A Meta-Model Driven Method for Establishing Business Process Compliance to GDPR

2016. aasta aprillis kiitis Euroopa Parlament ja Nõukogu heaks ning võttis vastu uue isikuandmete kaitse määruse - GDPRi (Isikuandmete kaitse üldmäärus), mis jõustub 2018. aasta mai lõpus Euroopa Liidus (EL). GDPRi eesmärgiks on lahendada ELi kodanike isikuandmete kaitse ja kasutamisega seotud päevakohaseid probleeme. Uue määruse kohaselt kõik organisatsioonid, mis kasutavad ELi kodanike isikuandmeid oma igapäevases tegevuses, peavad oma infosüsteeme ja äriprotsesse ümber hindama, et need vastaksid uutele eeskirjadele ja piirangutele. Isikuandmete väärkasutus võib ettevõttele olla väga kulukas - kuni 20 miljonit eurot või 4% aastasest käibest trahvidena. Sellele vaatamata puudub tehniline juhis või selge lähenemisviis, mis aitaks hinnata infosüsteemide äriprotsesside vastavust GDPRi nõuetele. Käesolev töö käsitleb mainitud probleemi, uurides üldmääruse õigusakti teksti ja pakkudes välja infosüsteemide äriprotsesside analüüsimise metoodikat, mis aitaks viia äriprotsesse vastavusse GDPRi nõuetele. Pakutud metoodika aitab kaardistada isikuandmete liikumist erinevate osapoolte vahel ja tuua välja äriprotsessi probleemsed kohad, mis aitab vähendada isikuandmete kuritarvitamist. Pakutud metoodikat saab kasutada ka automatiseeritud tööriista väljatöötamiseks.In the April 2016, the European Parliament and Council approved the new personal data protection regulation - GDPR (General Data Protection Regulation), which will take effect at the end of the May 2018 in all Member States of European Union (EU). The GDPR is addressing common problems of the protection and the usage of the personal data of EU citizens. According to the new regulation, all organizations that use personal data of EU citizens in their day-to-day activities - have to re-evaluate their business processes and information systems to comply with the new rules and constraints. The punishment for misuse of personal data can be very costly to the company - up to 20 million euros or 4% of the annual global turnover in fines. Nevertheless, there is no technical guidance or clear approach that would help to evaluate business processes of an information system to comply with GDPR. This thesis will address mentioned issue by researching the GDPR legislation text and proposing an actual methodology for analysing business processes of information systems and aligning them with the GDPR. The proposed methodology will also help to map the flow of the personal data between different parties and highlight the problematic places in the business processes suggesting measures to reduce the misuse of personal data. This approach could be used as a reference point for developing the automated tool for analysing the processes of an information system to comply with GDPR

An Experience Report of Improving Business Process Compliance Using Security Risk-Oriented Patterns

Part 7: Managing Risks and ThreatsInternational audienceNowadays enterprises are searching the efficient compliance management method. Being compliant could potentially help capturing the most important information, using practice and existing process solutions; thus reducing the management effort and cost. When it comes to the security compliance management, it means treating and reducing the security risks to the acceptable level and employing the validated and cost effective security countermeasures. However, the typical question that small and medium enterprises face, is on how to achieve the security compliance in the efficient way. In this paper we report on our experience to use the security risk-oriented patterns to improve business processes of the insurance brokerage. The analysed case showed the major steps to apply the regulatory standard to check compliance, as well as the major procedures needed to improve the business process compliance. The lessons learnt highlight some method guidelines toward compliance management and suggest needed improvement directions for the application of the security risk-oriented patterns

Modellgestützte Dokumentation und Integration von Managementsystemen

Im Sinne einer nachhaltigen und ganzheitlichen Firmenentwicklung lässt sich in der Unternehmenslandschaft ein Trend in Richtung einer kontinuierlichen Erweiterung des unternehmerischen Zielsystems beobachten. Neben etablierten Aspekten, wie dem Qualitätsmanagement und der Arbeitssicherheit, erlangen weitere Themen, wie beispielsweise das betriebliche Umwelt- und Energiemanagement, zunehmend an Bedeutung. Um die Berücksichtigung dieser Aspekte nachzuweisen, steht Unternehmen die Möglichkeit zur Zertifizierung nach funktionsspezifischen Managementsystemnormen offen. Die Einführung und Dokumentation entsprechender Managementsysteme erweist sich jedoch als ein zeitintensiver Prozess, dessen Schwierigkeit vor allem in der unternehmensspezifischen Interpretation der allgemein formulierten Normanforderungen liegt. Strebt ein Unternehmen die Zertifizierung nach mehreren Managementsystemnormen an, so eröffnet sich die Möglichkeit zur Integration der Managementsysteme. Allerdings sind auch die Aufgaben der Integration durch verschiedene Herausforderungen gekennzeichnet, die den Bedarf nach einer systematischen Unterstützung verdeutlichen. Im Bereich der Wirtschaftsinformatik haben sich konzeptuelle Modelle als Instrument zur zielorientierten und verständlichen Beschreibung komplexer Informationssysteme etabliert. Entsprechende Modelle können die Durchdringung und Kommunikation komplexer Sachverhalte durch eine zweckmäßige Abstraktion und Strukturierung vereinfachen und eine Überführung in Anwendungssoftware vorbereiten. Für die vorliegende Dissertation leitet sich unter Berücksichtigung dieser Aspekte folgende zentrale Forschungsfrage ab: Wie kann die konzeptuelle Modellierung bei den Aufgaben der Dokumentation und Integration standardisierter Managementsysteme unterstützen? Der Forschungsmethode des Design Science Research folgend, präsentiert die vorliegende Arbeit funktionsspezifische und funktionsunspezifische Artefakte, die bei der Dokumentation standardisierter Managementsysteme und deren Integration modellbasiert unterstützen. Die Anwendbarkeit der Artefakte wird anhand eines realen Anwendungsfalls demonstriert. Die Ausführungen der vorliegenden Arbeit basieren auf einer Analyse der Anforderungen nach ISO 9001 für Qualitätsmanagementsysteme, ISO 14001 für Umweltmanagementsysteme, ISO 50001 für Energiemanagementsysteme, OHSAS 18001 für Arbeitsschutz- und Arbeitssicherheitsmanagementsysteme sowie des durch die Internationale Organisation für Standardisierung veröffentlichten Annex SL