JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

Transkript

1 JDM Sikkerhedsaftale - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

2 Dagsorden Hvem er JDM? Perspektiv og hvad er GDPR Tidens trusselsbillede Praktisk tilgang til GDPR Hvad er passende foranstaltninger? Microsoft og GDPR Hvad kan JDM hjælpe med? Et par gode råd Vil du vide mere?

3 Hvem er JDM A/S Stiftet i medarbejdere Centralt placeret i Odense. Leverer til hele Danmark (og Norden) Fokusområder: Kommunikation, Produktivitet, it sikkerhed & Office365 BFIH certificeret Microsoft Guld Partner Microsoft Direct Cloud Service Provider Se mere på jdm.dk

4 General Data Protection Regulation (GDPR) Formålet med GDPR er at sikre klar og konsistent databeskyttelse i EU. GDPR pålægger alle organisationer, som udbyder produkter & tjenester til, eller indsamler & analyserer data om EU borgere, nye regler, uanset hvor udbyderen har hjemme - Forstærkede personlige privacy rettigheder* - Øgede krav til databeskyttelse - Konsistente regler for alle - Signifikant straf ved manglende overholdelse** * Disse rettigheder er ikke absolutte ** Lidt forskelligt for offentlige og private virksomheder

5 General Data Protection Regulation (GDPR) EU Persondataforordningen (GDPR) Loven kræver at passende tekniske og organisatoriske foranstaltninger er på plads Loven kræver at der foretages jævnlige risikovurderinger (generelt for at kunne vurdere hvad der er passende tekniske og organisatoriske foranstaltninger og særligt ved overvejelse af ny teknologi) Loven kræver at virksomheden kan dokumentere at overstående er på plads Loven kræver at myndighederne fører kontrol med ovenstående og vil derfor kunne komme på uanmeldt besøg (stikprøvekontrol) Brud på loven kan medføre store bøder samt erstatningspligt

6 General Data Protection Regulation (GDPR) Trusselsniveauet er blevet højere - Angrebsfladen er større, angreb sker hyppigere og mere professionelt. - 43% af alle Cyberangreb er imod Small Business. Der findes flere vigtige data end blot persondata EU Persondataforordningen kommer også til at påvirke dig - Alle virksomheder med mere end en ansat har persondata (fx i form af HR data) Klassisk tilgang til it-sikkerhed er ikke længere nok der skal mere til - Fx er firewall, antivirus og backup er ikke nok i sig selv JDM Sikkerhedsaftale er en billig og effektiv måde at komme i gang på - og vil for mange virksomheder, være nok i sig selv!

7 Hvilke elementer ændres ikke med GDPR Stakeholders - Datasubjekt - Dataansvarlig - Databehandler Datatyper Personhenførbare data - Navn - Adresse - - IP adresse Særligt følsomme personoplysninger - Religion Dataoverførsel - Databehandling kan ske overalt indenfor EU - Og med de rette juridiske rammeværktøjer + tilstrækkelige sikkerhedskontroller OGSÅ uden for EU Compliance. Er man complient i dag, så er det en del nemmere at sikre GDPR complience. - Sundhed - Seksualitet - Politisk overbevisning - Biometriske data - Etc.

8 Hvilke ændringer introduceres med GDPR? Data Privacy Kontroller og notifikationer Accountability og data suverænitet Gennemsigtighed i politikker Individer har retten til at : - Få adgang til personlige data - Korrigere unøjagtigheder - Anmode om sletning - Flytte deres information - Strenge sikkerhedskrav - Forpligtelse til notifikation ved data tab eller lign parter som databehandler data, skal leve op til samme krav og assistere den dataansvarlige med dokumentation - Dataansvarlig skal til enhver tid kunne påvise complience - Opdaterede krav til complience for indsamling, tracking og kontrol af data - Databeskyttelsesreguleri ng gælder uanset hvor data behandles - Sikkerhedspraksis - Data flows - Underleverandørkontrol - Data bevarelse og sletning

9 Hvad er personhenførbare data (persondata)? Persondata er: Personhenførbare data Data, der kan spores tilbage til et individ Består af to ting 1) det der kan identificere 2) de data, der er tilknyttet Kan antage mange former

10 VIGTIGT. Det er ikke muligt at købe sig til et færdigt system eller et produkt/en tjeneste, som gør, at man som dataansvarlig kan efterleve GDPR! Den rette teknologi kan assistere med complience & den rette platform kan gøre complience til en mere overkommelig opgave! Første skridt er at skabe et overblik over data & risici!

11 Microsoft Microsoft Cloud Databehandleraftale blev d. 1. september 2017 opdateret ifht. GDPR, således at MS comitter sig til : - At Cloud værktøjerne vil få funktioner til at assistere kunder med at : - Reagere på henvendelser om fx berigtigelser og right2beforgotten - Microsoft vil kunne tilbyde den nødvendige dokumentation, i det omfang det er nødvendigt for Cloud kundernes compliance

12 Eksempler på løsninger, der kan hjælpe i en moderne verden

13 Praktisk tilgang til GDPR Discover Identificer persondata, som indsamles i virksomheden & og hvor disse lagres/behandles i hvilke dataflows Manage Håndtere hvordan og af hvem persondata tilgåes, behandles og slettes Protect Etablere sikkerhedskontroller som forebygger, opdager og håndterer sårbarheder og data breaches/sikkerhedshændelser Report Skab og hold den nødvendige dokumentation, håndtér dataforespørgsler og breach notifikationer

14 Hvad kan JDM hjælpe med i forhold til GDPR? Løbende risikovurdering og dokumentation herfor Rådgivning og levering af sikkerhedsprodukter og løsninger Overvågning og kontrol Framework for det (lav)praktiske arbejde. Inddragelse af anden ekspertise (fx jura og branchespecialister)

15 JDM Sikkerhedsaftale Årlig risikovurdering (baseret på ISO2700x) Proaktiv overvågning Værdibaseret rapportering

16 JDM Sikkerhedspakke Moderne passende tekniske elementer Foruden traditionelle elementer fx backup, firewall, opdateringer m.m.

17 Et par gode råd Få styr på hvilke data du har Husk at der kan være flere informationsaktiver pr. system eller lagringsmedie Indstil dig på at den generelle it-sikkerhed skal løftes Selv det bedste kan blive bedre Fremdrift er bedre end ingenting Selvom du ikke når mål til tiden, er det en fordel at kunne dokumentere at være i gang

18 Spørgsmål?

19 Vil du vide mere? Læs mere på eller Datatilsynets 12 gode råd aka.ms/datatilsyngdpr Produktblad for sikkerhedsaftale og sikkerhedspakke Kontakt JDM på eller

20 EKSPERTER I IT-SIKKERHED

21 GDPR i detaljer Artikel 5 - Principper for behandling af persondata (1)(f) Personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger ( integritet og fortrolighed ). Bemærkning: Risikovurderingen, som er er del af JDM Sikkerhedsaftale omfatter afklarende spørgsmål og rådgivning om løsninger, der dækker de generelle problemstillinger på et niveau, der må betragtes som passende.

22 GDPR i detaljer Artikel 24 Den dataansvarliges ansvar (1) Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres. (3) Overholdelse af godkendte adfærdskodekser som omhandlet i artikel 40 eller godkendte certificeringsmekanismer som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af den dataansvarliges forpligtelser. Bemærkning: Risikovurderingen, som er er del af JDM sikkerhedsaftale kan tjene som dokumentation, der kan påvise overensstemmelse eller igangværende proces frem mod overensstemmelse. Især fordi den gentages årligt, hvorved man kan følge udviklingen. Både vedr. den interne fremgang samt de eksterne trusler og teknologiers udvikling. JDM A/S er BFIH certificeret og risikovurderingen, som er er del af JDM sikkerhedsaftale er baseret på ISO 2700x standard.

23 GDPR i detaljer Artikel 25 - Databeskyttelse gennem design og gennem standardindstillinger (2) Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer. Bemærkning: Risikovurderingen, som er er del af JDM sikkerhedsaftale er baseret på ISO 2700x standard, der også omfatter spørgsmål om kryptering og adgangsstyring, med henblik på at designe en it-løsning hvor data som udgangspunkt er beskyttet.

24 GDPR i detaljer Artikel 32 - Behandlingssikkerhed (1) Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant: a) pseudonymisering og kryptering af personoplysninger b) evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og - tjenester c) evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d) en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. (2) Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. (3) Overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1. Bemærkning: Risikovurderingen, som er er del af JDM sikkerhedsaftale omfatter afklarende spørgsmål og rådgivning om løsninger, der dækker de generelle problemstillinger. Rapporten vil indeholde anbefalinger til aktuelle tekniske muligheder og tilhørende implementeringsomkostninger.

25 GDPR i detaljer Artikel 33 - Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden (1) Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til den tilsynsmyndighed, som er kompetent i overensstemmelse med artikel 55, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen. Artikel 34 - Underretning om brud på persondatasikkerheden til den registrerede (1) Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden Bemærkning: JDM ISMS Light løsningen forventes at indeholde afsnit, der blandt flere andre forhold, fastlægger artikel 33 og 34 procedurer.

26 GDPR i detaljer Artikel 82 - Ret til erstatning og erstatningsansvar (1) Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren. (3) En dataansvarlig eller databehandler er fritaget for erstatningsansvar i henhold til stk. 2, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden. Bemærkning: Risikovurderingen, som er er del af JDM sikkerhedsaftale er baseret på ISO 2700x standard, der også omfatter spørgsmål om logning.

27 GDPR i detaljer Artikel 83 - Generelle betingelser for pålæggelse af administrative bøder (1) Hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder i henhold til denne artikel for overtrædelse af denne forordning som omhandlet i stk. 4, 5 og 6 i hver enkelt sag er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning. Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt sag, tages der behørigt hensyn til følgende: a) overtrædelsens karakter, alvor og varighed under hensyntagen til pågældende behandlings karakter, omfang eller formål samt antal registrerede, der er berørt, og omfanget af den skade, som de har lidt b) hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt c) eventuelle foranstaltninger, der er truffet af den dataansvarlige eller databehandleren for at begrænse den skade, som den registrerede har lidt d) den dataansvarliges eller databehandlerens grad af ansvar under hensyntagen til tekniske og organisatoriske foranstaltninger, som de har gennemført i henhold til artikel 25 og 32 f) graden af samarbejde med tilsynsmyndigheden for at afhjælpe overtrædelsen og begrænse de negative konsekvenser, som overtrædelsen måtte have givet anledning til g) de kategorier af personoplysninger, der er berørt af overtrædelsen h) den måde, hvorpå tilsynsmyndigheden fik kendskab til overtrædelsen, navnlig om den dataansvarlige eller databehandleren har underrettet om overtrædelsen, og i givet fald i hvilket omfang j) overholdelse af godkendte adfærdskodekser i henhold til artikel 40 eller godkendte certificeringsmekanismer i henhold til artikel 42 Fortsættes på næste side

28 GDPR i detaljer Artikel 83 - Generelle betingelser for pålæggelse af administrative bøder (Fortsat) (4) Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til EUR, eller hvis det drejer sig om en virksomhed, med op til 2 % af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere. (detaljer er fjernet for overskuelighedens skyld der listes en række forhold og henvisninger til artikler) (5) Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til EUR, eller hvis det drejer sig om en virksomhed, med op til 4 % af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere. (detaljer er fjernet for overskuelighedens skyld der listes en række forhold fx brud vedr. følsomme persondata) Bemærkning: Flere forhold herover er fjernet for overblikkets skyld. Bødestørrelser er omfattende og de samlede værdibudskaber i JDM Sikkerhedsaftalen kan forhindre eller reducere bøder.