Persondataforordningen Agenda

Relaterede dokumenter
Agenda. Ny persondataforordning hvordan forbereder HOFOR sig?

Når compliance bliver kultur

Vejledning i informationssikkerhedspolitik. Februar 2015

Når Compliance Bliver Kultur


Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

GDPR og ISO-standarderne Få styr på værktøjskassen af ISO-standarder

Databehandleraftaler. Ved partner Thomas Munk Rasmussen, Bech-Bruun

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

EU Persondataforordning GDPR

Workshop om persondataforordningen

Informationssikkerhedspolitik for Horsens Kommune

Ny persondataforordning

1 Informationssikkerhedspolitik

Regler om persondata Koordinatormøde den 28. nov. 2017

DER ER GÅET SPORT I INFORMATIONSSIKKERHED

Informationssikkerhedspolitik for Odder Gymnasium

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Persondataforordningen

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Undervisningsplan for certifikat i persondataret

Persondataforordningen...den nye erklæringsstandard

Må lrettet årbejde med persondåtåforordningen for

Forordningens sikkerhedskrav

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

GDPR Persondata- forordningen

Den nye persondataforordning. 2. februar 2017

Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

2017 Projekt persondataforordningen

ISO som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

KOMBIT sikkerhedspolitik

Workshop om teatrenes arbejde med persondataforordningen

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

persondataforordningen

PERSONDATAFORORDNINGEN. DRF s årsmøde, april 2017

KOMBIT OG SIKKERHED NU, OM LIDT OG FREMTIDEN

It-sikkerhedspolitik for Farsø Varmeværk

Målrettet arbejde med persondataforordningen for

FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Område: Udarbejdet: Næste revision:

Målrettet arbejde med persondataforordningen for

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Sikkerhedsprogrammet - Agenda

Region Hovedstadens Ramme for Informationssikkerhed

Fællesmøde for flis- og brændselspillegruppen samt halmgruppen

IT-Ansvar God skik og ansvarlighed. Persondataforordningen. Jørgen Granborg

PERSONDATAFORORDNING PERSONALEADMINISTRATION. 4. og 9. april 2018 Kolding

EU-Persondataforordningen. Steen Okkels Nørby, Supply Chain Manager/Projektleder hos NOVAX, IT-branchen 20 år,

Overblik over persondataforordningen

Den nye persondataforordning. 17. maj 2016

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

SENESTE NYT OM PERSONDATA. Birthe Boisen, juridisk konsulent

HR og ansættelsesret. - bliv skarp på, hvornår du kan behandle oplysninger om dine medarbejdere

Ny persondataforordning

Målrettet arbejde med persondataforordningen for Østermarie Vandværk

MedComs informationssikkerhedspolitik. Version 2.2

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

6.1 Introduktion. Af Jeppe Høyer Jørgensen, LETT Advokatpartnerselskab Indhold. Denne artikel har følgende

Skau Reipurth & Partnere Advokatpartnerselskab FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Udarbejdet: Næste revision:

Målrettet arbejde med persondataforordningen for

Præsentation Tid +/- 25 minutter i praktik

General Data Protection Regulation

HVORDAN REAGERER STATSFORVALTNINGEN PÅ EU S PERSONDATA- FORORDNING?

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Leverandørstyring: Stil krav du kan måle på

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

Workshop 2. Hvilke processer skal sikre os en god databeskyttelse? Hvordan uddanner vi medarbejdere i det offentlige til at håndtere data forsvarligt?

Struktureret Compliance. EU-GDPR eftersyn

PERSONDATAFORORDNINGEN APRIL 2018

Er du klar til den nye Persondataforordning?

Overblik over persondataforordningen

Thea Præstmark, Sofie Amalie Bangsbo van Hauen og Bo Enevold Uhrenfeldt

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

PERSONDATAPOLITIK FOR ÅRHUS LÆRERFORENING Revideret 17. januar 2019

Retningslinje om fortegnelser over behandlingsaktiviteter

Databeskyttelsesdagen

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Lidt om mig selv. Konsulentstillinger hos hhv. KMD og WM-data. Uddannelse: Data Protection Officer, IT & digitaliseringsledelse, Cand. Merc.

Persondataforordningen. Henrik Aslund Pedersen Partner

PERSONDATAPOLITIK FOR DANMARKS LÆRERFORENING. Vedtaget af styregruppen 21. februar 2018

OS2kravmotor Håndtering af GDPR

Håndbog i persondataforordningen

Persondatalovens dokumentationskrav

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Retningslinje om fortegnelser over behandlingsaktiviteter

Rollen som DPO. September 2016

Ma lrettet arbejde med persondataforordningen for

Transkript:

Agenda Hvordan kom EU på dagsorden i HOFOR Hvordan forbereder HOFOR sig på at blive compliant Oplæg til foranalyserapport Uddrag af HOFORs foranalyserapporten Finn Asmussen Chefkonsulent IT Direkte: 27 95 46 38 fina@hofor.dk HOFOR A/S Ørestads Boulevard 35 2300 København S www.hofor.dk tlf: 33 95 33 95 1

Hvordan kom EU på dagsorden i HOFOR 20.08.2015: Invitation til møde med Ernst & Young sendt fra HOFORs Økonomidirektør til ITchef og IT-sikkerhedsansvarlig med emnet: Cybersikkerhed og EU's nye privacy forordning 09.10.2015: Mødet med Ernst & Young, hvor de præsenterede Cyber Modenheds Program Dec. 2015: Ordlyden vedtages i EU Parlamentet Jan. 2016: IT-Sikkerhed udpeges til at koordinere aktiviteterne på tværs i HOFOR efter intern debat blandt funktionslederne i IT, Jura, HR, Kundegruppen og Økonomi 01.02.2016: 1. interne koordineringsmøde afholdes 18.06.2016: Projektkommissorium udarbejdet og vedtaget - I HOFOR var ledelsen involveret fra starten - Involver ledelsen så hurtigt som muligt 2

Hvordan forbereder HOFOR sig på at blive compliant HOFOR har defineret et projekt Formålet med projektet er at gøre HOFOR i stand til at efterleve EU pr. 25.05.2018. Projektet er inddelt i 2 faser, en Foranalyse og en Gennemførelse Foranalyse Gennemførelse 18.06.2016 31.12.2016 25.05.2018 Projektkommissoriet er udarbejdet af en intern arbejdsgruppe i HOFOR bestående af: Ida Sylvest, jura Bred forankring i organisationen Christina Bøje, HR Mette Ivarsen, Økonomi Elna Rasmussen, Kundecenter Susanne Kaa, Kundeprogram Gert Rigbolt, Kontrakter Steen Pries og Finn Asmussen, IT Sikkerhed - Definer et projekt - Projektet skal være bredt forankret 3

Projektkommissorium Projektmål Foranalyse: Projektetablering for foranalysen gennemført Begrebsafklaring for væsentlige begreber udarbejdet Oplæg til procedure / rolle og ansvarsfordeling for opfølgning og detailfortolkning af persondataforordningen udarbejdet Vurdering af compliance niveau udarbejdet Liste over informationsaktiver (IT systemer og papirarkiver) med persondata og deres dataansvarlige udarbejdet Krav til dataansvarlige (Proces- og dataejere / systemansvarlige) fastlagt Model for dataklassificering udarbejdet og godkendt Dataklassificering for persondata gennemført Plan for kortlægning af dataflow for persondata udarbejdet Liste over nødvendige politikker, procedurer og regler for håndtering af persondata udarbejdet Liste over kontrakter, hvori der indgår behandling af persondata udarbejdet Krav til databehandleraftale fastlagt Liste over databehandleraftaler udarbejdet Mapning mellem Persondataforordning og IT Sikkerhedsstandarden ISO27001/2 gennemført Vurdering af behov for DPO (Data Protection Officer) udarbejdet Analyserapport med oplæg til projekt- og tidsplan for næste projektfase udarbejdet Analyserapport drøftet i FL Revideret kommissorium for næste projektfase udarbejdet - Brug tid på at få styr på projektmål 4

Del1: Analyserapport Indhold af analyserapport kap 1-5 1. Indledning 1.1. Baggrund 1.2. Ændringer og nyskabelser i forhold til den gældende persondatalov 1.3. Persondataforordning og ISO27001 1.4. Vurdering af nuværende compliance niveau 1.5. Kort sammenfatning og anbefalinger 1.5.1. Gennemførelsesfasen: Tid, økonomi, kvalitet, risici 2. Persondata i HOFOR 2.1. Oplysningskategorier 2.1.1. Brug af CPR nummer i HOFOR 2.2. Klassifikation af information (ISO27001 8.2.1) 2.2.1. Kontroller / regler 2.3. Persondata i HOFOR 2.4. Plan for kortlægning af dataflow 2.5. Elektronisk adgang til personfølsomme data (Access management) 2.6. Håndtering af målerdata 2.7. Fysisk opbevaring af papir papirarkiver 2.8. HR Data - clean desk policy 3. Databehandleraftaler, kontrakter og samtykke 3.1. Eksisterende 3.2. Manglende 3.3. Skabelon for databehandleraftale 3.4. Anvendelse af samtykke i HOFOR 4. Informationsaktiver 4.1. Fortegnelse for aktiver (ISO27001 8.1.1) 4.2. Liste over informationsaktiver med personindhold 4.3. Beskrivelse af løbende vedligehold af informationsaktiver 5. Rolle- og ansvarsfordeling 5.1. Data- og procesejer 5.2. Systemansvarlig (ISO27001 6.1.1) 5.3. Opfølgning og detailfortolkning 5.4. Anbefaling vedrørende DPO - Definer indhold af analyserapport 5

Del1: Analyserapport Indhold af analyserapport kap 6-14 6. Nødvendige politikker, procedurer og regler 6.1. Informationssikkerhedspolitik 6.2. Liste over understøttende procedurer, retningslinjer og vejledninger 7. Liste over opgaver 8. Tekniske foranstaltninger 8.1. Adgangsstyring 8.2. Backup 8.3. Logning 8.4. Videoovervågning 8.5. GPS overvågning 9. Anskaffelse, udvikling og vedligeholdelse af systemer 9.1. Informationssikkerhedskrav (ISO27001 14.1.1) 9.2. Liste over igangværende projekter med persondata 9.3. Beskrivelse af håndtering af igangværende projekter. 10. Awereness og uddannelse (ISO27001 7.2.2) 10.1. Awareness 10.2. Uddannelse 11. Styring af informationssikkerhedsbrud (ISO27001 kap. 17) 12. Beredskab 13. Datatilsynet 13.1. Hvad skriver datatilsynet 13.2. Minimumskrav i forbindelse med personaleadministration 14. Oplæg gennemførelsesfasen 01.01.2017-30.06.2018 14.1. Formål 14.2. Leverancer 14.3. Organisering 14.4. Økonomi - Definer indhold af analyserapport 6

Uddrag af analyserapporten: Dataklassificering i HOFOR Følsomme personoplysninger. Omfatter helbredsoplysninger, fagforeningsforhold, etnisk tilhørsforhold, religion, sociale forhold, straffeforhold, m.m. Almindelige personoplysninger. Indeholder identificerbare oplysninger som f.eks. navn, adresse, e-mail, telefonnumre, fødselsdato, medarbejderid, etc. Fortrolige informationer. Oplysninger der har en væsentlig økonomisk eller forvaltningsmæssig værdi for HOFOR, og hvor offentliggørelse vil forårsage væsentlige skade på HOFOR s image eller økonomi. Det gælder f.eks. visse økonomidata, data om it-infrastruktur, fortrolige forretningsplaner eller udbudsmateriale. Interne informationer. Omfatter oplysninger, som ikke indeholder personoplysninger eller fortrolige informationer, men kun er tiltænkt internt brug i HOFOR, og hvor offentliggørelse kun vil forårsage ubetydelig skade på HOFOR s image eller økonomi, som f.eks. vagtplaner og interne notater. Åbne informationer. Omfatter alt hvad der ikke er omfattet af ovenstående som f.eks. alle oplysninger, der er egnet til almen offentliggørelse, åbne dagsordner, kunde og erhvervsinformation. Klassifikation Adgang Fysisk opbevaring Elektronisk opbevaring Følsomme Meget begrænset Låst inde Backup personoplysninge Politik 9.1.1 Politik 11.2.9 Politik 12.3.1 r Almindelige personoplysninge r Fortrolige informationer Interne informationer Åbne informationer Meget begrænset Politik 9.1.1 Meget begrænset Politik: 9.1.1 Begrænset adgang efter behov Alle Låst inde Politik 11.2.9 Låst inde Politik 11.2.9 Ingen regler Ingen regler Backup Politik 12.3.1 Backup Politik 12.3.1 Backup Politik 12.3.1 Backup Politik 12.3.1 Fysisk transport Sikker kurer Politik 8.3.3 Sikker kurer Politik 8.3.3 Sikker kurer Politik 8.3.3 Ingen regler Elektronisk transmission Krypteret Politik 10.1.1 Politik 13.2 Krypteret Politik 10.1.1 Politik 13.2 Krypteret Politik 10.1.1. Politik 13.2 Ingen regler Ingen regler Ingen regler - Få styr på dataklassificering 7

Uddrag af analyserapporten: Persondata i HOFOR Kunder medarbejdere - eksterne Kategori EU Persondataforordning - kunder Almindelige Personnavn oplysninger Adresse E-mail Telefonnummer Målerværdier Foto Semi-følsomme oplysninger CPR-nr. Opbevares for alle kunder?? EU Persondataforordning - medarbejdere Personnavn Adresse E-mail Telefonnummer Fødselsdato Foto MedarbejderID Kontonummer Personlighedstest Familiemæssige oplysninger Adgangskontrol Videoovervågning GPS Data Sko- og tøjstørrelse Helbredsoplysninger Fagforeningsforhold?? Opbevares for alle medarbejdere EU Persondataforordning - Eksterne Personnavn Adresse E-mail Telefonnummer Straffeattest (?) Ved eksterne forstås: Ansøgere, leverandører, rådgivere, etc. - Analyser persondata i din virksomhed 8

Uddrag af analyserapporten: Plan for kortlægning af dataflow - Brug DIs PIA skabelon 9

Uddrag af analyserapporten: Plan for kortlægning af dataflow HOFOR spørgeskema: Kunder - Tilpas PIA skabelon 10

Uddrag af analyserapporten: Liste over understøttende procedurer, retningslinjer og vejledninger HOFOR Informationssikkerhedpolitik Udsnit af ISO27002 Procedurer Vejledninger Retningslinjer Opgaver Procedurer Retningslinjer Analyserapporten indeholder en liste over procedurer, vejledninger og retningslinjer, som skal udarbejdes indenfor informationssikkerhed for at kunne overholde persondataforordningen - Brug DIs vejledning 11

Uddrag af analyserapporten: Awareness og uddannelse På tværs af arbejdet med EU ligger der en stor organisatorisk opgave i at uddanne dem, der skal arbejde med persondata. For nogle medarbejdere vil mange af opgaverne være kendte. Men for andre vil opgaverne være nye, og de vil ligesom ledelsen være usikre på, hvordan de kan være med til at sikre, at HOFOR lever op til kravene i forordningen. Medarbejdere i it-afdelingen og i afdelinger, hvor der arbejdes meget med personoplysninger og fortrolige informationer, skal uddannes regelmæssigt i informationssikkerhed. Uddannelsesmaterialet skal jævnligt ajourføres med henblik på nye risici. Alle medarbejdere skal have kendskab, hvordan HOFOR klassificerer informationer. Der skal udarbejdes et uddannelsesprogram i informationssikkerhed, som er målrettet de enkelte funktioner. Uddannelsesprogrammet skal bl.a. have fokus på personoplysninger og fortrolige informationer. 1. Indledning 2. Styring af informationssikkerhed 3. Lederes og medarbejdernes ansvar 4. Årshjul 5. Informationssikkerhedspolitikker 6. Organisering af informationssikkerhed 7. Personalesikkerhed 8. Styring af aktiver Uddannelsesprogram skal 9. Adgangsstyring tilpasses de enkelte 10. Kryptografi arbejdssituationer 11. Fysisk sikring og miljøsikring 12. Driftssikkerhed 13. Kommunikationssikkerhed 14. Anskaffelse, udvikling og vedligeholdelse af systemer 15. Leverandørforhold 16. Styring af informationssikkerhedsbrud 17. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring 18. Overensstemmelse Topledelsen (VL) Funktionsledere (FL) Øvrige ledere (Afd-chefer, sektionsledere etc.) IT ledere IT-Drift IT-Projekter HR Jura Projektafdeling Planafdeling Kundeafdeling Etc. - Vær opmærksom på adfærd, awareness og uddannelse 12

ISMS Manual 1: Informationssikkerhedspolitikker HOFOR s informationssikkerhedspolitik er inspireret af en række input udefra. Inspiration fra bl.a.: Kontrollerne i ISO27001 HOFOR s nuværende politikker Digitaliseringsstyrelsen Dansk Industri Dansk Standard Københavns Kommune Neupart (nu del af KMD) DUBEX persondataforordning kommende bekendtgørelser IT-revisionen plus en række andre - Se på, hvad andre gør 13

ISMS Manual 1: Informationssikkerhedspolitikker Angivelse af, hvor mange steder ordet Personoplysninger forekommer i informationssikkerhedspolitikken 1. Indledning 2. Styring af informationssikkerhed 3. Lederes og medarbejdernes ansvar 4. Årshjul 5. Informationssikkerhedspolitikker (1) 6. Organisering af informationssikkerhed (7) 7. Personalesikkerhed (2) 8. Styring af aktiver (5) 9. Adgangsstyring (3) 10. Kryptografi (2) 11. Fysisk sikring og miljøsikring (9) 12. Driftssikkerhed (2) 13. Kommunikationssikkerhed (3) 14. Anskaffelse, udvikling og vedligeholdelse af systemer (6) 15. Leverandørforhold (9) 16. Styring af informationssikkerhedsbrud 17. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring (under udarbejdelse) 18. Overensstemmelse (11) - Personoplysninger favner bredt 14

Tilgængelig litteratur en håndbog for praktikere træder i kraft den 25. maj 2018. Denne bog introducerer læseren til disse fælles europæiske regler og principper for behandling af personoplysninger. Bogen som er forsynet med tjeklister og oversigter kan benyttes som værktøj for private virksomheder og offentlige myndigheder til at sikre compliance med de nye, skærpede regler. I bogens specielle del redegøres bl.a. for behandling af personoplysninger i forbindelse med virksomhedsoverdragelser, outsourcing, markedsføring, ansættelsesforhold og nye teknologier, så som cloud computing, internet of things, big data og droner. Sprog: Dansk ISBN-13: 9788792598424 Sideantal: 400 Udgivet: 06-09-2016 Udgave: 1 Forordningen er optrykt i bogen og derfor altid ved hånden. - Få inspiration udefra 15

Spørgsmål 16

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback