EU GDPR og IT-sikkerhedsløsninger v/jørgen Hartig
Baggrund og idé EU GDPR (General Data Protection Regulation) er nok det varmeste emne for tiden. Bagkanten er den 25. maj 2018. Størstedelen af EU GDPRs indhold har fokus på arbejdsgange, jura og organisering i virksomheden og kobling til 3. part. Dertil kommer teknologiske implementeringer, som kan hjælpe med compliance krav. Ideen med dette indlæg er at mappe udvalgte artikler hvor IT-sikkerhedsteknologier (Cisco og andre) bør anvendes og komme med input til fokusområder og sikkerhedsmæssige discipliner. Der præsenteres forslag til, hvor din virksomhed bør sættes ind.
Agenda - Hvad er EU GPDR? - Fokus på 4 områder: - Databruddet hvad er kravene omkring dokumentation og frister? - Bødestørrelser hvad bestemmer bødens størrelse? - Databeskyttelsesrådgiver (DPO) Opgaver og relaterede discipliner? - IT-sikkerhedsløsninger hvor bør din virksomhed fokusere? - Anbefalinger til processen til at komme i gang og arbejde videre med projektet. - Nyttige links
Overblik EU GDPR
Hvad er EU GPDR 2016/679? Afløser af: Direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Dette direktiv ophæves pr. 25. maj 2018. Det er et regulativ, hvilket betyder at det er en EU-lov, og skal indarbejdes i national lov i de respektive nationer. Hvor rammer EU GPDR? Fastsættelse af regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger Behandling af persondata, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Overblik artiklernes fokus Kapitler Beskrivelse Antal artikler no. Procedurefokus i virksomheden Aftale Fokus/Jura Teknologi Fokus 1 Generelle bestemmelser 4 1-4 P 2 Principper 7 5-11 S P S 3 Den registreredes rettigheder 12 12-24 P P 4 Dataansvarlig og databehandler 20 24-45 P P 5 Overførsler af personoplysninger til tredjelande eller internationale organisationer 7 46-53 P P S 6 Uafhængige tilsynsmyndigheder 9 51-59 P 7 Samarbejde og sammenhæng 17 60-76 S P 8 Retsmidler, ansvar og sanktioner 8 77-84 P 9 Bestemmelser vedrørende specifikke behandlingssituationer 7 85-91 S P 10 Delegerede retsakter og gennemførelsesforanstaltninger 2 92-93 P 11 Afsluttende bestemmelser 6 94-99 P Total 99 P- primært fokus S- sekundært fokus
Vigtige punkter Der kommer en mulighed for at blive certificeret. EU GDPR er på flere punkter ikke konkret ift. kontroller -> ISO27001 kan være en god guideline. Konkretisering af visse bestemmelser fastlægges i de enkelte nationer, indenfor de rammerne i artiklerne i GPDR. Pr. feb. 2017 nye guidelines fra WP29: Databeskyttelsesrådgivere Dataportabilitet og Identificering af den ledende tilsynsmyndighed.
WP29 Arbejdsgrupper frem til 2018 Under European Data Protection Board : Future of Privacy subgroup Key Provisions subgroup Technology subgroup International Transfers subgroup Borders, Travel and Law Enforcement subgroup E-government subgroup Financial matters subgroup Cooperation subgroup
Interessenter og snitflader EU kommisionsudvalg National tilsynsmyndighed Den registrerede Dataansvarlig Databehandler Indsigt. Datamobilitet. Tydelig kommunikation. Retten til at blive glemt. garantier forpligtelser Sikkerhed Processer. Teknologi. Juridiske forhold. Compliance. Accountability. garantier forpligtelser Sikkerhed Processer. Teknologi. Juridiske forhold. Compliance.
Eksempler på persondata? (artikel 4) Information, der direkte eller indirekte kan identificeres en fysisk person: navn et identifikationsnummer lokaliseringsdata en online identifikator et eller flere elementer som personen: fysiske fysiologiske genetiske psykiske økonomiske kulturelle eller sociale identitet Profilering: Automatisk behandling og analyse af personoplysninger, som kan føre til forudsige forhold omkring: Arbejdsindsats økonomiske situation helbred personlige præferencer interesser pålidelighed adfærd geografisk position eller bevægelser.
- Databruddet hvad er kravene omkring dokumentation og frister? -Bødestørrelser hvad bestemmer bødens størrelse?
Anmeldelse af brud (artikel 33) Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til tilsynsmyndigheden. Min. Indhold af anmeldelse a) beskrive karakteren af bruddet (kategorierne og ca. antal berørte registrerede) b) navn på og kontaktoplysninger for databeskyttelsesrådgiveren. c) beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden d) beskrive de foranstaltninger, som er truffet for at håndtere bruddet og begrænse skaderne. Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel er overholdt.
Underretning om brud til registrerede (artikel 34) Breach er opdaget Krypteret? Andre aktiviteter hos dataansv.? Uforholdsmæssig stor indsats? Høj risiko ift. data? Besked til registrerede uden unødigt ophold.
Bøder vurdering af størrelse? (artikel 83) Bødens størrelse bestemmes af: overtrædelsens karakter, omfang eller formål samt antal registrerede samt skade forsætligt eller uagtsomt? Foranstaltninger, der er truffet for at begrænse den skade, som den registrerede har lidt? Grad af ansvar under hensyntagen til tekniske og organisatoriske foranstaltninger eventuelle relevante tidligere overtrædelser? graden af samarbejde med tilsynsmyndigheden for at afhjælpe overtrædelsen og begrænse de negative konsekvenser ved breach kategorier af personoplysninger, der er berørt af overtrædelsen? Hvordan fik tilsynsmyndigheden kendskab til overtrædelsen, navnlig om den dataansvarlige eller databehandleren har underrettet om overtrædelsen, og i givet fald i hvilket omfang overholdelse af de påkrævede foranstaltninger og adfærdskodeks? om der er andre skærpende eller formildende faktorer ved sagens omstændigheder, såsom opnåede økonomiske fordele eller undgåede tab som direkte eller indirekte følge af overtrædelsen.
Databeskyttelsesrådgiver (DPO) Opgaver og relaterede discipliner?
DPO ens opgaver og rolle (artikel 37-39) Underrette og rådgive om forpligtelser i henhold til databeskyttelse Overvåge overholdelsen om databeskyttelse igennem virksomhedens opstillede politikker om beskyttelse af personoplysninger, herunder: fordeling af ansvar, oplysningskampagner uddannelse af det relevant personale Revisioner Rådgive ift. konsekvensanalysen Overvåge dens opfyldelse af konsekvens-analysen samarbejde med tilsynsmyndigheden Databeskyttelsesrådgiveren skal vurdere den risiko, der er forbundet med behandlingsaktiviteter, behandlings karakter, omfang, sammenhæng og formål.
Den Dataansvarlige ansvar (artikel 24) Dataansvarlige skal gennemføre passende tekniske og organisatorisk foranstaltninger, som står mål med: - Databehandlingens karakter og omfang, sammenhæng og formål - Risici - Alvor for fysiske personers rettigheder og frihedsrettigheder - Den dataansvarlige skal bevise at forordningen overholdes med de indførte foranstaltninger.
Din beskyttelse imod IT-angreb? Forsvare Opdage Beredskab Reetablere Analyse 100% 0% Modenhedsniveau - Technologier? - Processer? - Tekniske kapaciteter? - Awareness?
Sandsynlighed og konsekvens betragtninger
Oversigt over behandlingsaktiviteter (artikel 30) Fortegnelse over behandlingsaktiviteter skal indeholde; a) Navn på og kontaktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles dataansvarlige. b) formålene med behandlingen c) en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger d) de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer e) Evt. overførsler af personoplysninger til et tredjeland samt dokumentation for passende garantier f) Hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger g) hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger
Risiko-styret approach i EU GDPR EU GDPR
IT-sikkerhedsløsningen hvor bør din virksomhed fokusere?
Behandlingssikkerhed (artikel 32) 1. Etablering af tekniske løsninger og organisatorisk foranstaltninger, som matcher risici (sandsynlighed vs. Konsekvens) ift personlige informationer. Passende foranstaltninger og indsatsområder: Pseudonymisering og kryptering af personoplysninger evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. 3.Overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1.
Teknologiers opgave ved et breach Infektion Time to detect Opdagelse Time to respond Clean Teknologi og visibilitet Beredskab og processer
Endpoint infektion # Cisco teknologier 1 2 1 E-mail gw. (spam filter og AMP) Klient med AMP for endpoint Netværk med Stealthwatch 2 DNS-beskyttelse Umbrella Next Gen Fw AMP/URL/IPS 3 Next Gen Fw AMP/URL/IPS Klient med AMP for endpoint Fil server 4 3 Mail GW Mail server 4 Klient med AMP for endpoint Netværk med Stealthwatch Netværkssegm., med ISE, ACI og ASAv
Netværkssegmentering GDPR foreskriver at man skal holde styr på og kontrollere adgangen til de ressourcer, hvor de personlige data gemmes og behandles. (Artikel 28, 30, 70, etc.) Der skal dokumenteres på Hvem Hvad Hvordan Hvornår Netværksbaseret adgangskontrol og segmentering giver en visibilitet og mulighed for at implementere policy-baseret regler. Dette mindsker komplekse adgangskontrol, som sikkerhedspolitikker opdateres og distribueres dynamisk. Opdeling af netværk (fysisk eller logisk) med tilhørende sikkerhedsfeatures minimere angrebsfladen og impact af en given hændelse.
SIEM Security Incident & Event Management
Vulnerability Management
Data discovery
Identity & Access Management
GRC-værktøj
Anbefaling og nyttige links
5 vigtige punkter til din start på EU GDPR #1 Buy-in fra ledelse og etablering af projekt gruppe #2 - Skab et overblik #3 Skab visibilitet #4 Styr på processer via GRC tool #5 Styr på aftaler med 3. part
Vigtige spørgsmål at kunne besvare Hvilke personlige data informationer bliver behandlet? DataFlow og data life-cycle management? Hvor er de placeret i virksomhedens infrastruktur? Hvordan er disse data overført imellem Dataansvarlig og databehandler (og evt. 3. part og udenfor EU)? Hvordan er de sikret fra indsamling til sletning? Hvem har ansvaret for data og systemer? Har vi processer, teknologier og planer til at håndtere et evt. breach?
Nyttige links Datatilsynets artikel 29 Gruppen : Https://www.datatilsynet.dk/om-datatilsynet/internationalt/artikel-29-gruppen/ Hjemmeside om Databeskyttelsesforordningen: http://www.dbreform.dk/ EU artikel 29 gruppen : http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083 IAPP International Association of Privacy Proffesional: https://iapp.org/ Erhvervsstyrelsen: https://erhvervsstyrelsen.dk/sites/default/files/media/vejledning_til_bekendtgoerelse_om_persondata sikkerhed.pdf
Tak for jeres tid Jørgen Hartig joeh@axcess.dk Mobil 42140133