BEISPIELEZAHLEN UND FAKTEN
MEHR ALS 40 KUNDEN WELTWEIT
GEGRÜNDET SEPTEMBER 2015
BÜROS IN MÜNCHEN UND LONDON
VENTURE CAPITAL FINANZIERT
25 MITARBEITER
-
BEISPIEL: LIEFERANTENPRÜFUNG
WIESO LIEFERANTEN PRÜFEN?
● Auftragsverarbeitung im Datenschutz
● Outsourcing Management
● Wesentlicher Beitrag zum Cyber Security Risiko
● Transparenz im operationellen Risikomanagement
-
DATENSCHUTZGRUNDVERORDNUNG
GRUNDLAGEN
● Betroffene Personen sind Eigentümer ihrer Daten und bestimmen über die Nutzung
● Betroffene Personen müssen befähigt sein, ihre Rechte auszuüben
● Verarbeiter sind mit dem Schutz der personenbezogenen Daten betraut
● Verarbeiter stehen in der Verantwortung für Datenpannen
● Grundlagen der DS-GVO sind nicht neu!
-
LIEFERANTENPRÜFUNG
DS-GVO ANFORDERUNGEN
● “Auftragsverarbeiter” müssen vor Beginn auf Angemessenheit geprüft werden
● Hierzu gehört auch die zweifelsfreie Identifikation des Auftragsverarbeiters
● Es gelten Erfordernisse für die vertraglichen Vereinbarungen der Auftragsverarbeitung
● Angemessenheit der Schutzmaßnahmen müssen regelmäßig überprüft werden und in einem Verzeichnis geführt werden
● Der Auftraggeber steht in der Pflicht, auf angemessene technischeund organisatorische Schutzmaßnahmen zu prüfen
-
Exkurs: LexisNexis – Geschäftspartnerüberprüfung
Salvatore Saporito, Team Leader Europe Risk & Compliance
-
Zunahme an Strafverfolgungen
Relevanz für erweiterte Geschäftspartnerüberprüfung
Sensibilität bis in den Mittelstand
Verlagerung der Anforderungen von Kunden zum Geschäftspartner
Standardisierungstendenzen in derErmittlungstiefe erkennbar
Integration in eigene Systeme
Erkennbare Trends
-
ZentraleQuellenSanktionslisten
Rechtsdaten
BiographischeQuellen
PEP-Daten
Weltweite Presse
Firmen-informationen
Abdeckung der Compliance-Anforderungen durch zentrale Quellen
-
Informationsquellen – nur welche?
Risikoansatz und Quellen für Due Diligence
-
Identifikation meiner Geschäftspartner und Einteilung in Cluster
Risk Assessment durch Identifikation der Risikofelder sowie Kategorisierung in Risikogruppen
Verhältnis Risikopotential und Ressourcenaufwand einschätzen, um Umfang der Überprüfung festzulegen (Ermittlungstiefe)
Prüfungsprozess und Recherchequellen festlegen
Informationsauswertung und Schaffung einer Entscheidungsgrundlage
Unterstützung durch IT zur Standardisierung
Einbettung in den betrieblichen Kontext
Prozess zum Aufbau einer effektiven Geschäftspartnerüberprüfung
-
Lexis Diligence® - Geschäftspartnerüberprüfung
Zugriff auf alle Quellen über nur eine Suchmaske
Benutzerfreundliche Oberfläche und vielfältige Such-Optionen
Erkennen von Nachrichten mit negativer Tonalität
E-Mail-Alert, wenn für bestimmte Suchbegriffe neue Ergebnisse gefunden werden
Dokumentationsnachweis über Report Builder
-
Zurück zu Karl Viertel
Salvatore Saporito, Team Leader Europe Risk & Compliance
-
USE CASE BESCHREIBUNG
Gruppieren nach Risiko
Lieferanten Prüfen
Ergebnisse Auswerten
Risiken Analysieren
Entscheidung Treffen
ERFOLGSFAKTOREN
● Skalierbarkeit auf alle Lieferanten
● Schnelle Umsetzung und kurzer Prozessdurchlauf
● Informierte Entscheidungen ermöglichen
● Belastbarkeit der Risikoinformation
-
REGTECH THESEN
REGTECH DIGITALISIERT DURCH:
BESSERE SKALIERBARKEITWo manuelle Lösungen an Ihre Grenzen stoßen, skalieren RegTech Lösungen
EINFACHERE BEDIENBARKEITRegTech-Lösungen vereinfachen die Interaktion mit komplexer Information und ersetzen sperrige Enterprise Software
BUSINESS-FOKUSSIERUNGRegTechs sind Lösungen für das Business, nicht Software für die IT
STÄRKERE AUTOMATISIERUNGRegTechs steigern ihren Wertbeitrag, wo manuelle und ressourcenintensive Prozesse automatisiert werden
-
BESSERE SKALIERBARKEIT
Excel & Email, aufwendige Schnittstellen, Vor-Ort-Prüfungen, Stichproben werden ersetzt durch...
EINFACHE INTEGRATIONMit moderner Web-Technologie sind Datenintegrationen stark vereinfacht
RISK ANALYTICSErlaubt die schnelle und automatisierte Risikoidentifikation
UMFANGREICHE BIBLIOTHEKENErmöglicht schnellen start und einfache Anpassung an Lieferantengruppen
-
EINFACHERE BEDIENBARKEIT
Office Dokumente und Enterprise Software im Look and Feel der 90er Jahre werden ersetzt durch...
WORKFLOW MANAGEMENTEinfache Übersichten erleichtern die Steuerung umfangreicher Prozesse
MODERNE USAGE PATTERNSInformationsdesign aus Social Media ermöglicht einfachste Interaktion mit komplexen Daten
STRUKTURIERTE DATENErlauben einfache Erfassung und automatisierte Auswertung
-
BUSINESS FOKUSSIERUNG
Lange Software-Integrationsprojekte, Wasserfallmodell und Big-Bang IT-Rollouts werden ersetzt durch...
AGILES RISIKOMANAGEMENTDie Verwaltung identifizierter Risiken von Lieferanten erfolgt agil und kontinuierlich
KONFIGURATION DURCH DAS BUSINESSWorkflows, User, Inhalte und Strukturen werden durch Fachbereiche erstellt
DYNAMISCHE EINBINDUNG DES TEAMSOrganisationsstrukturen werden dynamisch angepasst durch User
-
STÄRKERE AUTOMATISIERUNG
Mehrere Fragebögen einzelner Fachbereiche, manuelle Risikoauswertungen und -analyse werden ersetzt durch...
SELF SERVICE PORTALEFachbereiche stoßen proaktiv Risikoprozesse an und binden automatisch Entscheidungsträger ein
WEITERE AUTOMATISIERUNG MIT NLPAutomatischer Abgleich von Policies, Kontrollen, etc. mittels Natural Language Processing und AI
AUTOMATISCHE RISIKOBEWERTUNGEine automatisierte Analyse der Prüfungsergebnisse ermöglicht schnellere Lieferantenprüfung
-
IHRE DS-GVO GAP-ANALYSE
Sie können Ihre kostenlose DS-GVO Gap Analyse noch vervollständigen und erhalten von Alyne einen Report.
-
Salvatore [email protected]
Karl [email protected]