Lidt om mig selv. Konsulentstillinger hos hhv. KMD og WM-data. Uddannelse: Data Protection Officer, IT & digitaliseringsledelse, Cand. Merc.

Transkript

1 Lidt om mig selv 2015 nu Konsulent/DPO med fokus på informationssikkerhed og persondatasikkerhed IT-chef og sikkerhedsansvarlig i Haderslev Kommune Chef for fælles Udviklings og Driftscenter for IT (UDCIT) Konsulentstillinger hos hhv. KMD og WM-data. Uddannelse: Data Protection Officer, IT & digitaliseringsledelse, Cand. Merc. Tillidshverv Formand for Dansk Identity Management Forum under IBM

2 Dagens gennemgang Baggrund for forordningen Vigtige spillere (Justitsministeriet og Datatilsynet) Kort introduktion til enkelte begreber i forordningen Praktiske anbefalinger

3 Behovet for nye regler Vi er registreret et utal af steder. Ofte uden vores vidende eller noget vi tænker over (diverse registre, via mobiltelefoni og apps, overvågningskameraer, kreditkort, internettrafik I Danmark alene er der ca. 1,5 mia. nye registreringer hver måned om private mennesker

4 Formål med ny forordning Ensartet anvendelse og håndhævelse af databeskyttelse i EU Beskytte EU borgernes grundlæggende rettigheder (privatlivets fred via skærpet sikkerhed og indsigt) Et digitalt indre marked Tidssvarende lovgivning

5 Total harmonisering? Ikke helt. Der er mulighed for national lovgivning indenfor rammer af forordningen Stadigvæk nationale datatilsyn og domstole, som fortolker reglerne. Dog et centralt databeskyttelsesråd

6 Hvad siger Justitsministeriet? Har nedsat styregruppe med deltagelse af Datatilsynet og Digitaliseringsstyrelsen Projektgrupper: Rammer for forordningen og nationale særregler Forordningens konsekvenser for databeskyttelseslovgivningen i Danmark Arbejdsgrupper Repræsentanter fra Justitsministeriet, Datatilsynet, Finansministeriet (Digitaliseringsstyrelsen; Skatteministeriet, Sundheds- og Ældreministeriet, Uddannelses og forskningsministeriet, Erhvervs og Vækstministeriet, Social og Indenrigsministeriet, KL og Danske Regioner Ekspertreferencegruppe med eksperter i persondataret og IT-ret.

7 Justitsministeriet fortsat - Analyser af øvrig dansk lovgivning, der også omhandler behandling af personoplysninger Vurdering af konsekvenser for dansk lovgivning Bl.a. samspil med lovgivning indenfor bogføring, skattelove, brancheregler (finans, lægemidler, sundhedsdata og øvrige regler)

8 Tidsmæssig ramme ifølge Justitsministeriet Forordningen får virkning fra 25. maj 2018 Projektarbejdet afsluttes ultimo 2017 Fremsætte lovforslag primo 2018

9 Hvad siger Datatilsynet Vil løbende informere via hjemmeside i takt med at JM får de enkelte dele færdigbehandlet Ny tilsynsenhed = flere tilsyn Der VIL blive statueret eksempler Det vigtigste er at dokumentere at man har gjort sig relevante overvejelser

10 Anbefalinger fra Datatilsynet Få udbredt kendskabet blandt nøglepersoner og beslutningstagere i jeres organisation Få undersøgt og dokumenteret hvilke personoplysninger I behandler Hvilken information giver I de registrerede? Hvordan opfylder I de registreredes rettigheder? På hvilket retligt grundlag behandler I personoplysninger? Hvad skal I gøre ved et brud på persondatasikkerheden? Er jeres behandlinger forbundet med særlige risici (overvågning) Databeskyttelsen i jeres IT systemer Hvem er databeskyttelsesansvarlig i jeres organisation

11 3 hovedområder 1. Den dataansvarliges pligter 2. Lovlig behandling 3. Datasubjektets rettigheder

12 Definitioner Personoplysninger enhver form for information om en identificeret eller identificerbar fysisk person ("den registrerede"); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet Behandling enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

13 Personoplysninger Følsomme oplysninger Racemæssig eller etnisk oprindelse Politisk, religiøs eller filosofisk overbevisning Fagforeningstilhørsforhold Helbredsmæssige og seksuelle forhold samt genetiske data Strafbare forhold eller relaterede sikkerhedsmæssige forhold Almindelige oplysninger Alle andre oplysninger Navn, adresse, køn, alder, job kontonummer mv.

14 Definitioner - fortsat Dataansvarlig en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger Databehandler en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne

15 Anbefalinger -overblik Informationssikkerhedspolitik Fordele ved at arbejde med informationssikkerhed(politik) Databeskyttelse via standardindstillinger Kortlæg datastrømme og persondatabærende systemer Samarbejdspartnerne (leverandører) Sletning af oplysninger Beredskab ved sikkerhedsbrud

16 Informationssikkerhed Informationssikkerhed er kontrol over information eller informationsaktiver. Det essentielle ved informationssikkerhed er, at kunne styre og sikre kontrollen over hvem eller hvad, der må få eller påvirke information på et givent tidspunkt. Informationssikkerhed handler (bl.a.) om virksomheders eller myndigheders evne til, at efterleve krav til informationssikkerhed compliance efter gældende lovkrav eller en godkendt standard. I erhvervsmæssig sammenhæng er formålet gennem (sikkerheds)ledelse, at styre og have kontrol over fortrolighed, integritet (pålidelighed) og tilgængelighed. Informationssikkerhed udgør en faglig disciplin, som minder lidt om økonomistyring.

17 Fordele ved informationssikkerhed Man får foretaget risikovurderinger af kritiske systemer eller kritiske data (Fortrolighed, tilgængelighed, integritet) Man får reflekteret over sine interne processer og procedurer Man får kortlagt sårbarheder Governance Beskytter sine informationer (informationsaktiver) Man får et fælles grundlag for sikkerhedsarbejdet Man får udarbejdet dokumentation Datatilsynet bliver glade

18 Databeskyttelse gennem standardindstillinger Passende tekniske og organisatoriske foranstaltninger (alt andet lige en informationssikkerhedspolitik. Herunder: Brugerautorisationer, rettigheder, dataejerskab, systemejerskab Risikovurderinger Procedurebeskrivelser

19 Datastrømme Kortlæg jeres data: Hvilke typer af personoplysninger der indsamles eller forefindes Hvordan og hvorfra oplysninger indsamles Om oplysninger videregives og til hvem Hvor og hvordan oplysninger er gemt og sikret Hvordan oplysninger bruges (herunder eventuelle potentielle fremtidige formål Hvem der har adgang til personoplysninger Hvornår, hvis og hvordan oplysninger slettes Husk de data i indsamler om egne medarbejdere

20 Samarbejdspartnere Få overblik over jeres leverandører (databehandlere) Hvem behandler jeres personoplysninger Outsourcing og internetløsninger Gennemgå kontrakter med leverandører Hvor befinder data sig databehandleraftaler

21 Sletning af oplysninger Hvor længe er det nødvendigt at opbevare persondata? Det er vigtigt at have en dokumenteret holdning!!! Aftaleforhold: Aftalens løbetid og et tidsrum derefter, eller indtil eventuel tvist er overstået. I skal have argumenterne i orden

22 Notifikationspligt VIGTIGT Anmeldelse til tilsynsmyndighed indenfor 72 timer Indholdskrav til anmeldelse Beskrivelse af karakteren af sikkerhedsbruddet, kategorisering (f.eks. følsomme oplysninger ), antallet af berørte datasubjekter, antal berørte registreringer Kontaktoplysninger på dataansvarlig Anbefaling af/forslag til foranstaltninger der kan afhjælpe Beskrivelse af konsekvenserne ved bruddet Der kan være tilfælde hvor de berørte subjekter skal underrettes Databehandler skal ALTID uden ophold underrette Dataansvarlig

23 Opsummering Gå i gang med de områder I kan Kortlæg datastrømme Gå jeres eksisterende procedurer og politikker igennem (Informationssikkerhedspolitik) Kortlæg jeres databehandlere Beredskab mht. notifikationspligt Følg med i anbefalinger fra, Datatilsyn og JM Udpeg en databeskyttelsesansvarlig Tag principperne om persondatabeskyttelse med når I investerer i nye IT-løsninger