Agenda Hvordan kom EU på dagsorden i HOFOR Hvordan forbereder HOFOR sig på at blive compliant Oplæg til foranalyserapport Uddrag af HOFORs foranalyserapporten Finn Asmussen Chefkonsulent IT Direkte: 27 95 46 38 fina@hofor.dk HOFOR A/S Ørestads Boulevard 35 2300 København S www.hofor.dk tlf: 33 95 33 95 1
Hvordan kom EU på dagsorden i HOFOR 20.08.2015: Invitation til møde med Ernst & Young sendt fra HOFORs Økonomidirektør til ITchef og IT-sikkerhedsansvarlig med emnet: Cybersikkerhed og EU's nye privacy forordning 09.10.2015: Mødet med Ernst & Young, hvor de præsenterede Cyber Modenheds Program Dec. 2015: Ordlyden vedtages i EU Parlamentet Jan. 2016: IT-Sikkerhed udpeges til at koordinere aktiviteterne på tværs i HOFOR efter intern debat blandt funktionslederne i IT, Jura, HR, Kundegruppen og Økonomi 01.02.2016: 1. interne koordineringsmøde afholdes 18.06.2016: Projektkommissorium udarbejdet og vedtaget - I HOFOR var ledelsen involveret fra starten - Involver ledelsen så hurtigt som muligt 2
Hvordan forbereder HOFOR sig på at blive compliant HOFOR har defineret et projekt Formålet med projektet er at gøre HOFOR i stand til at efterleve EU pr. 25.05.2018. Projektet er inddelt i 2 faser, en Foranalyse og en Gennemførelse Foranalyse Gennemførelse 18.06.2016 31.12.2016 25.05.2018 Projektkommissoriet er udarbejdet af en intern arbejdsgruppe i HOFOR bestående af: Ida Sylvest, jura Bred forankring i organisationen Christina Bøje, HR Mette Ivarsen, Økonomi Elna Rasmussen, Kundecenter Susanne Kaa, Kundeprogram Gert Rigbolt, Kontrakter Steen Pries og Finn Asmussen, IT Sikkerhed - Definer et projekt - Projektet skal være bredt forankret 3
Projektkommissorium Projektmål Foranalyse: Projektetablering for foranalysen gennemført Begrebsafklaring for væsentlige begreber udarbejdet Oplæg til procedure / rolle og ansvarsfordeling for opfølgning og detailfortolkning af persondataforordningen udarbejdet Vurdering af compliance niveau udarbejdet Liste over informationsaktiver (IT systemer og papirarkiver) med persondata og deres dataansvarlige udarbejdet Krav til dataansvarlige (Proces- og dataejere / systemansvarlige) fastlagt Model for dataklassificering udarbejdet og godkendt Dataklassificering for persondata gennemført Plan for kortlægning af dataflow for persondata udarbejdet Liste over nødvendige politikker, procedurer og regler for håndtering af persondata udarbejdet Liste over kontrakter, hvori der indgår behandling af persondata udarbejdet Krav til databehandleraftale fastlagt Liste over databehandleraftaler udarbejdet Mapning mellem Persondataforordning og IT Sikkerhedsstandarden ISO27001/2 gennemført Vurdering af behov for DPO (Data Protection Officer) udarbejdet Analyserapport med oplæg til projekt- og tidsplan for næste projektfase udarbejdet Analyserapport drøftet i FL Revideret kommissorium for næste projektfase udarbejdet - Brug tid på at få styr på projektmål 4
Del1: Analyserapport Indhold af analyserapport kap 1-5 1. Indledning 1.1. Baggrund 1.2. Ændringer og nyskabelser i forhold til den gældende persondatalov 1.3. Persondataforordning og ISO27001 1.4. Vurdering af nuværende compliance niveau 1.5. Kort sammenfatning og anbefalinger 1.5.1. Gennemførelsesfasen: Tid, økonomi, kvalitet, risici 2. Persondata i HOFOR 2.1. Oplysningskategorier 2.1.1. Brug af CPR nummer i HOFOR 2.2. Klassifikation af information (ISO27001 8.2.1) 2.2.1. Kontroller / regler 2.3. Persondata i HOFOR 2.4. Plan for kortlægning af dataflow 2.5. Elektronisk adgang til personfølsomme data (Access management) 2.6. Håndtering af målerdata 2.7. Fysisk opbevaring af papir papirarkiver 2.8. HR Data - clean desk policy 3. Databehandleraftaler, kontrakter og samtykke 3.1. Eksisterende 3.2. Manglende 3.3. Skabelon for databehandleraftale 3.4. Anvendelse af samtykke i HOFOR 4. Informationsaktiver 4.1. Fortegnelse for aktiver (ISO27001 8.1.1) 4.2. Liste over informationsaktiver med personindhold 4.3. Beskrivelse af løbende vedligehold af informationsaktiver 5. Rolle- og ansvarsfordeling 5.1. Data- og procesejer 5.2. Systemansvarlig (ISO27001 6.1.1) 5.3. Opfølgning og detailfortolkning 5.4. Anbefaling vedrørende DPO - Definer indhold af analyserapport 5
Del1: Analyserapport Indhold af analyserapport kap 6-14 6. Nødvendige politikker, procedurer og regler 6.1. Informationssikkerhedspolitik 6.2. Liste over understøttende procedurer, retningslinjer og vejledninger 7. Liste over opgaver 8. Tekniske foranstaltninger 8.1. Adgangsstyring 8.2. Backup 8.3. Logning 8.4. Videoovervågning 8.5. GPS overvågning 9. Anskaffelse, udvikling og vedligeholdelse af systemer 9.1. Informationssikkerhedskrav (ISO27001 14.1.1) 9.2. Liste over igangværende projekter med persondata 9.3. Beskrivelse af håndtering af igangværende projekter. 10. Awereness og uddannelse (ISO27001 7.2.2) 10.1. Awareness 10.2. Uddannelse 11. Styring af informationssikkerhedsbrud (ISO27001 kap. 17) 12. Beredskab 13. Datatilsynet 13.1. Hvad skriver datatilsynet 13.2. Minimumskrav i forbindelse med personaleadministration 14. Oplæg gennemførelsesfasen 01.01.2017-30.06.2018 14.1. Formål 14.2. Leverancer 14.3. Organisering 14.4. Økonomi - Definer indhold af analyserapport 6
Uddrag af analyserapporten: Dataklassificering i HOFOR Følsomme personoplysninger. Omfatter helbredsoplysninger, fagforeningsforhold, etnisk tilhørsforhold, religion, sociale forhold, straffeforhold, m.m. Almindelige personoplysninger. Indeholder identificerbare oplysninger som f.eks. navn, adresse, e-mail, telefonnumre, fødselsdato, medarbejderid, etc. Fortrolige informationer. Oplysninger der har en væsentlig økonomisk eller forvaltningsmæssig værdi for HOFOR, og hvor offentliggørelse vil forårsage væsentlige skade på HOFOR s image eller økonomi. Det gælder f.eks. visse økonomidata, data om it-infrastruktur, fortrolige forretningsplaner eller udbudsmateriale. Interne informationer. Omfatter oplysninger, som ikke indeholder personoplysninger eller fortrolige informationer, men kun er tiltænkt internt brug i HOFOR, og hvor offentliggørelse kun vil forårsage ubetydelig skade på HOFOR s image eller økonomi, som f.eks. vagtplaner og interne notater. Åbne informationer. Omfatter alt hvad der ikke er omfattet af ovenstående som f.eks. alle oplysninger, der er egnet til almen offentliggørelse, åbne dagsordner, kunde og erhvervsinformation. Klassifikation Adgang Fysisk opbevaring Elektronisk opbevaring Følsomme Meget begrænset Låst inde Backup personoplysninge Politik 9.1.1 Politik 11.2.9 Politik 12.3.1 r Almindelige personoplysninge r Fortrolige informationer Interne informationer Åbne informationer Meget begrænset Politik 9.1.1 Meget begrænset Politik: 9.1.1 Begrænset adgang efter behov Alle Låst inde Politik 11.2.9 Låst inde Politik 11.2.9 Ingen regler Ingen regler Backup Politik 12.3.1 Backup Politik 12.3.1 Backup Politik 12.3.1 Backup Politik 12.3.1 Fysisk transport Sikker kurer Politik 8.3.3 Sikker kurer Politik 8.3.3 Sikker kurer Politik 8.3.3 Ingen regler Elektronisk transmission Krypteret Politik 10.1.1 Politik 13.2 Krypteret Politik 10.1.1 Politik 13.2 Krypteret Politik 10.1.1. Politik 13.2 Ingen regler Ingen regler Ingen regler - Få styr på dataklassificering 7
Uddrag af analyserapporten: Persondata i HOFOR Kunder medarbejdere - eksterne Kategori EU Persondataforordning - kunder Almindelige Personnavn oplysninger Adresse E-mail Telefonnummer Målerværdier Foto Semi-følsomme oplysninger CPR-nr. Opbevares for alle kunder?? EU Persondataforordning - medarbejdere Personnavn Adresse E-mail Telefonnummer Fødselsdato Foto MedarbejderID Kontonummer Personlighedstest Familiemæssige oplysninger Adgangskontrol Videoovervågning GPS Data Sko- og tøjstørrelse Helbredsoplysninger Fagforeningsforhold?? Opbevares for alle medarbejdere EU Persondataforordning - Eksterne Personnavn Adresse E-mail Telefonnummer Straffeattest (?) Ved eksterne forstås: Ansøgere, leverandører, rådgivere, etc. - Analyser persondata i din virksomhed 8
Uddrag af analyserapporten: Plan for kortlægning af dataflow - Brug DIs PIA skabelon 9
Uddrag af analyserapporten: Plan for kortlægning af dataflow HOFOR spørgeskema: Kunder - Tilpas PIA skabelon 10
Uddrag af analyserapporten: Liste over understøttende procedurer, retningslinjer og vejledninger HOFOR Informationssikkerhedpolitik Udsnit af ISO27002 Procedurer Vejledninger Retningslinjer Opgaver Procedurer Retningslinjer Analyserapporten indeholder en liste over procedurer, vejledninger og retningslinjer, som skal udarbejdes indenfor informationssikkerhed for at kunne overholde persondataforordningen - Brug DIs vejledning 11
Uddrag af analyserapporten: Awareness og uddannelse På tværs af arbejdet med EU ligger der en stor organisatorisk opgave i at uddanne dem, der skal arbejde med persondata. For nogle medarbejdere vil mange af opgaverne være kendte. Men for andre vil opgaverne være nye, og de vil ligesom ledelsen være usikre på, hvordan de kan være med til at sikre, at HOFOR lever op til kravene i forordningen. Medarbejdere i it-afdelingen og i afdelinger, hvor der arbejdes meget med personoplysninger og fortrolige informationer, skal uddannes regelmæssigt i informationssikkerhed. Uddannelsesmaterialet skal jævnligt ajourføres med henblik på nye risici. Alle medarbejdere skal have kendskab, hvordan HOFOR klassificerer informationer. Der skal udarbejdes et uddannelsesprogram i informationssikkerhed, som er målrettet de enkelte funktioner. Uddannelsesprogrammet skal bl.a. have fokus på personoplysninger og fortrolige informationer. 1. Indledning 2. Styring af informationssikkerhed 3. Lederes og medarbejdernes ansvar 4. Årshjul 5. Informationssikkerhedspolitikker 6. Organisering af informationssikkerhed 7. Personalesikkerhed 8. Styring af aktiver Uddannelsesprogram skal 9. Adgangsstyring tilpasses de enkelte 10. Kryptografi arbejdssituationer 11. Fysisk sikring og miljøsikring 12. Driftssikkerhed 13. Kommunikationssikkerhed 14. Anskaffelse, udvikling og vedligeholdelse af systemer 15. Leverandørforhold 16. Styring af informationssikkerhedsbrud 17. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring 18. Overensstemmelse Topledelsen (VL) Funktionsledere (FL) Øvrige ledere (Afd-chefer, sektionsledere etc.) IT ledere IT-Drift IT-Projekter HR Jura Projektafdeling Planafdeling Kundeafdeling Etc. - Vær opmærksom på adfærd, awareness og uddannelse 12
ISMS Manual 1: Informationssikkerhedspolitikker HOFOR s informationssikkerhedspolitik er inspireret af en række input udefra. Inspiration fra bl.a.: Kontrollerne i ISO27001 HOFOR s nuværende politikker Digitaliseringsstyrelsen Dansk Industri Dansk Standard Københavns Kommune Neupart (nu del af KMD) DUBEX persondataforordning kommende bekendtgørelser IT-revisionen plus en række andre - Se på, hvad andre gør 13
ISMS Manual 1: Informationssikkerhedspolitikker Angivelse af, hvor mange steder ordet Personoplysninger forekommer i informationssikkerhedspolitikken 1. Indledning 2. Styring af informationssikkerhed 3. Lederes og medarbejdernes ansvar 4. Årshjul 5. Informationssikkerhedspolitikker (1) 6. Organisering af informationssikkerhed (7) 7. Personalesikkerhed (2) 8. Styring af aktiver (5) 9. Adgangsstyring (3) 10. Kryptografi (2) 11. Fysisk sikring og miljøsikring (9) 12. Driftssikkerhed (2) 13. Kommunikationssikkerhed (3) 14. Anskaffelse, udvikling og vedligeholdelse af systemer (6) 15. Leverandørforhold (9) 16. Styring af informationssikkerhedsbrud 17. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring (under udarbejdelse) 18. Overensstemmelse (11) - Personoplysninger favner bredt 14
Tilgængelig litteratur en håndbog for praktikere træder i kraft den 25. maj 2018. Denne bog introducerer læseren til disse fælles europæiske regler og principper for behandling af personoplysninger. Bogen som er forsynet med tjeklister og oversigter kan benyttes som værktøj for private virksomheder og offentlige myndigheder til at sikre compliance med de nye, skærpede regler. I bogens specielle del redegøres bl.a. for behandling af personoplysninger i forbindelse med virksomhedsoverdragelser, outsourcing, markedsføring, ansættelsesforhold og nye teknologier, så som cloud computing, internet of things, big data og droner. Sprog: Dansk ISBN-13: 9788792598424 Sideantal: 400 Udgivet: 06-09-2016 Udgave: 1 Forordningen er optrykt i bogen og derfor altid ved hånden. - Få inspiration udefra 15
Spørgsmål 16