Nyskabelser I persondataforording - DI's redskaber til compliance

Transkript

1 Nyskabelser I persondataforording - DI's redskaber til compliance

2 DI og DI Digitals sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne Offentlig sektor Produktsikkerhed / IoT-sikkerhed Produktionssikkerhed / OT-sikkerhed Privacy Vejledning om forordningen PIA-vejledning DPO-netværk 2

3 Trusler - fremmede lande Office of Personnel Management millioner registrerede - Ganske mange og følsomme data om de registrerede - Muligvis baggrundsinformationer om sikkerhedsgodkendelser - 1+ millioner fingeraftryk Motiv: Data, viden, evne til fremtidige angreb 3

4 Trusler - hackere / it-kriminelle Zeus, trojaner, brugt til at lave man-in-the-browser attack, installere CryptoLocker ransomware og SpyEyeVirus Motiv: Penge 4

5 Trusler - idealister Ashley Madison millioner brugere fra.dk - "The Impact Team", moralsk motiv - Konti oprettet uden validering af - Betaling for at blive slettet - uden at det skete - Blandt de 5,5 millioner kvindelige konti var masser oprettet fra den samme ip-adresse og kun 1% udviste egentlig aktivitet - Konsekvenser: Skilsmisser, afpresning (.mil,.gov), selvmord, 5

6 Danske cases - it-kriminelle SE&HØR-sagen - Tys-tys-kilden - It-specialist hos IBM - Personoplysninger fra Nets - Betaling fra SE&HØR - 10k/md, i alt 310k - Også adgang til DeMars hos forsvaret, NemID, m.v. - Ofre: kongehuset, politikere, sportsfolk og kunstnere - Konsekvenser: En række medarbejdere hos SE&HØR m.v. er anklaget - Insiderproblematik og manglende funktionsadskillelse 6

7 Danske cases - it-kriminelle CSC-sagen - Hack mod CSC gav adgang til og data fra cpr-registret, kørekortregistret og Schengens informationssystem med oplysninger om efterlyste europæere. - Zero-day sårbarhed udnyttet - Åben webserver med inddatering af pensioner kørte på samme server - Manglende segmentering og utilstrækkelig logning - Konsekvenser: Dømt 7

8 Summa sumarum Trusler Fremmede lande IT-kriminelle Idealister Fejl Der er ikke kun brands og myndigheder: alle er mulige mål 8

9 Fakta Afbalanceret resultat Styrke individernes ret til databeskyttelse Understøtte det frie flow af data Reducere administrative byrder Indhold 99 artikler (tidligere 34) 173 præambler (tidligere 72) 260 sider (tidligere 20+) 26 definitioner (tidligere 8/9) 9

10 Fakta Opbygning Der er nogle principper for god behandlingsskik som skal efterleves Der skal findes et hjemmelsgrundlag til behandling Den registrerede har nogle rettigheder, som vedkommende skal kunne udøve Den dataansvarlige og databehandlere skal efterleve nogle forpligtelser Datatilsynet har ret til at føre tilsyn, komme med påbud, advarsler og bøder 10

11 De vigtigste nye regler Samtykke ændres en smule Mere oplysning til de registrerede Sletning også i et vist omfang hos tredjeparter (men ikke "right to be forgotten") Dataportabilitet Profilering Privacy by design and default Databehandles får pligter i loven og ikke kun i databehandleraftale Dokumentation af behandlinger Data breach notification (god databehandlingsskik) Data protection impact assessment Data protection officer Bøder 11

12 Løsninger ISO

13 Standarder i serien 27001: ISMS 27002: Kontroller 27005: Risikostyring 27018: PII i cloud M.v. Kilde: 13

14 Den fulde model Kilde: 14

15 Introduktion Standard der sikrer, at man kommer hele vejen rundt Skaf ledelsesopbakning (herunder til omfang og ISMS) Identificer aktiver og ejere (system og dataklassifikation) Lav risikovurdering af aktiverne Lav risikohåndteringsplan Identificer eksisterende korrigerende foranstaltninger formuleret som kontroller Liste over nye korrigerende foranstaltninger formuleret som kontroller (Disse to punkter udgør "Statement of Applicability" og er grundstenen i ISMS) Identifikation af restrisiko og evt. forsikring Ledelsesgodkendelse (af ISMS) Dokumenter processer/kontroller og efterlevelse Vedligehold 15

16 Indhold Informationssikkerhedspolitikker og retningslinjer Organisering (rolle, funktionsadskillelse, mobilt udstyr, fjernarbejdspladser) HR-sikkerhed (før, under og efter ansættelsen) Styring af aktiver (ansvar, klassifikation, mediehåndtering) Adgangsstyring (politik, brugeradgang, brugeransvar, system og app-adgang) Kryptering Fysisk sikring (områder, udstyr) Driftssikkerhed (procedurer og ansvar, skadelig kode, backup, logning, installation, sårbarheder, audit) Kommunikationssikkerhed (netværk og segmentering, overførsel af information) Anskaffelse, udvikling og vedligehold Leverandørforhold (krav til og styring af) Styring af brud Beredskab (kontinuitet og retablering) Compliance (love, standarder, best practises og kontrakter) 16

17 GDPR-mapping 17

18 Vejledningen, overordnet Formål: en lavpraktisk og operationel tilgang til arbejdet med forordningen Vejledningen er for MMV'erne En letlæst introduktion til de nye regler Baggrund Beskyttelse af fundamentale rettigheder Persondataforordningens opbygning De nye tiltag i hovedtræk (nye og objektivt nødvendige) DI's anbefalinger (forudsætningsbetinget o.a.) En række væsentlige spørgsmål og anbefalinger, som MMV'erne bør forholde sig til Bilag er for de store/modne virksomheder Mapning af forordningens krav til virksomhederne op mod kontrollerne i ISO

19 Vejledningen, spm. til mmv Er virksomheden omfattet af loven? Er informationerne, som virksomheden ønsker at behandle, omfattet af loven; er informationerne at betragte som personoplysninger? Hvilke kategorier af personoplysninger ønsker virksomheden at behandle? Hvilke behandlinger ønsker virksomheden at foretage? Spiller virksomheden en rolle som dataansvarlig eller databehandler i forhold til de konkrete behandlinger? Har virksomheden hjemmel til at behandle de ønskede kategorier af personoplysninger? Opfylder virksomheden principperne for behandling af oplysningerne? Er behandlingen nødvendig (proportional)? Kan virksomheden behandle oplysningerne på en mindre indgribende måde og stadig opnå formålet? Opfylder virksomheden datasubjekternes rettigheder ved behandling af oplysningerne? Opfylder virksomheden sine forpligtelser ved at behandle personoplysninger? Er der særlige forhold, der gør sig gældende, for virksomhedens behandling af personoplysninger? 19

20 Vejledningen, anbefalinger til mmv Virksomheden bør udpege en ansvarlig for behandlingen af personoplysninger i virksomheden. Denne person bør i vid udstrækning samarbejde med den person som er ansvarlig for informationssikkerheden. Hvis virksomheden ikke selv har kompetencerne bør disse skaffes fra eksterne leverandører. Virksomheden bør overveje at gennemføre en data protection impact assessment for de it-systemer, som i væsentlig grad behandler personoplysninger. Virksomhederne bør overveje om de kan designe bedre beskyttelse af personoplysninger ind i deres it-systemer og herunder anvende privatlivsfremmende teknologier. Virksomheden bør gennemgå sine databehandleraftaler i lyset af reglerne i forordningen. Virksomheden bør løbende have klarhed over sit hjemmelsgrundlag for overførsel af personoplysninger til lande udenfor EU. Virksomhederne bør gennemgå de kontroller, som er nævnt i bilagene til denne vejledning. Virksomhederne bør vurdere, om de gennem kortlægningen af deres data kan udvikle forretningen baseret på data, og om de kan effektivisere processer. 20

21 De vigtigste nye regler Samtykke Information Sletning (3rd parter) Dataportabilitet Profilering Privacy by Design Dokumentation Data Breach Notification DPIA DPO Bøder F.eks. A (compliance med persondatalov) F.eks. A (dokumenterede driftsprocedurer) F.eks. A (dokumenterede driftsprocedurer) F.eks. A (dokumenterede driftsprocedurer) F.eks. A (dokumenterede driftsprocedurer) F.eks. A (analyse og specifikation af informationssikkerhedskrav) F.eks. A (dokumenterede driftsprocedurer) F.eks. A (håndtering af informationssikkerhedsbrud) F.eks. A (informationssikkerhed ved projektstyring) F.eks. A (ansvar) n/a 21

22 Vejledningen, mapning, ex GDPR (6. april 2016 udgaven), Artikel 32, stk. 1, litra c: the controller shall implement appropriate technical and organizational measures, to ensure a level of security appropriate to the risk including the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident ISO/IEC 27002:2013, Control : Backup copies of information, software and system images should be taken and tested regularly in accordance with an agreed policy DI s beskrivelse af kontrollen og mapping af de to kilder: Virksomheden skal sikre, at personoplysninger kan genskabes indenfor rimelig tid. Artikel X, stk. Y A (kontroller i forbindelse med audit af informationssystemer) A (backup af information) A (planlægning af informationssikkerhedskontinuitet) A (implementering af informationssikkerhedskontinuitet) A.18.2 (gennemgang af informationssikkerhed) Virksomheden skal sikre, at sikkerhedstiltagene bliver testet og at personoplysninger kan genskabes indenfor rimelig tid 22

23 Løsninger DPIA 23

24 PIA - "definition" Definition En PIA er en vurdering af risici, set fra et individs synspunkt, ved at en aktør behandler individets personoplysninger. Indhold PIA'en består af en analyse og af en proces. Analysen sikrer, at de rette spørgsmål bliver stillet og besvaret. Processen sikrer, at spørgsmål stilles og svar gives på dette rette tidspunkt i en teknologis livscyklus. 24

25 PIA-proces PIA-proces Idefase Planlægning og arkitektur Teknologivalg Implementering og test Drift og ændringer Idefase: Er der behov for PIA? (A) og compliance-betragtning (B) Planlægning og arkitektur: dataflowanalyse (C), datasubjektets risici (D) og planlægning af korrigerende foranstaltninger (E) Teknologivalg: Privacy Enhancing Technologies (G) Implementering og test: Information til datasubjekter (F) og anonymisere/slette Drift og ændringer: Følge op på PIA og implementere kontroller 25

26 PIA - eksempel: dataflowanalyse Hvilke personoplysninger vil blive behandlet? Hvilke typer af teknologier anvendes? Hvordan foregår indsamlingen af personoplysninger? Til hvilket formål behandles personoplysningerne? Andre formål? Ekstra data? Er det nødvendigt, at indhente samtykke til databehandlingen? Hvilken behandling finder sted? Hvem har adgang til data? Hvem har ansvaret for personoplysningernes sikkerhed? Hvordan ser dataflowet ud efter indsamling? Tegnet flowdiagram? Hvordan organiseres personoplysningerne? Videregives data til andre? 26

27 Kontakt Henning Mortensen Links: Vejledningen om persondataforordningen PIA-skabelonen 27