Conformità al GDPR e alle normative in materia di privacy dei dati nei sistemi SAP

    Webinar: Pulizia dati SAP    Servizi di pulizia dati

Servizi di privacy dei dati e GDPR per SAP

EPI-USE Labs offre una gamma articolata di soluzioni in grado di rispettare la conformità al GDPR (il Regolamento generale europeo sulla protezione dei dati) e alle altre normative in materia di privacy dei dati.

Il GDPR implica conseguenze di vasta portata per le aziende di tutto il mondo. Tutte le organizzazioni che raccolgono, archiviano e trattano i dati dei cittadini dell’Unione europea (UE) a livello mondiale devono essere in grado di rivelare i dati in proprio possesso sull’individuo e le finalità per le quali tali dati vengono archiviati e utilizzati. Indipendentemente dal fatto che i dati vengano conservati dentro o al di fuori dell’UE, al fine di conservare e gestire i dati ogni organizzazione deve ricevere il consenso informato da parte dell’interessato e dimostrare la conformità ai principi guida delle normative, ad esempio che la protezione dei dati è al cuore della struttura del sistema. Dato che la conformità non è negoziabile, le organizzazioni nelle quali si verificano violazioni della sicurezza dei dati rischiano pesanti sanzioni fino a un massimo di 20 milioni di Euro (21 milioni di USD al tasso di cambio corrente), o pari al 4% del fatturato annuo; la decisione verrà presa considerando il valore maggiore.

  CONTATTACI PER UN’ANALISI DEL SISTEMA

 


Watch GDPR Compliance Video

 


In che modo si garantisce la conformità alle normative in materia di privacy dei dati come il GDPR?

EPI-USE Labs offre le seguenti soluzioni in grado di rispettare la conformità al GDPR e alle altre normative in materia di privacy dei dati nei sistemi SAP:

  • Data Secure™ e  Data Privacy Suite di SAP  
  • Guida e best practice:
    • Informazioni sull’ubicazione in cui vengono archiviati i dati in SAP®
    • Conoscenza dei tipi di dati interessati, delle decisioni e dei processi volti a soddisfare le esigenze
    • Servizi di rimozione di dati di massa
    • Workshop di sensibilizzazione in materia di privacy dei dati/GDPR

I numerosi e svariati sistemi IT dimostrano l’impossibilità di adottare un approccio “universale”, perciò condividiamo le nostre competenze e la nostra esperienza per aiutarti a stare sempre un passo avanti. EPI-USE Labs si dedica da oltre trent’anni alla creazione e allo sviluppo di soluzioni software avanzate nello spazio dati SAP, offrendo orientamenti e condividendo le competenze in materia di GDPR e normative analoghe sulla privacy dei dati per SAP.

  WEBINAR ON-DEMAND   DATA PRIVACY SUITE PER SAP

Servizi di rimozione di dati di massa

Per la maggior parte delle organizzazioni, il criterio di conservazione dei dati corrispondeva al periodo minimo fissato dai team tecnici, e non al momento in cui i dati devono essere distrutti in modo proattivo. Questo criterio è cambiato da quando il GDPR è entrato in vigore, e tutte le organizzazioni si trovano a doversi liberare di quei dati storici la cui conservazione non è più ammessa legalmente, tra cui i dati dei familiari di ex dipendenti, i numeri dei conti correnti di ex clienti, o uno dei numerosi tipi di dati personali intrecciati nelle maglie dei sistemi SAP.

EPI-USE Labs adotta un approccio semplice finalizzato all’eliminazione di questi dati vecchi, senza la necessità di ricorrere a complessi progetti di archiviazione. La tecnologia utilizzata al fine di supportare il prodotto Data Redact per la redazione o la rimozione di informazioni specifiche per l’individuo interessato può essere sfruttata da un consulente di EPI-USE Labs per l’ottimizzazione dell’infrastruttura di sistema (SLO), con una modalità di licenza specifica che consente selezioni di record di massa ed elaborazioni parallele. Il consulente presterà assistenza anche nell’ambito delle esatte definizioni dei dati da rimuovere durante la pulizia iniziale e delle modalità di selezione dei record.

  CONFORMITÀ GDPR: PULISCI I TUOI DATI SAP E RIDUCI I RISCHI


Artboard 2-27

Artboard 225 copy 2

Dati dei dipendenti

Nella maggior parte dei casi, i dati storici dei dipendenti sono necessari, ma cosa succede se quella parte dell’azienda è stata dismessa? Dopo 10 anni è possibile mantenere tali dipendenti nel sistema? Anche se vogliamo mantenere la parte principale del registro dei dipendenti, cosa ne sarà delle parti più personali dei dati? La pulizia iniziale di massa potrebbe assumere la forma di una policy finalizzata all’eliminazione di una quantità ridotta di dati altamente personali, come informazioni familiari o numeri di conti correnti, da applicare ai soggetti che hanno lasciato l’azienda da oltre un anno, e in seguito di una seconda policy per i soggetti che hanno lasciato l’organizzazione da almeno sette anni per rimuovere una quantità maggiore di dati, come le informazioni su congedi per malattia, revisioni della performance e dettagli della paga.

Dati tra impresa e consumatore

In questo settore è molto più difficile definire le basi giuridiche per la conservazione dei dati. Potrebbero esistere migliaia di clienti, partner aziendali e indirizzi che non hanno intrapreso attività commerciali con l’organizzazione per un periodo superiore a cinque anni. Anziché archiviare tutte le transazioni e successivamente i dati anagrafici, possiamo offrire una pulizia di massa per rimuovere gli identificatori dai dati anagrafici e i riferimenti alle transazioni che indicano che tale persona non è più visibile nel sistema. In alternativa, può essere opportuna la rimozione più immediata delle informazioni relative alle carte di credito e delle probabili risposte alle domande di sicurezza di ex consumatori.

Contattaci per un primo colloquio incentrato sulle tue esigenze e su come personalizzare i nostri servizi di pulizia di massa per assisterti riguardo alla conformità GDPR.

Contattateci per una prima conversazione circa le vostre esigenze e le modalità con cui possiamo adattare su misura i nostri servizi di bonifica in massa, per aiutarvi nella conformità GDPR.

  CONTATTACI PER LA RIMOZIONE DI MASSA
Artboard 225 copy 3
[fa icon="plus-square"] Tackling GDPR in detail: the importance of privacy, transparency and technology

Personal Data Rights

The main emphasis of GDPR is on Personal Information. GDPR aims to protect personal data rights such as the right to be informed, the right of access, the right of rectification, the right to erasure (aka the right to be forgotten), the right to strict processing, the right to data portability, the right to object and rights to automated decision-making and profiling.

Key requirements for GDPR

  • Consent for storage must be given by the data subject
  • Consent must be explicit
  • Each individual has “the right to be forgotten”, although this comes with several caveats
  • Compliance must be demonstrated
  • Notification of data breaches must be provided

Data privacy must be by design

Organisations wishing to store data must have explicit consent from the subject of the data. The reason for storing it must be transparent, and the data subject has the authority to block processing while concerns are dealt with, as well as to request the removal of the information from the system. There is nothing to say that data must be anonymised – the law is not that prescriptive. However, the law does say that there must be documentation showing that data protection is by design, and that processes comply with the rights of the data subject.

Overwhelming data requests

The difficulties will start when someone requests the details of where their personal data is being kept in an IT system. Let’s complicate that: let’s say your organisation receives ten requests – or even one hundred – to locate sensitive, personal data. Imagine having to log into a number of SAP systems to download table entries, or take screenshots to show the data subject’s footprint. How many password resets will be required? Do you know all the places to look? And how long will this take?

.

Your challenges include

  • The complexity, volume and sheer scale of GDPR
  • Lack of consistency: Every GDPR compliance project is different, depending on the industry, existing IT systems, usage of data, etc.
  • Ambiguity: While the GDPR is comprehensive, there are many areas that are neither detailed or prescriptive. It doesn't specifically tell organisations what to do; it’s up to them to analyse their systems, processes and data and work out what to do for themselves.

How GDPR affects SAP systems

It’s not easy for SAP systems to comply with the demands of GDPR because of its architecture. SAP stores information in an intricate and tangled way. Data is stored and replicated across the system in many places, such as customer master, business partner, change document tables, and so on. SAP is also highly configurable, so when it is implemented, the way in which this happens dictates which tables and fields the data will be stored in. An additional complication is that there are often multiple copies of systems. The data might be in Z-tables, and the only way this can be verified is to get into that system.

Don’t delay!

The requirements of GDPR go to the very core of your IT systems, because they need to be built into the design; a project like this can affect your CRM systems, your ERP systems and customer first line support. Entire new business processes have to be put into place. You will also need an auditor to scrutinise your security arrangements. Every organisation should have a plan to meet the requirements, and assign key roles and responsibilities to that plan.

EPI-USE Labs will help you deal with GDPR. Our knowledge, experience, expertise and products will help you sleep peacefully at night in the knowledge that everything is under control.

Tackling GDPR in detail

The importance of privacy, transparency and technology

 

Precise selection to avoid downtime
Personal Data Rights

The main emphasis of GDPR is on Personal Information. GDPR aims to protect personal data rights such as the right to be informed, the right of access, the right of rectification, the right to erasure (aka the right to be forgotten), the right to strict processing, the right to data portability, the right to object and rights to automated decision-making and profiling.

Precise selection to avoid downtime
Your challenges include

  • The complexity, volume and sheer scale of GDPR
  • Lack of consistency: Every GDPR compliance project is different, depending on the industry, existing IT systems, usage of data, etc.
  • Ambiguity: While the GDPR is comprehensive, there are many areas that are neither detailed or prescriptive. It doesn't specifically tell organisations what to do; it’s up to them to analyse their systems, processes and data and work out what to do for themselves.

Precise selection to avoid downtime
Key requirements for GDPR

  • Consent for storage must be given by the data subject
  • Consent must be explicit
  • Each individual has “the right to be forgotten”, although this comes with several caveats
  • Compliance must be demonstrated
  • Notification of data breaches must be provided

Precise selection to avoid downtime
How GDPR affects SAP systems

It’s not easy for SAP systems to comply with the demands of GDPR because of its architecture. SAP stores information in an intricate and tangled way. Data is stored and replicated across the system in many places, such as customer master, business partner, change document tables, and so on. SAP is also highly configurable, so when it is implemented, the way in which this happens dictates which tables and fields the data will be stored in. An additional complication is that there are often multiple copies of systems. The data might be in Z-tables, and the only way this can be verified is to get into that system.

Precise selection to avoid downtime
Data privacy must be by design

Organisations wishing to store data must have explicit consent from the subject of the data. The reason for storing it must be transparent, and the data subject has the authority to block processing while concerns are dealt with, as well as to request the removal of the information from the system. There is nothing to say that data must be anonymised – the law is not that prescriptive. However, the law does say that there must be documentation showing that data protection is by design, and that processes comply with the rights of the data subject.

Precise selection to avoid downtime
Don’t delay!

The requirements of GDPR go to the very core of your IT systems, because they need to be built into the design; a project like this can affect your CRM systems, your ERP systems and customer first line support. Entire new business processes have to be put into place. You will also need an auditor to scrutinise your security arrangements. Every organisation should have a plan to meet the requirements, and assign key roles and responsibilities to that plan.

EPI-USE Labs will help you deal with GDPR. Our knowledge, experience, expertise and products will help you sleep peacefully at night in the knowledge that everything is under control.

Precise selection to avoid downtime
Overwhelming data requests

The difficulties will start when someone requests the details of where their personal data is being kept in an IT system. Let’s complicate that: let’s say your organisation receives ten requests – or even one hundred – to locate sensitive, personal data. Imagine having to log into a number of SAP systems to download table entries, or take screenshots to show the data subject’s footprint. How many password resets will be required? Do you know all the places to look? And how long will this take?

Chi abbiamo aiutato

Le sfide precedenti all’implementazione di Data Sync Manager riguardavano l'affidabilità e la qualità dei nostri dati di test - non erano stati effettuati aggiornamenti per molti anni ed erano state eseguite manipolazioni manuali per l'adeguamento a certi scenari.


Guarda come DSM ha aiutato Innogy

Ian Naylor, Innogy Business Systems

DSM di EPI-USE Labs si è affermato a pieni voti ed è stato un chiaro leader. Un elemento di differenziazione chiave è stato il team di EPI-USE Lab con il quale abbiamo collaborato localmente che ha risposto in tempo reale a qualsiasi richiesta abbiamo avanzato.


Shaun Code, Responsabile delle Operations Enterprise IT di AGL