IT UNIVERSITY OF COPENHAGEN

Formålsorienteret procesmodellering

& compliance i forhold til persondataforordningen med DCR-grafer

Thomas T. Hildebrandtsamarbejde med S. Debois (ITU), D. Basin (ETH Zurich), T. Slaats (KU) & M. Marquard (Exformatics)

IT Universitet i København

Infinit/IT-Fyn/VidenDanmark seminar2. marts, 2017

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Kort om mig selv

2000: PhD i datalogi, Aarhus Universitet

2000-2003: Studieprogramleder for Internet & software teknologi, IT Universitet i København (ITU)

2004-2011: PhD-skoleleder

2007- Leder af flere forskningsprojekter indenfor sikkerhed og digitalisering af forretningsprocesser sammen med virksomheder

2012-: Konsulent & facilitator af interessegrupper for digitalisering infinit.dk, cfir.dk & videndanmark.dk

2

Far til to piger der vokser op i en digitaliseret verden…

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Brug af persondata

3

ikke nyt at benytte persondata i forretningsprocesser….

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Digitalisering

4

Digitaliseringen gør det nemmere at indsamle, bruge og genbruge data

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Digitalisering

5

Digitaliseringen gør det nemmere at indsamle, bruge og genbruge data

…men også at miste overblikket over, hvor data er gemt, hvem der har adgang, hvordan den bruges og til hvilket formål

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Mulighed for bevidst misbrug

6

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

eller ved uheld

7

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Persondataforordningen

8

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Persondataforordningen

8

Persondata må - by-design & default - kun benyttes, når det er nødvendigt til et oplyst og eksplicit godkendt formål

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Persondataforordningen

8

Persondata må - by-design & default - kun benyttes, når det er nødvendigt til et oplyst og eksplicit godkendt formål

Persondata skal være up-to-date før brug og kunne udleveres gratis i maskinlæsbart format til personen

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Persondataforordningen

8

Persondata må - by-design & default - kun benyttes, når det er nødvendigt til et oplyst og eksplicit godkendt formål

Persondata skal være up-to-date før brug og kunne udleveres gratis i maskinlæsbart format til personen

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Persondataforordningen

8

Persondata må - by-design & default - kun benyttes, når det er nødvendigt til et oplyst og eksplicit godkendt formål

Persondata skal være up-to-date før brug og kunne udleveres gratis i maskinlæsbart format til personen

Automatiserede beslutninger på baggrund af profilering skal kunne forklares og fravælges

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Persondataforordningen

8

Persondata må - by-design & default - kun benyttes, når det er nødvendigt til et oplyst og eksplicit godkendt formål

Persondata skal være up-to-date før brug og kunne udleveres gratis i maskinlæsbart format til personen

Automatiserede beslutninger på baggrund af profilering skal kunne forklares og fravælges

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Persondataforordningen

8

Persondata må - by-design & default - kun benyttes, når det er nødvendigt til et oplyst og eksplicit godkendt formål

Persondata skal være up-to-date før brug og kunne udleveres gratis i maskinlæsbart format til personen

Automatiserede beslutninger på baggrund af profilering skal kunne forklares og fravælges

Compliance skal dokumenteres

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Kend jeres processer og data

9

Strengt nødvendigt at kunne kortlægge og styre virksomhedens arbejdsgange og forretningsprocesser- med særlig fokus på dataindsamling & -behandling!

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Traditionel procesbeskrivelse

10

Rutediagrammer er ufleksible og uegnede til vidensarbejde

Svære at vedligeholde og svarer derfor ofte ikke til virkeligheden!

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Vores forskning ved ITU

Agil formåls-orienteret kortlægning og digitalisering af processer med Dynamic Condition Response Graphs i samarbejde med Exformatics

Procesovervågning og proaktiv compliance i samarbejde med afdeling for Information Security, ETH Zurich

Process mining & prescriptive process management i samarbejde med Tartu University

11

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Dynamic Condition Response Graphs

12

Agil beskrivelse af procesregler, der beskriver

med et samarbejdsværktøj der understøtter simulering, fleksibilitet, analyse og vedligeholdelse af procesregler

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Eksempel: Huskøb

13

DCRGraphs.net

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Eksempel: Huskøb

14

FormåletOplysninger om økonomi

er en betingelse for at kunne estimere købesum

response

conditionresponse

response

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Eksempel: Huskøb

15

response

conditionresponse

response

Del-formål: Hvilke persondata er nødvendige for at beregne købesum og finde huse?

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Nye handlinger kan flettes ind

16

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Tilsagn om brug af data til formål

17

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Sletning af data

18

Thomas T. Hildebrandt

Simulering af mulige sagsgange i DCRGraphs.net

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Levende dokumentation

20

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Rapporter (word, pdf, html)

21

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Find ruter

22

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Vælg perspektiv

23

Persondataperspektiv fravalgt

Sæt strøm til processerne

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Overvågning

25

Mægler Bank

hændelser (events)

Compliance monitor

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Proaktiv compliance

26

Mægler Bank

Proactive Policy Enforcement Point (kan udføre handlinger om nødvendigt)

[In the Nick of Time: Proactive Prevention of Obligation ViolationsComputer Security Foundations (CSF) Symposium 2016]

Formålsorienteret procesmodellering med DCR-grafer 2. marts 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Summa summarum

27

Nødvendigt med agil kortlægning af de faktiske processer - med fokus på formål og databehandling

Dynamic Condition Response Graphs DCRGraphs.net: Fleksible proceskort der kan vedligeholdes, simuleres og analyseres

Regel-baseret tilgang: Ekstra handlinger krævet f.eks. i forhold til persondatahåndtering kan flettes ind og ud

Mulighed for overvågning og proaktiv compliance