Workshop 2. Hvilke processer skal sikre os en god databeskyttelse? Hvordan uddanner vi medarbejdere i det offentlige til at håndtere data forsvarligt?

Relaterede dokumenter
UVMs bidrag til GDPR implementering i uddannelsessektoren

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

De første 350 dage med den nye databeskyttelsesforordning

GML-HR A/S CVR-nr.:

Persondataforordningen fra abstrakt lov til operationelt projekt. Offentlig digitaliseringskonference 14. marts 2018

EU Persondataforordning GDPR

Persondataforordningen. Hvad kan vi bruge KITOS til?

Databeskyttelsesdagen

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Årshjul for persondata. v/henrik Pors

GML-HR A/S CVR-nr.:

2017 Projekt persondataforordningen

Præsentation Tid +/- 25 minutter i praktik


General Data Protection Regulation

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

Per Løkken, Partner. CAMPUS November 2018

Er du nu HELT klar til GDPR? Bosted Temadag Rune Andersen, Manager, Product Management, EG

Lector ApS CVR-nr.:

Målrettet arbejde med persondataforordningen for

IT-SIKKERHED. Michael Hald, konsulent, KL INFORMATIONSDAG OM DEN FÆLLESKOMMUNALE HANDLINGSPLAN OG DEN FÆLLESOFFENTLIGE DIGITALISERINGSSTRATEGI

Persondata på Københavns Universitet

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Persondataforordningen...den nye erklæringsstandard

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

EU-GDPR i ControlManager

Vejledning for tilsyn med databehandlere

EU-persondataforordningen AWARENESS Oplæg til DAK-møde den 22. marts 2018

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

Overordnet organisering af personoplysninger

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

EU-PERSONDATAFORORDNINGEN. Selvejende og Private Daginstitutioner

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE

Plan og Handling CVR-nr.:

Persondatalovens dokumentationskrav

Kong Frederik den Syvendes Stiftelse paa Jægerspris

Må lrettet årbejde med persondåtåforordningen for

Fællesregional Informationssikkerhedspolitik

Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Retningslinje om behandlingssikkerhed

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

Overordnet organisering af personoplysninger

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft den 25. maj 2018.

Handleplan for informationssikkerhed 2017 i Region Midtjylland - oversigt over initiativer/faser som forventes afsluttet i 2017

Privatlivspolitik (ekstern persondatapolitik)

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

Når Compliance Bliver Kultur

Hvad er Informationssikkerhed

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

SIKKERHEDS- PROGRAMMET

Målrettet arbejde med persondataforordningen for

Komiteen for Sundhedsoplysning CVR-nr.:

Introduktion til persondataforordningen PSF temadag d , lektor Dorthe Høilund, Metropol

Bilag 1 Databehandlerinstruks

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Persondatapolitik for. Klippinge Vandværk

Faxe Kommune. informationssikkerhedspolitik

PERSONDATAPOLITIK FOR ÅRHUS LÆRERFORENING Revideret 17. januar 2019

PERSONDATAPOLITIK FOR SOLRØD LÆRERFORENING. Vedtaget af kontorgruppen 17. april 2018

(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Retningslinjer for indgåelse af databehandleraftaler

Fællesregional Informationssikkerhedspolitik

Aftale vedrørende fælles dataansvar

Persondataforordningen den 20. februar 2018

GENERELT OM GDPR. Næste skridt: ISF undersøger

Præsentation af Curanets sikringsmiljø

EU GDPR Endnu en Guide

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

R A P P O R T. Rapport fra Databeskyttelsesrådgiver for 2018

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Erfaringer med implementering af persondataforordningen hos Kulturministeriet

NOTAT. Styr på persondata

Må lrettet årbejde med persondåtåforordningen for DANSK PLANTAGEFORSIKRING DANSK PLANTAGEFORSIKRING

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Undervisningsplan for certifikat i persondataret

PERSONDATAPOLITIK FOR LÆRERSTUDERENDES LANDSKREDS

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Introduktion til persondataforordning

DATABESKYTTELSESPOLITIK

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

SOPHIAGÅRD ELMEHØJEN

OS2kravmotor Håndtering af GDPR

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

PERSONDATAPOLITIK FOR DANMARKS LÆRERFORENING. Vedtaget af styregruppen 21. februar 2018

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Målrettet arbejde med persondataforordningen for

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Vejledning om informationssikkerhed

GDPR Persondata- forordningen

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Transkript:

Workshop 2 Databeskyttelse i det offentlige: Hvordan forbereder vi os til forordningen og hvor er de svage led? v/ Søren Duus Østergaard, CEO, Duus Partners & lektor ved IT-Universitetet og Jens Kjellerup, Sekretariatschef i Digitaliseringssekretariatet i Ballerup Kommune samt bestyrelsesmedlem i KITA Hvilke processer skal sikre os en god databeskyttelse? Hvordan uddanner vi medarbejdere i det offentlige til at håndtere data forsvarligt? Jens Kjellerup løfter sløret for, hvordan man skaber security awareness i Ballerup Kommune, forankrer itsikkerhed hos ledelsen og arbejder med databeskyttelse på tværs af kommunegrænser. Børssalen 10:40 11:30

GDPR processen i Ballerup Kommune Databeskyttelsesdagen 25. januar 2018 www.ballerup.dk

Indsatser frem mod maj 2018 Indsatser til sikring af compliance frem mod maj 2018: Fortegnelser, risikovurderinger og handlingsplaner Test af sikkerhed Uddannelse af ledere og medarbejdere Politikker og aftaler De registreredes rettigheder og beredskab når noget går galt Kontrolsystem Digital Taskforce

Kortlægning og analyse Kortlægning og analyse Alle fagcentre laver fortegnelser for deres persondatabehandling Hvilke persondata indsamler /behandler vi? Hvad er formålet med indsamlingen/behandlingen? Hvem udveksler vi data med? Hvordan opbevarer vi data? Hvilke tekniske og organisatoriske foranstaltninger har vi iværksat for at sikre data? m.m. Risikovurderinger - Hvilke risici er der forbundet med vores databehandling? - Hvordan kan de elimineres/reduceres? Behandlingsprincipper Rettigheder Handleplaner - Hvilke initiativer skal vi iværksætte før at sikre compliance - Hvad er vores målsætning på kort og på langt sigt Foranstaltninger

Kortlægning og analyse Kortlægning og analyse Test af sikkerhed Samarbejde med Aalborg Universitet: Penetration test Social Engineering

Foreløbige resultater Eksempler på udfordringer Adfærd og rutiner - Print af dokumenter + opbevaring af print - Opbevaring af fysiske sagsmapper - Opbevaring af elektroniske dokumenter på lokale drev - Brug af fælles login - Fysiske arkiver i kælderen - Manglende adgangskontrol - Manglende logning Databehandleraftaler og kontrol - Manglende eller overflødige databehandleraftaler - Manglende kontrol med databehandlere Hvor var det nu jeg lagde den børnefaglige undersøgelse? 6

Indsatser Eksempler på indsatser Opstramning af sikkerhedsregler Revision af eksisterende retningslinjer for informationssikkerhed Afdækning af risici ved brug af forskellige apps som fx facebook mm. hvor der gives adgang til indholdet på mobile enheder Opdatering af De ti bud for datasikkerhed m.m.

Indsatser Eksempler på indsatser Forebyggelse og beredskab Opdatering af indhold i SecureAware (ISO 27001) Opdatering af Informationssikkerhedspolitik Opdatering af Beredskabsplan

Indsatser Uddannelse af ledere og medarbejdere Kurser om sikkerhed og databeskyttelse Obligatorisk test Oplæg på personalemøder, ledermøder, temadage m.m. Awareness kampagne: - Små artikler på intranettet - Plakater med de 10 bud om databeskyttelse - Konkurrencer Rådgivning, FAQ og hjælp til selvhjælp

Indsatser Håndtering af de registreredes rettigheder Information på hjemmesiden (borgerne) - Sådan behandler vi dine persondata - Dine rettigheder - Sådan gør du, hvis du ønsker at klage Information på intranettet (medarbejderne) - Sådan bruger vi dine data - Dine rettigheder - Sådan gør du, hvis du ønsker at klage Flyers og plakater Hvad bruger I mine data til? Jo nu skal du bare høre.. 10

Indsatser Indkøb af kontrol- og kvalitetsstyringsystem: Værktøj til oprydning og kvalitetsstyring af data Kontrol af lokale drev og/eller fagsystemer ud fra et foruddefineret regelsæt fx: - find alle dokumenter der indeholder CPR - find alle dokumenter over x-antal måneder - find alle mails med CPR i emnefeltet 11

Indsatser Eksempel på udtræk fra kvalitetsstyringssystemet 12

Indsatser Digital Taskforce Hjælpe organisationen til at gøre opgaver digitale via digitale moduler og RPA Øget digitalisering, effektivisering og sikkerhed Konkrete løsninger: - Digital Udstedelse af pas og kørekort - Automatisk oprettelse af sager i ESDH - Automatisk overførsel af indhold fra Skoleintra til AULA m.fl

Dokumentation Dokumentation Alle centre har egen sag om databeskyttelse i SB-SYS Sagerne er opbygget efter den samme skabelon, så det er let at genfinde info på tværs: - Fortegnelser - Risikovurderinger - Handleplaner Hovedsag om databeskyttelse Beskrivelser af indsatser, mødeoversigter, artikler, undervisningsmaterialer m.m. ligger på hovedsagen 14

GDPR i praksis Workshop 2 Den offentlige sektor v. Jens Kjellerup Hansen

Workshop Andre/flere Udfordringer? Er der andre udfordringer I den offentlige sektor end dem, som er nævnt under Ballerup Kommune? Politikker Aftaler hvad med underleverandører? (f.eks. Jobcentre) Risikovurderinger og handlingsplaner Test mobil sikkerhed og netværk Registreredes rettigheder krav om info ved brud! Kontrolsystemet Den digitale Taskforce Uddannelse, træning, kampagner Info til borgerne Fysiske arkiver???

Workshop 2 Løsninger? Er der andre, der har løst problemerne på en anden måde eller som har erfaringer, som I kan dele? Politikker hvordan får man den politiske ledelse med?? Databehandleraftaler alle de mange små konsulenter, rådgivere, firmaer.. Det er DEM, der risikerer bøden. Hvad gør kommunen/den off. Partner? Er der nogen, der er blevet overrasket over risikovurderingerne?? Mobil sikkerhed ideer til løsning? Information til skadelidte hvordan? Organisationen omkring datasikkerhed. Har I en DPO? Andre måder? Uddannelse fælles offentlige tilbud Arkiver fysiske o.l. Ideer og forslag?

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback