EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

Transkript

1 EU Persondataforordningen, ISO/IEC og de nye privacy-standarder ItSMF-konferencen, oktober 2017

2 It s gonna cost you! 25. Maj 2018

3 En revolution af nye krav til persondatabeskyttelse? Databeskyttelsesrådgivere (DPO) Konsekvensvurderinger (DPIA) GDPR Rettigheder til den registrerede Fortegnelser over persondata

4 Dansk Standard

5 EU Persondataforordningen (GDPR) - your quick guide!

6 En forordning suppleret med national fortolkning Beskyttelse af EU s borgere Enslydende regelsæt i EU Forpligtelser for dataansvarlig og behandler

7 Business as usual Hjemmel Informationssikkerhed Opdeling af persondata Overførsel til 3. lande Persondataloven Lov af 31/05/2000 Principper for behandling af data Klageadgang Rettigheder til den registrerede

8 Behandlingsprincipper Formålsbestemthed Kun indsamles for specifikke, udtrykkelige og legitime formål. Yderligere behandling er ikke tilladt, medmindre dette er angivet særskilt i lov Minimalitet Tilstrækkelig, relevant og begrænset til, hvad der er nødvendigt i forhold til de formål, som begrunder behandlingen Art. 5 Subsidiaritet Det skal vurderes, om der er andre mindre indgribende måder at nå målet på

9 Kategorier af persondata Alm. Persondata (Art. 6) Navn, køn, alder, Interesser kreditkortoplysninger Sociale problemer Særlige persondata (Art. 10) Følsomme persondata (Art. 9) Strafbare forhold Racemæssig eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Helbredsforhold Seksuelle forhold Biometriske data

10 Den registreredes (udvidede) rettigheder Indsigelse Tilbagekaldelse Indsigt Sletning Oplysning. Portabilitet Art

11 Bøder! Art. 5-7 og 9 20 mio. EUR eller 4 % af omsætning Art mio. EUR eller 2 % af omsætning Det offentlige <16. mio DKK

12 DPO - databeskyttelsesrådgiver Kerneaktivitet I stort omfang Regelmæssigt eller vedr. følsomme persondata Art

13 Accountability og fortegnelsen over persondata 1.Hvilke kategorier af persondata? 1.Hvilke behandlinger ønsker vi? Hvad er formålet? Hvilke hjemmel har vi? Er de(n) registrerede blevet oplyst herom? Art. 30, jf. art. 9

14 DPIA - Konsekvensvurdering ved behandling af persondata A. Systematisk, omfangsrig behandling en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, og som er grundlag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende vis betydeligt påvirker den fysiske person Hvis en type behandling [ ] sandsynligvis vil indebære en høj risiko B. Følsomme persondata i stort omfang for fysiske personers rettigheder og frihedsrettigheder. behandling i stort omfang af særlige kategorier Art. 35, af 1 oplysninger, jf. artikel 9, stk. 1, eller af personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10, eller C. Offentligt område systematisk overvågning af et offentligt tilgængeligt område i stort omfang.

15 Håndtering af databrud Hvornår Hændelse: Tab af persondata eller behandling uden lovgrundlag kan ikke udelukkes Datatilsynet: 72-timers regel Den registrerede: hvor rettigheder og friheder kan være truet Art. 33 og 34 Hvordan Beskrivelse af persondatabruddet Omfang af persondata samt antal berørte registrerede Persondatakategorier Kontaktpersoner, evt. DPO Mulig konsekvens samt iværksatte eller planlagte foranstaltninger

16 Privacy by design - og by default Art. 25

17 ISO/IEC og de nye privacy-standarder - your quick fix?

18 Vejledninger Databeskyttelsesrådgivere sept Dataansvarlige og databehandlere okt Samtykke okt Fortegnelse nov Behandlingssikkerhed dec Privacy by design/default dec Konsekvensanalyse dec Cloud computing dec Håndtering af persondatabrud jan Registreredes rettigheder jan. 2018

19 Standarder Metode Ledelsessystemer Konstruktion Ydeevne Symbol

20 Sammenspillet med øvrige standarder ISO 9001 ISO/IEC Procestilgang Leverandørstyring Kundetilfredshed Kvalitet i service ISO/IEC Interne audits Ledelsesgennemgang Korrigerende handlinger Dokumentstyring Organisering Incident Management Change Management Availability Continuity Sikkerhed

21 Procestilgang KONTROLLER Interessenters forventninger og ønsker Organisationens mål, mission, vision og værdier Aftaler Plan AKTIVITETER Act SOM STYRES Do OG LØBENDE VURDERES Check Informationssikkerhed i henhold til målsætninger Input Processer Output

22 ISO/IEC Organisationen, rammer og vilkår (4) ACT Kundetilfredshed CHECK Etablere og opretholde en relevant Lederskab fortrolighed, (5) integritet og tilgængelighed af Forbedring (10) Præstationsevaluering (9) Planlægning(6) + support (7) Drift (8) informationer PLAN DO Kundekrav Relevante interessenters behov og forventninger (4) Produkter og ydelser

23 Behandlingssikkerhed Persondata Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af Sandsynlighed varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske Konsekvens foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici [ ] Art. 32

24 Accountability og dokumentation af compliance Grundlæggende privacy-principper, art. 5 Dokumentation, art. 24, 30 DPIA, art. 35 Behandlingssikkerhed, art. 32 Databrud, art. 33 Databehandleraftaler, art. 28 Privacy by design/default, art. 25

25 ISO/IEC 27001: Dokumentationskrav PLAN DO CHECK ACT POLITIK OG MÅLSÆTNINGER (5.2; 6.2): En dokumenteret informationssikkerhedspolitik, der indeholder målsætninger for informationssikkerhed RISIKOVURDERING (6.1.2, 8.2): En risikovurderingsrapport RISIKOHÅNDTERINGSPLAN (6.1.3, 8.3): En plan for håndtering af risici MÅLING (9.1): Proces for og resultat af måling af foranstaltningers effektivitet LEDELSENS GENNEMGANG (9.3): Rapportering til ledelsen om evaluering af inf.sikkerhed og effekten af ISMS, afvigelser og opfølgende handlinger ANVENDELSESOMRÅDE (4.3): En dokumenteret afgrænsning af ISMS et RISIKOMETODE (6.1.2): En beskrivelse af risikovurderingsog håndteringsprocessen SOA-DOKUMENT (6.1.3): Et Statement of Applicability MEDARBEJDERKOMPETENCER (7.2d): Dokumentation for kvalifikationer, erfaring og uddannelse INTERNE AUDITS (9.2): Programmer og rapporter for interne auditeringer AFVIGELSER OG KORRIGERENDE HANDLINGER (10.1): Registrering og håndtering af afvigelser og implementering af korrigerende handlinger

26 Privacy-seriens bestsellers Krav ISO/IEC 27001: Risikostyring Krav til et ledelsessystem for informationssikkerhed ISO/IEC 27005: Kontroller ISO/IEC 29100: Arkitektur for beskyttelse af persondata Risikostyring for informationssikkerhed ISO/IEC 29134: Privacy Impact Assessment ISO/IEC 27002: Kontroller til informationssikkerhed ISO/IEC 29151: Privacy-kontroller

27 ISO/IEC 29134: Vejledning i DPIA Oversigt over aktiviteter og deres formål Vurdering af aktiviteternes nødvendighed Vurdering af risici for den registrerede Kontroller til håndtering af risici Kilde: ISO/IEC 29134: Figure D2 Art. 35, 7.

28 ISO/IEC 29151: Vejledning i persondatakontroller A.5 Informationssikkerhedspolitikker A.6 Organisering af informationssikkerhed A.7 Personalesikkerhed Anneks A, 1-13: A.8 Styring af aktiver A.9 Adgangsstyring Samtykke og valg A.10 Kryptografi Formålets legitimitet og specificering Minimering af indsamling og datahandling A.11 Fysisk sikring og miljøsikring Begrænsning i brug, opbevaring og afsløring A.12 Driftssikkerhed Korrekthed og kvalitet A.13 Kommunikationssikkerhed Åbenhed, gennemsigtighed og notificering A.14 Anskaffelse, Den udvikling registreredes og vedligeholdelse deltagelse af systemer og adgang A.15 Leverandørforhold Ansvar A.16 Styring af Informationssikkerhed informationssikkerhedsbrud Compliance A.17 Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring A.18 Overensstemmelse

29 Privacy by Design/Default 1. ISO/IEC JTC 1/SC 27: IT Security techniques 2. CEN/CLC TC 8: Privacy management in products and services 3. CEN/CLC TC 13: Cybersecurity and Data Protection

30 It s the economy, stupid! - og it-afdelingen har en nøglerolle

31 Vi vil da gerne, ikke?

32 Dataflow den registrerede Ansvarlig Behandler 3. part Kilde: ISO/IEC 29134:2017

33 Risikostyring Kriterier Hvordan bestemmes konsekvensniveauet? Hvordan bestemmes sandsynlighedsniveauet? Skala Hvilken skala benyttes til at beskrive konsekvensen? Hvilken skala benyttes til at beskrive sandsynligheden? Accept Hvordan evalueres risici? Hvordan bestemmes organisationens risikovillighed?

34 Hændelseshåndtering Identifikation Dokumenter afvigelse +/- DATABRUD Analyse og evaluering Kan vi udelukke: 1. Tab af persondata eller 2. behandling uden lovgrundlag? Vurder behov for eliminering af årsag Find og udvælg løsninger Implementering Implementer nødvendige handlinger Dokumenter handlinger Løbende forbedringer Evaluer effekten af korrigerende handlinger

35 Vedblivende og løbende forbedrede processer

36 Persondatabeskyttelse forankret hos topledelsen Lederskab og engagement Kommunikation, ressourcetildeling og strategisk forankring Politik Fastlæggelse af retningslinjer Roller, ansvar og beføjelser Delegering og kommunikation Evaluering Egnethed, tilstrækkelighed og effektivitet af aktiviteter

37 Udvalg for Informationssikkerhed (S-441) Adgang til dansk medlemsnetværk MARKEDSPOSITION Adgang til internationalt netværk af eksperter Gratis personlig adgang til udgivne standarder Følg med i internationale standarder inden for ISO/IEC serien, privacy, Cloud/SLA og Biometrics INDSIGT INDFLYDELSE Ny komite på EU-niveau: Cybersecurity and data protection

38 Tak for jeres tid! Anders Linde Tlf.: