Hvidbog om informationssikkerhed. Overholdelse af GDPR. En introduktion til informationssikkerhed

Relaterede dokumenter
Hvidbog om informationssikkerhed. Dokumentsikkerhed. Beskyttelse af virksomhedsoplysninger.

Privatlivspolitik for MV-Nordic A/S

Ekstern Persondatapolitik - Sankt Lukas Stiftelsen

Retningslinjer om brud på persondatasikkerheden

PERSONDATAPOLITIK KVM-GENVEX A/S

Persondatapolitik Vordingborg Gymnasium & HF

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Brud på datasikkerheden

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Document Distributor oversigt

Persondatapolitik for Aabenraa Statsskole

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitik for Tørring Gymnasium 2018

Retningslinjer om brud på persondatasikkerheden

Retningslinjer om brud på persondata

Er du nu HELT klar til GDPR? Bosted Temadag Rune Andersen, Manager, Product Management, EG

Document Distributor 1. Fordele. Document Distributor

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Rexel-makulering. Grundlaget for nødvendigheden af en politik for dokumentsikkerhed med henblik på overholdelse af GDPR.

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Persondatapolitik på Gentofte Studenterkursus

GDPR Persondatapolitik Tage E. Nielsen A/S

FORSKNING VISER, AT PRINTERE EFTER- LADES SÅRBARE OVER FOR CYBERANGREB

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Persondata politik for GHP Gildhøj Privathospital

PACR Databeskyttelse. Erklæring om beskyttelse af personoplysninger. Indhold

Retningslinje om fortegnelser over behandlingsaktiviteter

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Databeskyttelsesdagen

Persondatapolitik for Odense Katedralskole

Retningslinje om fortegnelser over behandlingsaktiviteter

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Hvidbog om informationssikkerhed. Netværkssikkerhed. Beskyttelse af kontorets netværksenheder.

SOPHIAGÅRD ELMEHØJEN

EU s persondataforordning

Retningslinje om fortegnelser over behandlingsaktiviteter

DATABESKYTTELSESPOLITIK

Databeskyttelsespolitik

Bilag A. j2 Global Denmark A/S (VIPRE) Vilkår for Databehandling

Databehandleraftale. (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne )

Overordnet organisering af personoplysninger

Databeskyttelsespolitik for DSI Midgård

! Databehandleraftale

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Retningslinje om risikovurdering

Behandling af personoplysninger hos Popermo Forsikring G/S

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

N. Zahles Skole Persondatapolitik

FORTROLIGHEDSPOLITIK FOR TJENESTEDATA

Databehandleraftale. Version A. Imellem: Dataansvarlig: Den kunde der har købt/erhvervet retten til at anvende app s fra itn vision aps

Retningslinje om fortegnelser over behandlingsaktiviteter

Persondatapolitik for Brandsbjerg Vandværk

GML-HR A/S CVR-nr.:

Vi behandler persondata og har derfor vedtaget denne privatlivspolitik, der fortæller dig, hvordan vi behandler dine data.

Europabevægelsens Privatlivspolitik

Databehandlervilkår. 1: Baggrund, formål og definitioner

Overordnet organisering af personoplysninger

FORTROLIGHEDSERKLÆRING SYNBRA HOLDING B.V.

Databeskyttelsespolitik

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

Privatlivspolitik CBS Executive

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Persondataforordningen...den nye erklæringsstandard

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Privatlivs og Persondatapolitik for Evangelisk Luthersk Netværk

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

Indhold og formål. Persondataansvar hos DMT A/S. Definitioner. Generelt om behandling af persondata

Persondatapolitik i Dansk Oplysnings Forbund

Beskyt din forretning

[Firma navn] [Adresse] [Postnummer] [Land] [CVR-nr.] [Navn på kontaktperson] [ ] [Phone number] PSUPPORT.DK ApS. Plantagevej 51, 3460 Birkerød.

Bilag A Databehandleraftale pr

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Vilkår og privatlivspolitik

generel information om databeskyttelse til jobansøgere

Behandling af personoplysninger

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

TradeTracker: Vi forbereder os på GDPR

Y s MEN INTERNATIONAL. Region Danmark

Dine personoplysninger vil blive indsamlet og håndteret af os med henblik på følgende formål:

Vanderbilt Internationals politik for databeskyttelse SPC Connect


Fortrolighedserklæring for Pharmacovigilancedata

Transkript:

Hvidbog om informationssikkerhed Overholdelse af GDPR En introduktion til informationssikkerhed www.sharp.dk

Indhold Introduktion... 3 Baggrund... 4 Anbefalinger... 6 Konklusion... 7 GDPR-ordliste... 8 Referencer... 9 2

Indledning Alle moderne virksomheder står over udfordringer, når det kommer til at sikre overholdelse af EU's generelle forordning om databeskyttelse (GDPR), særligt hvad angår beskyttelse af personlige data. Den generelle forordning om databeskyttelse (GDPR) har medført adskillige udfordringer for virksomheder på tværs af Europa og globalt. Mens meget af GDPR fokuserer på beskyttelse af online data, så regulerer den også, hvordan virksomheder arbejder med og lagrer dataene, hvilket betyder, at de skal overveje, hvad der sker med oplysninger, de registrerer (gennem scanning eller elektronisk input), lagrer og opbevarer, behandler, deler, udskriver, kopierer, faxer og arkiverer. Forordningen introducerer kategorier som f.eks. personlige identificerbare data, databeskyttelse, datasletning, databehandlere, dataansvarlige, databeskyttelsesansvarlige, overholdelse, databeskyttelsesmyndighed m.m.(se GDPR-ordlisten på side 9). Der er mange publikationer, der fokuserer på, hvordan GDPR's ordlyd skal fortolkes, hvem der vil blive påvirket, og hvordan denne lovgivning skal introduceres i virksomheden. Der er dog kun et lille antal dokumenter, artikler eller hvidbøger om, hvordan GDPR skal oversættes til reelt virksomhedssprog og alle de processer, der er forbundet med virksomhedsaktiviteter særligt dem, der er forbundet med personlige data. Ved at forbinde virksomhedsbrugere (medarbejdere), virksomhedsprocesser (arbejdsgange og anbefalede fremgangsmåder) og virksomhedsaktiver (hardware og software) har Sharp defineret tre separate områder af virksomhedssikkerhed, der når de sammensættes kan forbedre generel virksomhedssikkerhed for at levere overholdelse af GDPR. Disse tre områder er: Netværkssikkerhed Vedrører ethvert netværk, der anvendes af en virksomhedsorganisation, vedligeholdes af en IT-afdeling, hvor der er lagt vægt på alle tilsluttede enheder til udskrivning, scanning og faxning. Printsikkerhed Vedrører både udskrevet og scannet udkast fra multifunktionssystemer eller printere. Denne kategori inkluderer trykte dokumenter i papirformat og billeder af dokumenter i transit fra en computer til en udskrivningsenhed (herunder gennem dedikerede udskriftsservere), scanning (herunder scanning til mappe, scanning til e-mail, scanning til sky) og fax. Dokumentsikkerhed Vedrører information registreret fra papirdokumenter gennem scanningsprocessen eller elektroniske billeder af dokumenterne, der er lagret på virksomhedslagre, f.eks. e-mails, elektroniske filer, formularer osv. Sharp kan hjælpe virksomheder med at opnå overholdelse af GDPR ved at introducere og anvende en række værktøjer og anbefalede fremgangsmåder til virksomhedsprocesser, der er direkte tilknyttet netværks-, print- og dokumentsikkerhed. 3

Baggrund GDPR er den største ændring inden for databeskyttelse i mere end 20 år. Men der er stadigvæk mange spørgsmål og begrænsede svar. GDPR introducerer nye krav og definerer de finansielle bøder ved ikke at have tilstrækkelig beskyttelse og forebyggende foranstaltninger til at beskytte mod brud 1. Med der gives meget begrænset vejledning om, hvad virksomhedsejere, IT-administratorer og brugere skal indføre for at overholde bestemmelserne. Det er op til hver enkelt virksomhed at fortolke det, der skal iværksættes. Hovedformålet med at introducere GDPR var bedre at kunne administrere og beskytte behandlingen af personlige, identificerbare data. Det betyder, at alle personlige oplysninger i dine virksomhedssystemer fra kunde- og virksomhedskontaktdata lagret i virksomhedsapplikationer til alle netværksindstillinger, dokumentadministration og udskriftsadministrationskonti til HR-dokumentation vedrørende medarbejdere skal administreres på en passende måde. Der er to hovedlag i GDPR-overholdelsen: Personligt lag Alle spørgsmål vedrørende brugeren, herunder dennes adfærd, arbejdsmåde samt hvordan virksomhedssystemer og regler gælder for dem Organisationslag Virksomhedsprocesserne i en organisation (herunder papirarbejdsgange og elektroniske arbejdsgange), aktiver (inklusive dem, der hjælper folk med at dele og kommunikere på en elektronisk eller papirbaseret måde), kulturen, og hvordan den reagerer på markedsudfordringer. Ved at introducere strategier og værktøjer på organisationsniveau kan den forventede ændring i slubbrugernes adfærd, og hvordan de arbejder og behandler alle de tilgængelige virksomhedsdata, indstilles og administreres. Det fører til en bedre forståelse af, hvordan dokumenter såvel som brugeridentificerbare data skal behandles 2. Derfor fokuserer Sharp på organisationslaget (processer, løsninger og hardware) og kan hjælpe med at skabe omfattende sikkerhedspolitikker, der er afgørende for enhver virksomhed. Ved at fokusere på tre områder inden for virksomhedssikkerhed har Sharp beskrevet potentielle risici, der kan føre til brud på overholdelse, hvis der ikke tages fat på dem. Netværksrelaterede risici - Sårbarheden ved at flytte data mellem papirformat og elektroniske formater og tilbage ud på papir. - Behovet for at sikre multifunktionssystemer og printere til samme niveau som servere og behovet for en planlagt og fælles politik om udskriftssikkerhed. - Behovet for at overvåge og administrere enheder for at bevare og opdatere sikkerhedspolitikken, hvis det er nødvendigt, i tråd med nye sårbarheder med tiden. - Behovet for at kassere data sikkert og til tiden. Udkastrelaterede risici - Behovet for at sikre adgangen til multifunktionssystemer og udskriftsenheder for at kontrollere udkast og routing af fortrolige data. - Administration af antal og typer af udkast kopier, udskrifter, faxer, scanninger (herunder scanning til e-mail og scanning til mappe). - Behovet for et revisionsspor og ansvarlighed for, hvad der er registreret eller udskrevet. 4

Dokumentrelaterede risici - Mangel på definition og forståelse af dokumentlivscyklussen i virksomheden. Dette inkluderer alle trin af virksomhedslivscyklussen fra dokumentoprettelse til -bortskaffelse. - Ustrukturerede dokumentlagre, der efterlader dokumentadministrationssystemer åbne for angreb og potentielle brud. - Repetitive manuelle opgaver forbundet med dokumenter (elektronisk og papirformat), hvorved en forkert destination kan tilføjes ved en fejl og føre til databrud. - Ukontrolleret deling af virksomhedsvigtige dokumenter. - Risiko for datakorruption uden versionskontrol. Sharps sikkerhedsstruktur 5

Anbefalinger Ved at bruge vores omfattende tilgang til virksomhedssikkerhed kan Sharp sikre overholdelse af selv de strengeste bestemmelser og skabe løsninger, der hjælper virksomheder med at arbejde mere effektivt. Sharp har til mål at sikre GDPR-overholdelse i ethvert aspekt af informationssikkerhed ved at tage fat på de tre hovedområder inden for virksomhedssikkerhed: netværkssikkerhed, printsikkerhed og dokumentsikkerhed. Vi dækker de organisatoriske aspekter af databehandling og databeskyttelse gennem vores omfattende portefølje af optimerede produkter og løsninger samt Sharps professionelle tjenester. Ved at opbygge en stærk base på tværs af organisationslaget i en virksomhed kan vi påvirke slutbrugerens adfærd. Sammen med vores veldesignede og sikre systemer hjælper dette virksomheder med at overholde GDPR og leverer de rette værktøjer til at måle risici, forhindre cyberangreb og give nøjagtige brugerrelaterede indblik. Sharps professionelle tjenester dækker ethvert aspekt af datasikkerhed, herunder håndtering af personlige identificerbare oplysninger i virksomhedssystemer, og hjælper dermed organisationer med at overholde GDPR. Nedenstående er en opsummeret tabel, der viser, hvordan Sharp kan hjælpe dig med at overholde GDPR: Sikkerhedsaspekt/- område Generel forordning om databeskyttelse og Sharp Produkter og løsninger Netværkssikkerhed Sharps multifunktionssystemer Sharps printere Sharp Remote Device Manager Printsikkerhed Job Accounting II PaperCut MF SafeQ Drivve Image Prism ScanPath Dokumentsikkerhed Cloud Portal Office Drivve DM Docuware Drivve Image Prism ScanPath Overholdelse gennem Brugeradgangskontrol Portkontrol Protokolkontrol Netværkssikkerhedskontrol Datakryptering Dataoverskrivning Adgangskontrol Funktionalitetsbegrænsninge r Datalog/revisionsrapportering Bevarelse og redaktion af datalog Databaseadgangskontrol Brugerrettighedskontrol Versionssporing Revisionsspor Dokumentbevaring, herunder Dokumentbortskaffelse Revisionslog 6

Konklusion Sharp kan hjælpe organisationer med at etablere effektive sikkerhedsforanstaltninger og effektive administrationsmetodologier som hjælp til at opnå overholdelse af GDPR. At forstå, planlægge, konfigurere og udføre foranstaltningerne og funktionerne, der er nødvendige for at overholde GDPR kan tage lang tid og forårsage reelle implementeringsproblemer, særligt da alle virksomheder er forskellige. Sharp anbefaler, at virksomhedsejere og ITadministratorer læser de hvidpapirer, der er at finde i vores bibliotek, for vejledning inden for områderne for netværkssikkerhed, printsikkerhed og dokumentsikkerhed: https://www.sharp.dk/cps/rde/xchg/dk/hs.xsl/- /html/informationssikkerhed.htm Disse hvidbøger vil beskrive risiciene samt afbødende handlinger og introducere: Sharps sikre netværksenheder Sharps sikkerhedssoftware, der hjælper med at beskytte fangst og udkast af virksomhedsdata Sharps sikkerhedssoftware, der hjælper med at beskytte elektroniske dokumenter. Derudover tilbyder teamet bag Sharps professionelle tjenester rådgivning og hjælp til at opbygge robuste sikkerhedsforanstaltninger og introducere værktøjer, der er relevante for hver enhver virksomhedstype og behov. For at undgå potentielle sårbarheder i andre områder af din organisation kan vi også hjælpe dig med at indføre yderligere sikkerhedsforanstaltninger fra Sharp-porteføljen, så du kan levere 360-graders sikkerhedsbeskyttelse for ethvert aspekt af din virksomhed: Netværkssikkerhed Printsikkerhed Dokumentsikkerhed Overholdelse af GDPR. 7

GDPR-ordliste 3 Ansvarlighed den dataansvarlige har ansvaret for overholdelse af de nye databeskyttelsesprincipper. De skal kunne demonstrere trinnene, som virksomheden tager for at sikre overholdelse. Databrud enhver utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret offentliggørelse eller adgang til en persons data. Dataansvarlig dataansvarlig (eller registeransvarlig) betyder den juridiske person, offentlige myndighed, agentur eller andet organ, der alene eller sammen med andre fastslår formålene og behovet for behandling af personlige data. Datasletning (også kendt som retten til at blive glemt) omfatter den registreredes anmodning om, at den dataansvarlige sletter dennes personlige oplysninger. Databehandler behandling betyder enhver handling eller række af handlinger, der foretages på personlige data eller på sæt af personlige data. Det anses for værende behandling, når disse handlinger foretages manuelt såvel som automatisk. Behandling inkluderer følgende aktiviteter: indsamling, registrering, organisering, brug, strukturering, lagring, tilpasning, hentning, konsultation, ødelæggelse m.m. Databehandleren kan være en organisation eller tredjepartsleverandør, der administrerer og behandler personlige data på vegne af den dataansvarlige. Databehandlere har specifikke juridiske forpligtelser som f.eks. at bevare personlige optegnelser og er ansvarlige i tilfælde af et databrud. Databeskyttelsesmyndighed den nationale myndighed, der beskytter personlige data. Databeskyttelsesrådgiver et udpeget individ, der arbejder for at sikre, at du implementerer og overholder de politikker og procedurer, der er fastlagt af GDPR. Den registrerede en person, hvis personlige data behandles af en dataansvarlig eller databehandler. Personlige data enhver direkte eller indirekte oplysning vedrørende en identificeret person, der kan anvendes som et middel til at identificere dem. Dette inkluderer deres navn, ID-nummer, placeringsdata eller et online identifikationsnavn. Behandling dette refererer til enhver aktivitet vedrørende personlige data, fra indledende fangst til den endelige destruering. Det inkluderer elektronisk eller manuel organisering, ændring, konsultation, brug af, offentliggørelse, kombinering og bevaring af dataene. 8

Referencer 1. "UK firms could face 122bn in data breach fines in 2018", ComputerWeekly, oktober 2016 2. "CEO Survey", PwC, 2017 3. "GDPR Glossary of Key Terms", High Speed Training, februar 2018 9

` www.sharp.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback