Tryghed i den digitale verden - It-sikkerhed og persondata

Størrelse: px

Starte visningen fra side:

Download "Tryghed i den digitale verden - It-sikkerhed og persondata"

Sigrid Petersen
5 år siden
Visninger:

1 Tryghed i den digitale verden - It-sikkerhed og persondata

2 MIN KONTEKST CPR-systemet Sundheds-it og elektroniske patientjournaler Borger.dk NemID Digital velfærd Offentlig fornyelse Cybersikkerhed 2

3 DI og DI Digitals sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed & tillid Virksomhederne Borgerne Offentlig sektor Produktsikkerhed / IoT-sikkerhed Produktionssikkerhed / OT-sikkerhed Persondata og databeskyttelse 3

4 TAKE-AWAY DI S SYN PÅ SIKKERHED I DET DIGITALE SAMFUND TILLID Vores afhængighed af digitale data, netværk og tjenester er altoverskyggende lige fra vores privatsfære over vores arbejdsliv til vores samfunds drift. Mistillid til de digitale muligheder kan starte i det små, men ende med at være gift for digitaliseringen og udnyttelse af de digitale muligheder. SAMFUNDSUDFORDRING Flere niveauer; person, organisation og samfund It-sikkerhedskultur 4

5 Klassiske cybertrusler 5

6 Ransomware og DDoS Back-up Betal ikke & Opdatér Efterspørg ydelser hos din leverandør 6

7 Cybertrusler på flere niveauer 7

8 Brug for løsninger på flere niveauer Et samfundsproblem skal have en samfundsløsning Alle har et ansvar Det er en international udfordring 8

9 Forestil jer en transportsektor uden sikkerhedsforståelse fra samfundsniveau til individniveau 9

10 Tager vi fat i transportsektoren som forbillede for den digitale verden, er sikkerheden indarbejdet i designet, lovreguleret, understøttet gennem samfundsmæssige infrastrukturelle investeringer. Sikkerheden er et parameter hos forbrugeren, leverandøren, myndigheden, politikeren og i trafikkulturen. 10

11 DI s topmødeforslag vedr. it-sikkerhed International digital konvention Styrke national og international bekæmpelse af cyberkriminalitet It-sikkerhed som dansk konkurrenceparameter 11

12 12 Morten Rosted Vang Udspil til forsvarsforlig - cyber

Danske virksomheder og it-sikkerhed Danmarks Statistiks årlige undersøgelser af virksomhedernes it-anvendelse viser: at næsten hver tredje virksomhed (30 pct.

13 Danske virksomheder og it-sikkerhed Danmarks Statistiks årlige undersøgelser af virksomhedernes it-anvendelse viser: at næsten hver tredje virksomhed (30 pct.) øgede sidste år sine investeringer i it-sikkerhed i forhold til året før Fire ud af fem virksomheder har i dag implementeret grundlæggende it-sikkerhedstiltag. Sammenlignes der med 2015, har virksomhederne øget fokus på alle it-sikkerhedsforanstaltninger undtaget de overordnede ledelsessystemer. 13

14 Den anden side 58 pct. har udarbejdet it-sikkerhedsrelaterede retningslinjer til medarbejderne 39 pct. stiller krav til virksomhedens leverandører vedr. it-sikkerhed. Øgede investeringer i it-sikkerhed var mest udbredt blandt de større virksomheder. Blandt de mindste var det omkring hver femte virksomhed, der på denne vis opprioriterede it-sikkerheden. 14

15 Kilde: Verizons 2017 Data Breach Investigations Report 15

16 Fundamental digital sikkerhed IT-sikkerhed er ledelsens ansvar (deleger arbejdet, godkend, status) Udpeg en IT-sikkerhedsansvarlig Identificer aktiver, vurder risici, klassificer (evt. krypter for fortrolighed) Opdater software (semiautomatisering) Tag backup Installer sikkerhedspakke med antivirus og firewall m.v. Foretag og reager på logning Styre brugerne (adgangskontrol, passwords, udstyr, applikationer, er medarbejderne glade?, lokale administratorer) Whitelist (der sker flere opkobling til cloud tjenester end i klar over) Vær i compliance med lovgivningen Lav en overordnet IT-sikkerhedspolitik (målsætning, kommuniker, awareness, repressalier) og retningslinjer (hjemmearbejde, BYOD) Skab en IT-sikkerhedskultur (vær rollemodeller) 16

17 Tendenser i digital sikkerhed 1 It-sikkerhed og svindel - Politiet har fra 2009 til 2015 oplevet en tredobling i anmeldelser af svindelsager. CEO FRAUD INVOICE FRAUD 17

18 Tendenser i digital sikkerhed 2 PwC: McAfee Labs: Accenture: 67 % af de 300 danske virksomhedsledere og it-chefer har været udsat for afpresning (ransomware) i 2016 alene. Det er en tredobling på kun ét år. Ransomware stilner af i sidste halvdel af Malware via IoT og reklamekampagner er nye trusler. Behov for fokus på en sikkerhedsstrategi for mobile teknologier 18

19 Den 25. maj

20 Persondataforordningen Bødestørrelse, bødestørrelse og bødestørrelse Fra kr. til 4 % af den globale omsætning Harmonisering One stop shop og fælles fortolkningspraksis Nye tiltag Anmelderordning erstattes af dokumentationspligt Konsekvensanalyser Databeskyttelse by design og default Dataportabilitet Databeskyttelsesrådgiver Orientering ved sikkerhedsbrud 20

21 21 Morten Rosted Vang Hvad er en personoplysning? Oplysning om en fysisk person Enhver information, der kan henføres til en person, fx: Navn, adresse mv. Fingeraftryk IP-adresse Portrætbillede Købshistorik

22 22 Morten Rosted Vang Dataansvarlig // databehandler Den dataansvarlige er den centrale aktør Den dataansvarlige kan lade en databehandler udføre (en del af) persondatabehandlingen på vegne af den dataansvarlige efter den dataansvarliges instruks Krav om skriftlig aftale

23 23 Morten Rosted Vang Almindelige oplysninger Relevante grundlag for behandling: Samtykke Kontrakt Retlig forpligtelse Interesseafvejning

24 24 Morten Rosted Vang Følsomme oplysninger Forbud som udgangspunkt Relevante undtagelser: Samtykke Arbejdsret Selvoffentliggørelse Retskrav Forskning mv.

25 Morten Rosted Vang Vang Danmarks Farve- Farveog Limindustrien og Limindustri God skik og sagligt formål God skik: Lovlig, rimelig og gennemsigtig Det

25 25 Morten Rosted Vang Vang Danmarks Farve- Farveog Limindustrien og Limindustri God skik og sagligt formål God skik: Lovlig, rimelig og gennemsigtig Det skal være klart, hvorfor personoplysninger bliver indsamlet, og formålet skal være sagligt Personoplysningerne må ikke senere anvendes i strid med formålet

26 26 Morten Rosted Vang I skal skabe et overblik Hvilke oplysninger har I? Hvorfor? Har I et lovligt grundlag? Hvem deler I oplysninger med? Sletter I oplysninger? Har I oplysninger om børn? Lav en datastrømsanalyse DI har skabelon

27 27 Morten Rosted Vang I skal dokumentere Generel anmeldelsespligt er fjernet i stedet egenkontrol I skal kunne påvise, at I overholder reglerne I visse tilfælde føre en fortegnelse over jeres behandlinger af personoplysninger DI har skabelon

28 28 Morten Rosted Vang I skal overholde de registreredes rettigheder Oplysningspligt Indsigtsret Ret til berigtigelse og sletning + begrænsning af behandling OBS: Underretningspligt Dataportabilitet (få data med) Indsigelsesret Svarfrist: 1 måned

29 29 Morten Rosted Vang I skal have styr på databehandlere I skal indgå aftaler med databehandlere, der overholder de skærpede regler DI har skabelon samt tjekliste Tjek om eksisterende aftaler med databehandlere overholder de nye regler Kontrol inden aftale: Sikre at databehandleren kan overholde persondata reglerne Kontrol efter aftale: Løbende sikre at databehandleren overholder persondata reglerne tommelfingerregel: én gang årligt Lav procedure for denne kontrol

I bør udpege en persondata ansvarlig Fordel at have persondata ansvarlig, der har ekspertise og kendskab til virksomheden Krav om DPO, hvis: kerneaktivitet og systematisk

30 I bør udpege en persondata ansvarlig Fordel at have persondata ansvarlig, der har ekspertise og kendskab til virksomheden Krav om DPO, hvis: kerneaktivitet og systematisk overvågning eller følsomme oplysninger i stort omfang DPO er en intern vagthund, der rapporterer til øverste ledelse. Rådgiver også virksomheden og er kontaktperson udadtil. 30

31 31 Morten Rosted Vang I bør oplære jeres medarbejdere I bør have procedurer og retningslinjer for medarbejdere Oplær dem i, hvordan de må/skal indsamle, behandle og videregive personoplysninger God idé med oplysningskampagner det handler om en kulturændring

Alle databrud skal dokumenteres 32 Morten Rosted Vang I skal rapportere databrud Pligt til at orientere Datatilsynet om databrud inden for 72 timer Medmindre det er usandsynligt, at bruddet indebærer

32 Alle databrud skal dokumenteres 32 Morten Rosted Vang I skal rapportere databrud Pligt til at orientere Datatilsynet om databrud inden for 72 timer Medmindre det er usandsynligt, at bruddet indebærer risiko for de registrerede De registrerede skal også orienteres, hvis databruddet indebærer en høj risiko for dem Forbered jer på, at databrud kan indtræffe alle steder og i alle virksomheder lav en handlingsplan

33 33 Morten Rosted Vang Driver I virksomhed i flere lande? OBS: Overførsel til tredjelande særlige krav I skal afklare, hvilken tilsynsmyndighed, I hører under Datatilsynets vejledning

34 34 Morten Rosted Vang Husk løbende indsats VIGTIGT: Det er ikke en enkeltstående distance At overholde persondata reglerne kræver en løbende indsats God idé med compliance årshjul, der sikrer løbende kontrol med jeres behandling af persondata

35 35 Morten Rosted Vang Jeres udbytte I beskytter personoplysninger det skaber tillid I får kendskab til jeres data det kan skabe nye forretningsmuligheder I får strømlignet nogle processer og forøget effektiviteten

36 Kom videre Viden, indflydelse og netværk i DI og DI Digital Kontakt Morten Rosted Vang morv@di.dk 36

Relaterede dokumenter

Persondata politik for GHP Gildhøj Privathospital

Persondata politik for GHP Gildhøj Privathospital Baggrund for persondatapolitikken Denne persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU)