Persondataforordningen Agenda

Transkript

1 Agenda Hvordan kom EU på dagsorden i HOFOR Hvordan forbereder HOFOR sig på at blive compliant Oplæg til foranalyserapport Uddrag af HOFORs foranalyserapporten Finn Asmussen Chefkonsulent IT Direkte: [email protected] HOFOR A/S Ørestads Boulevard København S tlf:

2 Hvordan kom EU på dagsorden i HOFOR : Invitation til møde med Ernst & Young sendt fra HOFORs Økonomidirektør til ITchef og IT-sikkerhedsansvarlig med emnet: Cybersikkerhed og EU's nye privacy forordning : Mødet med Ernst & Young, hvor de præsenterede Cyber Modenheds Program Dec. 2015: Ordlyden vedtages i EU Parlamentet Jan. 2016: IT-Sikkerhed udpeges til at koordinere aktiviteterne på tværs i HOFOR efter intern debat blandt funktionslederne i IT, Jura, HR, Kundegruppen og Økonomi : 1. interne koordineringsmøde afholdes : Projektkommissorium udarbejdet og vedtaget - I HOFOR var ledelsen involveret fra starten - Involver ledelsen så hurtigt som muligt 2

3 Hvordan forbereder HOFOR sig på at blive compliant HOFOR har defineret et projekt Formålet med projektet er at gøre HOFOR i stand til at efterleve EU pr Projektet er inddelt i 2 faser, en Foranalyse og en Gennemførelse Foranalyse Gennemførelse Projektkommissoriet er udarbejdet af en intern arbejdsgruppe i HOFOR bestående af: Ida Sylvest, jura Bred forankring i organisationen Christina Bøje, HR Mette Ivarsen, Økonomi Elna Rasmussen, Kundecenter Susanne Kaa, Kundeprogram Gert Rigbolt, Kontrakter Steen Pries og Finn Asmussen, IT Sikkerhed - Definer et projekt - Projektet skal være bredt forankret 3

4 Projektkommissorium Projektmål Foranalyse: Projektetablering for foranalysen gennemført Begrebsafklaring for væsentlige begreber udarbejdet Oplæg til procedure / rolle og ansvarsfordeling for opfølgning og detailfortolkning af persondataforordningen udarbejdet Vurdering af compliance niveau udarbejdet Liste over informationsaktiver (IT systemer og papirarkiver) med persondata og deres dataansvarlige udarbejdet Krav til dataansvarlige (Proces- og dataejere / systemansvarlige) fastlagt Model for dataklassificering udarbejdet og godkendt Dataklassificering for persondata gennemført Plan for kortlægning af dataflow for persondata udarbejdet Liste over nødvendige politikker, procedurer og regler for håndtering af persondata udarbejdet Liste over kontrakter, hvori der indgår behandling af persondata udarbejdet Krav til databehandleraftale fastlagt Liste over databehandleraftaler udarbejdet Mapning mellem Persondataforordning og IT Sikkerhedsstandarden ISO27001/2 gennemført Vurdering af behov for DPO (Data Protection Officer) udarbejdet Analyserapport med oplæg til projekt- og tidsplan for næste projektfase udarbejdet Analyserapport drøftet i FL Revideret kommissorium for næste projektfase udarbejdet - Brug tid på at få styr på projektmål 4

5 Del1: Analyserapport Indhold af analyserapport kap Indledning 1.1. Baggrund 1.2. Ændringer og nyskabelser i forhold til den gældende persondatalov 1.3. Persondataforordning og ISO Vurdering af nuværende compliance niveau 1.5. Kort sammenfatning og anbefalinger Gennemførelsesfasen: Tid, økonomi, kvalitet, risici 2. Persondata i HOFOR 2.1. Oplysningskategorier Brug af CPR nummer i HOFOR 2.2. Klassifikation af information (ISO ) Kontroller / regler 2.3. Persondata i HOFOR 2.4. Plan for kortlægning af dataflow 2.5. Elektronisk adgang til personfølsomme data (Access management) 2.6. Håndtering af målerdata 2.7. Fysisk opbevaring af papir papirarkiver 2.8. HR Data - clean desk policy 3. Databehandleraftaler, kontrakter og samtykke 3.1. Eksisterende 3.2. Manglende 3.3. Skabelon for databehandleraftale 3.4. Anvendelse af samtykke i HOFOR 4. Informationsaktiver 4.1. Fortegnelse for aktiver (ISO ) 4.2. Liste over informationsaktiver med personindhold 4.3. Beskrivelse af løbende vedligehold af informationsaktiver 5. Rolle- og ansvarsfordeling 5.1. Data- og procesejer 5.2. Systemansvarlig (ISO ) 5.3. Opfølgning og detailfortolkning 5.4. Anbefaling vedrørende DPO - Definer indhold af analyserapport 5

6 Del1: Analyserapport Indhold af analyserapport kap Nødvendige politikker, procedurer og regler 6.1. Informationssikkerhedspolitik 6.2. Liste over understøttende procedurer, retningslinjer og vejledninger 7. Liste over opgaver 8. Tekniske foranstaltninger 8.1. Adgangsstyring 8.2. Backup 8.3. Logning 8.4. Videoovervågning 8.5. GPS overvågning 9. Anskaffelse, udvikling og vedligeholdelse af systemer 9.1. Informationssikkerhedskrav (ISO ) 9.2. Liste over igangværende projekter med persondata 9.3. Beskrivelse af håndtering af igangværende projekter. 10. Awereness og uddannelse (ISO ) Awareness Uddannelse 11. Styring af informationssikkerhedsbrud (ISO27001 kap. 17) 12. Beredskab 13. Datatilsynet Hvad skriver datatilsynet Minimumskrav i forbindelse med personaleadministration 14. Oplæg gennemførelsesfasen Formål Leverancer Organisering Økonomi - Definer indhold af analyserapport 6

7 Uddrag af analyserapporten: Dataklassificering i HOFOR Følsomme personoplysninger. Omfatter helbredsoplysninger, fagforeningsforhold, etnisk tilhørsforhold, religion, sociale forhold, straffeforhold, m.m. Almindelige personoplysninger. Indeholder identificerbare oplysninger som f.eks. navn, adresse, , telefonnumre, fødselsdato, medarbejderid, etc. Fortrolige informationer. Oplysninger der har en væsentlig økonomisk eller forvaltningsmæssig værdi for HOFOR, og hvor offentliggørelse vil forårsage væsentlige skade på HOFOR s image eller økonomi. Det gælder f.eks. visse økonomidata, data om it-infrastruktur, fortrolige forretningsplaner eller udbudsmateriale. Interne informationer. Omfatter oplysninger, som ikke indeholder personoplysninger eller fortrolige informationer, men kun er tiltænkt internt brug i HOFOR, og hvor offentliggørelse kun vil forårsage ubetydelig skade på HOFOR s image eller økonomi, som f.eks. vagtplaner og interne notater. Åbne informationer. Omfatter alt hvad der ikke er omfattet af ovenstående som f.eks. alle oplysninger, der er egnet til almen offentliggørelse, åbne dagsordner, kunde og erhvervsinformation. Klassifikation Adgang Fysisk opbevaring Elektronisk opbevaring Følsomme Meget begrænset Låst inde Backup personoplysninge Politik Politik Politik r Almindelige personoplysninge r Fortrolige informationer Interne informationer Åbne informationer Meget begrænset Politik Meget begrænset Politik: Begrænset adgang efter behov Alle Låst inde Politik Låst inde Politik Ingen regler Ingen regler Backup Politik Backup Politik Backup Politik Backup Politik Fysisk transport Sikker kurer Politik Sikker kurer Politik Sikker kurer Politik Ingen regler Elektronisk transmission Krypteret Politik Politik 13.2 Krypteret Politik Politik 13.2 Krypteret Politik Politik 13.2 Ingen regler Ingen regler Ingen regler - Få styr på dataklassificering 7

8 Uddrag af analyserapporten: Persondata i HOFOR Kunder medarbejdere - eksterne Kategori EU Persondataforordning - kunder Almindelige Personnavn oplysninger Adresse Telefonnummer Målerværdier Foto Semi-følsomme oplysninger CPR-nr. Opbevares for alle kunder?? EU Persondataforordning - medarbejdere Personnavn Adresse Telefonnummer Fødselsdato Foto MedarbejderID Kontonummer Personlighedstest Familiemæssige oplysninger Adgangskontrol Videoovervågning GPS Data Sko- og tøjstørrelse Helbredsoplysninger Fagforeningsforhold?? Opbevares for alle medarbejdere EU Persondataforordning - Eksterne Personnavn Adresse Telefonnummer Straffeattest (?) Ved eksterne forstås: Ansøgere, leverandører, rådgivere, etc. - Analyser persondata i din virksomhed 8

9 Uddrag af analyserapporten: Plan for kortlægning af dataflow - Brug DIs PIA skabelon 9

10 Uddrag af analyserapporten: Plan for kortlægning af dataflow HOFOR spørgeskema: Kunder - Tilpas PIA skabelon 10

11 Uddrag af analyserapporten: Liste over understøttende procedurer, retningslinjer og vejledninger HOFOR Informationssikkerhedpolitik Udsnit af ISO27002 Procedurer Vejledninger Retningslinjer Opgaver Procedurer Retningslinjer Analyserapporten indeholder en liste over procedurer, vejledninger og retningslinjer, som skal udarbejdes indenfor informationssikkerhed for at kunne overholde persondataforordningen - Brug DIs vejledning 11

12 Uddrag af analyserapporten: Awareness og uddannelse På tværs af arbejdet med EU ligger der en stor organisatorisk opgave i at uddanne dem, der skal arbejde med persondata. For nogle medarbejdere vil mange af opgaverne være kendte. Men for andre vil opgaverne være nye, og de vil ligesom ledelsen være usikre på, hvordan de kan være med til at sikre, at HOFOR lever op til kravene i forordningen. Medarbejdere i it-afdelingen og i afdelinger, hvor der arbejdes meget med personoplysninger og fortrolige informationer, skal uddannes regelmæssigt i informationssikkerhed. Uddannelsesmaterialet skal jævnligt ajourføres med henblik på nye risici. Alle medarbejdere skal have kendskab, hvordan HOFOR klassificerer informationer. Der skal udarbejdes et uddannelsesprogram i informationssikkerhed, som er målrettet de enkelte funktioner. Uddannelsesprogrammet skal bl.a. have fokus på personoplysninger og fortrolige informationer. 1. Indledning 2. Styring af informationssikkerhed 3. Lederes og medarbejdernes ansvar 4. Årshjul 5. Informationssikkerhedspolitikker 6. Organisering af informationssikkerhed 7. Personalesikkerhed 8. Styring af aktiver Uddannelsesprogram skal 9. Adgangsstyring tilpasses de enkelte 10. Kryptografi arbejdssituationer 11. Fysisk sikring og miljøsikring 12. Driftssikkerhed 13. Kommunikationssikkerhed 14. Anskaffelse, udvikling og vedligeholdelse af systemer 15. Leverandørforhold 16. Styring af informationssikkerhedsbrud 17. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring 18. Overensstemmelse Topledelsen (VL) Funktionsledere (FL) Øvrige ledere (Afd-chefer, sektionsledere etc.) IT ledere IT-Drift IT-Projekter HR Jura Projektafdeling Planafdeling Kundeafdeling Etc. - Vær opmærksom på adfærd, awareness og uddannelse 12

13 ISMS Manual 1: Informationssikkerhedspolitikker HOFOR s informationssikkerhedspolitik er inspireret af en række input udefra. Inspiration fra bl.a.: Kontrollerne i ISO27001 HOFOR s nuværende politikker Digitaliseringsstyrelsen Dansk Industri Dansk Standard Københavns Kommune Neupart (nu del af KMD) DUBEX persondataforordning kommende bekendtgørelser IT-revisionen plus en række andre - Se på, hvad andre gør 13

14 ISMS Manual 1: Informationssikkerhedspolitikker Angivelse af, hvor mange steder ordet Personoplysninger forekommer i informationssikkerhedspolitikken 1. Indledning 2. Styring af informationssikkerhed 3. Lederes og medarbejdernes ansvar 4. Årshjul 5. Informationssikkerhedspolitikker (1) 6. Organisering af informationssikkerhed (7) 7. Personalesikkerhed (2) 8. Styring af aktiver (5) 9. Adgangsstyring (3) 10. Kryptografi (2) 11. Fysisk sikring og miljøsikring (9) 12. Driftssikkerhed (2) 13. Kommunikationssikkerhed (3) 14. Anskaffelse, udvikling og vedligeholdelse af systemer (6) 15. Leverandørforhold (9) 16. Styring af informationssikkerhedsbrud 17. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring (under udarbejdelse) 18. Overensstemmelse (11) - Personoplysninger favner bredt 14

15 Tilgængelig litteratur en håndbog for praktikere træder i kraft den 25. maj Denne bog introducerer læseren til disse fælles europæiske regler og principper for behandling af personoplysninger. Bogen som er forsynet med tjeklister og oversigter kan benyttes som værktøj for private virksomheder og offentlige myndigheder til at sikre compliance med de nye, skærpede regler. I bogens specielle del redegøres bl.a. for behandling af personoplysninger i forbindelse med virksomhedsoverdragelser, outsourcing, markedsføring, ansættelsesforhold og nye teknologier, så som cloud computing, internet of things, big data og droner. Sprog: Dansk ISBN-13: Sideantal: 400 Udgivet: Udgave: 1 Forordningen er optrykt i bogen og derfor altid ved hånden. - Få inspiration udefra 15

16 Spørgsmål 16