際際滷

際際滷Share a Scribd company logo

GDPR Microsoft Strategies - Topics & Links

Download as PPTX, PDF
Roberto Stefanetti
Roberto Stefanetti

GDPR Microsoft Strategies - Topics & Links (Only DATA Perspective)

1 of 39
Downloaded 30 times
RobertoStefanetti, MVP BusinessSolutions
AGENDA
GDPR
ABOUT GDPR (EU LAW) ABOUT GDPR: May 25, 2018: a new era begins for data privacy On this date in a little less than a year, the new European Union (EU) data protection law will be implemented, replacing the old Data Protection Directive, which has been in effect since 1995. The new law, known as the General Data Protection Regulation (GDPR), gives individuals greater control over their personal data and imposes many new obligations on organizations that collect, handle, or analyze personal data. https://ec.europa.eu/info/law/law-topic/data-protection_en https://edps.europa.eu/data-protection/data-protection/glossary_en
GDPR (EU DEFINITION-COMPLIANCE) One of the key aims of the GDPR is to empower individuals and give them control over their personal data. For having a good GDPR-compliance, we need to have features to satisfy at least these GDPR articles and topics: Personal / sensitive data discovery The right to be informed (Articles 12, 13, 14) The right of access (Article 15) The right to rectification (Article 16) The right to erasure (Article 17) The right to restrict processing (Articles 18, 19) The right to data portability (Article 20) Data encryption and destruction (automated) GDPR activities logging
GDPR (EU DEFINITION-COMPLIANCE) Providing GDPR-related entity management (like Data Protection Officer card, Administrators or other controllers identification). Providing a quick way to retrieve sensitive data in the entire database (for example, if your old contact asks you to retrieve all his sensitive data you have in your system, you need to have a quick way to retrieve them). Providing a quick way to rectify sensitive data (for example, change of a contact data: you need to change this data in the entire database and documents). Providing a quick and automated way to mask or delete sensitive data (if your old contact asks you to immediately delete all his sensitive data in your database, you need to remove them or cypher them). Provide a way to export all sensitive data of an individual in a standard format(CSV or XML) for data portability. Providing a centralized way where launching all these GDPR tasks, log them, log GDPR incoming requests and action performed on the database. https://robertostefanettinavblog.com/2018/03/07/all-about-microsoft-gdpr-strategies-with-nav-support/
GDPR COSE ED OBIETTIVO Cos竪 il GDPR e qual 竪 il suo obiettivo? Nuovo corpo legislative dellUnione Europea che sostituisce lattuale direttiva sulla Privacy 95/46/EC. Il GDPR sar in vigore a partire da Maggio 2018. Obiettivo: proteggere i dati personali e regolamentare come le aziende trattano, conservano e distruggono i dati, quando non sono pi湛 richiesti. - Include anche trasferimenti di dati tra UE e sedi non UE - Regolamenta cosa succede in caso di fughe di dati personali (Data Breach) - Stabilisce conseguenze importanti (sanzioni) per le aziende che non
GDPR CHI E SOGGETTO Chi 竪 soggetto al GDPR? Aziende con una presenza fisica in almeno uno dei paesi membri dellUE o che processano o immagazzinano dati su persone che risiedono nellUE o che usando un servizio di terzi che processa or immagazzina informazioni su persone che risiedono nellUE (Salesforce, Google Mail, etc.) Quindi sostanzialmente applica a: Qualunque azienda con uffici nellUE se hanno un computer Aziende USA che hanno contatti con aziende UE e cio竪 praticamente tutti!
GDPR COSA DEVO PROTEGGERE 束I DATI PERSONALI損
GDPR LA COMPLIANCE Il processo di raggiungimento della compliance al GDPR si estende a tutto lambito servito dallIT Scopri. Identifica e classifica quali sono i dati personali attualmente gestiti e dove risiedono. Gestisci. Governa i dati personali e le modalit di accesso ed utilizzo. Proteggi. Implementa dei meccanismi di sicurezza per prevenire, identificare e rispondere alle vulnerabilit ed alle fughe di informazioni. Controlla e documenta. Osserva i dati, certificali, mantieni la documentazione, le richieste di accesso.
GDPR DA NON SOTTOVALUTARE Diritto alloblio Sembra semplice eliminiamo i dati della persona dal database. Manon 竪 sufficiente. Questo include tutti i backup effettuati, esportazioni di dati su altri strumenti (excel, file di testo, archivi di altro genere), business intelligence Portabilit del dato cit束Linteressato ha il diritto di ricevere in un formato strutturato, di uso comune, leggibile ed interoperabile i dati personali che lo riguardano e trasmetterli ad un altro titolare del trattamentoove tecnicamente fattibile損. Esiste(r) un formato comune per lo scambio di queste informazioni? Data retention In base al principio introdotto della limitazione del periodo di conservazione, il dato dovrebbe essere conservato solo per il tempo strettamente necessario al suo trattamento. Non possiamo pi湛 束dimenticarci損 i dati di una persona nel database se non li utilizziamo
GDPR GLI 8 DIRITTI DERIVANTI 1. Diritto a essere Informati Trasparenza su come i dati personali sono utilizzati 2.Diritto allAccesso Accesso ai propri dati, a come sono utilizzati e a qualunque altro dato utilizzato in combinazione con i vostri. 3.Diritto alla Rettificazione Diritto a rettificare i dati in caso siano incorretti o incompleti 4.Diritto alla cancellazione (ex diritto alloblio) Diritto a che i dati siano cancellati quando non c竪 pi湛 nessuna ragione valida per conservarli
GDPR GLI 8 DIRITTI DERIVANTI 5. Diritto a limitare il Trattamento dei dati Si pu嘆 consentire che i dati siano immagazzinati ma non processati 6. Diritto alla Portabilit Potere trasferire i propri dati da un sistema informatico ad un altro senza che il controllore dei dati possa impedirlo. 7. Diritto a Opporsi Opporsi al trattamento dei dati 8. Diritto di Contestazione delle decisioni automatizzate (incluso il profiling) Possono essere contestate le decisioni che hanno impatto personale e che sono state prese solo utilizzando un algoritmo informatico
GDPR PER LE AZIENDE Responsabilit e Governance Adozione di misure tecniche e organizzative appropriate per assicurare la conformit Misure Tecniche: - Politiche e Procedure - Dati di Auditing - Consenso - Base Legale - Certificazioni - Crittografia - Utilizzo di Pseudonimi
GDPR PER LE AZIENDE Misure Organizzative: Richiedono lesistenza di una struttura apposita per la governance e pu嘆 anche richiedere un DPO (Data Protection Officer) Data Protection Officer (per esempio il CSO o Sec Admin) Obbligatorio solo in caso di Enti Pubblici o aziende che trattano un grande volume di dati Controller (per esempio il CIO) Controlla e assicura che il modo in cui i dati sono trattati 竪 in linea con il GDPR Processors Trattano i dati per conto del Controller (agenzia o persona che processa i dati, impiegato, programmatore, outsourcer, azienda di hosting/cloud)
GDPR PREPARARSI - I 5 PASSI I 5 PASSI 1. Identificare quali dati sono utilizzati e conservati 2. Creare un sistema di responsabilit chiare 3. Aggiornamento e verifica periodica delle policies e procedure 4. Adozione del GDPR come parte integrante del lavoro di tutta lazienda 5. Prepararsi a una fuga di dati
GDPR PREPARARSI - I 5 PASSI - 1 1. Identificare quali dati sono utilizzati e conservati Assicuratevi di sapere quali dati avete (spesso si processano molti pi湛 dati di quanto si pensi) Rivedete perch辿 state conservando quei dati personali e se non sono necessari cancellateli! Utilizzate sinonimi: tecnologie che permettono di rendere i dati personali non riconoscibili (come per esempio la crittografia) o non riconducibili ad un individuo (pseudonimi) Documentate da dove provengono i dati Documentate le terze parti con cui avete condiviso i dati
GDPR PREPARARSI - I 5 PASSI - 2 2. Creare un sistema di responsabilit chiare Documentate un organigramma della struttura adibita alla governance Assegnate o assumete personale per occuparsi dei nuovi compiti DPO, Data Protection Officer (CSO o security admin) Aumentate la consapevolezza interna Formazione per gli impiegati
GDPR PREPARARSI - I 5 PASSI - 3 3. Aggiornamento e verifica periodica delle policies e procedure Verificate le policies per assicurarsi che siano sempre aggiornate Comunicate chiaramente i diritti derivanti dal GDPR, in particolare: Diritto allaccesso Diritti legali e tempo di ritenzione Diritto alla rettificazione Assicuratevi che le politiche siano di facile accesso Implementate un piano di miglioramento continuo
GDPR PREPARARSI - I 5 PASSI - 4 4. Adozione del GDPR come parte integrante del lavoro di tutta lazienda Verifica continua dei possibili rischi Identificazione delle aree ad alto rischio non ancora coperte Privacy by design Minimizzate i dati personali (ne abbiamo davvero bisogno?)
GDPR PREPARARSI - I 5 PASSI - 5 5. Prepararsi a una fuga di dati Come si riconosce una fuga di dati? 72 ore (tempo ragionevole , NON 竪 subito..) Politica chiare di notificazione di una fuga di dati Come potete interrompere la fuga ed evitare che succeda di nuovo?
GDPR FUGA DI DATI (SANZIONI) 束Sanzioni損 1.Fino a 10M (o 2% della fatturazione mondiale) Mancato ottenimento del consenso da parte del Soggetto a processare i suoi dati personali Mancata implementazione di misure tecniche e organizzative per garantire la protezione dei dati Mancato documentazione delle misure Mancata comunicazione delle fughe di dati al EDPB (European Data Protection Board) nei casi previsti 2.Fino a 20M (o 4% della fatturazione mondiale) Mancata ottemperanza di una disposizione di unauthority di supervisione. Mancata ottemperanza delle regole previste dal GDPR per i trasferimenti internazionali di dati Mancata ottemperanza ai principi basici del trattamento dei dati, incluso le il consenso
GDPR
Summary of ALL Publications by TOPICS (束ALL LINKS損) ABOUT GDPR GDPR on PARTNER NETWORK GDPR for AZURE GDPR for SQL SERVER GDPR for OFFICE 365 GDPR for CLOUD GDPR ASSESMENTS PAGES GDPR COMPLIANCE MANAGER GDPR for DYNAMICS NAV https://robertostefanettinavblog.com/?s=gdpr https://robertostefanettinavblog.com/2018/03/07/all-about-microsoft-gdpr-strategies-with- nav-support/ GDPR Microsoft Strategies ALL LINKS
GDPR for Dynamics NAV
GDPR for Dynamics NAV Dynamics NAV can, however, help you meet your GDPR obligations. To this end, and as further described below, Microsoft is adding new features to Dynamics NAV that, when combined with existing capabilities in Dynamics NAV, will assist with GDPR compliance. The March 2018 cumulative updates, for the Microsoft-localized and W1 versions of Dynamics NAV 2015, Dynamics NAV 2016, Dynamics NAV 2017, and Dynamics NAV 2018, are the first to add new tools that can help you fulfill your GDPR obligations.
GDPR for Dynamics NAV PORTAL & LINKS NAV GDPR PORTAL https://blogs.msdn.microsoft.com/nav/2017/12/21/make-your-dynamics-nav-solution-gdpr-compliant/ NAV GDPR WHITPAPER (Release v1.0) https://servicetrust.microsoft.com/ViewPage/TrustDocuments?command=Download&downloadType=Document& downloadId=cc632c1c-15b7-42d1-879f-487f9592ee53&docTab=6d000410-c9e9-11e7-9a91- 892aae8839ad_FAQ_and_White_Papers NAV GDPR ON MSDN https://docs.microsoft.com/it-it/dynamics365/get-started/gdpr/ https://www.microsoft.com/en-us/trustcenter MY GDPR POSTS https://robertostefanettinavblog.com/?s=gdpr https://robertostefanettinavblog.com/2018/03/07/all-about-microsoft-gdpr-strategies-with-nav-support/
GDPR for Dynamics NAV Key GDPR Steps Key GDPR Steps Discoveridentify what personal data you have and where it resides. Managegovern how personal data is used and accessed. Protectestablish security controls to prevent, detect, and respond to vulnerabilities and data breaches. Reportexecute on data requests, report data breaches, and keep required documentation. These tools include capabilities to help you achieve the following: Discover - Identify and classify personal data Manage - Data subject right (DSR) Manage - Export data subjects personal data Manage - Delete data subject's personal data Manage - Modify data subject's personal data Manage - Mark people, customers, and vendors as blocked due to privacy Manage - Provide detailed notice of processing activities to data subjects Protect - Detect and respond to data breaches Protect - Facilitate regular testing of security measures Report - Maintain and report on audit trails to show GDPR compliance
GDPR for Dynamics NAV Key GDPR Steps
GDPR for Dynamics NAV DATA Classification Starting with the March cumulative updates, as a partner, you will be able to classify table fields by assigning data classifications such as: customer content, end user identifiable information, organization identifiable data, or system metadata. To classify the fields that hold personal data, partners can set the Supporting Your Data Classification property on the field. This requires access to the database tables, either through the Dynamics NAV development environment, or by running a Windows PowerShell script. This data classification feature will help you, as the customer, to categorize any personal data that you have. For example, the solution includes a table, My Table, with three fields, Name, Email, and Last Modified By. The partner classifies the Name and Email fields as Customer Content and the Last Modified By field as EndUserIdentifiableInformation. Then, you, as the customer, can use this information to determine if personal data persists in this table.
GDPR for Dynamics NAV DATA Classification IN ACTION: AS CUSTOMER As a customer, you will be able to further define or refine the data classification in the new Data Classification Worksheet by setting the data sensitivity, such as Sensitive, Personal, Confidential or Normal, to document what kind of data you store in standard and custom fields. Using the Data Classification Worksheet, you can set the data sensitivity in Excel, for example. Most personal data is likely, but not exclusively, residing in one of the following tables in Dynamics NAV: Customer Vendor Contact (when of type Person) Employee Salespeople/Purchaser Resource (when of type Person) User ... Etc, etc. + CUSTOM TABLES
GDPR for Dynamics NAV NEXT UPDATES SOON NEXT UPDATES SOON. IN NEXT CUs STAY TUNED !
GDPR for SQL Server GDPR FOR DATABASES (great doc) /gax700/la-gestione-dei-database- secondo-il-gdpr-sql-server
GDPR for DATABASES COSA PROTEGGERE ? COSA PROTEGGERE ? Nome e Cognome Numeri e codici identificativi (Codice fiscale, numero della tessera sanitaria,) Email Matricole Nicknames utilizzati on-line (un sacco di socials...) Informazioni relative alla sfera fisica, fisiologica o genetica (biometriche) Informazioni mediche, localizzazione geografica, bancarie Profilo culturale e religioso Reddito, bancarie Indirizzi IP, Cookies Etc. etc. altre informazioni
GDPR for DATABASES COSA CONTIENE DATI P. ? COSA PUO CONTENERE DATI PERSONALI ? GestionaliERP (che dovrebbero avere un supporto GDPR proprietario ad hoc) Sales force automation Posta elettronica Portale e-commerce Gestione Paghe Integrazioni B2C, B2B CRM Interfacce ed integrazioni varie Software di PM & Gestione Ore Ticketing Systems ... etc. etc.... Fogli di exceltavelle pivotcubi di dati nel file system Altri database, tabelle satellite, interfacce varie ... etc. etc....
GDPR for DATABASES MASCHERAMENTO E DRLS MASCHERAMENTO Il Mascheramento limita lesposizione di dati sensibili mascherandogli stessi agli utenti o alle applicazioni non autorizzate. La protezione del dato 竪 eseguita dal motore del database e funziona 束on the fly損 con un impatto minimo a livello di prestazioni. I dati allinterno delle tabelle rimangono in chiaro. DATA ROW-LEVEL SECURITY (DRLS) Il DRLS limita laccesso alle righe di una tabella del database in base ai privilegi assegnati allutente che esegue la query.
GDPR for DATABASES DATAWAREHOUSE E BI DATAWAREHOUSE E BI Nel DataWarehouse e nella BI I dati sono gestiti in modo aggregato. Potremmo per嘆 aver bisogno di estrarre informazioni relative allet, genere, localizzazione geografica; possiamo utilizzare tecniche per filtrare (quando possibile) le informazioni. ESEMPIO: In un DataWarehouse sulle vendite non posso applicare filtri a priori oppure tecniche per il mascheramento. A volte ci possono essere molti scambi di dati anche bidirezionali tra ambienti BI e ERP
GDPR for SQL Server - LINKS GDPR SQL SERVER LINKS SQL SERVER and GDPR whitepaper https://aka.ms/gdprsqlwhitepaper Guida all'ottimizzazione della privacy e alla conformit ai requisiti RGPD con la piattaforma Microsoft SQL https://docs.microsoft.com/it-it/sql/relational-databases/security/microsoft-sql- and-the-gdpr-requirements SQL AZURE GDPR QUESTIONS https://azure.microsoft.com/it-it/blog/gdpr-questions-azure-has-answers/
RobertoStefanetti, MVP BusinessSolutions

More Related Content

GDPR Microsoft Strategies - Topics & Links

  • 4. ABOUT GDPR (EU LAW) ABOUT GDPR: May 25, 2018: a new era begins for data privacy On this date in a little less than a year, the new European Union (EU) data protection law will be implemented, replacing the old Data Protection Directive, which has been in effect since 1995. The new law, known as the General Data Protection Regulation (GDPR), gives individuals greater control over their personal data and imposes many new obligations on organizations that collect, handle, or analyze personal data. https://ec.europa.eu/info/law/law-topic/data-protection_en https://edps.europa.eu/data-protection/data-protection/glossary_en
  • 5. GDPR (EU DEFINITION-COMPLIANCE) One of the key aims of the GDPR is to empower individuals and give them control over their personal data. For having a good GDPR-compliance, we need to have features to satisfy at least these GDPR articles and topics: Personal / sensitive data discovery The right to be informed (Articles 12, 13, 14) The right of access (Article 15) The right to rectification (Article 16) The right to erasure (Article 17) The right to restrict processing (Articles 18, 19) The right to data portability (Article 20) Data encryption and destruction (automated) GDPR activities logging
  • 6. GDPR (EU DEFINITION-COMPLIANCE) Providing GDPR-related entity management (like Data Protection Officer card, Administrators or other controllers identification). Providing a quick way to retrieve sensitive data in the entire database (for example, if your old contact asks you to retrieve all his sensitive data you have in your system, you need to have a quick way to retrieve them). Providing a quick way to rectify sensitive data (for example, change of a contact data: you need to change this data in the entire database and documents). Providing a quick and automated way to mask or delete sensitive data (if your old contact asks you to immediately delete all his sensitive data in your database, you need to remove them or cypher them). Provide a way to export all sensitive data of an individual in a standard format(CSV or XML) for data portability. Providing a centralized way where launching all these GDPR tasks, log them, log GDPR incoming requests and action performed on the database. https://robertostefanettinavblog.com/2018/03/07/all-about-microsoft-gdpr-strategies-with-nav-support/
  • 7. GDPR COSE ED OBIETTIVO Cos竪 il GDPR e qual 竪 il suo obiettivo? Nuovo corpo legislative dellUnione Europea che sostituisce lattuale direttiva sulla Privacy 95/46/EC. Il GDPR sar in vigore a partire da Maggio 2018. Obiettivo: proteggere i dati personali e regolamentare come le aziende trattano, conservano e distruggono i dati, quando non sono pi湛 richiesti. - Include anche trasferimenti di dati tra UE e sedi non UE - Regolamenta cosa succede in caso di fughe di dati personali (Data Breach) - Stabilisce conseguenze importanti (sanzioni) per le aziende che non
  • 8. GDPR CHI E SOGGETTO Chi 竪 soggetto al GDPR? Aziende con una presenza fisica in almeno uno dei paesi membri dellUE o che processano o immagazzinano dati su persone che risiedono nellUE o che usando un servizio di terzi che processa or immagazzina informazioni su persone che risiedono nellUE (Salesforce, Google Mail, etc.) Quindi sostanzialmente applica a: Qualunque azienda con uffici nellUE se hanno un computer Aziende USA che hanno contatti con aziende UE e cio竪 praticamente tutti!
  • 9. GDPR COSA DEVO PROTEGGERE 束I DATI PERSONALI損
  • 10. GDPR LA COMPLIANCE Il processo di raggiungimento della compliance al GDPR si estende a tutto lambito servito dallIT Scopri. Identifica e classifica quali sono i dati personali attualmente gestiti e dove risiedono. Gestisci. Governa i dati personali e le modalit di accesso ed utilizzo. Proteggi. Implementa dei meccanismi di sicurezza per prevenire, identificare e rispondere alle vulnerabilit ed alle fughe di informazioni. Controlla e documenta. Osserva i dati, certificali, mantieni la documentazione, le richieste di accesso.
  • 11. GDPR DA NON SOTTOVALUTARE Diritto alloblio Sembra semplice eliminiamo i dati della persona dal database. Manon 竪 sufficiente. Questo include tutti i backup effettuati, esportazioni di dati su altri strumenti (excel, file di testo, archivi di altro genere), business intelligence Portabilit del dato cit束Linteressato ha il diritto di ricevere in un formato strutturato, di uso comune, leggibile ed interoperabile i dati personali che lo riguardano e trasmetterli ad un altro titolare del trattamentoove tecnicamente fattibile損. Esiste(r) un formato comune per lo scambio di queste informazioni? Data retention In base al principio introdotto della limitazione del periodo di conservazione, il dato dovrebbe essere conservato solo per il tempo strettamente necessario al suo trattamento. Non possiamo pi湛 束dimenticarci損 i dati di una persona nel database se non li utilizziamo
  • 12. GDPR GLI 8 DIRITTI DERIVANTI 1. Diritto a essere Informati Trasparenza su come i dati personali sono utilizzati 2.Diritto allAccesso Accesso ai propri dati, a come sono utilizzati e a qualunque altro dato utilizzato in combinazione con i vostri. 3.Diritto alla Rettificazione Diritto a rettificare i dati in caso siano incorretti o incompleti 4.Diritto alla cancellazione (ex diritto alloblio) Diritto a che i dati siano cancellati quando non c竪 pi湛 nessuna ragione valida per conservarli
  • 13. GDPR GLI 8 DIRITTI DERIVANTI 5. Diritto a limitare il Trattamento dei dati Si pu嘆 consentire che i dati siano immagazzinati ma non processati 6. Diritto alla Portabilit Potere trasferire i propri dati da un sistema informatico ad un altro senza che il controllore dei dati possa impedirlo. 7. Diritto a Opporsi Opporsi al trattamento dei dati 8. Diritto di Contestazione delle decisioni automatizzate (incluso il profiling) Possono essere contestate le decisioni che hanno impatto personale e che sono state prese solo utilizzando un algoritmo informatico
  • 14. GDPR PER LE AZIENDE Responsabilit e Governance Adozione di misure tecniche e organizzative appropriate per assicurare la conformit Misure Tecniche: - Politiche e Procedure - Dati di Auditing - Consenso - Base Legale - Certificazioni - Crittografia - Utilizzo di Pseudonimi
  • 15. GDPR PER LE AZIENDE Misure Organizzative: Richiedono lesistenza di una struttura apposita per la governance e pu嘆 anche richiedere un DPO (Data Protection Officer) Data Protection Officer (per esempio il CSO o Sec Admin) Obbligatorio solo in caso di Enti Pubblici o aziende che trattano un grande volume di dati Controller (per esempio il CIO) Controlla e assicura che il modo in cui i dati sono trattati 竪 in linea con il GDPR Processors Trattano i dati per conto del Controller (agenzia o persona che processa i dati, impiegato, programmatore, outsourcer, azienda di hosting/cloud)
  • 16. GDPR PREPARARSI - I 5 PASSI I 5 PASSI 1. Identificare quali dati sono utilizzati e conservati 2. Creare un sistema di responsabilit chiare 3. Aggiornamento e verifica periodica delle policies e procedure 4. Adozione del GDPR come parte integrante del lavoro di tutta lazienda 5. Prepararsi a una fuga di dati
  • 17. GDPR PREPARARSI - I 5 PASSI - 1 1. Identificare quali dati sono utilizzati e conservati Assicuratevi di sapere quali dati avete (spesso si processano molti pi湛 dati di quanto si pensi) Rivedete perch辿 state conservando quei dati personali e se non sono necessari cancellateli! Utilizzate sinonimi: tecnologie che permettono di rendere i dati personali non riconoscibili (come per esempio la crittografia) o non riconducibili ad un individuo (pseudonimi) Documentate da dove provengono i dati Documentate le terze parti con cui avete condiviso i dati
  • 18. GDPR PREPARARSI - I 5 PASSI - 2 2. Creare un sistema di responsabilit chiare Documentate un organigramma della struttura adibita alla governance Assegnate o assumete personale per occuparsi dei nuovi compiti DPO, Data Protection Officer (CSO o security admin) Aumentate la consapevolezza interna Formazione per gli impiegati
  • 19. GDPR PREPARARSI - I 5 PASSI - 3 3. Aggiornamento e verifica periodica delle policies e procedure Verificate le policies per assicurarsi che siano sempre aggiornate Comunicate chiaramente i diritti derivanti dal GDPR, in particolare: Diritto allaccesso Diritti legali e tempo di ritenzione Diritto alla rettificazione Assicuratevi che le politiche siano di facile accesso Implementate un piano di miglioramento continuo
  • 20. GDPR PREPARARSI - I 5 PASSI - 4 4. Adozione del GDPR come parte integrante del lavoro di tutta lazienda Verifica continua dei possibili rischi Identificazione delle aree ad alto rischio non ancora coperte Privacy by design Minimizzate i dati personali (ne abbiamo davvero bisogno?)
  • 21. GDPR PREPARARSI - I 5 PASSI - 5 5. Prepararsi a una fuga di dati Come si riconosce una fuga di dati? 72 ore (tempo ragionevole , NON 竪 subito..) Politica chiare di notificazione di una fuga di dati Come potete interrompere la fuga ed evitare che succeda di nuovo?
  • 22. GDPR FUGA DI DATI (SANZIONI) 束Sanzioni損 1.Fino a 10M (o 2% della fatturazione mondiale) Mancato ottenimento del consenso da parte del Soggetto a processare i suoi dati personali Mancata implementazione di misure tecniche e organizzative per garantire la protezione dei dati Mancato documentazione delle misure Mancata comunicazione delle fughe di dati al EDPB (European Data Protection Board) nei casi previsti 2.Fino a 20M (o 4% della fatturazione mondiale) Mancata ottemperanza di una disposizione di unauthority di supervisione. Mancata ottemperanza delle regole previste dal GDPR per i trasferimenti internazionali di dati Mancata ottemperanza ai principi basici del trattamento dei dati, incluso le il consenso
  • 23. GDPR
  • 24. Summary of ALL Publications by TOPICS (束ALL LINKS損) ABOUT GDPR GDPR on PARTNER NETWORK GDPR for AZURE GDPR for SQL SERVER GDPR for OFFICE 365 GDPR for CLOUD GDPR ASSESMENTS PAGES GDPR COMPLIANCE MANAGER GDPR for DYNAMICS NAV https://robertostefanettinavblog.com/?s=gdpr https://robertostefanettinavblog.com/2018/03/07/all-about-microsoft-gdpr-strategies-with- nav-support/ GDPR Microsoft Strategies ALL LINKS
  • 26. GDPR for Dynamics NAV Dynamics NAV can, however, help you meet your GDPR obligations. To this end, and as further described below, Microsoft is adding new features to Dynamics NAV that, when combined with existing capabilities in Dynamics NAV, will assist with GDPR compliance. The March 2018 cumulative updates, for the Microsoft-localized and W1 versions of Dynamics NAV 2015, Dynamics NAV 2016, Dynamics NAV 2017, and Dynamics NAV 2018, are the first to add new tools that can help you fulfill your GDPR obligations.
  • 27. GDPR for Dynamics NAV PORTAL & LINKS NAV GDPR PORTAL https://blogs.msdn.microsoft.com/nav/2017/12/21/make-your-dynamics-nav-solution-gdpr-compliant/ NAV GDPR WHITPAPER (Release v1.0) https://servicetrust.microsoft.com/ViewPage/TrustDocuments?command=Download&downloadType=Document& downloadId=cc632c1c-15b7-42d1-879f-487f9592ee53&docTab=6d000410-c9e9-11e7-9a91- 892aae8839ad_FAQ_and_White_Papers NAV GDPR ON MSDN https://docs.microsoft.com/it-it/dynamics365/get-started/gdpr/ https://www.microsoft.com/en-us/trustcenter MY GDPR POSTS https://robertostefanettinavblog.com/?s=gdpr https://robertostefanettinavblog.com/2018/03/07/all-about-microsoft-gdpr-strategies-with-nav-support/
  • 28. GDPR for Dynamics NAV Key GDPR Steps Key GDPR Steps Discoveridentify what personal data you have and where it resides. Managegovern how personal data is used and accessed. Protectestablish security controls to prevent, detect, and respond to vulnerabilities and data breaches. Reportexecute on data requests, report data breaches, and keep required documentation. These tools include capabilities to help you achieve the following: Discover - Identify and classify personal data Manage - Data subject right (DSR) Manage - Export data subjects personal data Manage - Delete data subject's personal data Manage - Modify data subject's personal data Manage - Mark people, customers, and vendors as blocked due to privacy Manage - Provide detailed notice of processing activities to data subjects Protect - Detect and respond to data breaches Protect - Facilitate regular testing of security measures Report - Maintain and report on audit trails to show GDPR compliance
  • 29. GDPR for Dynamics NAV Key GDPR Steps
  • 30. GDPR for Dynamics NAV DATA Classification Starting with the March cumulative updates, as a partner, you will be able to classify table fields by assigning data classifications such as: customer content, end user identifiable information, organization identifiable data, or system metadata. To classify the fields that hold personal data, partners can set the Supporting Your Data Classification property on the field. This requires access to the database tables, either through the Dynamics NAV development environment, or by running a Windows PowerShell script. This data classification feature will help you, as the customer, to categorize any personal data that you have. For example, the solution includes a table, My Table, with three fields, Name, Email, and Last Modified By. The partner classifies the Name and Email fields as Customer Content and the Last Modified By field as EndUserIdentifiableInformation. Then, you, as the customer, can use this information to determine if personal data persists in this table.
  • 31. GDPR for Dynamics NAV DATA Classification IN ACTION: AS CUSTOMER As a customer, you will be able to further define or refine the data classification in the new Data Classification Worksheet by setting the data sensitivity, such as Sensitive, Personal, Confidential or Normal, to document what kind of data you store in standard and custom fields. Using the Data Classification Worksheet, you can set the data sensitivity in Excel, for example. Most personal data is likely, but not exclusively, residing in one of the following tables in Dynamics NAV: Customer Vendor Contact (when of type Person) Employee Salespeople/Purchaser Resource (when of type Person) User ... Etc, etc. + CUSTOM TABLES
  • 32. GDPR for Dynamics NAV NEXT UPDATES SOON NEXT UPDATES SOON. IN NEXT CUs STAY TUNED !
  • 33. GDPR for SQL Server GDPR FOR DATABASES (great doc) /gax700/la-gestione-dei-database- secondo-il-gdpr-sql-server
  • 34. GDPR for DATABASES COSA PROTEGGERE ? COSA PROTEGGERE ? Nome e Cognome Numeri e codici identificativi (Codice fiscale, numero della tessera sanitaria,) Email Matricole Nicknames utilizzati on-line (un sacco di socials...) Informazioni relative alla sfera fisica, fisiologica o genetica (biometriche) Informazioni mediche, localizzazione geografica, bancarie Profilo culturale e religioso Reddito, bancarie Indirizzi IP, Cookies Etc. etc. altre informazioni
  • 35. GDPR for DATABASES COSA CONTIENE DATI P. ? COSA PUO CONTENERE DATI PERSONALI ? GestionaliERP (che dovrebbero avere un supporto GDPR proprietario ad hoc) Sales force automation Posta elettronica Portale e-commerce Gestione Paghe Integrazioni B2C, B2B CRM Interfacce ed integrazioni varie Software di PM & Gestione Ore Ticketing Systems ... etc. etc.... Fogli di exceltavelle pivotcubi di dati nel file system Altri database, tabelle satellite, interfacce varie ... etc. etc....
  • 36. GDPR for DATABASES MASCHERAMENTO E DRLS MASCHERAMENTO Il Mascheramento limita lesposizione di dati sensibili mascherandogli stessi agli utenti o alle applicazioni non autorizzate. La protezione del dato 竪 eseguita dal motore del database e funziona 束on the fly損 con un impatto minimo a livello di prestazioni. I dati allinterno delle tabelle rimangono in chiaro. DATA ROW-LEVEL SECURITY (DRLS) Il DRLS limita laccesso alle righe di una tabella del database in base ai privilegi assegnati allutente che esegue la query.
  • 37. GDPR for DATABASES DATAWAREHOUSE E BI DATAWAREHOUSE E BI Nel DataWarehouse e nella BI I dati sono gestiti in modo aggregato. Potremmo per嘆 aver bisogno di estrarre informazioni relative allet, genere, localizzazione geografica; possiamo utilizzare tecniche per filtrare (quando possibile) le informazioni. ESEMPIO: In un DataWarehouse sulle vendite non posso applicare filtri a priori oppure tecniche per il mascheramento. A volte ci possono essere molti scambi di dati anche bidirezionali tra ambienti BI e ERP
  • 38. GDPR for SQL Server - LINKS GDPR SQL SERVER LINKS SQL SERVER and GDPR whitepaper https://aka.ms/gdprsqlwhitepaper Guida all'ottimizzazione della privacy e alla conformit ai requisiti RGPD con la piattaforma Microsoft SQL https://docs.microsoft.com/it-it/sql/relational-databases/security/microsoft-sql- and-the-gdpr-requirements SQL AZURE GDPR QUESTIONS https://azure.microsoft.com/it-it/blog/gdpr-questions-azure-has-answers/