GDPR fra et implementeringsperspektiv

Transkript

1 NETCOMPANY GDPR fra et implementeringsperspektiv VERSION 1.0 STATUS: Endelig FORFATTER Marco Alexander Biede tlf. (+45) København, den 15. juni 2017 Copyright 2017 Netcompany. Alle rettigheder forbeholdes. Elektronisk, mekanisk, fotografisk eller anden gengivelse, oversættelse eller kopiering af dette dokument eller dele deraf er, uanset formål, ikke tilladt uden forudgående skriftlig tilladelse fra Netcompany

2 Agenda Persondataforordningen Hvad er omfattet, hvordan ser tidsplanen ud, og hvor skal jeg starte? Overblik Organisationens systemlandskab Demo Indblik i data Teknik Hvad kan jeg gøre? Demo Obfuskering Inspiration GDPR-understøttende løsninger 2017 Netcompany Side 2

3 GDPR Hvad er omfattet, hvordan ser tidsplanen ud, og hvor skal jeg starte? 2017 Netcompany Side 3

4 Persondataforordningen GDPR General Data Protection Regulation (Persondataforordningen) EU-lovgivning, der skal styrke og harmonisere beskyttelse af EU-borgeres data Indeholder også bestemmelser om eksport af data fra EU Når det træder i kraft den 25. maj 2018 erstatter det lov om behandling af personoplysninger fra 2001, der udspringer af et EU-direktiv fra Lovgivningen, som er mere end 20 år gammel, har vanskeligt ved at følge med den teknologiske udvikling. Den nye forordning skal ses som en modernisering af beskyttelsen af behandling af personoplysninger. Der er ved udformningen af forordningen taget hensyn til en række forskellige hensyn: Styrkelse af individernes ret til databeskyttelse, understøttelse af det frie flow af data, og reduktion af administrative byrder for dataansvarlige Netcompany Side 4

5 Hvad er personoplysninger? Skostørrelse Fødselsdato Nummerplade Medarbejder-ID Personlighedstest Fagforeningsmæssige tilhørsforhold Rejseoplysninger GPS-oplysninger Karakterer Personlige produktionstal Kreditkortnummer Familiemæssige oplysninger Adgangskontrol CPR-nummer Interesser Adresse Køn Navn Videoovervågning Foto Genetisk information Stilling Race Religion adresse Initialer / Loginnavn Helbredsoplysninger Seksuel overbevisning Online handles Telefonnummer Væsentlige sociale problemer Avatars Pasnummer Løn IP-adresse MAC-adresse Videoovervågning Biometriske oplysninger Straffeattest IP-adresse Elektriske spor Logning fra systemer 2017 Netcompany Side 5

6 Hvad er personoplysninger? Enhver form for information om en identificeret eller identificerbar fysisk person Navn CPR-nummer Adresse Telefonnummer HR-data Sundhedsdata Biometri, Fingeraftryk, Lægejournaler m.v. Indirekte informationer, der ved sammenstilling med andre kilder, kan identificere en person ID-nummer, Medlemsnumre Lokationsdata, IP-numre Web handles, avatars m.v Netcompany Side 6

7 Hvem er omfattet? De omfattede af loven er: Alle dataansvarlige og databehandlere, som har etableret sig i EU, (dvs. alle virksomheder med IT-systemer) Virksomheder, der leverer varer eller services rettet mod borgere i EU, samt Virksomheder, som registrerer adfærd inden for EU (tracking & profilering). - altså er praktisk talt alle omfattet Behandling skal forstås bredt, som f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, sletning eller tilintetgørelse. Det er op til den enkelte virksomhed at bevise, at man ikke er omfattet Netcompany Side 7

8 Hvilken betydning har det for virksomheder og offentlige myndigheder? Compliance med forordningen Udpegelse af dataansvarlig, databehandler og Data Protection Officer (DPO) Tekniske foranstaltninger Processer, dokumentation og regelmæssige kontroller De varslede konsekvenser for især virksomheder, men også offentlige institutioner er enorme. Bødeniveauerne går op til 2% af omsætningen eller 10 mio. for manglende efterlevelse af almindelige pligter, og til 4% af omsætningen eller 20 mio. for mere alvorlige brud, såsom eksempelvis overførsel af data til tredjelande. Bøden vil være det højeste beløb af de to, og der er tale om moderselskabets omsætning Netcompany Side 8

9 Milestones Europa-Kommissionen præsenterer forslag til en lovpakke om databeskyttelse. Nødvendige lovforslag fremsættes i Folketinget, og dermed tilpasses dansk lovgivning til forordningen. Pakken vedtages formelt og udmunder i en forordning med virkning maj 2018 Justitsministeriet offentliggør den danske fortolkning af forordningen (betænktning) Forordningen får virkning fra 25. maj 2018 Du står her 4,5 måneder til at analysere 4,5 måneder til at designe og implementere 2017 Netcompany Side 9

10 Hvad skal du nå inden 28. maj 2018? Compliance GDPR Gaps identificeres Gap mellem nuværende og ønskede/krævede state of compliance identificeres. Privacy Impact Assesments (PIA) Analyse af risici forbundet med nye systemer, projekter og processer. Roller og processer Indsættelsen af roller og etablering af ansvarsområder og governance-modeller. Start her! Data- og procesanalyse Detaljeret analyse og klassifikation af virksomhedens data, og de processer, hvori persondata indgår, samt udarbejdelse af dokumentation. Implementering af tekniske foranstaltninger Funktionalitet implementeres, så den nødvendige infrastruktur er tilstedet til f.eks.: indsamling og lagring af samtykkeerklæringer, logging, kryptering, dataminimering, teknisk dokumentation m.v Netcompany Side 10

11 Overblik Organisationens systemlandskab 2017 Netcompany Side 11

12 Systemlandskab ESDH BI Tidsregistrering CRM ERP Web Shop 2017 Netcompany Side 12

13 Data driver din virksomhed Web Shop CRM BI ERP ESDH Tidsreg Netcompany Side 13

14 Data driver din virksomhed Web Shop CRM BI ERP ESDH Tidsreg Netcompany Side 14

15 Data driver din virksomhed ERP 2017 Netcompany Side 15

16 Hvor skal jeg starte? GDPR Gaps identificeres Gap mellem nuværende og ønskede/krævede state of compliance identificeres. Privacy Impact Assesments (PIA) Analyse af risici forbundet med nye systemer, projekter og processer. Roller og processer Indsættelsen af roller og etablering af ansvarsområder og governance-modeller. Data- og procesanalyse Detaljeret analyse og klassifikation af virksomhedens data, og de processer, hvori persondata indgår, samt udarbejdelse af dokumentation. Implementering af tekniske foranstaltninger Funktionalitet implementeres, så den nødvendige infrastruktur er tilstedet til f.eks.: indsamling og lagring af samtykkeerklæringer, logging, kryptering, dataminimering, teknisk dokumentation m.v Netcompany Side 16

17 Hvor skal jeg starte? Analysér dine data få overblik over dine data nu, så du er klar til lovgivningen kendes. Overblik over dataaktiver Identificering af GDPR-relevante oplysninger Kortlægning af applikationsprocessers brug af persondata Definér governance-struktur Dataaktiver GDPR-relevante oplysninger Applikationsprocesser 2017 Netcompany Side 17

18 Demo Indblik i data 2017 Netcompany Side 18

19 Teknik Hvad kan jeg gøre? 2017 Netcompany Side 19

20 Kompetencer Overblik over data Forretningsforståelse Teknisk indsigt 2017 Netcompany Side 20

21 De ikke-tekniske discipliner Identificering af data, der er omfattet af loven, Dataklassifikation, samt definering af forskellige processer og foranstaltninger for hver klasse Udfærdigelse af databehandleraftaler m.m. Udarbejdelse af organisation til understøttelse af persondatalovgivning (udpegning af DPO, forankring af opgaver m.v.) Data Protection Impact Assessment (DPIA) Information Lifecycle Management 2017 Netcompany Side 21

22 De tekniske discipliner Kryptering Pseudonymisering Databasesikkerhed Logging Backup Indhentning af eksplicit samtykkeerklæring for behandling af oplysninger Dataminimering (optimering/minimering af, hvilke data der behandles for at udføre en bestemt proces) Sletning af data, når den ikke længere er nødvendig Dokumentation af compliance (lovens princip om ansvarlighed påviser, at den dataansvarlige skal kunne påvise compliance) Et systems håndtering af right to be forgotten Dataportabilitet 2017 Netcompany Side 22

23 Privacy by design Tænk over compliance i nye it-projekter eller ved indkøb af ny software. F.eks.: Understøttes indsamling og opbevaring af accept fra de personer, der afleverer data? Kan accepten også trækkes tilbage? Kan vi dokumentere, at data er nødvendige for at kunne levere en given ydelse? (dataminimering) Hvad der ligeledes spiller direkte ind på traditionel tænkning i it-arkitektur, er kravene om at: 1. Blive glemt man kan bede en dataansvarlig om at blive glemt af den virksomhed, man er registreret hos. 2. Udlevering af samtlige informationer, man har om en person. 3. Portabilitet dvs. udlevere alle data om en person i et gængs læsbart format. 4. Afvisning af at være del af profilering. Øger det virksomhedens trusselsbillede, hvis vi lancerer denne e-handelsløsning, og derved ligger inde med kreditkortoplysninger? Hvad gør vi ved det? 2017 Netcompany Side 23

24 Demo Dataobfuskering 2017 Netcompany Side 24

25 GDPR Cases 2017 Netcompany Side 25

26 Row Level Security (RLS) OrderHeader-tabel OrderID OrderAmount SalespersonID Bruger Troels (SalespersonID 1) Forespørgsel Select * from OrderHeader Bruger Trine (SalespersonID 2) Forespørgsel Select * from OrderHeader Resultat Resultat OrderID OrderAmount SalespersonID OrderID OrderAmount SalespersonID Netcompany Side 26

27 Dokumentation via metadata: Producent af højteknologisk måleudstyr Baggrund Hvor flyder data hen? Hvilke processer benytter hvilke data? Og er det dokumenteret? Løsning Dataperspektiv på Business Process Management (BPM) Dynamisk dokumentation baseret på metadata Både top-down og bottom-up Processer Applikationer Datakilde 2017 Netcompany Side 27

28 Pseudonymisering: Sundhedsdatastyrelsen Baggrund For at opfylde kravene til persondatalovgivningen har Netcompany udviklet en service, der i realtid kan pseudonymisere og afpseudonymisere de personhenførbare data, som stilles til rådighed i Sundhesdatastyrelsen nye Sunddataplatform. Løsning Dataafsenderen kalder en stored procedure på databaseserveren, som ved brug af en randomizer med et udfaldsrum på 10 18, mapper CPR-nummeret til et nyt, unikt MappingID. En MUTEX-konstellation sikrer, at pseudonymiseringen alene har en tråd til en sekventiel mapping for at sikre unikhed. Pseudonymisering Afpseudonymisering Der knyttes MappingID til de pseudonymiserede data, der udstilles, mhp. efterfølgende at kunne foretage en afpseudonymisering. Via en governance-model for styres sikkerheden for alle databærende tabeller og stored procedures. Modellen beskriver alle databaseobjekternes formål og dokumenterer de enkelte brugere og/eller servicekontis rettighedsniveau; Create, Read, Update el. Delete. Input Mapping Output CPR Navn Adresse Data MappingID Hans Hansen Danmarksvej 1, 1234 Danmark CPR MappingID Fødselsår Data Data Data 2017 Netcompany Side 28

29 Logning: Styrelsen for IT og Læring Baggrund Efter anvisning af Rigsrevisionen igangsættes logning af adgangen til personhenførbare oplysninger. Løsning Samtlige forespørgsler logges, samt hvem, hvornår, hvorfra og hvad der er forespurgt. Resultatet gemmes ikke, men kan til enhver tid genskabes ud fra backup af databasen 6 mdr. bagud. Der logges på tværs af alle miljøer, tabeller og databasetyper og som default på alle nye tabeller, indtil der aktivt tages stilling til at deaktivere logning. Loggen opbevares så det ikke er muligt at ændre den efterfølgende, og logning kan kun deaktiveres af privilegerede brugere. En deaktivering logges. Loggen samles og ensartes på tværs af miljøer, typer mv. for at muliggøre hurtig fremsøgning af forespørgsler på personhenførbare data på multiple niveauer; sensitivitet, brugere, tidspunkt og muliggør identifikation af irregulær brugeradfærd Netcompany Side 29

30 Data- og procesanalyse 2017 Netcompany Side 30

31 GetOrganized Compliance Suite GetOrganized (GO) ESDH-løsning har indbygget en række GDPR-understøttende værktøjer. Håndhævelse af arkiverings-/sletningsregler, autoklassifikation af dokumenter, rapporter til identificering af dokumenter, der er placeret forkert eller er tilgået uregelmæssigt Netcompany Side 31

32 Gratis værktøjer og guides Der findes mange gratis værktøjer og guides Disse kan sjældent stå alene, og kan ikke erstatte konkrete vurderinger og professionel rådgivning, men det er et godt sted at starte Netcompany Side 32

33 Key takeaways GDPR består både af juridiske vurderinger og af teknik En elefant skal spises en bid ad gangen Få overblik over dine systemer Få indblik i dine data, hvad de bruges til, og hvem der har adgang til dem Overhold gældende lovgivning det vil gøre overgangen lettere Man kan ikke foretage én analyse eller købe ét it-system, og så er man compliant dette kræver løbende opfølgning. Start i dag! 2017 Netcompany Side 33

34 Spørgsmål Marco Alexander Biede (+45) linkedin.com/in/mbiede 2017 Netcompany Side 34