Persondataforordningen

Transkript

1 Persondataforordningen - Et øjebliksbillede

2 Om oplægsholderen Uddannelse - Cand. Scient. Pol., BA Oecon, Enkeltfag på ITU og Ålborg Universitet, Exam ESL Job - CISO/CPO, Brødrene A&O Johansen - Medlem af Datarådet - Formand for Rådet for Digital Sikkerhed - Underviser ITU Professional Courses Historik - Chefkonsulent i DI i mere end 15 år med informationssikkerhed og personoplysninger som speciale - Medlem af en række sikkerhedsråd under videnskabsministeriet - Medstifter af Rådet for Digital Sikkerhed - Tidligere bestyrelsesmedlem i ESL-foreningen, ISACA Danmark, m.fl. - Har redigeret og/eller forfattet en lang række vejledninger om informationssikkerhed og beskyttelse af personoplysninger LinkedIn (connect gerne) 2

3 Persondataforordningen Principper: Lovlig, rimelig, gennemsigtig, formål, minimeret, korrekte, lagringsbegrænsning, sikkert, dokumenteret Rettigheder: Oplysningspligt, indsigtsret, berigtige, slette, begrænse, underrette, portabilitet, indsigelse, profilering Pligter: DPbDx2, databehandlere, fortegnelse, sikkerhedsforanstaltninger, DBN, DPIA, DPO, overførsel 3

4 Har vi jura nok? Kilder - Forordningen - Betænkning Databeskyttelsesloven (fremsat) - Ændringsforslag til anden lovgivning (høring i sommers) - Videoovervågning - Nationale vejledninger - Vejledninger fra artikel 29-gruppen - Praksis fra Datatilsynet (afgørelser) - eprivacy directive - Summa sumarum: Det meste jura er ved at være på plads - Men der stadig udfordringer med mange afvejninger - Det er svært at tilegne sig viden om praksis - Der er tvivl om fortolkninger især i europæisk perspektiv 4

5 Har vi sikkerhed nok? Passende tekniske og organisatoriske foranstaltninger i henhold til risici Identity and Access Management, pseudonymisering Asset Management Patch Management Mobile Device Management Classification Management Firewall Antivirus, Next generation antivirus, AI AV Backup Kryptering af kommunikation og terminaler Autentifikation af terminaler Siem logging Shadow IT discovery Data Discovery Data Loss Prevention Security governance: ISMS, Regelsæt, Procedurer Awareness and training 5

6 Har DPO magt nok? Ledelsesforankring Ejere af systemer: forretningsejer, teknik ejer og CISO/DPOs ansvar Vær evangelister: fundamentale rettigheder, god samvittighed overfor kunder og medarbejdere kontra 4% Klare vedtagne linjer om konfliktløsning 6

7 Hvad skal vi? Ansvar placeres Kortlægning af personoplysninger og behandlinger Fastslå hvilke regler der er relevante for os hvordan og hvor Systemændringer Procedureændringer Politikker og regler Compliance og governance 7

8 Hvor er hullerne i osten? - Der er ikke bestemt et entydigt formål med behandling - Personoplysningerne bruges af andre systemer til andre formål - Der er ikke (på forhånd) fastlagt hjemmel til behandlingen - Privacy politikker i tilknytning til kontrakter - Samtykke er ikke indhentet eller opfylder ikke kravene - Personoplysningerne slettes ikke - De registrerede er ikke oplyst om behandlingen i fornødent omfang - Der er ikke indgået databehandleraftaler - Leverandørernes villighed (og modenhed) - Hvem betaler regningen? - Der foregår ikke den fornødne kontrol af leverandører - Der er ikke hjemmel til overførsel til tredjelande - Der er ikke klarhed over hvornår der overføres til tredjelande ved f.eks. support af on-premise løsninger - Der testes på produktionsdata ægte personoplysninger - Videoovervågning 8

9 Vanskelige problemer Backup - Vi skal kunne genskabe personoplysninger indenfor rimelig tid - De registrerede skal kunne slette eller berigtige data - Det er grænsende til umuligt at restore, slette/berigtige og derefter tage backup igen - Vi pillers ved datas integritet, hvis vi skal ændre backup - Online diskkopier må antages at være mere usikre og har ikke samme integritet - Kan vi undtage backup fra sletning og lave en database over det der skal slettes ved evt. restore? - Kan vi lave en one-way hash af delmængde af data og slette restorede data, hvor der er et match med hashværdien? Antivirus - Signatur af kendt skadelig kode - Ny potentiel skadelig kode trækkes (i nogle tilfælde) hjem til AV-leverandøren og analyseres i sandkasse - Hemmelige signaturer udvikles og filer andre steder på internettet samles op af disse - Den dataansvarlige ved ikke hvad databehandleren opsamler - Men det er afgørende for sikkerheden at vi får analyseret ny skadelig kode 9

10 Vanskelige problemer Gratis online services - Som regel kan der findes hjemmel til funktionaliteten (f.eks. i form af samtykke) - Gennemsigtighed i hvad der sker med data i leverandørens bagbutik er udfordrende - Anvender leverandøren personoplysninger til andre formål? (Ja, det er typisk forretningsmodellen; det er derfor det kan være gratis) - Hvilke underleverandører anvendes? (Skifter disse meget hurtigt?) - Kommer personoplysningerne udenfor EU/EØS og er der i givet fald hjemmel til overførslen? - Det er for den dataansvarlige grænsende til umuligt lovligt at anvende sådanne services Databeskyttelse gennem design - På designtidspunktet - Ikke for legacy-systemer - Er indholdet alene sikkerhedstiltag eller er indholdet generelt tiltag, som kan understøtte alle garantier i forordningen? - F.eks. Ann Cavoukian: Proaktiv, standardindstilling, indbygget, fuld funktionalitet, hele livscyklussen, transparens og empowerment - Cases artikel 29-gruppen: Behandl så få data som muligt, Brugerkontrol: Teknisk samtykke og teknisk indsigelse, Brugeradgang til data, Adskillelse af data der behandles med forskellige formål i datawarehouses, osv. - Mig: Automatisk sletning og automatisk indsigt 10

11 Rådet for Digital Sikkerhed GDPR Indhenter sammen med Alexandra Instituttet kendte problemer med GDPR: DPbD, Backup, Google og tilsvarende tjenester => Politisk stillingtagen Artikel om Data Protection by Design Leverandørstyring Praktisk tjekliste til sikkerhed Databehandleraftaler Digital dannelse Tryghed: Sikkerhed, men inkl. etik, menneskerettigheder, m.v. Evt. indspil til Digitaliseringsstyrelsen DMARC Password Industrie 4.0 og sikker digital transformation Kompetencer og værktøjer til politiet bagom sessionslogning Codex 11

12 Konklusion - Vi har masser af jura, men mangler reglerne om hvordan vi må behandle cookies, hvilket er centralt for anvendelse af en række gratis online tjenester - Der er meget komplekst at sætte sig ind i reglerne, bl.a. fordi der er rigtig meget praksis - Teknologiværktøjskassen er stor og det er et marked der er i rivende udvikling for at komme på omdrejningshøjde med forordningen - Der er stadig i praksis masser af områder, hvor mange af os ikke er i compliance, og vi har kun godt et halvt år - Selv dem der er længst fremme i skoen står overfor nogle udfordringer, som det er meget vanskeligt at løse. 12

13 Spørgsmål LinkedIn 13