EU GDPR og IT-sikkerhedsløsninger v/jørgen Hartig

Relaterede dokumenter
Persondata Behandlingssikkerhed. v/rami Chr. Sørensen

Retningslinjer om brud på persondata

Behandling af personoplysninger

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

Retningslinjer om brud på persondatasikkerheden

Retningslinje om fortegnelser over behandlingsaktiviteter

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitik Vordingborg Gymnasium & HF

Retningslinje om fortegnelser over behandlingsaktiviteter

Persondatapolitik for Aabenraa Statsskole

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondatapolitik for Tørring Gymnasium 2018

Retningslinje om behandlingssikkerhed

Introduktion til persondataforordning

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Brud på datasikkerheden

Retningslinje om fortegnelser over behandlingsaktiviteter

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Persondatapolitik på Gentofte Studenterkursus

Retningslinjer om brud på persondatasikkerheden

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Persondatapolitik for Odense Katedralskole

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Databehandleraftale (v.1.1)

Bilag 1 Databehandler aftale (v.1.2)

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Persondataforordningen den 20. februar 2018

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

Aftale vedrørende fælles dataansvar

Databehandleraftale. Mellem. Dataansvarlig: Kunden

TDC ERHVERV MAILFILTER

Retningslinje om fortegnelser over behandlingsaktiviteter

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Databehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

N. Zahles Skole Persondatapolitik

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Bilag 3 Personoplysninger Den registrerede Behandling af personoplysninger Dataansvarlig Databehandler Brud på persondatasikkerheden

GML-HR A/S CVR-nr.:

1 Indhold. Side 2 af 15

Persondataforordningen. Konsekvenser for virksomheder

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Databehandleraftale. Mellem. Den dataansvarlige: SimplyJob Aps CVR Måløv Byvej Måløv. Danmark. Databehandleren.

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever,

Sletteregler. v/rami Chr. Sørensen

! Databehandleraftale

Databehandleraftale (Skabelon fra Datatilsynet)

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

DATABEHANDLERAFTALE OM -POSTKASSE

Retningslinje om de registreredes rettigheder

Databehandleraftale. Mellem. Den dataansvarlige: Arrangøren. Databehandleren. Eventbilletten ApS CVR Syvstjernen Munkebo.

Retningslinje om overførsel til tredjelande

Persondataforordningen

Standardvilkår. Databehandleraftale

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

Notat. Databeskyttelsesrådgiver. Anvendelsesområde. Formål. Definitioner. Retningslinje om databeskyttelsesrådgivere. Danske Gymnasiers medlemsskoler

"forordningen" i det følgende) og gælder for alle ansatte på Midtfyns Gymnasium, der behandler personoplysninger.

Retningslinje om databeskyttelsesrådgivere

Overblik over persondataforordningen

Bilag 6 Databehandleraftale v.1.1

Maj 2018 Retningslinje om de registreredes rettigheder på Frederiksberg Gymnasium

Databeskyttelsesdagen

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

Databehandleraftale. Mellem. DOF`s klubber. Konkret dataansvarlig klub. Databehandleren: Dansk Orienterings-Forbund (DOF) CVR:

Retningslinje om dataansvarlig/databehandler

Retningslinje om databeskyttelsesrådgivere

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

3 Omfattede typer af personoplysninger og kategorier af registrerede

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Transkript:

EU GDPR og IT-sikkerhedsløsninger v/jørgen Hartig

Baggrund og idé EU GDPR (General Data Protection Regulation) er nok det varmeste emne for tiden. Bagkanten er den 25. maj 2018. Størstedelen af EU GDPRs indhold har fokus på arbejdsgange, jura og organisering i virksomheden og kobling til 3. part. Dertil kommer teknologiske implementeringer, som kan hjælpe med compliance krav. Ideen med dette indlæg er at mappe udvalgte artikler hvor IT-sikkerhedsteknologier (Cisco og andre) bør anvendes og komme med input til fokusområder og sikkerhedsmæssige discipliner. Der præsenteres forslag til, hvor din virksomhed bør sættes ind.

Agenda - Hvad er EU GPDR? - Fokus på 4 områder: - Databruddet hvad er kravene omkring dokumentation og frister? - Bødestørrelser hvad bestemmer bødens størrelse? - Databeskyttelsesrådgiver (DPO) Opgaver og relaterede discipliner? - IT-sikkerhedsløsninger hvor bør din virksomhed fokusere? - Anbefalinger til processen til at komme i gang og arbejde videre med projektet. - Nyttige links

Overblik EU GDPR

Hvad er EU GPDR 2016/679? Afløser af: Direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Dette direktiv ophæves pr. 25. maj 2018. Det er et regulativ, hvilket betyder at det er en EU-lov, og skal indarbejdes i national lov i de respektive nationer. Hvor rammer EU GPDR? Fastsættelse af regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger Behandling af persondata, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Overblik artiklernes fokus Kapitler Beskrivelse Antal artikler no. Procedurefokus i virksomheden Aftale Fokus/Jura Teknologi Fokus 1 Generelle bestemmelser 4 1-4 P 2 Principper 7 5-11 S P S 3 Den registreredes rettigheder 12 12-24 P P 4 Dataansvarlig og databehandler 20 24-45 P P 5 Overførsler af personoplysninger til tredjelande eller internationale organisationer 7 46-53 P P S 6 Uafhængige tilsynsmyndigheder 9 51-59 P 7 Samarbejde og sammenhæng 17 60-76 S P 8 Retsmidler, ansvar og sanktioner 8 77-84 P 9 Bestemmelser vedrørende specifikke behandlingssituationer 7 85-91 S P 10 Delegerede retsakter og gennemførelsesforanstaltninger 2 92-93 P 11 Afsluttende bestemmelser 6 94-99 P Total 99 P- primært fokus S- sekundært fokus

Vigtige punkter Der kommer en mulighed for at blive certificeret. EU GDPR er på flere punkter ikke konkret ift. kontroller -> ISO27001 kan være en god guideline. Konkretisering af visse bestemmelser fastlægges i de enkelte nationer, indenfor de rammerne i artiklerne i GPDR. Pr. feb. 2017 nye guidelines fra WP29: Databeskyttelsesrådgivere Dataportabilitet og Identificering af den ledende tilsynsmyndighed.

WP29 Arbejdsgrupper frem til 2018 Under European Data Protection Board : Future of Privacy subgroup Key Provisions subgroup Technology subgroup International Transfers subgroup Borders, Travel and Law Enforcement subgroup E-government subgroup Financial matters subgroup Cooperation subgroup

Interessenter og snitflader EU kommisionsudvalg National tilsynsmyndighed Den registrerede Dataansvarlig Databehandler Indsigt. Datamobilitet. Tydelig kommunikation. Retten til at blive glemt. garantier forpligtelser Sikkerhed Processer. Teknologi. Juridiske forhold. Compliance. Accountability. garantier forpligtelser Sikkerhed Processer. Teknologi. Juridiske forhold. Compliance.

Eksempler på persondata? (artikel 4) Information, der direkte eller indirekte kan identificeres en fysisk person: navn et identifikationsnummer lokaliseringsdata en online identifikator et eller flere elementer som personen: fysiske fysiologiske genetiske psykiske økonomiske kulturelle eller sociale identitet Profilering: Automatisk behandling og analyse af personoplysninger, som kan føre til forudsige forhold omkring: Arbejdsindsats økonomiske situation helbred personlige præferencer interesser pålidelighed adfærd geografisk position eller bevægelser.

- Databruddet hvad er kravene omkring dokumentation og frister? -Bødestørrelser hvad bestemmer bødens størrelse?

Anmeldelse af brud (artikel 33) Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til tilsynsmyndigheden. Min. Indhold af anmeldelse a) beskrive karakteren af bruddet (kategorierne og ca. antal berørte registrerede) b) navn på og kontaktoplysninger for databeskyttelsesrådgiveren. c) beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden d) beskrive de foranstaltninger, som er truffet for at håndtere bruddet og begrænse skaderne. Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel er overholdt.

Underretning om brud til registrerede (artikel 34) Breach er opdaget Krypteret? Andre aktiviteter hos dataansv.? Uforholdsmæssig stor indsats? Høj risiko ift. data? Besked til registrerede uden unødigt ophold.

Bøder vurdering af størrelse? (artikel 83) Bødens størrelse bestemmes af: overtrædelsens karakter, omfang eller formål samt antal registrerede samt skade forsætligt eller uagtsomt? Foranstaltninger, der er truffet for at begrænse den skade, som den registrerede har lidt? Grad af ansvar under hensyntagen til tekniske og organisatoriske foranstaltninger eventuelle relevante tidligere overtrædelser? graden af samarbejde med tilsynsmyndigheden for at afhjælpe overtrædelsen og begrænse de negative konsekvenser ved breach kategorier af personoplysninger, der er berørt af overtrædelsen? Hvordan fik tilsynsmyndigheden kendskab til overtrædelsen, navnlig om den dataansvarlige eller databehandleren har underrettet om overtrædelsen, og i givet fald i hvilket omfang overholdelse af de påkrævede foranstaltninger og adfærdskodeks? om der er andre skærpende eller formildende faktorer ved sagens omstændigheder, såsom opnåede økonomiske fordele eller undgåede tab som direkte eller indirekte følge af overtrædelsen.

Databeskyttelsesrådgiver (DPO) Opgaver og relaterede discipliner?

DPO ens opgaver og rolle (artikel 37-39) Underrette og rådgive om forpligtelser i henhold til databeskyttelse Overvåge overholdelsen om databeskyttelse igennem virksomhedens opstillede politikker om beskyttelse af personoplysninger, herunder: fordeling af ansvar, oplysningskampagner uddannelse af det relevant personale Revisioner Rådgive ift. konsekvensanalysen Overvåge dens opfyldelse af konsekvens-analysen samarbejde med tilsynsmyndigheden Databeskyttelsesrådgiveren skal vurdere den risiko, der er forbundet med behandlingsaktiviteter, behandlings karakter, omfang, sammenhæng og formål.

Den Dataansvarlige ansvar (artikel 24) Dataansvarlige skal gennemføre passende tekniske og organisatorisk foranstaltninger, som står mål med: - Databehandlingens karakter og omfang, sammenhæng og formål - Risici - Alvor for fysiske personers rettigheder og frihedsrettigheder - Den dataansvarlige skal bevise at forordningen overholdes med de indførte foranstaltninger.

Din beskyttelse imod IT-angreb? Forsvare Opdage Beredskab Reetablere Analyse 100% 0% Modenhedsniveau - Technologier? - Processer? - Tekniske kapaciteter? - Awareness?

Sandsynlighed og konsekvens betragtninger

Oversigt over behandlingsaktiviteter (artikel 30) Fortegnelse over behandlingsaktiviteter skal indeholde; a) Navn på og kontaktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles dataansvarlige. b) formålene med behandlingen c) en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger d) de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer e) Evt. overførsler af personoplysninger til et tredjeland samt dokumentation for passende garantier f) Hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger g) hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger

Risiko-styret approach i EU GDPR EU GDPR

IT-sikkerhedsløsningen hvor bør din virksomhed fokusere?

Behandlingssikkerhed (artikel 32) 1. Etablering af tekniske løsninger og organisatorisk foranstaltninger, som matcher risici (sandsynlighed vs. Konsekvens) ift personlige informationer. Passende foranstaltninger og indsatsområder: Pseudonymisering og kryptering af personoplysninger evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. 3.Overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1.

Teknologiers opgave ved et breach Infektion Time to detect Opdagelse Time to respond Clean Teknologi og visibilitet Beredskab og processer

Endpoint infektion # Cisco teknologier 1 2 1 E-mail gw. (spam filter og AMP) Klient med AMP for endpoint Netværk med Stealthwatch 2 DNS-beskyttelse Umbrella Next Gen Fw AMP/URL/IPS 3 Next Gen Fw AMP/URL/IPS Klient med AMP for endpoint Fil server 4 3 Mail GW Mail server 4 Klient med AMP for endpoint Netværk med Stealthwatch Netværkssegm., med ISE, ACI og ASAv

Netværkssegmentering GDPR foreskriver at man skal holde styr på og kontrollere adgangen til de ressourcer, hvor de personlige data gemmes og behandles. (Artikel 28, 30, 70, etc.) Der skal dokumenteres på Hvem Hvad Hvordan Hvornår Netværksbaseret adgangskontrol og segmentering giver en visibilitet og mulighed for at implementere policy-baseret regler. Dette mindsker komplekse adgangskontrol, som sikkerhedspolitikker opdateres og distribueres dynamisk. Opdeling af netværk (fysisk eller logisk) med tilhørende sikkerhedsfeatures minimere angrebsfladen og impact af en given hændelse.

SIEM Security Incident & Event Management

Vulnerability Management

Data discovery

Identity & Access Management

GRC-værktøj

Anbefaling og nyttige links

5 vigtige punkter til din start på EU GDPR #1 Buy-in fra ledelse og etablering af projekt gruppe #2 - Skab et overblik #3 Skab visibilitet #4 Styr på processer via GRC tool #5 Styr på aftaler med 3. part

Vigtige spørgsmål at kunne besvare Hvilke personlige data informationer bliver behandlet? DataFlow og data life-cycle management? Hvor er de placeret i virksomhedens infrastruktur? Hvordan er disse data overført imellem Dataansvarlig og databehandler (og evt. 3. part og udenfor EU)? Hvordan er de sikret fra indsamling til sletning? Hvem har ansvaret for data og systemer? Har vi processer, teknologier og planer til at håndtere et evt. breach?

Nyttige links Datatilsynets artikel 29 Gruppen : Https://www.datatilsynet.dk/om-datatilsynet/internationalt/artikel-29-gruppen/ Hjemmeside om Databeskyttelsesforordningen: http://www.dbreform.dk/ EU artikel 29 gruppen : http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083 IAPP International Association of Privacy Proffesional: https://iapp.org/ Erhvervsstyrelsen: https://erhvervsstyrelsen.dk/sites/default/files/media/vejledning_til_bekendtgoerelse_om_persondata sikkerhed.pdf

Tak for jeres tid Jørgen Hartig joeh@axcess.dk Mobil 42140133

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback