VELKOMMEN TIL. ERFA-MØDE 14. juni 2016

Transkript

1 VELKOMMEN TIL ERFA-MØDE 14. juni 2016

2 AGENDA 10:10 Nye funktioner i Version ControlManager 11:00 Kaffepause 11:15 Beredskabstest Lars Kongsmark - Solrød Kommune + Strøtanker om EU Persondataforordningen 12:00 Frokost i restauranten Tårn 1. 12:45 Praktisk tilgang til Data Flow analyse & EU Persondataforordningen Birgitte Kofod Olsen Spørgsmål om ControlManager og/eller informationssikkerhed til panelet 14:15 Afrunding 2

3 Velkommen til

4 4? 1/7-2016

5 Inden version 9.3.1

6 3 koncepter ControlManager ISMS-Tool Compliance dokumentation Awareness-motor Beredskabsstyring Rådgivning & sparring ISMS opbygning og design Kontrol og revision efterlevelse/krav Awareness kampagner Beredskab opbygning og test GAP / Modenhedsanalyse ISO27001 Pre-Audit Opbygning af Beredskabstest

7 Tak for dit besøg på Infosecurity hvor Siscon blev kåret til årets udstiller 2016

8 SISCON ERFA GRUPPE DET HANDLER OM: AT GIVE AT MODTAGE VI ØNSKER OS AT DU: FÅR MEST MULIGT UD AF DAGEN FORBERED DIG I LØBET AF DAGEN MED SPØRGSMÅL KOMMER MED KONSTRUKTIV FEEDBACK HUSK At tilmelde dig Siscon & Carves praktiske kursus oktober 2016 Klik her og læs mere ControlManager by Siscon 8

9 Nye funktioner Version 9.3.1

10 NYE FUNKTIONER OG FORBEDRINGER NYT MODUL REVISION Overblik og status over revisionsbemærkninger, anmærkninger og påbud (Påtegninger) Tilknytning af aktiviteter til en revisionspåtegning Udføre aktiviteter Afslutte og godkende aktivitet Revisionspåtegning kan afsluttes derefter Status for påtegninger kan ses på oversigtssiden ControlManager by Siscon 10

11 NYE FUNKTIONER OG FORBEDRINGER NYT MODUL DATAFLOW Overblik over datasæt og hvordan data flyder fundt mellem systemer og eksterne parter Oprette datasæt med tilhørende interfaces Udgående data Indgående data Oprette dataflow aftaler mellem de to datasæt Forstadie til at udarbejde DPIA i næste version af ControlManager ControlManager by Siscon 11

12 NYE FUNKTIONER OG FORBEDRINGER NY FUNKTION GAP-ANALYSE FÓR EJERE Oprette én analyse der tager udgangspunkt i en dimension (systemer, services, processer) Viser hvordan det går på tværs af dimensionen Udgangs punkt i regler Målgruppe systemejere Dimension systemer Samme analyse til alle på en gang Sundhedsattest / Temperaturmåling ControlManager by Siscon 12

13 NYE FUNKTIONER OG FORBEDRINGER NYE FORBEDRINGER Omvendt SoA mulighed for at se hvilke standarder der er relateret til de enkelte regler på regelsættet Opfølgning til ansvarlig og ledere for deltagere i Quiz og underskriftkampagner Mere dybdegående indsigt i resultater fra Quizkampagner Det enkelte spørgsmål svage områder Relateret til organisatoriske enheder Ny og forbedre HTML editor ControlManager by Siscon 13

14 NYE FUNKTIONER OG FORBEDRINGER NYE FORBEDRINGER Input til Gap-analyse igennem Front-End Væsentlig forbedring af filtreringsfunktion af kontroller Se hvilke regler der relateret til målgruppen under målgruppen ControlManager by Siscon 14

15 ROADMAP Version 9.X.X

16 KOMMENDE VERSION ( NOVEMBER ) KOMMENDE FUNKTIONER DPIA Data Protection Impact Assesment Operationel risiko model Forbedret dispensationsflow og behandling Yderligere input via Front End ControlManager by Siscon 16

17 SOLRØD KOMMUNE Team IT Beredskabstest & EU-databeskyttelsesforordning Siscon erfamøde 14. juni 2016

18 SOLRØD KOMMUNE Team IT Solrød Kommune 30 km syd for København ca indbyggere ansatte fordelt på 35 lokationer 880 logins 660 administrative arbejdspladser 900 mobile devices 6½ IT-folk (2 i servicedesk, 2 driftsfolk, ½ på brugerhåndtering, 1 IT-chef) 30 superbrugere 2 digitaliseringskonsulenter 18

19 SOLRØD KOMMUNE Team IT Hvorfor teste? Vi har styr på det. tror jeg! Der er dokumentation. tror jeg! Vi har talt om det, så der er fokus. tror jeg! Vi har allerede overlevet flere ransomeware angreb, så alle ved hvem der skal gøre hvad. tror jeg! Virker vores it-beredskabsplan? Har vi de rigtige planer? Har vi tilstrækkelig dokumentation? Har vi muligheder for at genetablere vores IT-infrastruktur? Kan vi prioritere og bevare overblik? Nåe ja og så siger revisionen at vi skal 19

20 SOLRØD KOMMUNE Team IT Testen & opfølgning (læring) Kun Team IT varighed ca. 2½ time Vand i kælderen Scenariekort for at skabe fremdrift/pres/uventede situationer Træg start hader at spille rollespil Ikke nogen styring, usikkerhed omkring roller, aktion i bølger Eksisterende dokumentation blev ikke brugt ej heller telefonlister Tydeligt at vi er personafhængige Ingen prioritering af systemer Nødkald & telefoni glemt 20

21 SOLRØD KOMMUNE Team IT Efterfølgende arbejde / planer Quick and Dirty fx checklister o.lign. Awareness i Team IT på planer/dokumentation Beredskabsplan ud fra skabelon på digitaliseringsstyrelsens hjemmeside Risikovurdering Aktiver/services sammen med org. og Siscon Ny test om et år inkluderer en afdeling 21

22 SOLRØD KOMMUNE Team IT EU-databeskyttelsesforordningen Same, same, but different Svært at få direktionens bevågenhed (pt. for difust) Sørg for (stadig) af være compliant på ISO så bliver GAB et ikke uoverkommeligt til forordningen Diskuter DPO (egen, dele, ekstern) Skal jævnligt på direktions- og chefmøder (kvartalsvist / konkret og relevant nyt) frem mod 2018 Stort arbejde med at orientere/paratgøre organisationen 22

23 SOLRØD KOMMUNE Team IT 23

24 Data Protection Impact Assessment, DPIA Birgitte Kofod Olsen, partner, Ph.d., Carve Consulting Vi skaber muligheder & realiserer potentialet sammen

25 Præsentation Birgitte Kofod Olsen Jurist (1991) med Ph.D.-grad i biometri og privatlivsbeskyttelse (1998) Partner og medejer af Carve Consulting CSR-chef i Tryg Vicedirektør, afdelingsleder og forsker i Institut for menneskerettigheder Ekstern lektor, gæsteforelæser, censor og PhD-bedømmer på Københavns Universitet, Roskilde Universitet, Århus Universitet, Ålborg Universitet, Copenhagen Business School, BI Norwegian Business School Forskningssamarbejde med DTU og SDU, Medlem af repræsentantskabet i Foreningen Nordea Liv og Pension, Medlem af Ligebehandlingsnævnet Medstifter af tænke-handle-tanken Dataethics 2015 Formand for Rådet for Digital Sikkerhed Næstformand for Ungdomsbyen , formand Formand i teatrene Danskdansk og Teatergrad Modtog prisen som Årets Erhvervskvinde i 2014 Mangfoldighedsambassadør, Københavns Kommune, 2014 Optaget i Kraks Blå Bog i

26 26

27 Dataethic 27

28 Risiko & databeskyttelse Data protection impact assessment Dataflow analyse 28

29 EU Forordning om persondatabeskyttelse 2016 Hvad: Data Protection Impact Assessment, artikel 35 (konsekvensanalyse) Hvornår: Når det er sandsynligt at databehandlingen indebærer en høj risko for den enkelte persons (datasubjektets) rettigheder og friheder Alle menneskerettigheder EU charter om grundlæggende rettigheder rummer 50 rettigheder og friheder Når risikoen ændrer sig. Hvad: Udførelse af en vurdering af konsekvenserne af databehandlingen for at især at evaluere risici-enes oprindelse, natur, egenart og alvorlighed. Hvem: Den dataansvarlige 29

30 Formålet Hvad skal DPIAen bruges til? 1. Resultatet af risikoanalysen skal danne baggrund for beslutningen om tilstrækkelige tekniske og organisatoriske foranstaltninger, som iværksættes for at dokumentere, at databehandlingen sker i overensstemmelse med forordningen. 2. Hvis DPIA-en viser at databehandlingen indebærer en høj risiko, som den dataansvarlige ikke har mulighed for at mitigere ved brug af tilstrækkelige foranstaltninger i form af tilgængelig teknologi og de involverede omkostninger, skal Datatilsynet konsulteres. DPIA Beslutning om foranstaltninger Dokumentation DPIA Egen mitigering Datatilsynet 30

31 Fordele ved at udføre DPIA EU forordning om persondatabeskyttelse stiller krav om: Beskrivelse af databehandlingen og den formål Vurdering af proportionalitet mellem formålet med databehandlingen og de data, der behandles Vurdering af de risici, datasubjektet udsættes for i forhold til negativ effekt på vedkommendes rettigheder og friheder Beskrivelse af de foranstaltninger, der iværksættes for at imødegå risikoen, herunder garantier og sikkerhedsmekanismer, der sikrer beskyttelsen af persondata Med DPIA-EN viser I, at forordningen overholdes der jeres databehandling tager hensyn til datasubjektet og andre berørte personers rettigheder og legitime interesser 31

32 fordele ved DPIA DPIA processen og resultatet kan også anvendes til at: Identificere behovet for organisatoriske foranstaltninger, fx behov for politikker, procedurer og retningslinjer, adgangsrettigheder, kontroller og revision, artikel 24 Identificere behovet for at anvende redskaber til privacy by design og privacy by default, artikel 25 Føre kontrol med, at databehandlere opfylder forordningens krav, artikel 28 Opfyldelse af dokumentationskravet, art. 30 Identificere behovet for sikkerhedsmæssige foranstaltninger, fx brug af kryptering, anomymisering, psudunymisering, artikel 32 Udarbejde handlingsplaner til mitigering, eliminering og forebyggelse Udarbejde beredskabsplaner 32

33 Hvem skal udføre DPIA? Den kommende EU forordning stiller krav om risikoanalyser ved bebehandling af data i stor skala og i andre særlige tilfælde: Behandling af følsomme data: race to etnisk oprindelse, politisk eller filosofisk overbevisning, religion, medlemskab af fagforening, genetiske og biometriske data, sundhed, sexliv og seksuel orientering. Behandling af data om strafbare forhold Behandling af data på nationalt, regionalt og supranationalt niveau, som berører et stort antal mennesker og indebærer høj risiko for deres følsomme data Overvågning af offentligt tilgængelige steder, især ved anvendelse af optisk-elektronisk teknologi Når der er høj risiko for at datasubjektet bliver begrænset i at udøve sine rettigheder eller gøre brug af en kontrakt eller en service Ved brug af nye teknologier Ved profilering, dvs systematisk og intensiv evaluering af enkeltpersoner med henblik på at træffe en beslutning, der vedrører vedkommende En dataansvarligs anvendelse af fælles applikation på tværs af sektorer eller brancher 33

34 IT ARKITEKTUR FUNTKIONSOMRÅDER DATAFLOWS DPIA Komponenter i en DPIA-proces Skab overblik over IT landskabet Identificer relevante funktionsområder Beskriv dataflows: - datakilder - dataelementer - datayper - videregivelse af data Dataansvarlighed Databehandling Datarettigheder Datasikkerhed 34

35 Komponent 1: IT arkitekturen TEGNING & BESKRIVELSE IT arkitektur Systemkomponenter Software Algoritmer Interfaces Databaser Cloudløsninger 35

36 Komponent 2: Funktionsområder Identificer relevante funktionsområder og beskriv dem: Kundekortansøgninger Patientjournal Medarbejderdataadministration Hjemmeside Online salg Abonnementer Udvikling Analyse BI Robotics Marketing 36

37 Komponent 3: dataflows Datakilde: CPR register, RKI Dataelement: navn, adresse, cpr, gæld Datasæt Datatype: Almindelig, CPR, økonimiske forhold Data output: Videregivelse - Tredjeparter - Leverandører - Myndigheder 37

38 Dataelementer Dataelementer Felter, der indeholder oplysninger om identificerbare personer Eller sammen med: andre felter kan afdække oplysninger af privat karakter ved berigelse fra eksterne kilder kan afdække oplysninger af privat karakter 38

39 Komponent 4: konsekvens- og risikovurdering Databehandling Risiko Datakilder Dataelementer Datatyper Videregivelse Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesse Datasubjektets rettigheder Overførsel til tredjeland Sikkerhed Databeskyttelsespolitik Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale Databeskyttelsesrådgiver Risikoniveau Høj risiko Risiko direkte indirekte sikkerhedsmæssig Data sæt Dataansvarlighed 39

40 Databehandling og dataansvarlighed Politikker, retningslinjer og anvendte standarder Leverandører (herunder spm om bla databehandleraftale og kontroller, revision) Databeskyttelsesrådgiver Forudsætninger for databehandlingen lovligt grundlag (samtykke, lovkrav, kontrakt, offentlige interesse) formålsbestemthed tilstrækkelige og relevante data Nødvendighed Dataanvendelsen opbevaring sletning Dataoutput videregivelse, videregivelse til 3. lande Kundens datarettigheder Sikkerhed tilgængelighed Sikkerhed fortrolighed, integritet, robusthed 40

41 DPIRAT: gap analyse fortrolighed Gap analyse politikker 3 2,5 2 1,5 1 0,5 0 leverandører tilgængelighed datainput datarettigheder behandling 41

42 Risici nævnt i forordningen Direkte negativ effekt for datasubjektet Fysisk, materiel eller moralsk skade Diskrimination Identitetstyveri og bedrageri Finansielle tab Skade på omdømme Tab af fortrolighed Økonomiske eller sociale ulemper Begrænsning i udøvelsen af rettigheder og friheder Begrænsning i udøvelse af kontrol over persondata Indirekte negativ effekt for datasubjektet Afdækning af oplysninger om race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, medlemskab af fagforening og om sundhed, sexliv samt strafbare forhold Profilering til forudsigelse af fx arbejdsindsats, økonomisk situation, sundhed, personlige præferencer eller interesser, troværdighed og adfærd, lokation eller bevægelser Behandling af persondata om udsatte grupper, herunder børn Behandling af data i stor skala, der har effekt I forhold til et stort antal datasubjekter Negativ effekt pga sikkerhedshændelse Uautoriseret afpseudonymisering Hændelig eller ulovlig destruktion, tab eller ændring af data Uautoriseret offentliggørelse af persondata Uautoriseret adgang til persondata under transmission, opbevaring eller anden behandling 42

43 Virksomheder og myndigheders behov for risikoafdækning Kundens/borgerens rettigheder Respekt for datasubjektets egen kontrol med data Service og kvalitet Data som aktiv Overholdelse af forordningen Retlige forpligtelse Datatilsynets kontrol Klager og krav fra kunder og borgere Bødekrav 10 mio og op til 2% 20 mio og op til 4% => DPIA er relevant som led i risikoafdækningen før, under og efter databehandlingen eller ibrugtagning af ny it-løsning. 43

44 Risikovurderingen + handlingsplan Svagheder og hændelser Profilering Retten til at blive glemt Databrud Sandsynlighed Konsekvens for datasubjektets rettigheder og friheder Risiko Høj Lav Plan Afprøvning Vurdering Evaluering Forebyggelse Beredskab Forretningsmæssig konsekvens: - Kundeloyalitet - Bødekrav - Omdømme 44

45 Redskaber PrivacyKompasset - Indeholder test med 34 spørgsmål - Giver adgang til at generere en privatlivspolitik DI Skabelon for Privacy Impact Assessment ent.pdf DI Vejledning Persondataforordningen implementering i danske virksomheder Digitaliseringsstyrelsens Guide til konsekvensvurdering af privatlivsbeskyttelsen file:///c:/users/bko/downloads/guide%20til%20konsekvensvurdering%20af%20privatlivsbeskyttelsen_ver3%20(6).pdf DPIRAT Carve Data Protection Impact and Risk Assessment Tool DPOMM - Carve Data Protection Organisation Maturity Model 45

46 46

47 Kontakt information Birgitte Kofod Olsen Partner, phd Carve Consulting Nørre Voldgade 11, 2. sal 1358 København K [email protected] Carve.dk 47