Einfaches Sperren und Löschen / SAP Information LifeCycle Management
•
1 gefällt mir•2,238 views
Einfaches Sperren und Löschen Überblick und Erfahrungen bei der Einführung von SAP Information Lifecycle Management (45 Minuten)
Empfohlen
Empfohlen
Weitere ähnliche Inhalte
Ähnlich wie Einfaches Sperren und Löschen / SAP Information LifeCycle Management
Ähnlich wie Einfaches Sperren und Löschen / SAP Information LifeCycle Management (20)
Mehr von Patric Dahse
Mehr von Patric Dahse (19)
Einfaches Sperren und Löschen / SAP Information LifeCycle Management
- 3. Seit 2014 unterstützen wir als NATUVION unsere Kunden mit Erfahrung und Expertise im Umfeld der Digitalisierung 3 Gegründet: 2014 als eigentümergeführter Beratungsspezialist mit Fokus Versorgungswirtschaft, Security und Transformation Standorte: Walldorf, Berlin, München, Wien(AT), Philadelphia(US) Unternehmensgröße: > 55 Mitarbeiter Expertise der Berater: > 75 % SAP zertifiziert & Ø 12 Jahre Energiewirtschaft und SAP SAP Gold Partner SAP Recognized Expertise in Utilities SAP Landscape Transformation Langjähriger Partner der größten Energieversorger Deutschlands Leistungen/Kompetenzen: § Strategisches IT-Management § IT Consulting für die Energiewirtschaft § SAP Transformation & Data Services § SAP Security & Data Privacy / Protection § Business Intelligence / Analytics Natuvion Gruppe Tiefgehende Erfahrung in der Umsetzung von DS-GVO / GDPR Anforderungen Strategische Partnerschaft mit Entwicklungsteams der SAP im Bereich Data Protection and Privacy – ILM / IRF / Consent Enge und langjährige Partnerschaft mit Experten im IT/ Datenschutz Recht Vollständiges Verständnis über die Prozesse und Anforderungen aus Business – IT – Datenschutzsicht Eigene zertifizierte Lösungen für konsistente Datenlöschung, Auskunft und Anonymisierung Ausgewiesene Data Protection und Privacy Expertise (Lösungen) Ausgewiesene Transformationsexpertiese Erfolgsfaktoren Konzeption und Einführung Anonymisierung (IS-U / CRM) Konzernweiter Roll-Out einer Systemanonymisierung (CRM / IS-U / ERP / HCM) Selektive Datenlöschung (IS-U / CRM / ERP / BW) Löschkonzeption DS-GVO / GDPR (SAP Systemlandschaft) IT und Prozesskonzeption Konformität Rechte Betroffener nach DS-GVO / GDPR (Auskunft & Transparenz) System und Daten- dekommissionierung mit SAP ILM Konzeption und Realisierung Auskunft (SAP IRF) Relevante Referenzen Natuvion – Ihre Spezialisten in der Realisierung der Anforderungen der GDPR / DS-GVO Data Security und Data Privacy in SAP - Datenanonymisierung
- 5. Natuvion Webcasts Überblick der Webcast-Reihe „Data Security und Data Privacy" Data Security und Data Privacy in SAP - Data Security und Data Privacy5 1 1 Std. Die Webcast-Reihe „Data Security und Data Privacy in SAP“ gibt einen umfassenden Überblick über die Handlungsfelder und Realisierungsmöglichkeiten im Rahmen der EU-GDPR / EU-DSGVO. EU-DSGVO/ GDPR On Boarding Juristischer Überblick und grundsätzliche Strukturierung der Handlungsfelder (45 Minuten) 2 45 Min. Löschen von historischen Datenbeständen Konsistentes Löschen von Massendaten in SAP Systemlandschaften (45 Minuten) 3 45 Min. Einfaches Sperren und Löschen Überblick und Erfahrungen bei der Einführung von SAP Information Lifecycle Management (45 Minuten) 4 45 Min. Anonymisierung / Pseudonymisierung Hintergrund, Herausforderung und Umsetzung einer DSGVO / GDPR konformen Anonymisierung (45 Minuten) 5 30 Min. Datenauskunft / Transparenz DSGVO / GDPR konforme Datenauskunft von der Konzeption bis zur Einführung – SAP IRF. (45 Minuten) 6 45 Min. Einwilligung / Zustimmung DSGVO / GDPR konforme Einwilligung Konzeption bis zur Einführung – SAP CONSENT. 7 45 Min. Privacy Impact Assessment Wie können PIAs praktisch umgesetzt und gelebt werden?
- 8. Der Handlungsdruck zur Schaffung der Datenschutzkonformität besteht fortwährend und steigt im Kontext der neuen Datenschutzgrundverordnung 8 Data Security und Data Privacy in SAP - Data Security und Data Privacy § Bußgeldrahmen zwischen EUR 50.000 bis 300.000 je Verstoß (Verstöße sind kumulierbar) § Löschung: Personenbezogene Daten sind zu löschen, wenn sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist § Auskunft: Die verantwortliche Stelle hat dem Betroffenen auf Verlangen und unentgeltlich Auskunft zu erteilen über alle gespeicherte Daten mit Personenbezug, Empfänger sowie über den Zweck der Speicherung • (geändert) Bußgeldrahmen bis EUR 20Mio. oder 4% des weltweiten Jahresumsatzes der betroffenen Unternehmensgruppe • (neu) Datenübertragbarkeit (Art. 20 DS-GVO) • (neu) Privacy by Design and by Default (Art. 25 DS-GVO) • (geändert) Recht auf Vergessenwerden (Art. 17 DS-GVO) geht weit über das bisherigen Recht auf Löschung hinaus • (geändert) Erhöhte Informations- und Transparenzpflichten (Art. 12 bis Art. 15 DS-GVO) ist eine Erweiterung des Auskunftsanspruches (Beispiel: www.selbstauskunft.net) • (neu) Datenschutz-Folgenabschätzungen (Privacy Impact Assessments, Art. 35 DS-GVO) § Datenschutz bis Mai 2016 (Extrakt) § Datenschutz ab Mai 2018 (Extrakt)
- 9. 9 Datenschutz-Grundverordnung Wirksame und abschreckende Geldbußen (Wortlaut Art. 83 Abs. 1 DS-GVO) Betrifft sowohl Vorsatz wie auch Fahrlässigkeit auch von Managern, Datenschutzbeauftragten und sonstigen an fehlerhaften Entscheidungen zum Datenschutz beteiligten Personen (bis zu EUR 20 mio.) Bußgelder für Unternehmen bis zu EUR 20 mio. bzw. 4% des globalen Vorjahresumsatzes à damit rücken Bußgelder in die Größenordnung von kartellrechtlichen Pönalen Beweislastumkehr zu Ungunsten Daten verarbeitender Unternehmen: Nicht nur sicherstellen, sondern Nachweis erbringen können Deutlich Erhöhung des Bedarfs an systematischen Lösungen, die eine vollumfängliche Dokumentation von Maßnahmen erlauben Verstöße haben zukünftig noch schwerwiegendere monetäre Folgen für Unternehmen. Und was heißt das jetzt konkret? Data Security und Data Privacy in SAP - Data Security und Data Privacy 20 MEUR oder 4% Transparenz über Datenschutz- verstöße Einheitliches Recht für EU Wirtschaftsraum MAI 2018 Portabilität Recht auf Vergessenwerden Einwilligung & Kinder
- 11. Die Nutzung von Personenbezogene Daten in den IT Abwicklungssystemen führen zu konkreten Handlungsfeldern (Extrakt) Data Security und Data Privacy in SAP - Data Security und Data Privacy11 Handlungsfelder Umfangreiche Echtdaten in Projekt-/ Test- und Schulungssystemen Historischer Datenbestand in Produktivsystemen Umfangreicher Datenbestand aus Prozessdurchführung SAP Test-, Schulungs- oder Projektsysteme sind als vollständige Kopie des Produktivsystems auf- gebaut. Der Datenzugriff ist jederzeit umfangreichst und teilweise mit erweiterten Berechtigungen möglich. Nach Ablauf von Datenverarbeitungs- aufträgen oder Dienstleistungs- verträgen werden Kundendaten an neue Dienstleister übergeben. Der historische Datenbestand verbleibt aktuell weiterhin in den jeweiligen Produktivsystemen. Prozesse zur Akquise und Vertrags- abwicklung erzeugen Daten. Die Nutzung dieser Daten ist für den jeweiligen Zweck legitimiert. Nach Ablauf der Prozessabwicklung stehen die Daten uneingeschränkt weiter zur Verfügung. Test- und Projektsysteme nur mit anonymisierten Daten Personenbezogene Daten sind nach Ablauf der Legitimation zu löschen Anonymisierung Schulungs- und Testsystem Löschen historischer Daten Sperren und Implementierung kontinuierliches Datenmgmt. 1 Kundenanfragen zur Auskunftserteilung Anfragen zur Auskunft von Betroffenen über die Speicherung und Verarbeitung ihrer personenbezogenen Daten. Auskunft erfolgt aktuell als manueller Prozess und Informationen können nur mit hohem Aufwand und in der Regel nicht in der gesetzlich vorgeschriebene Format bereitgestellt werden. Strukturierte, IT-gestützte Prozessbearbeitung 2 3 Auskunftsanspruch über Daten mit Personenbezug 4 Nutzung personenbezogener Daten in IT-Systemen
- 12. Die Nutzung von Personenbezogene Daten in den IT Abwicklungssystemen führen zu konkreten Handlungsfeldern (Beispiel) 12 Historischer Datenbestand in Produktivsystemen Beim Ablauf von Dienstleistungsverträgen sind Kundendaten an einen Rechtsnachfolger (neue verantwortliche Stelle) übergeben Worden Der historische Datenbestand ist in der produktiven Systemlandschaft verblieben Umfangreicher Datenbestand aus Prozessdurchführung Prozesse zur Akquise und Vertrags- abwicklung erzeugen Daten. Die Nutzung dieser Daten ist grundsätzlich jeweils legitimiert. Nach Ablauf der Prozessabwicklung stehen die Daten bislang aber auch weiterhin uneingeschränkt zur Verfügung Auskunftsanspruch über Daten mit Personenzug Erteilung einer Auskunft an Betroffene über die Speicherung ihrer personenbezogenen Daten Auskunft ist in strukturierter elektronischer Form mit der Angabe über Ort, Grund und ggf. Empfänger sowie Dauer der Speicherung / Löschkriterien zu gestallten. Umfangreiche Echtdaten in Sekundärsystemen SAP Test-, Schulungs- oder Projektsysteme sind als vollständige Kopie des Produktivsystems aufgebaut. Der Datenzugriff ist umfangreichst möglich. û (1) Zu realisieren û (2) Zu realisieren û (3) Zu realisieren 6 4 3 1 Buchungskreise im System mit zu überprüfender Legitimation 77.000 4.200.000 WechselInteressenten Inaktiv 1.150.000 400 davon mit Aufsicht kritisch Aktuell ca. 120 p.a. Auskunft Dunkelz. Datenerhebungen mit zu überprüfender Legitimation (aktuelles Jahr) Auskunftsersuchen (§ 34 BDSG) Aufsicht (§ 38 BDSG) * Anzahl der Anfragen über alle Dienstleister hinweg derzeit nicht ermittelbar * Wechsel = abgelehnte Wechsel und Speicherung der Daten û (3) Zu realisieren 1 2 3 4 Gesellschaften Echtdaten in Sekundärsystemen (Zugriff umfangreich / Zugriff eingeschränkt / Daten anonymisiert) 16 4 2 475.000 Kunden Umfangreich Eingeschränkt Anonym. Data Security und Data Privacy in SAP - Data Security und Data Privacy
- 15. ILM Retention Management SAP Information Management Information Lifecycle Management – Überblick und Funktionalität Datenübernahme von non-SAP Systemen Kontrolle / Regeln für zeitabhängige Datenspeicherung Datensuche über archivierte Datenbestände Aufbewahrungs- und Fristenmanagement Datenvernichtung / Datensperrung LT / BW Reporting Optimierung des Produktivsystems Optimierung der Systemlandschaft Grundsätzlich sind im Information Lifecycle Management (ILM) die Regelwerke, Prozesse, Verfahrensweisen und Werkzeuge enthalten, die den betriebswirtschaftlichen Nutzen von Informationen mit der am besten geeigneten und kostengünstigsten IT-Infrastruktur in Einklang bringen – von der Erfassung bis zur endgültigen Vernichtung der Daten. 15 ILM System Decommissioning Data Security und Data Privacy in SAP - Data Security und Data Privacy
- 16. 16 SAP Information Management Information LifeCycle Management - Überblick und Funktionalität Data Security und Data Privacy in SAP - Data Security und Data Privacy Verwaltung von Aufbewahrungsregeln Ÿ Regelwerke für eine automatisierte Datenaufbewahrung und Vernichtung Ÿ Datenaufbewahrung gemäß aktivem Regelwerk Ÿ Vernichtung der Daten sobald die Aufbewahrungszeit erreicht ist Ÿ Datenvernichtung direkt aus der Datenbank oder dem Archiv “Datentöpfe” pro Aufbewahrungsfrist Ÿ Erzeugung verschiedener Archivdateien mit entsprechendem Ablaufdatum gemäß definierter Aufbewahrungsfrist E-Discovery Ÿ Suche nach Informationen in Verbindung mit Rechtsstreitigkeiten Legal Hold setzen Ÿ Verhindern einer frühzeitigen Datenvernichtung in Rechtsfällen • Vereinfachtes Sperren und Löschen von personenbezogenen Daten • Funktionalität basiert auf SAP Information Lifecycle Management • Mit SAP ILM können Geschäftspartnerdaten gesperrt/gelöscht werden, aber auch transaktionale Daten vernichtet werden. Mit SAP ILM kann Systemübergreifend innerhalb der gesamten Business-Suite ein nahtloses Datenmanagement realisiert werden Übersicht Funktionalität
- 17. SAP Information Management Information LifeCycle Management - Überblick und Funktionalität Zugriff Verweildauer Geschäftsbeziehung beendet Nicht änderbar Erfassung Auskunft/ Business Auskunft/ Audits Löschung § Verweildauer (Zeitraum bei denen die Daten im Life-System vorliegen müssen) § Aufbewahrungsfrist (Zeitraum in der die Daten im Archiv gespeichert werden) § Löschzeitpunkt (Zeitpunkt an dem die Daten aus dem physisch Archiv gelöscht werden) § Ausnahmenmanagement (Daten können nicht gelöscht werden auch wenn die Aufbewahrungsfrist abgelaufen ist) .... 17 Verarbeitung Sperrung Löschung Retention Warehouse Vernichtung Archivierung Vernichtung ILM Archivierung Legal Case Management Retention Management Data Security und Data Privacy in SAP - Data Security und Data Privacy
- 20. SAP Information Management Information LifeCycle Management - Definition 20 Data Security und Data Privacy in SAP - Data Security und Data Privacy Personenbez. Daten: Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen Sperren: eine Methode, den Zugriff auf Daten zu unterbinden, die nicht mehr im Rahmen der ursprünglichen Zweckbestimmung verarbeitet werden Löschen: die unumkehrbare, wirksame Löschung von Daten Aufbewahrungsfrist: die Frist aufgrund einer Rechtsnorm Daten aufzubewahren sind Zweck: der Vorab durch organisatorische Maßnahmen bestimmte Zweck der Verarbeitung personenbezogener Daten End of Purpose (EoP): Eine technische Methode, um für definierte Daten den Zeitpunkt zu ermitteln, ab dem eine Verarbeitung nicht mehr im Rahmender ursprünglichen Zweckbestimmung erfolgt und Daten gesperrt werden müssen End of Business (EoB): Ist der Beginn der Verweildauer. Wie lange sie beträgt, definieren Sie in den IRM Regeln. ( Beispiel: die Verweildauer eines Vertragspartners beginnt nachdem alle offenen Vorgänge geschlossen sind. )
- 23. 23 SAP Information Management Information LifeCycle Management – Hinweise und Korrekturen Stand 06.2017- ca. 150 Data Security und Data Privacy in SAP - Data Security und Data Privacy
- 24. 24 SAP Information Management Information LifeCycle Management –Empfehlungen Release / Patchlevel Data Security und Data Privacy in SAP - Data Security und Data Privacy Das vereinfachte Sperren und Löschen von personenbezogenen Daten mit SAP ILM ist mit folgenden Release-Levels verfügbar: System/Applikation Release-Voraussetzung SAP ERP SAP ERP 6.0 EhP7, SP13 SAP CRM SAP CRM 7.0 EhP4, SP1 SAP for Utilities SAP ERP 6.0 EhP7, SP13 SAP HCM SAP ERP 6.0 EhP6, SP16
- 26. 26 SAP Information Management Information LifeCycle Management – Implementierung Data Security und Data Privacy in SAP - Data Security und Data Privacy Konzeption (2-3 Monate ) Realisierung (3 – 5 Monate) Roll-Out T-System (2-3 Monate) Roll-Out Q-System (1-2 Monate) Roll-Out P System (1- 2 Monat) § Wissenstransfer § Datenanalyse in allen Applikationen § Identifizierung von Kundenentwicklungen § Identifizierung von Schnittstellen zu anderen Systemen § Erstellung erster Projektplan § Definition der Verweil- und Aufbewahrungsfristen für alle Archivierungsobjekte § Aktivierung relevanten Funktionen § Customizing der Systeme § Entwicklung und Test der Erweiterungen § Konvertieren der Archivdateien § Entwicklung und Test von neuen ILM Objekten (Kundenentwicklungen) § Ausführung End of Purpose (EOP) Checks § Validierung der Testergebnisse § Vollständig synchronisierter Systemaufbau in Sandbox Umgebung § Anbindung ILM Ablagesystem (notwendig bei Archivierung) § Customizing der ILM Funktionalität in allen Applikationen § Implementierung und Test erweitertes Berechtigungskonzept § Test der Archivierung/Datenvernichtu ng in kompletter Systemumgebung § Prüfung der Transporte auf Vollständigkeit § Einstellung der produktiven Verweil- und Aufbewahrungsfristen für alle Archivierungsobjekte § Durchführung von Initialisierungsreports § Durchführung EOP Checks § Einplanung Archivierungs- und Vernichtungsläufe Scope Umsetzung Roll-Out Produktion Start Regelbetrieb Typische Phasen im Rahmen der Umsetzung / Dauer 9 – 14 Monate Projektende
- 27. SAP Information Management Information LifeCycle Management – Aufwände ILM Sperren & Löschen als kontinuierliches Datenmanagement 01 02 03 04 05 06 07 08 09 10 11 12 (**) Betrieb & Monitoring (IV) Roll-Out P-System (III) Roll-Out Q-System Arbeitspaket (I) Konzeption / Vorbereitung (II) Realisierung Arbeitspaket Aufwand FB Aufwand IT (I) Konzeption / Vorbereitung 1/2/3 75 PT 35 PT (II) Realisierung ILM 4 260 PT 490 PT (III) Roll-Out Q-System 130 PT 130 PT (IV) Roll-Out P-System 80 PT 90 PT Gesamtaufwand 545 PT 745 PT Indikative Projektplanung und Aufwandschätzung1 1 Erfahrungswerte aus Referenzprojekten 2 Systeme im Scope SAP IS-U / SAP CRM 3 zzgl. Externe Auditierung (optional) 4 zzgl. Lizenzkosten27 Data Security und Data Privacy in SAP - Data Security und Data Privacy Aufgabenstellung Stufe Aktivität 1 Konzeption und Analyse der ILM Realisierung auf Basis der vorliegenden Systemlandschaft. Erstellung eines Phasenplans sowie Konkretisierung der Realisierungsaufwände. 2 Realisierung der notwendigen Entwicklungen, Erweiterungen und Konvertierungen 3 Roll-Out und Test der Konfiguration sowie der Entwicklungen/ Erweiterungen auf die produktive Systemkette (Qualitätssystem) 4 Roll-Out und Betrieb der Konfiguration sowie der Entwicklungen/ Erweiterungen auf die produktive Systemkette (Produktion)
- 30. Natuvion GmbH Altrottstraße 31 | 69190 Walldorf Fon +49 6227 73-1400 Fax +49 6227 73-1410 www.natuvion.com Wir freuen uns über Ihre Fragen und Anmerkungen Patric Dahse Geschäftsführer Fon: +49 151 171 357 02 Mail: patric.dahse@natuvion.com 18 Data Security und Data Privacy in SAP - Data Security und Data Privacy Besuchen Sie uns auch unter Data Protection & Privacy www.professional-system-security.com/ Natuvion www.natuvion.com/ Patric Dahse Geschäftsführer Natuvion GmbH Altrottstr. 31 69190 Walldorf T +49 (0) 6227.73 -1400 F +49 (0) 6227.73 -1410 patric.dahse@natuvion.com Tätigkeitsbereiche § Data Protection & Privacy § SAP Transformation