Nyskabelser I persondataforording - DI's redskaber til compliance

Relaterede dokumenter
Data protection impact assessment

Persondataforordningen. Fra papir til handling

GDPR En praktisk tilgang

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

Persondataforordningen. Konsekvenser for virksomheder

ISO som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

Workshop om IT-sikkerhed. Tech trends, trusler og strukturerede løsninger

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

General Data Protection Regulation

Persondataforordningen...den nye erklæringsstandard

Forordningens sikkerhedskrav

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Når compliance bliver kultur

Persondataforordningen. Henrik Aslund Pedersen Partner

Plesner Certifikat i Persondataret

Overblik over persondataforordningen

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Handleplan for informationssikkerhed 2017 i Region Midtjylland - oversigt over initiativer/faser som forventes afsluttet i 2017

DER ER GÅET SPORT I INFORMATIONSSIKKERHED

EU-GDPR i ControlManager

Persondataforordningen

GDPR og ISO-standarderne Få styr på værktøjskassen af ISO-standarder

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

Introduktion til persondataforordning

EU GDPR Endnu en Guide

Det skal du have styr pa inden 2018

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Plesner Certifikat i Persondataret

Persondataforordningen og ISO 27001

BILAG 5 DATABEHANDLERAFTALE

Persondataretlig compliance - Hvordan bliver din organisation klar?

Kursus: Ledelse af it- sikkerhed

Vejledning i informationssikkerhedspolitik. Februar 2015

Persondataforordningen Agenda

EU S PERSONDATAFORORDNING & CLOUD COMPUTING

Er I klar til den nye persondataforordning?

VEJLEDNING Persondataforordningen - Implementering i danske virksomheder

Interviewskema Udgangspunkt


Databeskyttelsesdagen

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Persondataforordningen. Konsekvenser for virksomheder

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

KOMBIT OG SIKKERHED NU, OM LIDT OG FREMTIDEN

Kontraktbilag 3. Databehandleraftale

BILAG 14: DATABEHANDLERAFTALE

Informationssikkerhedspolitik for Horsens Kommune

Hvilke forberedelser kræver EUpersondataforordningen? Klaus Kongsted, Dubex A/S, 11. juni 2015

Undervisningsplan for certifikat i persondataret

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

INTRO TIL PERSONDATAFORORDNINGEN. Væsentligste nyskabelser af relevans for IT-leverandører 8. juni 2016

Transkript:

Nyskabelser I persondataforording - DI's redskaber til compliance

DI og DI Digitals sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne Offentlig sektor Produktsikkerhed / IoT-sikkerhed Produktionssikkerhed / OT-sikkerhed Privacy Vejledning om forordningen PIA-vejledning DPO-netværk 2

Trusler - fremmede lande Office of Personnel Management - 31+ millioner registrerede - Ganske mange og følsomme data om de registrerede - Muligvis baggrundsinformationer om sikkerhedsgodkendelser - 1+ millioner fingeraftryk Motiv: Data, viden, evne til fremtidige angreb 3

Trusler - hackere / it-kriminelle Zeus, trojaner, brugt til at lave man-in-the-browser attack, installere CryptoLocker ransomware og SpyEyeVirus Motiv: Penge 4

Trusler - idealister Ashley Madison - 36+ millioner brugere - 7.000+ fra.dk - "The Impact Team", moralsk motiv - Konti oprettet uden validering af e-mail - Betaling for at blive slettet - uden at det skete - Blandt de 5,5 millioner kvindelige konti var masser oprettet fra den samme ip-adresse og kun 1% udviste egentlig aktivitet - Konsekvenser: Skilsmisser, afpresning (.mil,.gov), selvmord, 5

Danske cases - it-kriminelle SE&HØR-sagen - Tys-tys-kilden - It-specialist hos IBM - Personoplysninger fra Nets - Betaling fra SE&HØR - 10k/md, i alt 310k - Også adgang til DeMars hos forsvaret, NemID, m.v. - Ofre: kongehuset, politikere, sportsfolk og kunstnere - Konsekvenser: En række medarbejdere hos SE&HØR m.v. er anklaget - Insiderproblematik og manglende funktionsadskillelse 6

Danske cases - it-kriminelle CSC-sagen - Hack mod CSC gav adgang til og data fra cpr-registret, kørekortregistret og Schengens informationssystem med oplysninger om efterlyste europæere. - Zero-day sårbarhed udnyttet - Åben webserver med inddatering af pensioner kørte på samme server - Manglende segmentering og utilstrækkelig logning - Konsekvenser: Dømt 7

Summa sumarum Trusler Fremmede lande IT-kriminelle Idealister Fejl Der er ikke kun brands og myndigheder: alle er mulige mål 8

Fakta Afbalanceret resultat Styrke individernes ret til databeskyttelse Understøtte det frie flow af data Reducere administrative byrder Indhold 99 artikler (tidligere 34) 173 præambler (tidligere 72) 260 sider (tidligere 20+) 26 definitioner (tidligere 8/9) 9

Fakta Opbygning Der er nogle principper for god behandlingsskik som skal efterleves Der skal findes et hjemmelsgrundlag til behandling Den registrerede har nogle rettigheder, som vedkommende skal kunne udøve Den dataansvarlige og databehandlere skal efterleve nogle forpligtelser Datatilsynet har ret til at føre tilsyn, komme med påbud, advarsler og bøder 10

De vigtigste nye regler Samtykke ændres en smule Mere oplysning til de registrerede Sletning også i et vist omfang hos tredjeparter (men ikke "right to be forgotten") Dataportabilitet Profilering Privacy by design and default Databehandles får pligter i loven og ikke kun i databehandleraftale Dokumentation af behandlinger Data breach notification (god databehandlingsskik) Data protection impact assessment Data protection officer Bøder 11

Løsninger ISO27000 12

Standarder i serien 27001: ISMS 27002: Kontroller 27005: Risikostyring 27018: PII i cloud M.v. Kilde: https://en.wikipedia.org/wiki/iso/iec_27000-series 13

Den fulde model Kilde: www.iso27001security.com 14

Introduktion Standard der sikrer, at man kommer hele vejen rundt Skaf ledelsesopbakning (herunder til omfang og ISMS) Identificer aktiver og ejere (system og dataklassifikation) Lav risikovurdering af aktiverne Lav risikohåndteringsplan Identificer eksisterende korrigerende foranstaltninger formuleret som kontroller Liste over nye korrigerende foranstaltninger formuleret som kontroller (Disse to punkter udgør "Statement of Applicability" og er grundstenen i ISMS) Identifikation af restrisiko og evt. forsikring Ledelsesgodkendelse (af ISMS) Dokumenter processer/kontroller og efterlevelse Vedligehold 15

Indhold Informationssikkerhedspolitikker og retningslinjer Organisering (rolle, funktionsadskillelse, mobilt udstyr, fjernarbejdspladser) HR-sikkerhed (før, under og efter ansættelsen) Styring af aktiver (ansvar, klassifikation, mediehåndtering) Adgangsstyring (politik, brugeradgang, brugeransvar, system og app-adgang) Kryptering Fysisk sikring (områder, udstyr) Driftssikkerhed (procedurer og ansvar, skadelig kode, backup, logning, installation, sårbarheder, audit) Kommunikationssikkerhed (netværk og segmentering, overførsel af information) Anskaffelse, udvikling og vedligehold Leverandørforhold (krav til og styring af) Styring af brud Beredskab (kontinuitet og retablering) Compliance (love, standarder, best practises og kontrakter) 16

GDPR-mapping 17

Vejledningen, overordnet Formål: en lavpraktisk og operationel tilgang til arbejdet med forordningen Vejledningen er for MMV'erne En letlæst introduktion til de nye regler Baggrund Beskyttelse af fundamentale rettigheder Persondataforordningens opbygning De nye tiltag i hovedtræk (nye og objektivt nødvendige) DI's anbefalinger (forudsætningsbetinget o.a.) En række væsentlige spørgsmål og anbefalinger, som MMV'erne bør forholde sig til Bilag er for de store/modne virksomheder Mapning af forordningens krav til virksomhederne op mod kontrollerne i ISO27002. 18

Vejledningen, spm. til mmv Er virksomheden omfattet af loven? Er informationerne, som virksomheden ønsker at behandle, omfattet af loven; er informationerne at betragte som personoplysninger? Hvilke kategorier af personoplysninger ønsker virksomheden at behandle? Hvilke behandlinger ønsker virksomheden at foretage? Spiller virksomheden en rolle som dataansvarlig eller databehandler i forhold til de konkrete behandlinger? Har virksomheden hjemmel til at behandle de ønskede kategorier af personoplysninger? Opfylder virksomheden principperne for behandling af oplysningerne? Er behandlingen nødvendig (proportional)? Kan virksomheden behandle oplysningerne på en mindre indgribende måde og stadig opnå formålet? Opfylder virksomheden datasubjekternes rettigheder ved behandling af oplysningerne? Opfylder virksomheden sine forpligtelser ved at behandle personoplysninger? Er der særlige forhold, der gør sig gældende, for virksomhedens behandling af personoplysninger? 19

Vejledningen, anbefalinger til mmv Virksomheden bør udpege en ansvarlig for behandlingen af personoplysninger i virksomheden. Denne person bør i vid udstrækning samarbejde med den person som er ansvarlig for informationssikkerheden. Hvis virksomheden ikke selv har kompetencerne bør disse skaffes fra eksterne leverandører. Virksomheden bør overveje at gennemføre en data protection impact assessment for de it-systemer, som i væsentlig grad behandler personoplysninger. Virksomhederne bør overveje om de kan designe bedre beskyttelse af personoplysninger ind i deres it-systemer og herunder anvende privatlivsfremmende teknologier. Virksomheden bør gennemgå sine databehandleraftaler i lyset af reglerne i forordningen. Virksomheden bør løbende have klarhed over sit hjemmelsgrundlag for overførsel af personoplysninger til lande udenfor EU. Virksomhederne bør gennemgå de kontroller, som er nævnt i bilagene til denne vejledning. Virksomhederne bør vurdere, om de gennem kortlægningen af deres data kan udvikle forretningen baseret på data, og om de kan effektivisere processer. 20

De vigtigste nye regler Samtykke Information Sletning (3rd parter) Dataportabilitet Profilering Privacy by Design Dokumentation Data Breach Notification DPIA DPO Bøder F.eks. A.18.1.4 (compliance med persondatalov) F.eks. A.12.1.1 (dokumenterede driftsprocedurer) F.eks. A.12.1.1 (dokumenterede driftsprocedurer) F.eks. A.12.1.1 (dokumenterede driftsprocedurer) F.eks. A.12.1.1 (dokumenterede driftsprocedurer) F.eks. A.14.1.1 (analyse og specifikation af informationssikkerhedskrav) F.eks. A.12.1.1 (dokumenterede driftsprocedurer) F.eks. A.16.1.5 (håndtering af informationssikkerhedsbrud) F.eks. A.6.1.5 (informationssikkerhed ved projektstyring) F.eks. A.6.1.1 (ansvar) n/a 21

Vejledningen, mapning, ex GDPR (6. april 2016 udgaven), Artikel 32, stk. 1, litra c: the controller shall implement appropriate technical and organizational measures, to ensure a level of security appropriate to the risk including the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident ISO/IEC 27002:2013, Control 12.3.1: Backup copies of information, software and system images should be taken and tested regularly in accordance with an agreed policy DI s beskrivelse af kontrollen og mapping af de to kilder: Virksomheden skal sikre, at personoplysninger kan genskabes indenfor rimelig tid. Artikel X, stk. Y A.12.7.1 (kontroller i forbindelse med audit af informationssystemer) A.12.3.1 (backup af information) A.17.1.1 (planlægning af informationssikkerhedskontinuitet) A.17.1.2 (implementering af informationssikkerhedskontinuitet) A.18.2 (gennemgang af informationssikkerhed) Virksomheden skal sikre, at sikkerhedstiltagene bliver testet og at personoplysninger kan genskabes indenfor rimelig tid 22

Løsninger DPIA 23

PIA - "definition" Definition En PIA er en vurdering af risici, set fra et individs synspunkt, ved at en aktør behandler individets personoplysninger. Indhold PIA'en består af en analyse og af en proces. Analysen sikrer, at de rette spørgsmål bliver stillet og besvaret. Processen sikrer, at spørgsmål stilles og svar gives på dette rette tidspunkt i en teknologis livscyklus. 24

PIA-proces PIA-proces Idefase Planlægning og arkitektur Teknologivalg Implementering og test Drift og ændringer Idefase: Er der behov for PIA? (A) og compliance-betragtning (B) Planlægning og arkitektur: dataflowanalyse (C), datasubjektets risici (D) og planlægning af korrigerende foranstaltninger (E) Teknologivalg: Privacy Enhancing Technologies (G) Implementering og test: Information til datasubjekter (F) og anonymisere/slette Drift og ændringer: Følge op på PIA og implementere kontroller 25

PIA - eksempel: dataflowanalyse Hvilke personoplysninger vil blive behandlet? Hvilke typer af teknologier anvendes? Hvordan foregår indsamlingen af personoplysninger? Til hvilket formål behandles personoplysningerne? Andre formål? Ekstra data? Er det nødvendigt, at indhente samtykke til databehandlingen? Hvilken behandling finder sted? Hvem har adgang til data? Hvem har ansvaret for personoplysningernes sikkerhed? Hvordan ser dataflowet ud efter indsamling? Tegnet flowdiagram? Hvordan organiseres personoplysningerne? Videregives data til andre? 26

Kontakt Henning Mortensen hem@di.dk Links: Vejledningen om persondataforordningen http://di.dk/virksomhed/produktion/it/itsikkerhed/personoplysninger/pages/vejledningompersondataforordningen.aspx PIA-skabelonen http://di.dk/virksomhed/produktion/it/itsikkerhed/personoplysninger/pages/disskabelonforprivacyimpactassessment.aspx 27

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback