Persondataforordningen Konsekvenser for virksomheder
Sikkerhedsforanstaltninger (A32) Sikkerhedsforanstaltninger Der skal iværksættes passende tekniske og organisatoriske sikkerhedstiltag Psedonymisering kan anvendes til at reducere risici og det skal overvejes konkret at bruge kryptering og pseudonymisering Der skal tilvejebringes fortrolighed, integritet, tilgængelighed og robusthed Tilgængelighed og adgang skal kunne genoprettes rettidigt i tilfælde af hændelse Regelmæssig afprøvning, vurdering og evaluering Tiltag skal baseres på en vurdering af risici, navnlig hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet Den dataansvarlige må gerne behandle data med det formål at sikre sine netværks stabilitet og styrke til at modstå angreb Det er den dataansvarlige som bestemmer, hvilke data der må behandles hvordan Kort sagt: Gå frem efter ISO27001 og ISO27002 2
Dataprotection by Design and Default (A25) Den dataansvarlige skal designe passende tekniske og organisatoriske sikkerhedsforanstaltninger som understøtter principperne for behandling under hensyn til: Teknologiens udviklingsstade Omkostningerne Behandlingens karakter, omfang, sammenhæng og formål Risici, sandsynlighed og alvor (konsekvens) for de registrerede I artiklen er der speciel fokus på pseudonymisering og dataminimering Kun nødvendige personoplysninger behandles som udgangspunkt (slået til som standard) Producenter opfordres til at indbygge disse to tiltag, således at den dataansvarlige og databehandleren gøres i stand til at blive compliant 3
DI's bud på DPbD DPbD Data Loss Prevention Data Discovery Identity and Access Governance Log management Backup Shadow-it discovery Information Lifecycle Management Pseudonymization Encryption Anonymization Virtual or partial identities 4
Rollefordelingen Dataansvarlig Sikkerhedskrav (A32) Data Protection by Design (A25) Databehandler Sikkerhedskrav (selvstændigt jvf. A28, stk. 1: "garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger") DI: Sikkerhedscertificeringer, revisionserklæringer, m.v. Producenter (P78 uddrag) Når producenter af produkter, tjenester og applikationer udvikler, designer, udvælger og bruger applikationer, tjenester og produkter, der er baseret på behandling af personoplysninger eller behandler personoplysninger, for at udføre deres opgaver, bør de tilskyndes til at tage højde for retten til databeskyttelse i forbindelse med udvikling og design af sådanne produkter, tjenester og applikationer og til under behørig hensyntagen til det aktuelle tekniske niveau at sørge for, at de dataansvarlige og databehandlerne er i stand til at opfylde deres databeskyttelsesforpligtelser. 5
Processen Risikovurdering Indledende og intuitiv Data Protection Impact Assessment Analyse af risiko set fra den registreredes synspunkt Herunder dataflowanalyse, dataklassifikation Data Protection by Design og Default Rigtig risikovurdering Valg af sikkerhedsteknologier Valg af privatlivesfremmende teknologier Resultat: compliance med forordningen og ISO2700x 6
Links DI's vejledning om forordningen http://di.dk/virksomhed/produktion/it/itsikkerhed/personoplysninger/pages/v ejledningompersondataforordningen.aspx DI's DPIA-skabelon http://di.dk/virksomhed/produktion/it/itsikkerhed/personoplysninger/pages/d IsskabelonforPrivacyImpactAssessment.aspx DI's vejledning om sikkerhed ved cloud computing og outsourcing http://di.dk/virksomhed/produktion/it/itsikkerhed/vejledninger/pages/sikkerh edsmaessigeovervejelservedcloudcomputingogoutsourcing.aspx DI's sikkerhedsside http://di.dk/virksomhed/produktion/it/itsikkerhed/pages/default.aspx DI's arrangementer om persondataforordningen http://digital.di.dk/arrangementer/pages/arrangementer.aspx DI's DPO-netværk Mail til Henning Mortensen, hem@di.dk 7