Einführung
Dieses Dokument beschreibt den Sinn und die Basisdaten der Data Risk Intelligence Applikation.
Schritt für Schritt Anleitung
Überblick Data Risk Intelligence
Mit Data Risk Intelligence können Sie signifikant den Zeit- und Kostenaufwand für die Umsetzung der GDPR verringern und gleichzeitig die Qualität Ihrer Prozesse verbessern.
Unsere umfassende und dennoch modulare Lösung für risikobasiertes Datenschutz- und IT-Sicherheitsmanagement, welche auch die Risikoprüfung durch Dritte beinhaltet, ist bis ins letzte Detail durchdacht und in der Praxis erprobt. Damit ermöglichen wir Ihnen die größtmögliche Rechtssicherheit für Ihr Unternehmen zu garantieren.
Sicherheit ist gut, aber achtfache Absicherung ist besser!
Was ist Data Risk Intelligence?
Data Risk Intelligence von Munich Re ist ein benutzerfreundliches Programm, welches die Mitarbeiter bei Datenschutz- und IT-Sicherheits-Themen mit einem intuitiven Dialog- und Workflowsystem unterstützt.
- Es klassifiziert die betroffenen Daten und vergleicht die Datenverarbeitung mit den gesetzlichen und regulatorischen Anforderungen.
- Gleichzeitig dokumentiert es alle Prozesse, sowie die jeweiligen Anforderungen an einen Risikomanager. Die Verantwortlichen werden Schritt für Schritt durch das weitere Vorgehen geführt.
- Das Programm erstellt automatisch alle gesetzlich vorgeschriebenen Dokumente.
- Anschließend werden alle Vorgänge zum richtigen Zeitpunkt automatisch zur Wiedervorlage gebracht.
- Das CMS ist der methodische Rahmen für die strukturierte Umsetzung der Frühwarn-, Risikosteuerungs-, Beratungs- und Überwachungsfunktionen innerhalb der MunichRe (Gruppe).
Das CMS ist ausgerichted, um:
- die Verletzung externer und interner Anforderungen durch die Umsetzung von Normen und Vorschriften, Kommunikation, Schulung und Beratung von Management und Mitarbeitern zu verhindern (Prevent);
- wesentliche Compliance-Risiken zu managen und zu überwachen sowie mögliche Verstöße, die trotz geeigneter Maßnahmen auftreten können, zu untersuchen und zu beheben (Discover);
- das CMS regelmäßig zu überprüfen und kontinuierlich zu verbessern (Respond)
System Rollen
Katja | Prozess Experte |
Der "Prozessexperte/-bearbeiter" kann jeder Mitarbeiter des Unternehmens sein, der einen oder mehrere (IT-gestützte) Geschäftsprozesse im Unternehmen implementieren oder dokumentieren möchte und damit für den Sachverhalt verantwortlich ist. Der Prozessexperte ist auch für die Ermittlung und Sicherstellung des Schutzbedarfs der involvierten Informationswerten/Daten verantwortlich. Die Rolle des Prozessexperten ist entweder Delegierter des Eigentümers oder der Eigentümers selbst des Geschäftsprozesses und der damit verbundenen Daten. Als solcher beginnt der Prozessexperte seine professionelle Prüfung und dokumentiert einen Geschäftsprozess mit Data Risk Intelligence. Ziel ist es, diese Prüfung erfolgreich abzuschließen und den Status mit Hilfe von Data Risk Intelligence ständig auf dem neuesten Stand zu halten. |
|
|
Tim | Kontakt Person IT (optional) |
Die "Kontaktperson IT" ist ein (spezialisierter) IT-Experte, der für die Unterstützung des Prozessexperten/-bearbeiters bei technischen Fragen zuständig ist. Diese Person ist die erste, die vom Prozessexperten/Bearbeiter erledigten Angaben zur Situation überprüft, insbesondere zu der betreffenden IT-Komponente, bevor die gesamte Überprüfung an den Risikomanager weitergegeben wird. Diese Person führt die so genannte "technische Vorprüfung" durch, die sicherstellt, dass die Risikomanager ein möglichst vollständiges und genaues Bild des Sachverhalts für die Bewertung erhalten. Der Prozessexperte kann auch den IT-Ansprechpartner zur Unterstützung bei späteren Arbeitsschritten (z.B. zur Beantwortung von Fragen zu den technischen und organisatorischen Maßnahmen (TOMs)) mit ins Boot holen. Diese Rolle wird auch als "Tim" bezeichnet. |
|
|
Alex | Risikomanager (Prüfer) |
Je nach Unternehmen sind die "Risikomanager" oder "Risikomanager-Gruppen" aus den Bereichen Datenschutz, IT-Sicherheit/lT-Compliance, anderen Risikomanager-Gruppen oder dem Personalrat usw. für die Überprüfung und Bewertung der Informationen zuständig, um sicherzustellen, dass sie den rechtlichen und regulatorischen Anforderungen entsprechen. Die Risikomanager(gruppen) geben ihre Einschätzung (i) des Datenschutzes, (ii) der TOMs und (iii) der Schwachstellen ab, einschließlich der Maßnahmen, die zu deren Behebung ergriffen wurden/werden sollen. Wenn die Gruppen es für notwendig erachten, können die Risikomanager manuell zusätzliche TOMs zu den von Data Risk Intelligence generierten hinzufügen. Diese Rolle wird auch "Alex" bezeichnet. Alex ist als Risikomanager (Datenschutzbeauftragter und/oder IT-Sicherheits-/Compliance-Manager, ein anderer Risikomanager oder möglicherweise ein Personalratsmitglied) für die Überprüfung und Bewertung der Informationen verantwortlich, um sicherzustellen, dass sie den Anforderungen der Datenschutzgesetze entsprechen. |
|
|
Martina | Externer Prozess Teilnehmer (Externer Service Dienstleister) |
Jeder Mitarbeiter bei einem "Externen Prozessexperten" (z.B. IT-Dienstleister, Softwareanbieter, Cloud-Provider oder technischer Dienstleister wie MGA/TPA im Versicherungsbereich), der - in vielen Fällen in der Rolle des Datenverarbeiters - (personenbezogene) Daten für den, für die Verarbeitung Verantwortlichen, bearbeitet. Der externe Prozessexperte wird vom Administrator in Data Risk Intelligence hinterlegt und kann dann auf einen begrenzten Bereich - den Fragenkatalog auf den TOMs - zugreifen, wo er Fragen direkt beantworten kann. Alternativ kann der externe Prozessteilnehmer, also der externe Dienstleister, seine eigene TOMs-Liste in Data Risk Intelligence hochladen. Diese Rolle wird auch "Martina" genannt. |
|
|
Alice | Administrator |
Ein Administrator, oder „Alice“, ist für die Einrichtung der Eigenschaften von Compliance Web in der sog. Admin Area und somit für administrative Aufgaben zuständig. |
Hauptmerkmale
Der Arbeitsablauf in Data Risk Intelligence hat zwei Hauptmerkmale für die Überprüfung des Geschäftsprozesses:
- Data Risk Intelligence ermöglicht und erfordert die abteilungsübergreifende Zusammenarbeit aller wichtigen Interessengruppen im Unternehmen für den jeweiligen Geschäftsprozess. Jeder Stakeholder oder jede Stakeholder-Gruppe hat eine bestimmte, vorher festgelegte "Rolle" in Data Risk Intelligence.
- Der "Ball" ist immer an eine bestimmte Person/Gruppe weitergegeben. Mit anderen Worten: Sobald ein Geschäftsprozess einem Stakeholder zugewiesen wurde, können die anderen Parteien ihre Überprüfung erst dann fortsetzen, wenn der betreffende Stakeholder die ihm zugewiesene Aufgabe in Data Risk Intelligence abgeschlossen hat.
Data Risk Intelligence umfasst die folgenden Hauptschritte
1. Grundlegende Informationen;
2. Interviews: Wer macht was und mit wem/welchen Daten mit welchen IT-Systemen zu welchem Zweck und auf welcher Rechtsgrundlage?
3. Datenschutz (Aufbewahrungsregelung, Datenschutz-Folgenabschätzung, ggf. Drittstaaten-Dialog, Bewertungskontrollen).
Ablaufschema
Das Data Risk Intelligence Tool von Munich Re stellt sicher, dass Ihr Unternehmen auf alle aktuellen und zukünftigen Anforderungen in Bezug auf Datenschutzbestimmungen und Informationsschutz gut vorbereitet ist - weltweit, kosteneffizient und rechtskonform.
- Situationsanalyse anhand eines vordefinierten, workflowbasierten Interviewkatalogs;
- Datenschutzorganisation durch abteilungsübergreifende Zusammenarbeit;
- Automatisierte Erstellung der erforderlichen Dokumente;
- Protokollierung und Visualisierung auf Basis einer umfassenden Berichterstattung (Reporting) ;
- Flexible und kundenspezifische Anpassung durch Administrationsfunktionen
Ein Überblick über die Data Risk Intelligence Prüfung
Die Data Risk Intelligence Prüfung lässt sich in drei Teile gliedern:
Ein strukturierter Fragenkatalog befasst sich mit persönlichen und allgemeinen Daten. Die intelligente und adaptive Benutzerführung unterstützt die gesamte Data Risk Intelligence Prüfung. Prozessexperten wie Katja initiieren die Data Risk Intelligence-Prüfung aus Sicht der zuständigen Fachabteilung. Katja führt die Data-Risk-Intelligence-Prüfung durch alle relevanten Schritte durch. Alle an der Prüfung beteiligten Anwender werden per E-Mail über Aufgaben und Zwischenergebnisse der Prüfung informiert.
Weitere Mitarbeiter können von Data Risk Intelligence zur Bearbeitung hinzugezogen werden.