Årshjul for persondata. v/henrik Pors

Transkript

1 Årshjul for persondata v/henrik Pors

2 Årshjul for persondata Årshjul hvorfor? Argumenterne kan være: Skaber overblik over opgaverne Mulighed for allokering af ressourcer Sikrer at opgaver bliver udført Kronologi i opgaverne Mulighed for grafisk overblik sammenholdt med opgavebeskrivelser

3 Årshjul for persondata

4 Årshjul for persondata Hvad bliver berørt i årshjulet? 1. Opfølgning på politikker 2. Procesbeskrivelser datamapning fortegnelser jf. artikel Risikovurderinger, sikkerhedsvurdering 4. Privacykompasset.dk og sikkerhedstjekket.dk og persondatatesten.dk 5. Opfølgning databehandlere 6. Beredskabsplaner håndtering af brud 7. Logbog/logfil

5 Opfølgning på politikker Privatlivspolitik Er den tilgængelig for alle omfattede? Er den stadig fyldestgørende er virkeligheden som der beskrives? IT- og sikkerhedspolitik Er virkeligheden stadig som beskrevet i politikken? Er der sket ændringer der kræver tilføjelser til politikken? Personalehåndbog Er personalehåndbogen opdateret i forhold til øvrige politikker? Revision af personalehåndbogen i forhold til evt. lovmæssige ændringer Beredskabsplaner Er der beredskabsplaner dækkende alle områder? Er beredskabsplanerne blevet afprøvet (skrivebordstest, real-test)

6 Revision/opdatering jf. artikel 30 Procesbeskrivelser Er der lavet procesbeskrivelser dækkende virksomhedens behandling af persondata? Er de procesbeskrivelser der er lavet, dækkende for arbejdet og passer de til arbejdsgange? Datamapning Viser og beskriver jeres flow af persondata i virksomheden Opdateres i forhold til evt. reviderede procesbeskrivelser Fortegnelser Er fortegnelser opdateret i forhold til processer og persondataflow?

7 Vurdering af ricisi Sikkerhedsvurdering Fysisk sikkerhed hvordan er adgangsforhold til forsyningen, bygninger, kontorer, produktionsfaciliteter? Teknisk sikkerhed hvordan er data, pc ere, servere, routere, mobile enheder mv sikret? Organisatorisk sikkerhed hvem har adgang til hvad? husk risikobaseret tilgang Risikovurdering Risikovurdering af mulige sårbarheder (kan være afledt af sikkerhedsvurdering) Husk risikovurdering revurderes jf. beskrivelse i IT- og sikkerhedspolitik Husk risikovurdering set fra både virksomheds- og registreredes synspunkt

8 Hvor godt har forsyningen styr på det? Når du har styr på processer, risici og politikker, kan du prøve at teste forsyningen på følgende områder: Ansvarlig datahåndtering Her er anbefalinger til ansvarlig håndtering af data det bidrager til digital tillid IT-sikkerhed og risikoprofil her kommer håndgribelige anbefalinger og visuelt overblik til virksomhedens risikoprofil (17 vigtige ITsikkerhedsemner vurderes) Persondata arbejdet Få et overblik med udgangspunkt i jeres situation Få vores bemærkninger til, hvad I kan gøre fremadrettet

9 Opfølgning databehandler Databehandleraftaler Er der databehandleraftaler med alle? Er du blevet databehandler for andre, og er aftalen på plads? Tilsyn med databehandler Fysisk tilsyn databehandleren besøges med henblik på kontrol Indhentning af udarbejdet erklæring fra databehandler ( ISAE 3402 / ISAE 3000 eller lign ) og gennemgang af erklæringen. Dokumentér gerne overfor jeres egen revision at I har læst erklæringen og forholdt jer til den.

10 Oprydning data Kundesystemer, finanssystemer, mail, fil-drev mv Backup skal ikke ryddes op, men har du indlæst data, så husk retten til at blive glemt. Fysiske mapper Har du mapper på kontoret der skal ryddes op i? Er du typen der har stakke på skrivebordet Arkiv/kælder osv Husk oprydning på arkivet, også selv om det ligger i kælderen eller lidt længere væk Stikprøver IT- og sikkerhedspolitikken beskriver krav til oprydning, men husker medarbejderne det? Lav stikprøver på overholdelse af politikker.

11 Håndtering af brud på persondatasikkerheden Beredskabsplan der dækker området Hvad er et brud? Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller anden måde behandlet. Bør omhandle rapportering og vurdering af hændelsen, ansvarsfordeling, håndtering, evaluering og forbedring. Forpligtet til at dokumentere, at der har fundet brud sted, anmeldt eller ej = Log Hvad skal dokumenteres? Dato og tidspunkt for bruddet Hvad skete der i forbindelse med bruddet? Hvad er årsagen til bruddet? Hvilke (typer) personoplysninger er omfattet af bruddet? Hvilke konsekvenser har bruddet for de berørte personer? Hvilke afhjælpende foranstaltninger er truffet? Hvorvidt der er sket anmeldelse til Datatilsynet eller ej?

12 Anmeldelse af brud på persondatasikkerheden Indberetning sker via Virk.dk når der trykkes på linket på datatilsynets hjemmeside. 4 områder berøres: Karaktér af brud, kontaktoplysninger, sandsynlige konsekvenser, foranstaltninger Husk at downloade kopi af indberetning som bevis, da denne slettes efter 30 dage hos Erhvervsstyrelsen

13 Uddannelse/awareness ( sønderjysk opmærksomhed) Hvad forventes af dig hvad må du ikke IT-sikkerhed Ansvarlig håndtering af data Oprydning og sikring Beredskab Politikker, procedure og kontroller

14 Husk at dokumentere jeres arbejde og evt. fysisk opbevaring? God fornøjelse Henrik Pors,