Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.



Relaterede dokumenter
Security & Risk Management Summit 2016

Køreplan ift. EU-persondataforordningen - processer og kontroller

Managing Risk Enabling Growth. Jacob Herbst, CTO, Dubex A/S Søborg, den 7. november 2013

Velkommen VI BYGGER DANMARK MED IT

Security & Risk Management Summit

Real-time Lokations Systemer for sundheds sektoren

Identity Access Management

Konkrete erfaringer - kan infrastrukturen beskytte mod Malware/APT? Og hvad gør man når der har været ubudne gæster?

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

Security & Risk Management Summit

It-sikkerhedstekst ST4

Kom godt i gang med websikkerhed. Jacob Herbst Søborg, 14. maj 2013

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

Security & Risk Management Summit

SIEM hvilken løsning skal du vælge? Claus Løppenthien, Dubex A/S, 12. maj 2015

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe

Sådan får du styr på de digitale risici

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Udfordringer. Udfordrende trusselsbillede. Teknologi. Avanceret infrastruktur og kompleksitet. Adaptability. Information er blevet strategisk

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Dansk Selskab for GCP. Persondatareglerne

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

persondataforordningen

Vær i kontrol! Compliantkan du være ved et tilfælde!

Business casen ved implementering af Log Management. Claus Løppenthien, Hotel Vejlefjord, 21. maj 2015

Dokumentation af sikkerhed i forbindelse med databehandling

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Sådan etableres en moderne sikkerhedsinfrastruktur, der kan håndtere et skiftende trusselsbilede

Roadmap til håndtering af EU-persondataforordningen. Klaus Kongsted, Vejle, den 21. maj 2015

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer

Forordningens sikkerhedskrav

Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013

HYBRID TAKEOFF REDEFINED JOURNEY TO THE CLOUD BY EMC Søren Holm, Proact

Vejen til en succesfuld APT-sikkerhed. Jacob Herbst Søborg, 23. maj 2013

Apps og smartphones HMI. mobil devices og produktions-it. Anders Rolann, evikali A/S

Hvilke forberedelser kræver EUpersondataforordningen? Klaus Kongsted, Dubex A/S, 11. juni 2015

Modernisering af virksomhedens fundamentale sikkerhed. Jacob Herbst, CTO, Dubex A/S Vejle, den 21. maj 2015

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Sikker digitalisering som vækststrategi sikkerhedsudfordringer og muligheder i kommuner

Yderligere information om IRM Her kan du finde en online demo af programmet, brugervejledninger, whitepapers, teknisk information mv.

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe. Peter Sindt psi@dubex.dk Copenhagen,

KMD s tilgang til cybertrussler. Public

MOC On-Demand Administering System Center Configuration Manager [ ]

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

SAS USER FORUM DENMARK 2017 USER FORUM. Rune Nordtorp

Salg af servere. Torben Vig Nelausen Produktchef Windows Server Familien

Ny persondataforordning

Mobility-strategi Hvordan kommer du i gang?

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

Mobil IT Sikkerhed. / Mette Nikander

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

Security & Risk Management Update 2017

Cloud Computing De juridiske aspekter

Cisco Cloud Networking. Cisco Meraki - En ny måde at lave netværk på Morten Rundager Solutions Specialist Cisco Danmark 29/

Pervasive computing i hjemmet et sikkerhedsproblem?

Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav

Dynamics AX 2012 og det øvrige Microsoft-univers

Retningslinjer om brud på persondatasikkerheden

Mobilitet og anvendelse af smartphones

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Lancering af Exchange Server November 2009

Kontraktbilag 7: Databehandleraftale

Workshop: Protecting data in a mobile environment. Jacob Herbst, CTO, Dubex A/S

Persondataforordningen. Konsekvenser for virksomheder

Hvad er InfoPath? Et program i Microsoft Office System En desktop applikation Platformen for en ny generation af elektroniske formularer

Hvorfor opgradere til Microsoft 365? Få en kort introduktion til Microsoft 365 og de 7 største grunde til at opgradere

GDPR erklæringer - nu er det nu Claus Hartmann Lund september 2018

Sikker Drift. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

Underbilag 2.24 Kommunernes it-miljø Kommunernes Ydelsessystem

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

Underbilag 2.24 Kommunernes it-miljø

Hvilke initativer kræver implementering af EUpersondataforordningen. værktøjer. Klaus Kongsted, Dubex. Horsens, 13. maj 2016

Sikkerhed i cloud computing

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Vore IIoT fokus områder

Understøttelse af LSS til NemID i organisationen

Vejledning til indberetning af sikkerhedshændelse efter NIS-direktivet

Retningslinje om behandlingssikkerhed

Retningslinjer om brud på persondatasikkerheden

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Sikker udstilling af data

Exchange 2003 Mobile Access

Kundecase Region Syddanmark. Ivan Bergendorff Søborg, 7. november 2013

Valg af Automationsplatform

beskrivelse af netværket på NOVI

STIL BETINGELSER! Med Conditional Access

Integrated Total Facility Management for Real Estate, Infrastructure & Facility Management

UDP Server vejledning

Sikkerhed på nettet for applikationer og identiteter

Micusto Cloud v2. Micusto Cloud er et fleksibelt, brugervenligt cloudsystem til CMS er, webshop- og intranetsystemer.

Persondatapolitik Skolen for Kunst & Design

Agenda. Exchange 2010 Client Access Server arkitektur. Outlook Web App (OWA) Office Outlook Outlook Mobile (EAS) Outlook Voice Access (OVA)

Persondatapolitik for Skandinavisk Yoga og Meditationsskole

Retningslinjer om brud på persondata

Transkript:

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5. maj 2015

Den nuværende persondatalov Fra år 2000, løbende smårevisioner Bunder hovedsaglig i et EU-direktiv Tre niveauer af personoplysninger Følsomme oplysninger (lovovertrædelser, helbred, seksualitet, religion mm.) Oplysninger om rent private forhold Ikke-følsomme oplysninger Som udgangspunkt anmeldelsespligt for registre Lang række undtagelser Bliver i stort omfang ikke fulgt, sanktioner stærkt begrænsede...

Sanktioner?

Dataansvarlig / Databehandler Skelnen er vigtig mht. ansvar! Den dataansvarlige er den, der afgør til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger den der ejer data. En databehandler behandler personoplysninger på vegne af (efter instruks fra) en dataansvarlig tredjeperson/firma der processerer og/eller opbevarer data. Det er den dataansvarlige, der er ansvarlig for overholdelsen af persondataloven.

Geografi - overførsel Som udgangspunkt ingen overførsel af oplysninger til ikke EU-lande Dog en liste af godkendte lande (f.eks Schweiz, Australien, New Zealand m.fl.) Ikke USA dog undtagelse gennem Safe Harbour (Model Clause) Ikke-standardkontrakter kræver Datatilsynets tilladelse Kun visse typer af personoplysninger må overføres

Transport af data Reglerne er klare kryptering! Datatilsynet fortolker Persondataloven som krav om kryptering ved transport af peronfølsomme oplysninger over internettet. stærk kryptering, baseret på en anerkendt algoritme Endvidere krav om autenticitet (sikkerhed for afsenders og modtagers identitet) og integritet (sikkerhed for de transmitterede oplysningers ægthed) VPN, sikker email, stærk SSL, digital signatur.

Netværket i gamle dage Internt netværk Servere Firewall Internet

Det moderne netværk i 2015 Fagsystemer Internt netværk Servere Leverandør Clientless VPN (SSL browser) Servere Firewall IPSec-compliant VPN gateway Remote Users Bærbar PC med VPN Klient Web Server Pool 3G/LTE Tablet med VPN Klient Mødelokale Internet VPN klient Broadband BYOD - Private enheder Mobiltelefoner og tablets Firewall Hjemmearbejdspladser Cloud Services Fjernkontorer Borgerservice

Autenticitet - stigende antal identiteter Antal digitale identiteter pr. bruger Internt Leverandører Mobility Borgere Cloud Fagsystemer Internet Client/server Mainframe 1980 1990 2000 2010 2020 Tid

Løsningen? IAM-systemer Value Efficient solution with large amount of automation and system integration Large set of connected systems Fully developed Request platform. Role Based Access Control (and ABAC) Extensive Compliance and Policies IAM System with basic Life-cycle management Formal processes defined. Business policies in place and followed Processes are largely manual Some audit reports defined Some connected systems Permissions assigned through organization structures, basic roles Automated Processes & Self-Service Ownership Some compliance Mostly Manual Processes Uncontrolled & coincidental No Processes established Audits are manual tasks Mix of manual processes and scripts Some processes in place No formal description Audits are still largely manual tasks IAM is a journey not a destination Gartner Maturity

Løsninger Kryptering, integritet og beskyttelse Kontrol og overblik Flere forskellige redundante og uafhængige sikkerhedsmekanismer Sikkert design proaktiv/generisk sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i systemerne Aktiv beskyttelse reaktiv sikkerhed Suppler den indbyggede sikkerhed Overvåg intern trafik for afvigende mønstre Overvågning Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler Politikker og procedurer Management Overvågning & korrelation Perimeter Netværk Host Applikation Data Brugere Murphy's Law: Anything that can go wrong will go wrong.

Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint-beskyttelse Netværkssegmentering Data & systemer Fundamentals Endpoint-beskyttelse Websikkerhed

Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint-beskyttelse Netværkssegmentering Data & systemer Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Fundamentals Endpoint-beskyttelse Websikkerhed Advanced Technology Mobile Device Security Whitelisting/Blacklisting

Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint-beskyttelse Netværkssegmentering Data & systemer Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Lean forward Sandboxing DLP Fundamentals Endpoint-beskyttelse Websikkerhed Advanced Technology Mobile Device Security Whitelisting/Blacklisting Lean forward DLP Sandboning

Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint-beskyttelse Netværkssegmentering Data & systemer Overvågning SIEM Threat Intelligence Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Lean forward Sandboxing DLP Fundamentals Endpoint-beskyttelse Websikkerhed Advanced Technology Mobile Device Security Whitelisting/Blacklisting Lean forward DLP Sandboxing

Men systemer er meget godt

Tak!

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback