VELKOMMEN TIL. ERFA-MØDE 14. juni 2016

Relaterede dokumenter
Konsekvensanalyser i praksis: hvorfor, hvornår og hvordan

EU-dataforordningen hvad er formålet og hvad skal du gøre?

Forstå de nye krav til databehandling og lær at afkræfte myter om persondata

ERFA-MØDE 8. & 15. dec. 2016

VELKOMMEN TIL ERFA-MØDE 8. juni 2017

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

GDPR projekt papirtiger. - Med det rette overblik

GDPR projekt papirtiger Med det rette overblik

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Persondataforordningen. Henrik Aslund Pedersen Partner

Tilsyn med Databehandlere

EU-GDPR i ControlManager

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

GDPR og ISO To sider af samme sag Offentlig Digitalisering 2018

Introduktion til persondataforordning

One year with GDPR - one year to come

EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

Kortlægning af dataflows og konsekvensanalyse

September Indledning

Ny persondataforordning

Overblik over persondataforordningen

Privatlivspolitik for Vejle Rejser ApS.

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

POLITIK FOR DATABESKYTTELSE

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Data protection impact assessment

Databeskyttelsesdagen

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Forslag til nye felter i OS2-kitos til understøttelse af GDPR-arbejdet

Persondataforordningen...den nye erklæringsstandard

Brud på datasikkerheden

Persondataforordningen. Konsekvenser for virksomheder

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Rollen som DPO. September 2016

EU Persondataforordning. One year with GDPR - one year to come

Plesner Certifikat i Persondataret

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

Plesner Certifikat i Persondataret

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Transkript:

VELKOMMEN TIL ERFA-MØDE 14. juni 2016

AGENDA 10:10 Nye funktioner i Version 9.3.1 ControlManager 11:00 Kaffepause 11:15 Beredskabstest Lars Kongsmark - Solrød Kommune + Strøtanker om EU Persondataforordningen 12:00 Frokost i restauranten Tårn 1. 12:45 Praktisk tilgang til Data Flow analyse & EU Persondataforordningen Birgitte Kofod Olsen 13.15 Spørgsmål om ControlManager og/eller informationssikkerhed til panelet 14:15 Afrunding 2

Velkommen til

4? 1/7-2016

Inden version 9.3.1

3 koncepter ControlManager ISMS-Tool Compliance dokumentation Awareness-motor Beredskabsstyring Rådgivning & sparring ISMS opbygning og design Kontrol og revision efterlevelse/krav Awareness kampagner Beredskab opbygning og test GAP / Modenhedsanalyse ISO27001 Pre-Audit Opbygning af Beredskabstest

Tak for dit besøg på Infosecurity hvor Siscon blev kåret til årets udstiller 2016

SISCON ERFA GRUPPE DET HANDLER OM: AT GIVE AT MODTAGE VI ØNSKER OS AT DU: FÅR MEST MULIGT UD AF DAGEN FORBERED DIG I LØBET AF DAGEN MED SPØRGSMÅL KOMMER MED KONSTRUKTIV FEEDBACK HUSK At tilmelde dig Siscon & Carves praktiske kursus 11-12. oktober 2016 Klik her og læs mere ControlManager by Siscon 8

Nye funktioner Version 9.3.1

NYE FUNKTIONER OG FORBEDRINGER NYT MODUL REVISION Overblik og status over revisionsbemærkninger, anmærkninger og påbud (Påtegninger) Tilknytning af aktiviteter til en revisionspåtegning Udføre aktiviteter Afslutte og godkende aktivitet Revisionspåtegning kan afsluttes derefter Status for påtegninger kan ses på oversigtssiden ControlManager by Siscon 10

NYE FUNKTIONER OG FORBEDRINGER NYT MODUL DATAFLOW Overblik over datasæt og hvordan data flyder fundt mellem systemer og eksterne parter Oprette datasæt med tilhørende interfaces Udgående data Indgående data Oprette dataflow aftaler mellem de to datasæt Forstadie til at udarbejde DPIA i næste version af ControlManager ControlManager by Siscon 11

NYE FUNKTIONER OG FORBEDRINGER NY FUNKTION GAP-ANALYSE FÓR EJERE Oprette én analyse der tager udgangspunkt i en dimension (systemer, services, processer) Viser hvordan det går på tværs af dimensionen Udgangs punkt i regler Målgruppe systemejere Dimension systemer Samme analyse til alle på en gang Sundhedsattest / Temperaturmåling ControlManager by Siscon 12

NYE FUNKTIONER OG FORBEDRINGER NYE FORBEDRINGER Omvendt SoA mulighed for at se hvilke standarder der er relateret til de enkelte regler på regelsættet Opfølgning til ansvarlig og ledere for deltagere i Quiz og underskriftkampagner Mere dybdegående indsigt i resultater fra Quizkampagner Det enkelte spørgsmål svage områder Relateret til organisatoriske enheder Ny og forbedre HTML editor ControlManager by Siscon 13

NYE FUNKTIONER OG FORBEDRINGER NYE FORBEDRINGER Input til Gap-analyse igennem Front-End Væsentlig forbedring af filtreringsfunktion af kontroller Se hvilke regler der relateret til målgruppen under målgruppen ControlManager by Siscon 14

ROADMAP Version 9.X.X

KOMMENDE VERSION ( NOVEMBER ) KOMMENDE FUNKTIONER DPIA Data Protection Impact Assesment Operationel risiko model Forbedret dispensationsflow og behandling Yderligere input via Front End ControlManager by Siscon 16

SOLRØD KOMMUNE Team IT Beredskabstest & EU-databeskyttelsesforordning Siscon erfamøde 14. juni 2016

SOLRØD KOMMUNE Team IT Solrød Kommune 30 km syd for København ca 21.000 indbyggere 1.100 ansatte fordelt på 35 lokationer 880 logins 660 administrative arbejdspladser 900 mobile devices 6½ IT-folk (2 i servicedesk, 2 driftsfolk, ½ på brugerhåndtering, 1 IT-chef) 30 superbrugere 2 digitaliseringskonsulenter 18

SOLRØD KOMMUNE Team IT Hvorfor teste? Vi har styr på det. tror jeg! Der er dokumentation. tror jeg! Vi har talt om det, så der er fokus. tror jeg! Vi har allerede overlevet flere ransomeware angreb, så alle ved hvem der skal gøre hvad. tror jeg! Virker vores it-beredskabsplan? Har vi de rigtige planer? Har vi tilstrækkelig dokumentation? Har vi muligheder for at genetablere vores IT-infrastruktur? Kan vi prioritere og bevare overblik? Nåe ja og så siger revisionen at vi skal 19

SOLRØD KOMMUNE Team IT Testen & opfølgning (læring) Kun Team IT varighed ca. 2½ time Vand i kælderen Scenariekort for at skabe fremdrift/pres/uventede situationer Træg start hader at spille rollespil Ikke nogen styring, usikkerhed omkring roller, aktion i bølger Eksisterende dokumentation blev ikke brugt ej heller telefonlister Tydeligt at vi er personafhængige Ingen prioritering af systemer Nødkald & telefoni glemt 20

SOLRØD KOMMUNE Team IT Efterfølgende arbejde / planer Quick and Dirty fx checklister o.lign. Awareness i Team IT på planer/dokumentation Beredskabsplan ud fra skabelon på digitaliseringsstyrelsens hjemmeside Risikovurdering Aktiver/services sammen med org. og Siscon Ny test om et år inkluderer en afdeling 21

SOLRØD KOMMUNE Team IT EU-databeskyttelsesforordningen Same, same, but different Svært at få direktionens bevågenhed (pt. for difust) Sørg for (stadig) af være compliant på ISO 27001 så bliver GAB et ikke uoverkommeligt til forordningen Diskuter DPO (egen, dele, ekstern) Skal jævnligt på direktions- og chefmøder (kvartalsvist / konkret og relevant nyt) frem mod 2018 Stort arbejde med at orientere/paratgøre organisationen 22

SOLRØD KOMMUNE Team IT 23

Data Protection Impact Assessment, DPIA Birgitte Kofod Olsen, partner, Ph.d., Carve Consulting Vi skaber muligheder & realiserer potentialet sammen

Præsentation Birgitte Kofod Olsen Jurist (1991) med Ph.D.-grad i biometri og privatlivsbeskyttelse (1998) Partner og medejer af Carve Consulting CSR-chef i Tryg 2009-14 Vicedirektør, afdelingsleder og forsker i Institut for menneskerettigheder 1994-2009 Ekstern lektor, gæsteforelæser, censor og PhD-bedømmer på Københavns Universitet, Roskilde Universitet, Århus Universitet, Ålborg Universitet, Copenhagen Business School, BI Norwegian Business School 1999- Forskningssamarbejde med DTU og SDU, 2016- Medlem af repræsentantskabet i Foreningen Nordea Liv og Pension, 2016- Medlem af Ligebehandlingsnævnet 2015- Medstifter af tænke-handle-tanken Dataethics 2015 Formand for Rådet for Digital Sikkerhed 2012-2015 Næstformand for Ungdomsbyen 2007-15, formand 2016- Formand i teatrene Danskdansk og Teatergrad 2012- Modtog prisen som Årets Erhvervskvinde i 2014 Mangfoldighedsambassadør, Københavns Kommune, 2014 Optaget i Kraks Blå Bog i 2013. 25

26

Dataethic 27

Risiko & databeskyttelse Data protection impact assessment Dataflow analyse 28

EU Forordning om persondatabeskyttelse 2016 Hvad: Data Protection Impact Assessment, artikel 35 (konsekvensanalyse) Hvornår: Når det er sandsynligt at databehandlingen indebærer en høj risko for den enkelte persons (datasubjektets) rettigheder og friheder Alle menneskerettigheder EU charter om grundlæggende rettigheder rummer 50 rettigheder og friheder Når risikoen ændrer sig. Hvad: Udførelse af en vurdering af konsekvenserne af databehandlingen for at især at evaluere risici-enes oprindelse, natur, egenart og alvorlighed. Hvem: Den dataansvarlige 29

Formålet Hvad skal DPIAen bruges til? 1. Resultatet af risikoanalysen skal danne baggrund for beslutningen om tilstrækkelige tekniske og organisatoriske foranstaltninger, som iværksættes for at dokumentere, at databehandlingen sker i overensstemmelse med forordningen. 2. Hvis DPIA-en viser at databehandlingen indebærer en høj risiko, som den dataansvarlige ikke har mulighed for at mitigere ved brug af tilstrækkelige foranstaltninger i form af tilgængelig teknologi og de involverede omkostninger, skal Datatilsynet konsulteres. DPIA Beslutning om foranstaltninger Dokumentation DPIA Egen mitigering Datatilsynet 30

Fordele ved at udføre DPIA EU forordning om persondatabeskyttelse stiller krav om: Beskrivelse af databehandlingen og den formål Vurdering af proportionalitet mellem formålet med databehandlingen og de data, der behandles Vurdering af de risici, datasubjektet udsættes for i forhold til negativ effekt på vedkommendes rettigheder og friheder Beskrivelse af de foranstaltninger, der iværksættes for at imødegå risikoen, herunder garantier og sikkerhedsmekanismer, der sikrer beskyttelsen af persondata Med DPIA-EN viser I, at forordningen overholdes der jeres databehandling tager hensyn til datasubjektet og andre berørte personers rettigheder og legitime interesser 31

fordele ved DPIA DPIA processen og resultatet kan også anvendes til at: Identificere behovet for organisatoriske foranstaltninger, fx behov for politikker, procedurer og retningslinjer, adgangsrettigheder, kontroller og revision, artikel 24 Identificere behovet for at anvende redskaber til privacy by design og privacy by default, artikel 25 Føre kontrol med, at databehandlere opfylder forordningens krav, artikel 28 Opfyldelse af dokumentationskravet, art. 30 Identificere behovet for sikkerhedsmæssige foranstaltninger, fx brug af kryptering, anomymisering, psudunymisering, artikel 32 Udarbejde handlingsplaner til mitigering, eliminering og forebyggelse Udarbejde beredskabsplaner 32

Hvem skal udføre DPIA? Den kommende EU forordning stiller krav om risikoanalyser ved bebehandling af data i stor skala og i andre særlige tilfælde: Behandling af følsomme data: race to etnisk oprindelse, politisk eller filosofisk overbevisning, religion, medlemskab af fagforening, genetiske og biometriske data, sundhed, sexliv og seksuel orientering. Behandling af data om strafbare forhold Behandling af data på nationalt, regionalt og supranationalt niveau, som berører et stort antal mennesker og indebærer høj risiko for deres følsomme data Overvågning af offentligt tilgængelige steder, især ved anvendelse af optisk-elektronisk teknologi Når der er høj risiko for at datasubjektet bliver begrænset i at udøve sine rettigheder eller gøre brug af en kontrakt eller en service Ved brug af nye teknologier Ved profilering, dvs systematisk og intensiv evaluering af enkeltpersoner med henblik på at træffe en beslutning, der vedrører vedkommende En dataansvarligs anvendelse af fælles applikation på tværs af sektorer eller brancher 33

IT ARKITEKTUR FUNTKIONSOMRÅDER DATAFLOWS DPIA Komponenter i en DPIA-proces Skab overblik over IT landskabet Identificer relevante funktionsområder Beskriv dataflows: - datakilder - dataelementer - datayper - videregivelse af data Dataansvarlighed Databehandling Datarettigheder Datasikkerhed 34

Komponent 1: IT arkitekturen TEGNING & BESKRIVELSE IT arkitektur Systemkomponenter Software Algoritmer Interfaces Databaser Cloudløsninger 35

Komponent 2: Funktionsområder Identificer relevante funktionsområder og beskriv dem: Kundekortansøgninger Patientjournal Medarbejderdataadministration Hjemmeside Online salg Abonnementer Udvikling Analyse BI Robotics Marketing 36

Komponent 3: dataflows Datakilde: CPR register, RKI Dataelement: navn, adresse, cpr, gæld Datasæt Datatype: Almindelig, CPR, økonimiske forhold Data output: Videregivelse - Tredjeparter - Leverandører - Myndigheder 37

Dataelementer Dataelementer Felter, der indeholder oplysninger om identificerbare personer Eller sammen med: andre felter kan afdække oplysninger af privat karakter ved berigelse fra eksterne kilder kan afdække oplysninger af privat karakter 38

Komponent 4: konsekvens- og risikovurdering Databehandling Risiko Datakilder Dataelementer Datatyper Videregivelse Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesse Datasubjektets rettigheder Overførsel til tredjeland Sikkerhed Databeskyttelsespolitik Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale Databeskyttelsesrådgiver Risikoniveau Høj risiko Risiko direkte indirekte sikkerhedsmæssig Data sæt Dataansvarlighed 39

Databehandling og dataansvarlighed Politikker, retningslinjer og anvendte standarder Leverandører (herunder spm om bla databehandleraftale og kontroller, revision) Databeskyttelsesrådgiver Forudsætninger for databehandlingen lovligt grundlag (samtykke, lovkrav, kontrakt, offentlige interesse) formålsbestemthed tilstrækkelige og relevante data Nødvendighed Dataanvendelsen opbevaring sletning Dataoutput videregivelse, videregivelse til 3. lande Kundens datarettigheder Sikkerhed tilgængelighed Sikkerhed fortrolighed, integritet, robusthed 40

DPIRAT: gap analyse fortrolighed Gap analyse politikker 3 2,5 2 1,5 1 0,5 0 leverandører tilgængelighed datainput datarettigheder behandling 41

Risici nævnt i forordningen Direkte negativ effekt for datasubjektet Fysisk, materiel eller moralsk skade Diskrimination Identitetstyveri og bedrageri Finansielle tab Skade på omdømme Tab af fortrolighed Økonomiske eller sociale ulemper Begrænsning i udøvelsen af rettigheder og friheder Begrænsning i udøvelse af kontrol over persondata Indirekte negativ effekt for datasubjektet Afdækning af oplysninger om race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, medlemskab af fagforening og om sundhed, sexliv samt strafbare forhold Profilering til forudsigelse af fx arbejdsindsats, økonomisk situation, sundhed, personlige præferencer eller interesser, troværdighed og adfærd, lokation eller bevægelser Behandling af persondata om udsatte grupper, herunder børn Behandling af data i stor skala, der har effekt I forhold til et stort antal datasubjekter Negativ effekt pga sikkerhedshændelse Uautoriseret afpseudonymisering Hændelig eller ulovlig destruktion, tab eller ændring af data Uautoriseret offentliggørelse af persondata Uautoriseret adgang til persondata under transmission, opbevaring eller anden behandling 42

Virksomheder og myndigheders behov for risikoafdækning Kundens/borgerens rettigheder Respekt for datasubjektets egen kontrol med data Service og kvalitet Data som aktiv Overholdelse af forordningen Retlige forpligtelse Datatilsynets kontrol Klager og krav fra kunder og borgere Bødekrav 10 mio og op til 2% 20 mio og op til 4% => DPIA er relevant som led i risikoafdækningen før, under og efter databehandlingen eller ibrugtagning af ny it-løsning. 43

Risikovurderingen + handlingsplan Svagheder og hændelser Profilering Retten til at blive glemt Databrud Sandsynlighed Konsekvens for datasubjektets rettigheder og friheder Risiko Høj Lav Plan Afprøvning Vurdering Evaluering Forebyggelse Beredskab Forretningsmæssig konsekvens: - Kundeloyalitet - Bødekrav - Omdømme 44

Redskaber PrivacyKompasset - Indeholder test med 34 spørgsmål - Giver adgang til at generere en privatlivspolitik https://privacykompasset.erhvervsstyrelsen.dk/ DI Skabelon for Privacy Impact Assessment http://digital.di.dk/sitecollectiondocuments/vejledninger/di's%20skabelon%20for%20privacy%20impact%20assessm ent.pdf DI Vejledning Persondataforordningen implementering i danske virksomheder Digitaliseringsstyrelsens Guide til konsekvensvurdering af privatlivsbeskyttelsen file:///c:/users/bko/downloads/guide%20til%20konsekvensvurdering%20af%20privatlivsbeskyttelsen_ver3%20(6).pdf DPIRAT Carve Data Protection Impact and Risk Assessment Tool DPOMM - Carve Data Protection Organisation Maturity Model http://carve.dk/ 45

46

Kontakt information Birgitte Kofod Olsen Partner, phd Carve Consulting Nørre Voldgade 11, 2. sal 1358 København K +45 25 26 09 03 bko@carve.dk Carve.dk 47

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback