INFORMATIONSSIKKERHED - OG AKTUELLE NEDSLAGSPUNKTER FRA DEN KOMMENDE DATABESKYTTELSESFORORDNING

Transkript

1 INFORMATIONSSIKKERHED - OG AKTUELLE NEDSLAGSPUNKTER FRA DEN KOMMENDE DATABESKYTTELSESFORORDNING Beth Tranberg, programleder

2 Hvorfor er det vigtigt? STIGENDE PROBLEM I DANMARK Flere kommuner har b.la. oplevet ransomware, der holder it-systemer som gidsel med nogle direkte konsekvenser Tabt arbejdstid Tab af data og information Økonomisk tab Omdømme TABT TILLID OG TRYGHED Generelt har borgere og virksomheder i Danmark stor tillid til myndigheder Hvis kritisk information går tabt, eller bliver uhensigtsmæssigt spredt, vil tilliden blive brudt Politikken DR.dk: 2

3 LOKAL OG DIGITAL et sammenhængende Danmark Den fælleskommunale handlingsplan Et par af Resultatmålene Programmet skal understøtte den kommunale forberedelse af og implementering af EU s databeskyttelsesforordning, der træder i kraft 25. maj 2018 Programmet skal følge op på og dokumentere, at arbejdet med sikkerhed styrkes i de danske kommuner, som aftalt med regeringen 3

4 Sikkerhedsprogrammet Fælleskommunalt netværk med alle 98 kommuner repræsenteret 4

5 Alle 98 kommuner har deltaget med en gennemsnitlig besvarelsesprocent > Svaroptioner svarende til værdier i diagrammet: 0: Nej 1: Nej men det planlægges 2: Delvist Der er gennemført visse tiltag, men sammenlagt mindre end 1/3 af det nødvendige 3: Delvist Arbejdet pågår og er gennemført for mere end 1/3 4: Delvist Det er til dels gennemført for mere en 2/3 vedkommende 5: Ja 5

6 Øget sikkerhed i kommunerne It-sikkerhed Informationssikkerhed 6

7 Forandring Filter 1 = 2016 Filter 2 =

8 ET PAR NEDSLAGPUNKTER FRA DATABESKYTTELSESFORORDNINGEN Risikobaseret tilgang Databeskyttelsesrådgiver (DPO) Betydning for blanketter m.m. Awareness 8

9 EU s Databeskyttelsesforordning 9

10 RISIKOBASERET TILGANG 10

11 EU s databeskyttelsesforordningen Det er lovgivningsmæssigt anerkendt, at det ikke er mulig at fastsætte, hvilke sikkerhedsforanstaltninger en dataansvarlig og databehandler skal gennemføre. I stedet lægger forordningen op til en risikobaseret tilgang. Behandling af personoplysninger er forbundet med risici for personers rettigheder og frihedsrettigheder. Derfor skal der etableres et sikkerhedsniveau, som passer til de risici, som behandlingen af personoplysninger udgør. Ligeledes nævner forordningen, at der skal ske en konsekvensanalyse vedr. datasikkerhed ved typer af behandlinger, der sandsynligvis er forbundet med en høj risiko. 11

12 Risici - Persondata Kilde: KL Baseline analyse 12

13 DATABESKYTTELSESRÅDGIVER (DPO ELLER DBR) 13

14 Databeskyttelsesrådgiveren (DPO) Jeg rådgiver internt Borgerne kan bare komme til Databeskyttelsesrådgiveren er mig uafhængig afrapporterer direkte til kommunalbestyrelsen har ekspertise inden for databeskyttelsesret og -praksis er borgernes kontaktpunkt er tilsynsmyndighedens kontaktpunkt overvåger overholdelsen af forordningen underretter og rådgiver jer medarbejdere om jeres forpligtelser efter forordningen Jeg overvåger kommunens overholdelse Jeg samarbejder med Datatilsynet 14

15 BETYDNING FOR BLANKETTER M.M. 15

16 Blanketter fra 25. maj 2018 De nye krav omfatter: 1. Kontaktinformation på databeskyttelsesrådgiver 2. Evt. overførsel af personoplysninger til tredjeland eller international organisation 3. Tidsrum for opbevaring af personoplysninger Hvad sker der lige nu? Lige nu arbejder KL på at tilrette teksten i vores blanketter, så de lever op til EU-forordningens krav. Blanketsystemleverandørerne er i fuld gang med at foretage en tilføjelse til deres administrationsmodul, så kommunerne kan anføre kontaktoplysninger på kommunens databeskyttelsesrådgiver på deres blanketter. For kommunerne er det nu tid at få ryddet op i downloadede versioner af KL-blanketter, så der ikke ved en fejl bruges forældede blanketter. Kommunerne skal gennemgå de blanketter, som kommunen selv har udviklet. Her er det kommunerne selv, der skal håndtere tilretningen, så de opfylder EU-forordningens krav. 16

17 Blanketter fra 25. maj 2018 (2) Hvem videregives personoplysninger eventuelt til? På blanketter med følsomme personoplysninger overholdes allerede i dag kravet om at redegøre for, hvilke oplysninger kommunen selv kan indhente uden samtykke, hvem kommunen kan videregive oplysninger til, og hvem kommunen er forpligtet til at videregive oplysningerne til. EU-forordningen er lidt mere striks med, hvilke oplysninger der skal forstås som personhenførbare, så nye og eksisterende tekster vil blive påført flere blanketter, end tilfældet er i dag. Få svar på dine spørgsmål om blanketter og databeskyttelse 17

18 Databeskyttelsesforordning & samtykke 18

19 AWARENESS 19

20 Eksempel på en modtaget phishingmail 20

21 Fremfærd Borger - KL/HK Awareness projekt På rejse mod en informationssikkerhedskultur 21

22 Fremfærd Borger - KL/HK Awareness projekt På rejse mod en informationssikkerhedskultur Kilde: BDO Projekt kommuner: Assens, Aabenraa, Hjørring, Randers, Slagelse, Rødovre, Tønder 22

23 E-læringsprogrammer til fri afbenyttelse i kommunerne - målrettet medarbejdere og ledelse 23

24 Følg også med på kl.dk: