Hvorfor er informationssikkerhed et ledelsesansvar?

Transkript

1 Hvorfor er informationssikkerhed et ledelsesansvar? - EU-persondataforordningens konsekvenser Persondataspecialist, ph.d., Charlotte Bagger Tranberg

2 Informationssikkerhed er et ledelsesansvar Arbejdet med informationssikkerhed er en løbende proces, som skal integreres i det samlede arbejde med ledelse og styring af organisationen. Informationssikkerhed er et ledelsesansvar ligesom økonomistyring, arbejdsmiljø, service eller borgerbetjening. IT- og Telestyrelsen: Ledelsesforankret Informationssikkerhed med ISO/IEC (2011)

3 Persondata og informationssikkerhed Informationssikkerhed Persondata Persondata

4 Hvad siger forordningsudkastet om ledelsesforankring? Vedrørende den databebeskyttelsesansvarliges (DPO) stilling Den registeransvarlige eller registerføreren sikrer, at den databeskyttelsesansvarlige varetager sit hverv uafhængigt og ikke modtager instrukser med hensyn til udøvelsen af hvervet. Den databeskyttelsesansvarlige rapporterer direkte til ledelsen hos den registeransvarlige eller registerføreren (artikel 36, stk. 2) Ledelse DPO

5 Den korte version: Bøde op til 2% af den årlige globale omsætning Overtrædelsestype: Ingen fastlæggelse af ordninger for registreredes anmodninger Ej rettidig besvarelse heraf Ikke giver relevante oplysninger ved indsigtsanmodning Ikke sletter oplysninger Manglende ajourføring af dokumentation Behandler oplysninger uden hjemmel Ikke respekterer en indsigelse Ikke varsler tilsynet om brud på sikkerheden Ikke gennemfører konsekvensanalyser Ikke udpeger en DPO Overfører oplysninger til tredjelande uden hjemmel Bødeniveau: Op til 0,5% af den årlige globale omsætning Op til 1% af den årlige globale omsætning Op til 2% af den årlige globale omsætning

6 Den længere version Den dataansvarlige er virksomheden og dermed også ledelsen Persondataforordningens krav til den dataansvarlige er så omfattende, at behandlingen af personoplysninger skal (ikke bør) være forankret hos ledelsen Risikovurdering Prioritering af opgaver Svært at risikovurdere og prioritere noget som ingen ved hvad er/har overblik over

7 Group Dataflows i en simpel global koncern Legal Entity (Brazil) Parent Company (Denmark) Dataprocessor (CRM-system) Legal Entity (Germany) Legal Entity (Spain) Legal Entity (USA) Legal Entity (China) Examples on processed personal data: Employees Customers Suppliers Agents Roles: Data Controller Data Processor

8 Den længere version Nyt princip om ansvarlighed: Personoplysninger skal behandles under den dataansvarliges ansvar, og den dataansvarlige skal sikre og for hver behandlingsaktivitet påvise overensstemmelse med forordningen Indføre regler og gennemføre passende foranstaltninger med henblik på at sikre og være i stand til at påvise, at behandlingen af personoplysninger foretages i overensstemmelse med forordningen Opbevare af dokumentation for enhver behandling, der gennemføres under den dataansvarlige, herunder ved databehandlere Udpegning af DPO Gennemførelse af konsekvensanalyse vedr. databeskyttelse (PIA) Underretning af Datatilsynet i forbindelse med sikkerhedsbrud Samarbejde med tilsynsmyndigheden

9 Konsekvenser uden for forordningen Medierne har fået særligt fokus på persondata Det øgede fokus på beskyttelse af persondata skyldes, at læk og misbrug af data kan medføre forretningskritiske tab af image, kunder, samarbejdspartnere, investorer mv.

10 10 Kontakt Charlotte Bagger Tranberg Persondataspecialist Aarhus IP & Technology T M E [email protected] København Langelinie Allé København Ø Danmark Aarhus Frue Kirkeplads Aarhus C Danmark Shanghai, rep.kontor 83 Loushanguan Road, Suite 2635, 26/F Shanghai, Kina T F E [email protected]