Persondata Behandlingssikkerhed v/rami Chr. Sørensen
Behandlingssikkerhed Artikel 32 2
Behandlingssikkerhed art. 32 Henset til det aktuelle tekniske niveau og omkostningerne og i betragtning af behandlingens karakter, omfang, kontekst og formål og risikoen af varierende sandsynlighed og alvor for fysiske personers rettigheder træffer den DA og DB passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, herunder bl.a. i det nødvendige omfang: 1. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed i forbindelse med de systemer og tjenester, der behandler personoplysninger Logning, f.eks. SIEM systemer (aktiv teknisk sikkerhed) Pseudonymisering og kryptering (passiv teknisk sikkerhed) 3
Behandlingssikkerhed art. 32 fortsat 2. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til oplysninger i tilfælde af en fysisk eller teknisk hændelse (f.eks. beredskabsplan ved datasikkerhedsbrud) 3. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til at sikre behandlingssikkerhed 4. Krav om instruktion og autorisation 3
Behandlingssikkerhed art. 32 fortsat Forskellige tiltag: Dataminimering: Et grundlæggende princip for lovlighed i art. 5. men også et sikkerhedstiltag Anonymisering: At fjerne muligheden for at identificere enkeltpersoner i et datasæt ved brug af alle de hjælpemidler, som med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller andre. Pseudonymisering: Ikke anonymisering, men en proces, som fører til, at persondata ikke længere kan henføres til en registeret uden brug af supplerende information (supplerende information skal holdes adskilt) Kryptering: Ikke anonymisering, men sikkerhedstiltag, der gør data ulæselig for andre Alle sådanne processer bør løbende revurderes og testes 5
Anmeldelse af sikkerhedsbrist Artikel 33-34 6
Angreb opdages langsomt og tilfældigt 146 dage tager det i gennemsnit at opdage en kompromittering 53% af alle hændelser blev opdaget af eksterne 47% af alle hændelser blev opdaget internt 320 dage for en eksternt opdaget kompromittering 56 dage for en internt opdaget kompromittering så det normale er, at der efter nogle måneder kommer nogle eksterne og fortæller, at vi er blevet hacket 7
Hvad er en sikkerhedsbrist? Defineret i persondataforordningen art. 4(12) "et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet" Ens for private og offentlige dataansvarlige 8
Anmeldelse til Datatilsynet Hvornår udløses pligten? art. 33 Pligt for den dataansvarlige til at anmelde datasikkerhedsbrist til Datatilsynet Undtagelse: "medmindre bristen sandsynligvis ikke vil føre til en risiko for fysiske personers rettigheder og frihedsrettigheder" Hvornår: "Uden unødig forsinkelse og om muligt senest 72 timer efter at være blevet bekendt med datasikkerhedsbristen." "uden unødig forsinkelse" vurderes særligt ud fra karakteren og alvoren af bristen og ud fra konsekvenser og skadevirkninger for den registrerede. (Bet. 87) Pligt til at begrunde, hvis man går ud over 72 timer Men oplysninger kan gives i faser 9
Anmeldelse til Datatilsynet Hvad skal anmeldelsen indeholde? art. 33 (3) Beskrivelse af karakteren af bristen, herunder om muligt kategorierne og det omtrentlige antal af berørte registrerede kategorierne og det omtrentlige antal af berørte registreringer Navn på DPO eller kontaktperson for yderligere oplysninger Beskrivelse af de sandsynlige konsekvenser af bristen Beskrivelse af de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for behandle bristen, herunder hvor det er passende, foranstaltninger til at begrænse mulige skadevirkninger 11
Underretning til den registrerede Art. 34 Pligt for den dataansvarlige til at underrette den registrerede om datasikkerhedsbristen Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder" Men den dataansvarlige har bevisbyrden for, at betingelsen ikke er opfyldt, i overensstemmelse med princippet om ansvarlighed 12
Underretning til den registrerede Art. 34 fortsat Hvornår: "Uden unødig forsinkelse" efter at være blevet bekendt med datasikkerhedsbristen men ikke en frist på 72 timer "uden unødig forsinkelse" fastlægges bl.a. ud fra behovet for registrerede for at kende til sikkerhedsbristen, sådan at personen kan reagere. Umiddelbar risiko for skade kræver øjeblikkelig underretning (Bet. 86) "uden unødig forsinkelse" vurderes særligt ud fra karakteren og alvoren af bristen, og ud fra konsekvenser og skadevirkninger for den registrerede (Bet. 86) 13
Underretning til den registrerede Art. 34 fortsat Underretning kan undlades hvis: a) Den dataansvarlige har implementeret passende tekniske og organisatoriske sikkerhedsforanstaltninger i forhold til de berørte persondata, herunder særligt foranstaltninger der gør, at de personer der får persondata i hænde ikke kan tilgå oplysningerne, f.eks. Kryptering b) Den dataansvarlige har taget efterfølgende skridt, som sikrer, at den høje risiko for fysiske personers rettigheder og frihedsrettigheder sandsynligvis ikke vil materialisere sig c) Det vil være disproportionalt at orientere den registrerede direkte. I stedet kan der gives offentlig meddelelse mv. med samme virkning (pressemeddelelse) Datatilsynet kan pålægge den dataansvarlige at orientere de berørte registrerede 14
Underretning til den registrerede 10
Spørgsmål? 15