1 This material may not be copied without the concent of C-cure

Transkript

1 1 This material may not be copied without the concent of C-cure

2 5 2 This material may not be copied without the concent of C-cure

3 UNDSKYLDNINGER ER DER NOK AF Vi er ved at omlægge vores IT, så GDPR må jo vente Det er helt umuligt, for folk i vores organisation gider ikke GDPR Vi har valgt at være 25% compliant Vi er ikke i GDPR målgruppen Vi er for små til at skulle lave GDPR compliance Det har vi ikke råd til 3 This material may not be copied without the concent of C-cure

4 AGENDA GDPR Landskabet Fortolkningsprincipper dokumentation, rettigheder og sikkerhed Databehandleraftaler vs. NDA Samtykke Konsekvensanalyse Datatilsynet og håndhævelse Digital markedsføring og brug af persondata Sikkerhedsløsninger Sikkerhedskultur GDPR Tool 4 This material may not be copied without the concent of C-cure

5 FORTOLKNINGS-PRINCIPPER GENNEMSIGTIGHED Oplysningspligt Formål, tid, rettigheder oplyses Informer om databrud til de registrerede og datatilsynet GAP PROPORTIONALITET Er behandlingen rimelig? Nødvendighed (dataminimering) ANSVARLIGHED Formålsbegrænsning Adgangsbegrænsning Passende sikkerhed 5 This material may not be copied without the concent of C-cure

6 FORTOLKNINGS-PRINCIPPER DOKUMENTATION GAP SIKKERHED RETTIGHEDER 6 This material may not be copied without the concent of C-cure

7 DOKUMENTATION Egendokumentation Hvordan håndteres krav, f.eks. oplysningspligt, Behandling af særlige oplysninger Risikovurderinger mm. Privatlivspolitik Kan genbruges i oplysningspligten Oversigt over behandlingsaktiviteter Lovpligtigt ved over 250 ansatte og i særlige situationer anbefales, genbrug i oplysningspligt Databehandler aftaler 7 This material may not be copied without the concent of C-cure

8 RETTIGHEDER De 6 rettigheder for de registrerede 1 måneds frist. Ret til: Indsigt (aktindsigt) Sletning (Retten til at blive glemt) Begrænsning af behandling (data med juridiske modargumenter) Dataportabilitet (Flyt egenindtastede data til konkurrent) Indsigelse (klage over indhold eller behandling) Ikke at være genstand for automatisk behandling, profilering Øvrige rettigheder - øjeblikkeligt Data om børn de 6 + forældresamtykke Samtykker, giv og træk tilbage Ret til at klage til Dataansvarlig og Datatilsyn 8 This material may not be copied without the concent of C-cure

9 SIKKERHED Tilstrækkelig og passende sikkerhed (grundprincip) Forordning er teknologi neutral ( men krav om kryptering og pseudonymisering) Teknisk og organisatorisk sikkerhed (Køb en lås, husk at låse) IT sikkerheds politik Dataansvarlig ER ansvarlig for at påvise compliance Egenkontrol og vurdering, baseret på kalkuleret risiko Artikel 24 Den dataansvarliges ansvar 1. Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres. 2. Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker. 9 This material may not be copied without the concent of C-cure

10 PASSENDE OG TILSTRÆKKELIG SIKKERHED? Brug behørig sikkerhed (skal følge trusselsbilledet) Brug ikke en million til at beskytte en femmer Risiko baseret tilgang du er selv ansvarlig for sikkerhedsvurderingen også for data hos databehandlere og underdatabehandlere Du skal ikke dække tab (bøde) ved et indbrud hvis du huskede at låse døren! Kryptering af privacyrelaterede data i klartekst over nettet pt. fokus på e- mail. Artikel 32 - Behandlingssikkerhed 1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant [..] 10 This material may not be copied without the concent of C-cure

11 KONTINUERLIGE DATAFLOW ANALYSER 11 This material may not be copied without the concent of C-cure

12 KONTINUERLIGE DATAFLOW ANALYSER MAN KAN IKKE KONTROLLERE DET MAN IKKE KENDER! Find data (også hos databehandlere og underdatabehandlere) Ryd op smid det ud der ikke skal bruges Kontinuerlig oprydning = slet data når de ikke længere er relevante for formålet, - sæt en regel op for dette, som alle relevante parter kender og bruger. Sorter nødvendige data, så der altid er kontrol med hvor data er,- hvornår og hvem der har tilgang. 12 This material may not be copied without the concent of C-cure

13 KONTINUERLIGE DATAFLOW ANALYSER 13 This material may not be copied without the concent of C-cure

14 DATABEHANDLERAFTALE MANGLER TYPISKE MANGLER I DATABEHANDLER AFTALER 1. Komplet oversigt over hvilke data og hvilke type af registrerede, som aftalen omfatter. 2. En passus der beskriver hvis og hvornår databehandler evt. er selvstændig data ansvarlig. 3. Komplet oversigt over sikkerheds tiltag, som den databehandleren har iværksat for at sikre jeres data. 14 This material may not be copied without the concent of C-cure

15 DATABEHANDLERAFTALE MANGLER TYPISKE MANGLER I DATABEHANDLER AFTALER 4. Komplet oversigt over 3. parter, inkl. deres roller som underdatabehandlere og hvor data behandles og opbevares (hvilke lande) 5. Instruks til databehandlingen. En beskrivelse af hvad databehandler må foretage sig med data. Den bør være så præcis at man kan afgøre om databehandler overtræder sin ret/pligt til behandling af jeres data. 6. Rettighed til at dataansvarlig selv må foretage checks og revision hos databehandler, og at det foretages regelmæssigt. For større databehandlere bør/kan det være databehandler selv der lader foretage revision af en uafhængig revisor og at der kommer en anerkendt revisionsrapport. 15 This material may not be copied without the concent of C-cure

16 ROLLER Databehandlere, Dataansvarlige, fælles dataansvarlige = En jungle 1) Vær enige med din data behandler 2) Er behandlingen kun lejlighedsvis? (håndværker, teknisk support ad.hoc) 3) Hvem bestemmer hvordan data skal behandles? Artikel 28 Databehandler 10. Hvis en databehandler overtræder denne forordning ved at fastlægge formålene med og hjælpemidlerne til behandling, anses databehandleren for at være en dataansvarlig for så vidt angår den pågældende behandling 16 This material may not be copied without the concent of C-cure

17 HVOR KAN VI BRUGE NDA? For dem der kommer på besøg og får indsigt, men ikke tager data med sig Kopimaskine reparatøren Håndværkeren der opsætter handicap hjælpemidler Eksterne konsulenter F.eks. C-cure der leverer sikkerhedsløsninger og konsulentbistand Og for Cloud udbyderen, hvis deres behandling ikke omfatter persondata 17 This material may not be copied without the concent of C-cure

18 ALTERNATIVER TIL SAMTYKKER Lovlige grunde til at behandle data: 1. Samtykke - kan altid bruges, men besværligt formål skal være klarlagt i samtykket. Proces og kontrol af tilbagetrækning 2. Del af en kontrakt (ophør af behandling = ophør af kontrakt) 3. Overholdelse af retslig forpligtelse (dokumentér og oplys) 4. Beskyt den registreredes vitale interesser (dokumentér og oplys) 5. Udførelse af opgave i samfundets interesse (dokumentér og oplys) Opgaven skal være blevet pålagt 6. Forfølge legitim interesse (elastik i metermål oplysning er særlig nødvendig) det er ikke en legitim interesse at sælge mere! Grundlæggende personrettigheder må ikke brydes! 18 This material may not be copied without the concent of C-cure

19 STYR PÅ UOPFORDREDE ANSØGNINGER Ingen grund til panik!!!! Ansøgere har en vital grund til at ansøge (levebrød) De bestemmer selv hvilke oplysninger der leveres Formål (at ansætte eller afvise ansøger) er klart defineret (ellers skriv det i privatlivs politik) Hvor længe må data gemmes? Så længe det tjener et formål (ansøgningsprocedure tid, evt. kommende stillinger) Så længe det er aftalt (kan efter aftale være uendeligt, men skal være formålstjenligt = forpligtelse til at tage dem i betragtning) Ingen andre formål! Husk oplysningspligten! 19 This material may not be copied without the concent of C-cure

20 LOVOVERTRÆDELSER Fart- og parkeringsbøder i virksomhedens biler Straffeattester på medarbejdere Del af jeres opklarende virke (Dyrenes vagtcentral, Falck, Vagtfirmaer m.m.). 20 This material may not be copied without the concent of C-cure

21 LOVOVERTRÆDELSER Må lovovertrædelser behandles? Kun under tilsyn - eller: GDPR kommer til kort Databeskyttelsesloven gælder! Databeskyttelsesloven- ganske kort om lovovertrædelser: Behandling tilladt med udtrykkeligt samtykke Berettiget interesse der klart overstiger hensynet til den registrerede Videregivelse kun ved samtykke eller under hensyn til pågældende selv I øvrigt samme regler som for følsomme oplysninger Artikel 10 Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser [ ] må kun foretages under kontrol af en offentlig myndighed, eller hvis behandling har hjemmel i EU-retten eller medlemsstaternes nationale ret, som giver passende garantier for registreredes rettigheder og frihedsrettigheder. Ethvert omfattende register over straffedomme må kun føres under kontrol af en offentlig myndighed. 21 This material may not be copied without the concent of C-cure

22 KONSEKVENSANALYSE HVORNÅR OG HVORDAN? Data Protection Impact Assessment (DPIA) er en dokumenteret kontinuerlig proces der skal bidrage til at skabe og påvise overensstemmelse med forordningen Når databehandlingen sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger Hvis der fortsat er en risiko: Den dataansvarlige hører tilsynsmyndigheden inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse [ ] viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen. 22 This material may not be copied without the concent of C-cure

23 KONSEKVENSANALYSE ALTID DPIA NÅR BLOT 1 KRITERIE ER OPFYLDT: Et databrud kan få direkte konsekvenser for fysisk sikkerhed eller helbred Behandlinger af data om sårbare individer Behandlinger af særlige kategorier af registrerede der er baseret på profilering Profilering i stor skala DPIA NÅR 1 AF NEDENSTÅENDE KOMBINERET MED EN AF WP29 GRUPPENS KATEGORIER Biometriske data med formål at identificere en person Genetiske data Lokationsdata Ved brug af ny eller innovativ teknologi WP29 GRUPPENS KATEGORIER Evaluering eller analyse (profilering og forudsigelse) Automatisk beslutningstagning med retsvirkning eller tilsvarende Systematisk overvågning Følsomme oplysninger Omfattende behandling 23 This material may not be copied without the concent of C-cure

24 SIKKERHEDSMETODER OG LØSNINGER GDPR Skabelon C-cure har udarbejdet V4 af vores skabelon, som kan hjælpe til afdækningsarbejdet. TOOLS Vi viser i dag et godt eksempel på et effektivt tool til kontinuerlig GDPR arbejde. 24 This material may not be copied without the concent of C-cure

25 NYT I GDPR SKABELON Færdig? Brug den komplette checkliste Udviddet FAQ ansøgninger, straffe attest m.m. Tilrettelser efter 25. maj Mere om konsekvens analyser 25 This material may not be copied without the concent of C-cure

26 This material may not be copied without the concent of C-cure 26 This material may not be copied without the concent of C-cure Dette materiale må ikke kopieres uden tilladelse fra C-cure

27 De første bøder for overtrædelse af GDPR er allerede udstedt i Tyskland De europæiske lande, skal selv håndhæve GDPR og de fleste lande vil komme med bøder og sanktioner ultimo 2018 Det danske Datatilsyn er på vej med de første politianmeldelser for overtrædelse af GDPR mellem jul og nytår. Disse bliver pejlemærke for niveauet af efterfølgende sanktioner. Selvanmeldelse gør IKKE at man kan slippe for besøg, sanktioner eller bøder 27 This material may not be copied without the concent of C-cure

28 På tilsyn spørges der F.eks. til DPO roller- der arbejdes ud fra et skema, som også senere kan anvendes ved ønske om F.eks. Aktindsigt 28 This material may not be copied without the concent of C-cure

29 BEHANDLINGSHJEMMEL 29 This material may not be copied without the concent of C-cure

30 30 Klage over manglende sletning Publiceret Afgørelsen fastslår, at en modelaftale havde karakter af en kontrakt og ikke et samtykke i databeskyttelsesforordningens forstand, som kan trækkes tilbage. Resume En fotograf nægtede at slette billeder, herunder billeder af mere intim karakter, med henvisning til at parterne havde indgået en gyldig aftale. Fotografen behandlede også personnumemroplysninger Datatilsynet fandt bl.a. at behandlingen af oplysninger i form CPRnr. Og af billeder, skete på baggrund af en kontrakt og ikke et databeskyttelsesretligt samtykke, som kan trækkes tilbage. Efter tilsynets opfattelse havde fotografen således et lovligt grundlag for at behandle oplysningerne, og klager havde derfor ikke krav på at få billederne eller personregistrering slettet. Datatilsynet bemærkede i øvrigt i sagen, at tilsidesættelse af en aftale hører under domstolene, da tilsynet ikke har kompetence til at tage stilling til gyldigheden af en aftale. This material may not be copied without the concent of C-cure

31 KLAGE OVER LASSO X APS BEHANDLING AF OPLYSNINGER Publiceret Afgørelsen fastslår, at oplysninger indhentet fra offentligt tilgængelige registre som udgangspunkt lovligt kan offentliggøres. RESUME En klage over, at der på virksomheden Lassos hjemmeside offentliggøres oplysninger indhentet fra CVR. Lasso havde afvist at imødekomme en indsigelse fra klager mod, at klagers tidligere tilknytning til en række virksomheder fremgår af lasso.dk, når der søges på klagers navn. Datatilsynet fandt, at oplysningerne, der var indhentet fra CVR, lovligt kan offentliggøres. Datatilsynet fandt endvidere, at der ikke var grundlag for at imødekomme klagers indsigelse mod den ellers lovlige behandling, da klager ikke havde anført grunde, der vedrører dennes særlige situation. 31 This material may not be copied without the concent of C-cure

32 DIGITAL MARKEDSFØRING 32 This material may not be copied without the concent of C-cure

33 SIKKERHEDSKULTUR OG IT-SIKKERHEDSTEKNOLOGIER 33 This material may not be copied without the concent of C-cure

34 SIKKERHEDSMETODER OG LØSNINGER MINIMUMSKRAV (LÅS DØREN) : De traditionelle: Patching, Antimalware, firewall KEND DIN SIKKERHED (TAG I DØREN, SPARK TIL DEN) Vulnerability scanning Security Assessment Security Baseline EDR OG INCIDENT RESPONS OG NETVÆRKSSENOSORER (HVAD ELLER HVEM HAR SPARKET TIL DØREN) Ved et hackerangreb hvor man mister, får stjålet eller hvor privacyrelaterede data rammes af ransomware, skal dette oplyses til datasubjektet. Det er derfor nødvendigt at få et hurtigt overblik over hvilke data der er berørt. Det kan man med hurtigt og effektivt kortlægge med Netværkssensorer / SIEM løsninger EDR løsninger / Incident Respons løsninger MEN DE SKAL HAVE VÆRET ETABLERET FORINDEN! 34 This material may not be copied without the concent of C-cure

35 SIKKERHEDSMETODER OG LØSNINGER BESKYTTELSE MOD INDSIGT FRA UVEDKOMMENDE (mod dem der kigger ind ad sprækkerne ) Organisatorisk sikkerhed- IT Politikker Kontrol af overholdelse af IT sikkerhedspolitik Awareness træning om sikkerhed og GDPR Praktisk omgang med data (glemte prints, ulåste døre, tailgating m.m.) Personlige passwords der skiftes hyppigt Kryptering eller pseudonymisering af data Anonymisering Cloud computing ( = data på andre folks servere) ASSET MANAGEMENT Kan anvendes til at kortlægge hvilke data der er hvor og hvilke systemer der holder disse. Det kan spare virksomheden for meget benarbejde. 35 This material may not be copied without the concent of C-cure

36 OG FLERE SIKKERHEDSLØSNINGER AUTENTIFICERINGSLØSNINGER (Kun de autentificerede lukkes ind). DERUDOVER: Patching (lapper sprækkerne) Secure DNS (sørger for at vi ikke får malware når vi besøger websites) APT filter i jeres firewall (hindrer mere avancerede angreb ) Sikker fildeling (du holder nøglen til de hemmelige filer) Backup (du har altid en kopi, hvis noget går galt og sikrer tilgængelighed) 36 This material Dette materiale may not må be ikke copied kopieres without uden the tilladelse concent of fra C-cure C-cure

37 SIKKERHEDS CHECK Check hvilke teknologier I anvender og hvordan I har konfigureret jeres sikkerhedsløsninger. Mange gange kan ganske få ekstra flueben gøre en stor forskel! Regelmæssige check bør foretages. 37 This material Dette materiale may not må be copied ikke kopieres without uden the tilladelse concent of fra C-cure C-cure

38 RISIKOVURDERING Hvilken risiko vil virksomheden acceptere? Hvad er et asset og hvilke assets har virksomheden? Hvad er konsekvensen for virksomheden? Hvad er konsekvensen for den registrerede? Hvad er sandsynligheden? Hvad er risikoen? 38 This material Dette materiale may not må be copied ikke kopieres without uden the tilladelse concent of fra C-cure C-cure

39 BEREDSKABSPLAN Hvordan vil I foretage undersøgelse af et incident? Hvilke; værktøjer metoder / processer personer skal involveres? Hvem kan komme til undsætning hvis der sker noget? Udvælg og etabler kontakt til forensics og incident respons specialister - før i får brug for dem! 39 This material Dette materiale may not må be copied ikke kopieres without uden the tilladelse concent of fra C-cure C-cure

40 HVAD NU HVIS.. Hvad nu hvis en medarbejder forsætteligt eller ved en fejl lækker privacy relaterede data? Hvad hvis indtastede data ikke følger loven? Hvad hvis noget der skulle krypteres ikke bliver det? Hvad hvis en medarbejder klikker på et ondsindet link og pådrager virksomheden Ransomware, så Privacy relaterede data gøres utilgængelige? 40 This material may not be copied without the concent of C-cure

41 GDPR OG SIKKERHEDSKULTUR PÅSTAND Kultur skabes gennem Viden Følelsen af fællesskab og glæde, Levende interaktivitet, Meningsudveksling, Resultater, Ønsket om at være dygtig, Følelsen af fremdrift og afkast, - også personligt afkast. 41 This material may not be copied without the concent of C-cure

42 ORGANISATORISKE ANBEFALINGER T Ledelsen SKAL gå forrest - vær rollemodeller for at skabe en positiv sikkerhedskultur og efterlevelse af gdpr. Lyt til organisationen og de specialister der er hyret ind- særligt de sikkerhedsansvarlige, men også øvrige medarbejdere og skab tættere dialog med eksterne parter, som I måtte dele data med. Arbejd aktivt og løbende med virksomhedens sikkerhedskultur- loyalitet og forståelse Træk på eksterne rådgivere, brancheforeninger o.lign. 42 This material Dette materiale may not må be copied ikke kopieres without uden the tilladelse concent of fra C-cure C-cure

43 Security awareness er chancen for at styrke virksomhedens korpsånd og stå stærkere på markedet!! Y 43 This material Dette materiale may not må be copied ikke kopieres without uden the tilladelse concent of fra C-cure C-cure

44 IT SIKKERHEDSPOLITIKKER Sørg for at have tidssvarende og hjælpsomme IT politikker og vejledninger. Lav gerne introduktion og F.eks. forklarende informationsmateriale til medarbejderne. Hold retningslinjerne opdaterede F. eks. Hvert halve år. Så de er tilstrækkelige og tidssvarende, husk at de skal følge gældende lovgivning. Medarbejderne bør give skriftligt tilsagn, om at have læst og forstået indholdet af virksomhedens politikker. 44 This material Dette materiale may not må be ikke copied kopieres without uden the tilladelse concent of fra C-cure

45 TEST Der findes muligheder for at undervise og teste, om medarbejderne har forstået GDPR og sikkerhedsforskrifterne. F.eks. Security training software Work shops Simulerede phishing tests Digitale multiple choice tests 45 This material Dette materiale may not må be ikke copied kopieres without uden the tilladelse concent of fra C-cure

46 OPSAMLING 1. Identificer data (typer, overblik) 2. Data flows (detaljer) 3. Identificer 3. Parter ved du om der foreligger retningslinier fra virksomheden? 4. Hvilken form for sikkerhed er der (teknisk og organisatorisk) 5. Hvordan sikrer I den registreredes rettigheder i dag? 6. Er det foranstående dokumenteret? 7. Hvilke risici er der? 8. Hvordan kan du begrænse risikoen? (Overordnet set) 9. Hvordan kan i forblive compliant over tid? 10.Hvem har ansvaret? Udfordringer? Hvordan håndterer du usikkerheder? Hvordan kan du dokumentere hvad du ikke ved? 46 This material Dette materiale may not må be ikke copied kopieres without uden the tilladelse concent of fra C-cure C-cure

47 NYTTIGE LINKS Datatilsynets vejledninger Justitsministeriets bekendtgørelse Databeskyttelsesloven, incl GDPR Konsekvens analyse liste og WP29 gruppens vejledning C-cure s oversatte kortere liste: C-cure skabeloner og checklister 47 This material may not be copied without the concent of C-cure