Agenda. Ny persondataforordning hvordan forbereder HOFOR sig?

Transkript

1 Agenda Ny persondataforordning hvordan forbereder HOFOR sig? Agenda o Baggrund og opstart o Uddrag af analyserapporten o Hvad er status lige nu o Sammenhæng mellem EU Persondataforordning og informationssikkerhed o Informationssikkerhed i HOFOR o Awareness kampagne i HOFOR o DANVA hjemmeside og vejledning 1

2 Der er stor fokus på håndtering af persondata 2

3 EU Persondataforordning: Baggrund Den nye persondataforordning indfører en række væsentlige ændringer og nyskabelser i forhold til den gældende persondatalov på en række andre områder, og som HOFOR skal blive fortrolig med og indrette sig efter for at overholde lovgivningen. Nedenstående oversigt er en ikke udtømmende liste af de nye og væsentligste initiativer i EU Persondataforordningen. a. Risiko for bødestraf på op til 4% af den globale omsætning eller op til 20 mio. euro b. Krav om en Data Protection Officer (DPO) for de fleste offentlige instanser, offentlig retlige organer og visse private virksomheder, hvis kerneforretning kræver eller omhandler behandling af følsomme oplysninger. c. Krav om Privacy by design og Privacy by default i både systemer og processer. d. Øget fokus på rettigheder til de registrerede, herunder vedr. retten til at blive glemt e. Øgede risikostyringskrav herunder Privacy Impact Assessment (PIA). f. Krav om underretning til Datatilsynet inden for max 72 timer efter en eventuel datalækage. g. Krav til governance og procesdokumentation herunder kontrol og opfølgning. 3

4 Hvordan kom EU Persondataforordningen på dagsorden i HOFOR : Invitation til møde med Ernst & Young sendt fra HOFORs Økonomidirektør til ITchef og IT-sikkerhedsansvarlig med emnet: Cybersikkerhed og EU's nye privacy forordning : Mødet med Ernst & Young, hvor de præsenterede Cyber Modenheds Program Dec. 2015: Ordlyden vedtages i EU Parlamentet Jan. 2016: IT-Sikkerhed udpeges til at koordinere aktiviteterne på tværs i HOFOR efter intern debat blandt funktionslederne i IT, Jura, HR, Kundegruppen og Økonomi : 1. interne koordineringsmøde afholdes : Projektkommissorium udarbejdet og vedtaget 4

5 HOFOR har defineret et projekt Formålet med projektet er at gøre HOFOR i stand til at efterleve EU Persondataforordningen pr Projektet er inddelt i 2 faser, en Foranalyse og en Gennemførelse Foranalyse Gennemførelse Projektkommissoriet er udarbejdet af en intern arbejdsgruppe i HOFOR bestående af: Medarbejder fra jura Medarbejder fra HR Bred forankring i organisationen Medarbejder fra Økonomi Medarbejder fra Kundecenter Medarbejder fra Kundeprogram Medarbejder fra Kontrakter Medarbejder fra IT Sikkerhed - Definer et projekt - Projektet skal være bredt forankret 5

6 Projektkommissorium: Projektmål Foranalyse: Projektetablering for foranalysen gennemført Begrebsafklaring for væsentlige begreber udarbejdet Oplæg til procedure / rolle og ansvarsfordeling for opfølgning og detailfortolkning af persondataforordningen udarbejdet Vurdering af compliance niveau udarbejdet Liste over informationsaktiver (IT systemer og papirarkiver) med persondata og deres dataansvarlige udarbejdet Krav til dataansvarlige (Proces- og dataejere / systemansvarlige) fastlagt Model for dataklassificering udarbejdet og godkendt Dataklassificering for persondata gennemført Plan for kortlægning af dataflow for persondata udarbejdet Liste over nødvendige politikker, procedurer og regler for håndtering af persondata udarbejdet Liste over kontrakter, hvori der indgår behandling af persondata udarbejdet Krav til databehandleraftale fastlagt Liste over databehandleraftaler udarbejdet Mapning mellem Persondataforordning og IT Sikkerhedsstandarden ISO27001/2 gennemført Vurdering af behov for DPO (Data Protection Officer) udarbejdet Analyserapport med oplæg til projekt- og tidsplan for næste projektfase udarbejdet Analyserapport drøftet i FL Revideret kommissorium for næste projektfase udarbejdet - Brug tid på at få styr på projektmål 6

7 Analyserapportens indhold 7

8 Dataklassificering Følsomme personoplysninger. Omfatter helbredsoplysninger, fagforeningsforhold, etnisk tilhørsforhold, religion, sociale forhold, straffeforhold, m.m. Almindelige personoplysninger. Indeholder identificerbare oplysninger som f.eks. navn, adresse, , telefonnumre, fødselsdato, medarbejderid, etc. Fortrolige informationer. Oplysninger der har en væsentlig økonomisk eller forvaltningsmæssig værdi for HOFOR, og hvor offentliggørelse vil forårsage væsentlige skade på HOFOR s image eller økonomi. Det gælder f.eks. visse økonomidata, data om it-infrastruktur, fortrolige forretningsplaner eller udbudsmateriale. Interne informationer. Omfatter oplysninger, som ikke indeholder personoplysninger eller fortrolige informationer, men kun er tiltænkt internt brug i HOFOR, og hvor offentliggørelse kun vil forårsage ubetydelig skade på HOFOR s image eller økonomi, som f.eks. vagtplaner og interne notater. Åbne informationer. Omfatter alt hvad der ikke er omfattet af ovenstående som f.eks. alle oplysninger, der er egnet til almen offentliggørelse, åbne dagsordner, kunde og erhvervsinformation. Klassifikation Adgang Fysisk opbevaring Elektronisk opbevaring Følsomme Meget begrænset Låst inde Backup personoplysninge Politik Politik Politik r Almindelige personoplysninge r Fortrolige informationer Interne informationer Åbne informationer Meget begrænset Politik Meget begrænset Politik: Begrænset adgang efter behov Alle Låst inde Politik Låst inde Politik Ingen regler Ingen regler Backup Politik Backup Politik Backup Politik Backup Politik Fysisk transport Sikker kurer Politik Sikker kurer Politik Sikker kurer Politik Ingen regler Elektronisk transmission Krypteret Politik Politik 13.2 Krypteret Politik Politik 13.2 Krypteret Politik Politik 13.2 Ingen regler Ingen regler Ingen regler - Få styr på dataklassificering 8

9 Persondata i HOFOR Kategori EU Persondataforordning - kunder Almindelige Personnavn oplysninger Adresse Telefonnummer Målerværdier Foto Følsomme oplysninger CPR-nr. Opbevares for alle kunder?? EU Persondataforordning medarbejdere og tidligere ansatte Personnavn Adresse Telefonnummer Fødselsdato Foto MedarbejderID Kontonummer Personlighedstest Familiemæssige oplysninger Løn, løntillæg og begrundelse for løntillæg Adgangskontrol Videoovervågning GPS Data Sko- og tøjstørrelse Kørekort Strafbare forhold Sygedage Tjenstlige forhold, herunder advarsler mv. Uddannelsesmæssige baggrund Ansøgning og CV Oplysning om vaccinationer Oplysning om sociale problemer Børns fødselsattester Helbredsoplysninger Fagforeningsmæssige tilhørsforhold Opbevares for alle medarbejdere EU Persondataforordning Eksterne Personnavn Adresse Telefonnummer Straffeattest (?) Ved eksterne forstås: Ansøgere, leverandører, rådgivere, etc. 9

10 Hvad gør HOFOR Kommissorium godkendes i PB Analyserapport afleveres til styregruppe Nyt kommissorium godkendes i PB Analyse godkendes i PB EU Persondataforordning træder i kraft Analyserapport skrevet af: Ida Sylvest, Jura, Christina Bøje, HR, Mette Ivarsen, Økonomi, Elna Rasmussen, Kundecenter, Susanne Kaa, Kundeprogram, Gert Rigbolt, IT kontrakter, Steen Pries, IT Sikkerhed Finn Asmussen, IT Sikkerhed Styregruppen er bekendt med knaphed på kroner/interne ressourcer, og vil derfor gerne undersøge muligheden for alternativ gennemførelse af projektet. Analyserapportens anbefaling Spor 1: Governance og processer, herunder: - Datastrømsanalyse - Politikker, procedurer, vejledninger og retningslinjer - Risikovurderinger - Awareness, uddannelse, etc. Spor 2: Tekniske foranstaltninger, herunder - Adgangsstyring - Logning - Data Leak Prevention - Dataklassificering - Systemtilpasning Kommissorium Analyserapport Spor 3: Juridiske forhold, herunder - Behandlingshjemmel, herunder samtykke - Databehandleraftaler 10

11 Hvad gør HOFOR Spor 1: Governance og processer, herunder: - Datastrømsanalyse - Politikker, procedurer, vejledninger og retningslinjer - Risikovurderinger - Awareness, uddannelse, etc. Spor 2: Tekniske foranstaltninger, herunder - Adgangsstyring - Logning - Data Leak Prevention - Dataklassificering - Systemtilpasning Spor 3: Juridiske forhold, herunder - Behandlingshjemmel, herunder samtykke - Databehandleraftaler -Der er gennemført 2 datastrømsanalyser sammen med Bech-Bruun o Rekrutteringsprocessen o Restance Inkasso o Afventer rapportering / konklusion - Der er indledt samarbejde med LinkGRC omkring udarbejdelse af procedurer, vejledninger og retningslinjer - Awareness kampagne er under udarbejdelse, baseret på Dubex - Tekniske foranstaltninger o De vigtigste foranstaltninger defineres o Det rigtige niveau defineres o Tidsplan - Databehandleraftaler o Udfordring vedrørende Hvad er en Databehandleraftale o Arkiveringsplan 11

12 Datastrømsanalyse Datastrømsanalysen skal indeholde alle relevante parametre til de enkelte processer, så HOFOR kan dokumentere, f.eks. formål med behandlingen, behandlingsregel, hvilke kategorier af registrerede og oplysninger, der indgår, ansvarlig procesejer, evt. ansvarlig/dpo, brugen af databehandlere, juridiske enheder, der er ansvarlige osv. 12

13 Nødvendige politikker, procedurer og regler Ca. 1/3 af alle procedurer, retningslinjer og vejledninger, som er nødvendige for at efterleve informationssikkerhedspolitikken omhandler også EU persondataforordningen. EU Persondataforordningen HOFOR Informationssikkerhedspolitik Fællesmængde Der er en stor sammenhæng mellem Informationssikkerhed og Persondataforordningen 13

14 Nødvendige politikker, procedurer og regler Udsnit af informationssikkerhedspolitik Procedurer Vejledninger Retningslinjer Opgaver Analyserapporten indeholder en liste over procedurer, vejledninger og retningslinjer, som skal udarbejdes indenfor informationssikkerhed for at kunne overholde persondataforordningen HOFOR Informationssikkerhedpolitik Persondataforordningen Procedurer Retningslinjer Vejledninger 14

15 Databehandleraftaler I dag gælder der allerede et krav om, at der skal træffes konkret aftale, når HOFOR - som ansvarlig for behandlingen af personoplysninger - lader et andet selskab/virksomhed foretage behandlingen på HOFORs vegne og dermed overlader behandlingen til en databehandler. En databehandler er således en part, der behandler data på HOFORs vegne. Det er HOFOR, som dataansvarlig, der ønsker databehandlingen, f.eks. opbevaring, videresendelse, processing e.lign. og det er databehandleren, der udfører det aftalte på HOFORs vegne. Den dataansvarlige har således ingen selvstændig ret over dataene. Kun i de tilfælde, hvor det er persondata, der behandles, vil de anførte regler være gældende. Det kan f.eks. være, at HOFOR indgår aftale med en virksomhed om, at virksomheden foretager behandlingen på HOFORs vegne. Det er tilfældet, når HOFOR eksempelvis indlæser/giver/overlader data til videre behandling hos en cloudleverandør, inkassobureau, samarbejdspartnervirksomhed m.v., der herefter behandler (opbevarer, ser, processer m.v) persondata. Den konkrete aftale, der giver virksomheden ret til at behandle data på HOFORs vegne sker ved udfærdigelse af en såkaldt databehandleraftale eller datainstruks. Databehandleraftalen kan også være en integreret del af f.eks. en IT-systemaftale. Der er også tale om en overladelse af persondata, der kræver en databehandleraftale, hvis overladelse af behandlingen af persondata sker til et koncerninternt selskab. Kravene til indholdet af en databehandleraftale skærpes betydeligt med de nye regler. Derudover har Datatilsynet på det seneste skærpet interessen og kritikken over for de virksomheder, der har rod i aftalerne i forhold til eksisterende databehandlere. Dette må forventes endnu mere udtalt, når de nye regler træder i kraft. 15

16 Informationssikkerhed i HOFOR Det handler om adfærd, processer og teknik Adfærd Ledelsens og organisationens adfærd er af betydning for sikkerheden. God adfærd forudsætter, at ledelse og medarbejdere kender til hvilke data og systemer i organisationen, som er særligt beskyttelsesværdige. De skal kende til de eventuelle risici for kompromittering og kende til organisationens sikkerhedspolitik og foranstaltninger. Processer Organisationen skal have processer for løbende vurdering og opretholdelse af sikkerheden samt beredskaber i tilfælde af sikkerhedsbrud. Processer Adfærd Teknik Teknik Organisationen skal sørge for en fornøden teknisk sikring af data og systemer. Alle tre elementer er nødvendige, og ingen af dem kan stå alene. En simpel analogi er sikringen af et hjem. Vi sætter lås på hoveddøren, men vi ved også, hvordan vi bruger en nøgle, og hvornår vi skal låse døren. Vi forstår formålet med låsen, så vi ikke forlader hjemmet med et åbent vindue eller overlader nøglen til en fremmed. Vi har en proces for at forlade hjemmet, idet vi kontrollerer for åbne vinduer, ser efter nøglen i lommen eller tasken, inden låsen slås til, og tager i døren for kontrollere, at den faktisk er låst. Kilde: National strategi for cyber- og informationssikkerhed 16

17 Informationssikkerhed i HOFOR HOFOR arbejder med informationssikkerhed for at underbygge mission og vision, hvor informationssikkerhed er en integreret del af HOFORs forretningsgrundlag. Dette gøres ved anvendelse af ISO 27001, som er en international standard indenfor informationssikkerhed. HOFORs nye Informationssikkerhedspolitik bygger på ISO27001 og er fundamentet for arbejdet med informationssikkerhed. HOFOR s politikker for informationssikkerhedspolitikker er samlet i et enkelt informationssikkerhedspolitik dokument, som nøje følger kontrollerne i ISO

18 Informationssikkerhed i HOFOR Kan gælde for alle. ISO27001 tager udgangspunkt i den enkelte institutions risikoprofil og lægger op til, at der implementeres netop de sikkerhedsforanstaltninger og kontrolprocedurer, der er passende for den enkelte virksomhed ISO27001-standarden lægger stor vægt på ledelsens engagement og bevidste stillingtagen til hvilke procedurer, der skal indføres og hvordan. Standarden indeholder en liste af mulige kontroller, der kan indføres for at opnå et passende sikkerhedsniveau, men den lægger vægt på, at listen ikke er udtømmende, så der kan være organisationer, der skal implementere flere eller andre kontroller. Det fordrer en vis grad af modenhed i den organisation, der anvender ISO27001, men giver også mulighed for løbende tilpasning i takt med ændringer i organisationen, teknologi og trusselsbilledet. ISO27001 er en international standard, hvilket letter samarbejdet med andre lande og i højere grad sikrer den nødvendige vedligeholdelse af standarden. Vedligeholdelse af ISO-standarder varetages af internationalt sammensatte ekspertgrupper, der med jævne mellemrum vurderer behovet for revision. 18

19 Sammenhæng mellem Persondataforordningen og Informationssikkerhed ISO27001 i selvejende statslige institutioner Selvejende institutioner er som udgangspunkt ikke forpligtede til at implementere ISO27001-standarden. Digitaliseringsstyrelsen vurderer imidlertid, at en lang række krav fra bl.a. persondataloven m.m. mest hensigtsmæssigt og effektivt kan imødekommes ved implementering af ISO27001 Det fremgår af Finansministeriets publikation Enkel administration i staten fra 2010, at statslige institutioner skal følge ISO27001, når den foreligger i ny udgave. Dette skete i januar I december 2014 udgav regeringen National strategi for cyber- og informationssikkerhed , hvoraf det følger, at deadline for implementering er senest primo Selvejende institutioner er ikke forpligtede til at følge ISO27001 Når selvejende institutioner og offentlige myndigheder behandler personoplysninger, er de imidlertid omfattet af persondataloven, sikkerhedsbekendtgørelsen og Datatilsynets afgørelser og udtalelser. Det fremgår bl.a., at der skal træffes fornødne tekniske og organisatoriske foranstaltninger i forbindelse med behandling af personoplysninger. På Datatilsynets hjemmeside er det beskrevet, hvad sikkerhedsforanstaltningerne blandt andet omfatter. For rådgivning om databeskyttelse henvises til Datatilsynet. ISO27001 er bedst til at imødekomme kravene Digitaliseringsstyrelsen vurderer, at kravene til persondatabeskyttelse og øvrig håndtering forretningskritisk data mest hensigtsmæssigt og effektivt imødekommes ved implementering af ISO27001-standarden. Det samme vil gøre sig gældende, når den kommende persondataforordning træder i kraft. Da implementering af ISO27001 erfaringsmæssigt tager 2-3 år, anbefaler Digitaliseringsstyrelsen, at implementering iværksættes allerede i år. 19

20 Sikkerhed i forbindelse med personaleadministration og ISO ) Beskriv hvordan I beskytter jeres personaleoplysninger i personaleadministration og i praksis har implementeret pkt Beskrivelsen kan være særlige retningslinjer, der indgår i virksomhedens uddybende sikkerhedsregler, i en it-sikkerhedspolitik eller som en del af virksomhedens information til medarbejderne. 5 Informationssikkerhedspolitikker mv. 2) Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt. 9 Adgangsstyring og 13 Kommunikationssikkerhed 3) Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne Intern organisering, 7.2 Under ansættelsen og Beskyttelse af personoplysninger 4) Personaleoplysninger på papir f.eks. i kartoteker og ringbind skal opbevares aflåst, når de ikke er i brug. Når dokumenter (papirer, kartotekskort mv.) med personaleoplysninger skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne. 8 Styring af aktiver og 11 Fysisk sikkerhed 5) Der skal anvendes adgangskode for at få adgang til pc er og andet elektronisk udstyr med personoplysninger. Kun de personer, der skal have adgang, må få en kode. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år. 9 Adgangsstyring 6) Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg Logning mv. 7) Hvis personaleoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af personaleoplysninger på andre bærbare datamedier. 8.3 Mediehåndtering 8) PC erkoblet til internettet skal have en opdateret firewall og viruskontrol installeret Mobilt udstyr og 11.2 Udstyr 9) Hvis der benyttes hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering. 10 Kryptering og 13 Kommunikationssikkerhed 10) Hvis følsomme personaleoplysninger og personnummer sendes med via internettet, anbefaler Datatilsynet kryptering. -8 Styring af aktiver, 10 Kryptering og 13 Kommunikationssikkerhed 11) I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab. 11 Udstyr 12) Ved brug af en ekstern databehandler til håndtering af oplysninger, skal persondatalovens 42 om skriftlig databehandleraftale mv. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet. -15 Leverandørforhold 20

21 Informationssikkerhed i HOFOR HOFOR s informationssikkerhedspolitik er inspireret af en række input udefra. Inspiration fra bl.a.: Kontrollerne i ISO27001 HOFOR s nuværende politikker Digitaliseringsstyrelsen Dansk Industri Dansk Standard Københavns Kommune Neupart (nu del af KMD) DUBEX persondataforordning kommende bekendtgørelser IT-revisionen plus en række andre - Se på, hvad andre gør 21

22 Informationssikkerhed i HOFOR HOFORs nye informationssikkerhedspolitik bygger på kontrollerne i ISO Indledning 2. Styring af informationssikkerhed 3. Lederes og medarbejdernes ansvar 4. Årshjul 5. Informationssikkerhedspolitikker 6. Organisering af informationssikkerhed 7. Personalesikkerhed 8. Styring af aktiver 9. Adgangsstyring 10. Kryptografi 11. Fysisk sikring og miljøsikring 12. Driftssikkerhed 13. Kommunikationssikkerhed 14. Anskaffelse, udvikling og vedligeholdelse af systemer 15. Leverandørforhold 16. Styring af informationssikkerhedsbrud 17. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring 18. Overensstemmelse 22

23 Sammenhæng med EU Persondataforordning Angivelse af, hvor mange steder ordet Personoplysninger forekommer i informationssikkerhedspolitikken 1. Indledning 2. Styring af informationssikkerhed 3. Lederes og medarbejdernes ansvar 4. Årshjul 5. Informationssikkerhedspolitikker (1) 6. Organisering af informationssikkerhed (7) 7. Personalesikkerhed (2) 8. Styring af aktiver (5) 9. Adgangsstyring (3) 10. Kryptografi (2) 11. Fysisk sikring og miljøsikring (9) 12. Driftssikkerhed (2) 13. Kommunikationssikkerhed (3) 14. Anskaffelse, udvikling og vedligeholdelse af systemer (6) 15. Leverandørforhold (9) 16. Styring af informationssikkerhedsbrud Informationssikkerhed og beskyttelse af persondata hænger sammen 17. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring (under udarbejdelse) 18. Overensstemmelse (11) 23

24 Informationssikkerhedspolitik HOFORs nye informationssikkerhedspolitik er godt gennemarbejdet og har været gennem 2 høringer. Drøftelse i IT Sikkerhedsudvalg InFoSi version 2 1. høringsperiode udarbejdes 2. høringsperiode InFoSi endelig version udarbejdes Godkendelse af endelig version i IT Sikkerhedsudvalg Sikkerhedsforum SRO Sikkerhedsforum Netværk IT Arkitekt IT Ledelse InFoPo, version 1 sendes ud til 1. høring Udvalgte HOFOR medarbejdere InFoPo, version 2 sendes ud til 2. høring IT sikkerhedsudvalg Sikkerhedsforum SRO Sikkerhedsforum Netværk IT Arkitekt IT Ledelse Udvalgte HOFOR medarbejdere SU Udvalgte eksterne parter InFoPo, endelig version færdig Version 1 Version 2 Endelig version Antal tilbagemeldinger: 15 Antal kommentarer: over 300 Antal ændringer: over 100 Antal tilbagemeldinger: 5 Antal kommentarer: over 100 Antal ændringer: over 30 24

25 Informationssikkerhedspolitik: Det videre forløb Godkendelse af endelig version i IT Sikkerhedsudvalg Kommunikation: 2-3 medarbejder pjecer klar Procedurer etc: 3 procedurer etc. klar Kommunikation: 6-7 medarbejder pjecer klar Procedurer etc: 7-8 procedurer etc. klar Kommunikation: Alle medarbejder pjecer klar Procedurer etc: 15 procedurer etc. klar Procedurer etc: 25 procedurer etc. klar Procedurer etc: De væsentligste procedurer til overholdelse af EU Persondataforordning er klar April.2017 Juli.2017 Oktober.2017 Januar HOFOR Informationssikkerhedspolitik retningsgivende i det første år Bearbejdet af kommunikation Informationssikkerhedspolitik for alle medarbejdere Rolle 1: Informationssikkerhedspolitik for direktionen og topledelse Rolle 2: Informationssikkerhedspolitik for ledere Rolle 3: Informationssikkerhedspolitik for systemejere Rolle 4: Informationssikkerhedspolitik for IT driftsansvarlige Rolle 5: Informationssikkerhedspolitik for projektledere Rolle 6: Informationssikkerhedspolitik for medarbejdere i driften Rolle 7: Informationssikkerhedspolitik for HR medarbejdere Rolle 8: Informationssikkerhedspolitik for medarbejdere, som arbejder med persondata Rolle 9: Informationssikkerhedspolitik for rådgivere og leverandører Rolle 1 Rolle 2 Rolle 3 Rolle 4 Rolle 5 Rolle 6 Rolle 7 Rolle 8 Rolle 9 Interessenter Rå version Interessenter Medarbejder version Informationssikkerhedspolitik for alle medarbejdere Udarbejdelse af procedurer, vejledninger og retningslinjer Der er i alt ca. 45 procedurer, 30 vejledninger og 10 retningslinjer som skal udarbejdes, heraf ca. 35% i forbindelse med EU Persondataforordningen 25

26 Informationssikkerhed for alle medarbejdere God adfærd Hvad gør ved mistanke om misbrug Logning af aktivitet Print / håndtering af oplysninger Informationssikkerhed (generelt) Alles ansvar Skal følges af alle Sanktioner Fysisk sikkerhed Tyverisikring Brug af HOFOR IT support Vigtigste begreber Dokumenter / data Personfølsomme data brug systemer, ikke lokal opbevaring Dropbox og lignende Brug af USB Brug af sharefile Rent skrivebord Din PC PC som værktøj Lås din PC, når du ikke er der / Blank skærm Software via softwareshoppen Software installationer Firewall aktiv, når man arbejder eksternt Antivirus PC som fjernarbejdsplads CITRIX Kryptering Mobile enheder / Smartphones Installation af Software Sikkerhedsindstillinger Workshome Trådløse net / fremmede net Social engineering Sociale medier Adgangskoder Passwords Internt Internet Privat Sikker på nettet Web browsere Web sider Mails Mails fra ukendte afsendere Links og vedhæftninger Phishing 26

27 Awareness kampagne i HOFOR Awareness kampagnen starter op første halvår af 2017 Awareness kampagnen indeholder: Læring ved hjælp af e-learning Information via plakater Pjece Infoskærme Intranet etc. Informationssikkerhed er afgørende på en moderne arbejdsplads, og den menneskelige faktors betydning bør ikke undervurderes. Medarbejdernes manglende opmærksomhed på risici i forbindelse med anvendelsen af institutionens systemer, kan medføre nedbrud, datafejl og/eller lækage af fortrolig information. Manglende tilgængelighed til systemer og informationer, mistet integritet og tillid til beslutningsgrundlaget samt brud på fortroligheden omkring følsomme data kan have meget alvorlige konsekvenser. 27

28 Awareness kampagne i HOFOR Læring ved hjælp af e-learning 28

29 DANVA hjemmeside DANVA hjemmeside om persondatalovgivningen 29

30 DANVA Vejledning: Målerdata Målerdata Måledata(forbrug) indhentes, jf. persondatalovens 6, stk. 1, nr. 3., som led i forsyningsselskabets overholdelse af en retlig forpligtelse14. Herudover anvender forsyningsselskabet måledata til brug for optimering og drift af nettet. Det lægges til grund, at en sådan behandling kan ske med hjemmel i persondatalovens 6, stk. 1, nr. 3 (retlig interesse) eller nr. 7 (nødvendig for at dataansvarlig kan varetage berettiget interesse). Forsyningsselskabets behandling af måledata er endvidere nødvendig af hensyn til opfyldelse af leveringsforpligtelsen over for den enkelte kunde og den heraf følgende fakturering af kunden, jf. persondatalovens 6, stk. 1, nr. 2. Målerdata må således anses for almindelige personoplysninger, der kan behandles med hjemmel i persondatalovens 6. Det bemærkes dog, at i hvert fald oplysninger om energiforbrug antages at være en oplysning, som ikke kan videregives til private eller offentliggøres uden samtykke, jf. persondatalovens 6, stk. 1, nr. 7. Det er uafklaret, om dette også gælder forbrugsoplysninger, som vedrører vand og spildevand og ikke energi. Det er DANVAs opfattelse, at oplysninger om forbrug i forhold til vand og spildevand ikke kan videregives til private eller offentliggøres uden samtykke. Der er ikke tale om følsomme personoplysninger, men hensynene til, at det ikke skal være muligt for udenforstående at kende den enkelte husstands forbrug, gør, at disse oplysninger har en privat karakter. Oplysninger om forbrug bør således ikke kunne offentliggøres eller videregives uden den enkelte kundes samtykke. 30

31 DANVA Vejledning: Målerdata Muligheden for at aflæse målerdata ved fjernaflæsning ændrer ikke på, at der stadig er tale om en behandling af almindelige ikke-følsomme oplysninger, der kan behandles med hjemmel i persondatalovens 616, selvom fjernaflæsning gør det muligt at foretage en meget hyppigere aflæsning end en manuel aflæsning. Det er dog en forudsætning, at oplysningerne behandles til forsyningsformål herunder forsyningspligt, forsyningsøkonomi og miljøhensyn eller f.eks. statistik og forskning i forsyningens interesse. Hvor ofte, der kan ske fjernaflæsning til forsyningsformål, afhænger af det konkrete projekt/formål, og hvor ofte det her er sagligt nødvendigt at foretage fjernaflæsning sammenholdt med den integritetskrænkelse, det kan indebære for den enkelte kunde. Der skal således foretages en konkret vurdering af behovet for aflæsning af målerdata. Hvis målerdata i forbindelse med fjernaflæsning behandles med henblik på monitorering af enkelte ejendomme og kunder, er der en risiko for, at fjernaflæste målerdata blive anset for at være følsomme oplysninger omfattet af persondatalovens 8. En løbende dataindsamling/aflæsning af målerdata med henblik på monitorering vil formentlig kræve samtykke specielt hvis der er tale om hyppig registrering fordi en profil baseret på mange, hyppige målerdata går tæt på kundens persondataretlige integritet. Det må antages, at kravene ved udarbejdelse af profiler om forbrug og muligheden for at videregive eller offentliggøre disse i det væsentlige vil falde ud på tilsvarende vis efter reglerne i databeskyttelsesforordningen. I forordningen er der således også tale om en skærpet vurdering ved udarbejdelse af profiler og vurderingen af, om der er tale om en integritetskrænkelse. 31

32 Eventuelt 32