Workshop om IT-sikkerhed Tech trends, trusler og strukturerede løsninger
DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne Offentlig sektor Produktsikkerhed / IoT-sikkerhed Produktionssikkerhed / OT-sikkerhed Privacy 2
Modne teknologier Cloud computing Software, platform og infrastruktur som en service Der er hybrider, hvor man binder services på nettet sammen med services i kælderen Kommercielle fordele: effektivt, skalerbart, sikkert 3
Modne teknologier Social networks Platform til at bygge sociale relationer med ligesindede Kan bruges til at skabe og dele informationer realtime Mange-til-mange-kommunikation, der kan deles realtime Kommercielt interessant i forbindelse med profilering og anbefalingssystemer (trust) 4
Modne teknologier Mobile Mobiltetstendensen betyder at man er på nettet overalt Kommercielt betyder det at man kan udnytte lokalitet og tid som parametre til at styre sin kommunikation 5
Modne teknologier Big Data og Analytics Behandling af datamængder der er så store og ustrukturerede, at sædvanlig databehandling ikke giver mening Der lagres flere og flere data fra alle mulige kilder og i alle mulige digitale formater Der er et enormt potentiale i at udnytte data til at skabe nye produkter og ideer 6
Tech trends Data analysis Data eksploderer og kommer alle vegne fra Data skal analyseres blindt, så man kan gøre opdagelser Realtime analyse af data skaber forretning Mobile løsninger skaber tilgængelighed overalt Data vil kunne deles, genbruges og gensælges centralt og lokalt 7
Tech trends Internet of Things IoT bidrager til den store datastrøm Alle ting får indlejret computere, bliver intelligente, kommer online og leverer data. Teknologierne hjælper os med at træffe beslutninger i nuet eller træffer beslutningerne for os Computing sker overalt og til en vis grad uden direkte aktivering fra brugerens side Der vil blive fokuseret på hvordan de decentrale enheder skal kunne få energi 8
Tech trends Cognitive computing Samarbejde mellem computere og mennesker Computeren kunne bidrage til at understøtte menneskelige beslutninger og blive sparringspartner Computerne bliver selvlærende og lærer herunder empati Computerne omgiver os overalt og altid er til rådighed med assistenter 9
Tech trends Cyber-physic manufacturing Cyber-fysiske produktionssystemer sammenbinder den fysiske og den virtuelle verden. Materialerne får intelligens Produktionsmaskinerne vil omstille sig efter efterspørgsel Horisontal integration af partnere i værdikæden Vertikale netværk af smarte produktionssystemer, fabrikker og produkter Intelligens fra materiale til skrot 10
Tech trends: Industrie 4.0 Konkrete initiativer 1. Standardisering og reference arkitektur der skaber integration mellem virksomheder 2. Modellen for håndtering af den øgede kompleksitet i produktionen 3. Udbygget bredbåndsinfrastruktur for industrien 4. Sikkerhed og tryghed: Det er vigtigt at sikre, at produktions faciliteter og selve produkterne ikke udgør en fare for mennesker eller miljø 5. Design og tilrettelæggelse af nye arbejdsgange for medarbejdere 6. Træning og løbende faglig udvikling af medarbejdere 7. Lovgivningsmæssige rammer justeres 8. Ressourceeffektivitet 11
Tech trends Exponentials Teknologier hvis optag stiger eksponentielt kan være disruptive for forretningen Industriel 3D-print Produkter lavet af mikroorganismer Quantum computing Robotics Kunstig intelligens 12
Tech trends tværgående emner Talentpleje Sikkerheden Compliance i de forskellige kulturkredse Standardisering, som sikrer interoperabilitet 13
Trusler et par tal 317 millioner nye malwarevarianter i 2014 113% stigning i ransomware attacks Mængden af spear-phishing mails sendt er faldet, men de er blevet mere målrettet stealth Zeroday sårbarheder har ligget på et niveau omkring 14 pr. år i 2006-2012, men i 2013-2014 har de ligget omkring 23. 14
Trusler - fremmede lande Office of Personnel Management - 31+ millioner registrerede - Ganske mange og følsomme data om de registrerede - Muligvis baggrundsinformationer om sikkerhedsgodkendelser - 1+ millioner fingeraftryk Motiv: Data, viden, evne til fremtidige angreb 15
Trusler - hackere / it-kriminelle Zeus, trojaner, brugt til at lave man-in-the-browser attack, installere CryptoLocker ransomware og SpyEyeVirus Hamza Bendelladj (Algeriet) og Aleksandr Andreevich Panin (Rusland) Ca 5000 $ til 150 klienter, der kunne tjene op til 3 mio $ pr. halvår. Har begge tilstået at have lavet SpyEye. 16
Trusler - idealister Ashley Madison - 36+ millioner brugere - 7.000+ fra.dk - "The Impact Team", moralsk motiv - Konti oprettet uden validering af e-mail - Betaling for at blive slettet - uden at det skete - Blandt de 5,5 millioner kvindelige konti var masser oprettet fra den samme ip-adresse og kun 1% udviste egentlig aktivitet - Konsekvenser: Skilsmisser, afpresning (.mil,.gov), selvmord, dødsstraf (.sa) 17
Trusler - extremister https://www.youtube.com/watch?v=slnn5-qdwme 18
Trusler - whitehats https://www.youtube.com/watch?v=mk0srxbc1xs 19
Opsummering tendenser og trusler Teknologisk udvikling: IoT, Dataanalyse, beslutningsunderstøttende systemer, cloud computing, mobil adgang, lifecycle Flere sårbarheder, med ICS som nyt fokusområde Meget avanceret kode, Ekstrem professionalisering Fremmede lande, Cyberspionage, defensiv/offensiv cyberware It-kriminelle Idealister, cyberaktivisme, hacktivisme Extremister Whitehats 20
Praxis erfaringer fra DI - Stealth - Spearphishingangreb og Water Hole Attack - Trojanere og BOTs - Ransomware og Man-in-the-Middle - APT, zero-day 21
Løsninger Produktionssikkerhed 22
V1 - få det på ledelsens dagsorden Udpeg sikkerhedsansvarlige for kontor, produktion, fysiske rammer og produkter Sikkerhedsorganisation med funktionsadskillelse Sikkerhedspolitik med uddybende retningslinjer med kontroller - det hele baseret på en risikoanalyse Overholdelse af regulering Klarhed over egne produkters sikkerhed 23
V2 - Produktionschefen Tekniske sikkerhedsforanstaltninger i virksomhedens produktionsmiljø Netværkssegmentering Kortlægning af alle forbindelser og implementering af firewalls Anvendelse af DMZ (produktionsmiljøet må ikke være direkte på internettet) Envejskommunikation, logning, IDS/IPS Penetrationstests Klassifikation og kryptering af trafik Sikkerhedskopiering (data og systemer) Opsamling af hændelser Redundans af kritiske komponenter Mulighed for sikkerhedspakker Driftsafviklingsprocedurer (hvem må hvad) og kapacitetsplanlægning Aktuelt vidensniveau 24
V2 - Produktionschefen Krav til (interne og eksterne) leverandører af udstyr til produktionsmiljøet Procedurer for indkøb og krav Krav i form af certificeringer Leverandører skal overholde sikkerhedspolitikken Forudgående sårbarhedsanalyse SLA (med bl.a. disse krav) Opdateringer og tests Vurdering af åbne bagdøre 25
V2 - Produktionschefen Organisatoriske sikkerhedsforanstaltninger i virksomhedens produktionsmiljø Samarbejde på tværs blandt sikkerhedsansvarlige Holistisk sikkerhedspolitik med retningslinjer Identifikation, dokumentation og klassifikation af alle aktiver Udpegelse af ejere Risikoanalyse for aktiver Procedurer for genanvendelse og afskaffelse 26
V2 - Produktionschefen Overordnede holistiske sikkerhedskrav Sikkerhedsarbejdet skal skabe værdi Holisme Samarbejde Faglige kvalifikationer Autoriseret med de rette privilegier Procedurer for adgang Fysisk sikringsplan Fysisk adgangskontrol Funktionsadskillelse Beskyttelse af elektronisk perimeter Procedurer for hændelser Beredskabsplan Overholdelse af lovgivning 27
V4 - Produktchefen Produktsikkerhed Common Criteria certificering Udveksling af nøgler mellem produktets elementer Penetrations- og sårbarhedstest Firewalls på lokale enheder Følg trusselsbilledet og isoler produkter 28
Løsninger Produktsikkerhed 29
IoT-sikkerhed 1 Processer til at håndtere sikkerhed Virksomheden skal have processer på plads, som håndterer sikkerheden i intelligente produkter og de mobile apps og backend databaser, som produkterne kommunikerer med. Risikovurdering Virksomheden skal lave en risikovurdering af de mulige trusler de kan stå overfor, når de gør deres produkter intelligente. Dataklassifikation Virksomheden bør vurdere, om der behandles data og i givet fald hvilke data, der behandles i produktet. Data bør klassificeres efter deres følsomhed. Privacy Personoplysninger skal beskyttes i henhold til lovgivningen og virksomhederne kan desuden med fordel vurdere, hvordan de opnår de bedste tillid hos brugerne, når de anvender personoplysninger. Standarder og compliance Der findes en række sektorspecifikke standarder, som virksomhederne indenfor sektoren, skal være i compliance med. 30
IoT-sikkerhed 2 Common Criteria certificering Virksomheden skal overveje om den ønsker en Common Criteria certificering, som har til formål at demonstrere at softwaren er sikker fordi den efterlever nogle på forhånd definerede sikkerhedsfunktionaliteter. Patch management Virksomheden bør sikre, at de intelligente produkter løbende kan opdateres i takt med at der opdages fejl i softwaren. Life cycle management Virksomheden bør tænke på, hvordan man kan skabe sikkerhed i hele det intelligente produkts livscyklus. Afhængighed af eksterne leverandører Virksomheden skal gøre sig klart, i hvilket omfang de er afhængige af eksterne leverandører og stille sikkerhedsmæssige krav til disse. Følg med i trusselsbilledet Virksomheden bør følge med i trusselsbilledet og identificere, hvilke nye metoder hackere tager i brug for at få adgang til virksomhedens produkter eller tilsvarende produkter. 31
IoT-sikkerhed 3 Forsikring Virksomheden bør undersøge om den kan forsikre sig mod den sikkerhedsmæssige risiko, som der ikke kan gøres noget ved. Håndtering af henvendelser vedrørende kompromittering Virksomheden bør have en proces på plads til at håndtere henvendelser, der drejer sig om sikkerhed i produkterne. Udviklingsprocessen Virksomhederne bør sikre sig, at udviklingsprocessen på bedst mulig måde bidrager til at designe sikkerhed ind i produktet fra starten af. Programmeringsfejl Virksomhederne bør være særligt opmærksomme på og lære af de kendte fejl, der typisk opstår i programmeringsprocessen. Penetrations- og sårbarhedstests Virksomhederne bør for at identificere mulige sårbarheder teste sikkerheden i deres intelligente produkter og angribe det udefra, som om de selv var hackere. 32
IoT-sikkerhed 4 Adgangsstyring Virksomhederne bør styre hvem der kan få adgang til hvilken funktionalitet hvorfra i de intelligente produkter. Klassiske sikkerhedstiltag Virksomhederne bør overveje om det kan betale sig at installere små sikkerhedspakker på produktet, som man kender det fra fra PC'er, tablets og SmartPhones. Whitelists og blacklists Virksomheden bør overveje om de af sikkerhedsmæssige årsagen skal begrænse adgangen til det intelligente produkt gennem white- og blacklists. Segmenter og zoner Virksomheden bør overveje, om det intelligente produkt bør placeres på sit eget segment på netværket. Udveksling af nøgler Virksomheden bør overveje om kommunikation med det intelligente produkt bør sikres gennem lokal parring og udveksling af nøgler mellem trustede apparater. 33
IoT-sikkerhed 5 Kryptering Virksomheden bør overvejes i hvilket omfang autentifikation, data og kommunikation bør krypteres. Produktets sikkerhedstilstand Virksomheden bør overveje om det intelligente produkt skal kunne rapportere sin egen sikkerhedstilstand til de trustede apparater, som kommunikerer med det. Ubrugt funktionalitet Virksomheden bør overveje om komponenters overskudskapacitet bør utilgængeliggøres. Separation af services Virksomheden skal overveje, om man kan forbedre det intelligente produkts sikkerhed ved at separere nogle af de services, som kører i produktet, således at de ikke kan kommunikere med hinanden. Brug professionelle leverandører Professionelle leverandører har dedikere kompetencer, opdateret viden og er uafhængige. 34
Løsninger Cloudsikkerhed 35
Produktionsdata i clouden Risikoanalyse og dataklassifikation Krav om sikkerhedsstandarder og best practises: ISO27001, Nist 800-53r4, ISAE3402, SSAE16SOC2, CSA Andre krav til leverandøren Penetrationstests Sikkerhedsorganisation og politikker Kryptering med egne nøgler Underleverandører Hvor befinder data sig? Sletning Logning Autentifikation og autorisation Kontakt Konkurs Orientering om sikkerhedsbrister Hvilket lands lov gælder? Særlige regler, hvis der behandles personoplysninger: bl.a. ISO27018 36
Løsninger Persondataforordningen 37
Hvad er privacy? Ingen almengyldig definition Privacy er muligheden for selv (at kunne håndtere risikoen for ikke) at have kontrol over hvilken information man vil dele med hvem hvornår og hvordan. 38
Hvorfor er privacy vigtigt? Individsynspunkt Være i kontrol med sine personoplysninger, selv bestemme hvem vi vil dele med Risiko for anvendelse imod individets interesser Historisk og geografisk betydning Refleksion, ytringsfrihed, demokrati, konstruktion af ego, altid noget galt Virksomhedssynspunkt Behandle den enkelte kunde på en sådan måde, at de forbliver kunder og taler positivt om virksomheden - herunder giver mulighed for at kunder har forskellige præferencer for at videregive personoplysninger Det gode ry, CSR Overholde loven Minimere omkostninger 39
Midler Der er en række metoder og teknologier man kan bruge 1. En række vejledninger 2. Persondataforordningen 3. Privacy impact assessment skabelon 4. PbD og PET 40
Forordningen, opsummering Overordnede principper (Kapitel II) Lovligt, fair, transparent, formålsbestemt, relevante data, korrekte data, kun relevant tid Data subjektets rettigheder (Kapitel III) Transparente og let tilgængelige politikker for behandling og udøvelse af rettigheder (artikel 11) Let forståeligt sprog/form (artikel 11) Procedurer hos dataansvarlige for at håndterer den registreredes rettigheder (artikel 12) Dataansvarlig skal sikre at data rettes eller slettes hos tredjeparter (artikel 13) Der skal give mere information til den registrerede (artikel 14): kontaktinformation, behandlingsformål, lagringsperiode, ret til adgang, korrektion og sletning af data, ret til klageadgang, hvem der i øvrigt får adgang til data, hvor data overføres (til 3rd lande), o.a., om data indsamles obligatorisk eller frivilligt, hvem data stammer fra, hvis dataansvarlig ikke selv har indsamlet dem Den registrerede skal have ret til adgang (artikel 15): formål, kategorier, andre modtagere, lagertid, rettelse eller sletning, klageadgang, hvilke data Ret til at få rettet data (artikel 16) Ret til at blive glemt og få slettet data (artikel 17) herunder også hos tredjeparter Ret til dataportabilitet (artikel 18) Ret til at klage over behandling (artikel 19) Ret til ikke at blive profileret (artikel 20) 41
Forordningen, Kommissionen Databeskyttelse by design og default (artikel 23) Ofte krav om tilstedeværelse i Europa (artikel 25) Mere dokumentation af løsningerne (artikel 28) Krav til sikkerheden (artikel 30) DBN (artikel 31) også til de berørte subjekter (artikel 32) DPIA (artikel 33) DPO (artikel 35), dog kun virksomheder med over 250 ansatte Lidt mere gennemskuelige regler for overførsel til 3rd lande (artikel 40-45) Stærkere Datatilsyn der samarbejder (artikel 46-72) Ret til at klage til datatilsyn (artikel 73) Ret til at klage til domstolen (artikel 74 og 75) Ret til erstatning (artikel 77) Bøder og administrative sanktioner (artikel 78 og 79) Særlige regler (sundhed, arbejdsgiver, historie, statistik, forskning) (artikel 81-83) 42
Forordningen, parlamentets input Jan Albrecht, LIBE, 10. januar 2013 Anonymiserede data undtages og pseudonymiserede data må behandles med automatiseret samtykke "Identifiers" i stedet for liste over IP-adresser, location data, m.v. "Producer" som supplement til "Controller" (dataansvarlig) og "Processor" (databehandler) Tydeliggørelse af afvejning mellem registreredes rettigheder og controllers forpligtelser Business Card Information undtages Alle informationer, som skal stilles til rådighed for den registrerede samles i én artikel, som dermed også bliver en bruttovejledning til controlleren for, hvad han skal kunne levere "Right not to be profiled" skærpes: betingelser skærpes, formålspecifikation kan ikke udvides (læs: Google) Livscyklusbetragtning for PbDx2 DBN udvides fra 24 til 72 timer Offentlig anvendelse af DPIA skal ikke begrænses af lovkrav DPO ved mere end 5000 registrerede (i stedet for 250 ansatte) + teknik krav Ny konsistensmekanisme EDPB spiller en større rolle på bekostning af Kommissionen Bøderne forøges og der opstilles kriterier for deres tildeling Udfordringer vedr. arbejdsgivers behandling af arbejdstagers data løses (samtykke + overenskomster) 43
Forordningen, Rådets input Den offentlige sektor kan fastsætte specifikke regler for implementeringen af forordningen (artikel 1, 2a) Forordningen gælder ikke for myndigheder, der skal tage specielle hensyn til offentlig sikkerhed (artikel 2,2e) Især den offentlige sektor kan behandle data til andet formål end det de er indsamlet til (artikel 6, 3 og 4; artikel 14, 1b; artikel 14a, 3a) Der arbejdes med flere former for samtykke: entydigt (almindelig) og eksplicit (følsom) (artikel 7) DI: Der kan behandles følsomme data i henhold til kollektive aftaler (artikel 9, 2b og 2d) Right to erasure and to be forgotten gælder ikke offentlig sektor (artikel 17, 3b) Right to data portablity gælder ikke offentlig sektor (artikel 18, 2a) Measures based on profiling er ændret til Automated inidividual decision making og saniteret for eksempler, hvilket gør artiklen lidt mere uklar (desuden national lovgivning, offentlig og privat) (artikel 20) Borgernes rettigheder sættes generelt ud af spillet hvis der er tale om hensyn til national sikkerhed, politiet, offentlige økonomiske interesser, domstolene, udvalgte branchers etik (artikel 21) Controlleren er ansvarlig for databehandlingen, risiko, beskyttelsesforanstaltningerne og compliance (artikel 22) Under hensyntagen til risiko, teknologi, omkostninger, formål m.v. skal der anvendes PbDx2 (artikel 23) Processoren skal indhente samtykke fra controlleren ved skift af underleverandører (artikel 26) Der skal laves en databehandleraftale, hvoraf det bl.a. fremgår at processor skal hjælpe controller med compliance (artikel 26) 44
Forordningen, Rådets input Både controller og processor skal have en række metadata og data og behandlinger (artikel 28) Pseudonymisering nævnes flere steder, bl.a. under sikkerhedsforanstaltningerne (artikel 30) DBN opretholdes med visse modifikationer, bl.a. at der ikke skal notificeres ved tab af sikre krypterede data (artikel 31 og 32) DPIA fastholdes, men der lægges op til at den skal bruges færre steder (artikel 33, 1) og ud fra nationalt fastsatte regler (artikel 33, 2a) Hvis DPIAen indikerer det skal der ansøges om tilladelse til databehandling hos Datatilsynet, som skal give gode råd og vejledning (artikel 34 (samt artikel 53, 1c(a))) DPO skal kun udpeges, hvis det fremgår af en (national) lov og vedkommende er (lidt) lettere at afskedige (artikel 35) Der opfordres kraftigt til at der udarbejdes code-of-conducts til at understøtte forordningen særligt for SME (artikel 38) Der opfordres kraftigt til, at der laves certificeringer/seal af parter, som efterlever forordningen (artikel 39) Overførsel til 3rd parter kan fortsat ske efter kendte regler som f.eks. BCR og databehandleraftaler. Kommissionen har stor indflydelse på, hvem der godkendes (artikel 41 og 42) One-stop-shop (artikel 51): En borger går til sit nationale datatilsyn, som efterfølgende tager en dialog med det datatilsyn, hvortil virksomheden hører. De to datatilsyn afgør sagen sammen med eller uden inddragelse af consistency mechanism og EDPB. Der er fortsat en consistency mechanism, som skal sikre ens fortolkningspraksis (artikel 57) 45
Forordningen, Rådets input Der er fortsat et EDPB (artikel 58, m.fl.) Borgerne har ret til at klage til deres eget datatilsyn (artikel 73) Der er mulighed for kollektive sagsanlæg (artikel 76) (BE er meget imod det) Der introduceres en række betingelser, som der skal lægges vægt på, når der skal udstedes administrative bøder (artikel 78) Medlemsstaterne kan selv beslutte i hvilket omfang offentlige myndigheder skal betale bøder (artikel 79, 3b og 5) Det understreges igen at den offentlige sektor må genbruge personlige data (artikel 80aa) Der fastsættes nationale regler for behandling af identifikationsnumre (artikel 80b) DI: Kollektive aftaler kan angive specifikke regler for behandlingen af personoplysninger og i givet fald skal Kommissionen orienteres (artikel 82) Der er masser af undtagelser fra reglerne hvis data behandles i offentlighedens interesse eller til videnskabelige, statistiske eller historiske formål (artikel 83) Ældre internationale aftaler, som er i overensstemmelse med 95/46/EC opretholdes efter forordningens vedtagelse (artikel 89a) Der er to års varsel førend ikrafttræden. 46
Forordningen, Rådets input Udkast til policy implikationer Med alle de forslag til undtagelser for den offentlige sektor, som forslaget indebærer svækkes borgernes sikkerhed ved databehandling i den offentlige sektor i forhold til Kommissionens forslag og måske endog i forhold til gældende praksis Med alle de forslag til national lovgivning, som den offentlige sektor kan vedtage nationalt undermineres den europæiske harmonisering af reglerne og de nationale offentlige sektorer kommer ikke til at kunne lave fælles indkøb Det er uhensigtsmæssigt at den offentlige sektor ikke skal kunne betale bøder ligesom den private sektor Der er behov for at se på bødestørrelserne til den private sektor, således at bøderne ikke kommer til at lukke virksomheder og koste europæiske arbejdspladser Det er vigtigt, at ansvarsfordelingen mellem controller og processor præciseres, og at de krav, der stilles, er proportionale og praktisk gennemførlige (herunder at processoren i praksis har mulighed for at efterleve dem uden unødige omkostninger) Det er uhensigtsmæssigt at der nationalt fastsættes regler for brugen af DPIA det bør for harmoniseringens skyld ske på europæisk plan. Tilsvarende bør der arbejdes med fælles europæiske regler for anvendelsen af PbDx2 (begge var tiltænkt som delegerede retsakter). Endelig bør seals og certificeringer også være europæiske. Medlemsservices Når forordningen foreligger bør vi arbejde med best practises for efterlevelse og evt. udgive en vejledning 47
3 trins raket Hæve sikkerhedsniveauet og tilliden Privacy Impact Assessment Privacy by Design Privacy Enhancing Technologies (G) Og så desuden comliance 48
PIA - "definition" Definition En PIA er en vurdering af risici, set fra et individs synspunkt, ved at en aktør behandler individets personoplysninger. Indhold PIA'en består af en analyse og af en proces. Analysen sikrer, at de rette spørgsmål bliver stillet og besvaret. Processen sikrer, at spørgsmål stilles og svar gives på dette rette tidspunkt i en teknologis livscyklus. 49
PIA-proces PIA-proces Idefase Planlægning og arkitektur Teknologivalg Implementering og test Drift og ændringer Idefase: Er der behov for PIA? (A) og compliance-betragtning (B) Planlægning og arkitektur: dataflowanalyse (C), datasubjektets risici (D) og planlægning af korrigerende foranstaltninger (E) Teknologivalg: Privacy Enhancing Technologies (G) Implementering og test: Information til datasubjekter (F) og anonymisere/slette Drift og ændringer: Følge op på PIA og implementere kontroller 50
Afklare behovet for PIA Gennemløb nedenstående model Afgræns mest muligt, så PIA bliver så fokuseret som muligt Udfordringer med pseudonymisering og ægte anonymisering jf. artikel 29-gruppen 51
PIA - compliance Denne PIA skaber ikke compliance med alverdens lovgivning! Principper: Behandles der personoplysninger? Hvem er dataansvarlig og hvem er databehandler? Hvad er formålet med behandlingen? Er der andre formål? Indsamles for meget? Er personoplysningerne præcise? Skal der indhentes samtykke? Er datasubjektet informeret? Må data behandles? (religion, osv) Er personoplysningerne beskyttet efter god sikkerhedspraksis? Videregives data? På en lovlig måde? Håndteres data der ikke længere anvendes? Er der foretaget anmeldelse? 52
PIA - dataflowanalyse Hvilke personoplysninger vil blive behandlet? Hvilke typer af teknologier anvendes? Hvordan foregår indsamlingen af personoplysninger? Til hvilket formål behandles personoplysningerne? Andre formål? Ekstra data? Er det nødvendigt, at indhente samtykke til databehandlingen? Hvilken behandling finder sted? Hvem har adgang til data? Hvem har ansvaret for personoplysningernes sikkerhed? Hvordan ser dataflowet ud efter indsamling? Tegnet flowdiagram? Hvordan organiseres personoplysningerne? Videregives data til andre? 53
PIA - datasubjektets risici Behandles der personoplysninger der subjektivt set kan betragtes som følsomme? Indgår der behandling af kreditkortoplysninger? Fremtræder behandlingen af personoplysninger troværdig? (virker sikker?) Kan datasubjektet få indsigt i informationer om behandlingen af personoplysninger? Er der risiko for at personoplysninger spredes til uvedkommende? (hacking) Er der risiko for at data bruges til andre formål end dem, de er indsamlet til? Kobles der personoplysninger fra flere kanaler om datasubjektet uden datasubjektets viden? Kan der ske nogen skade på eller for datasubjektet, hvis personoplysningerne kommer til uvedkommendes kendskab? (økonomi, stigmatisering) Kan der ske utilsigtet ændring eller tilintetgørelse af personoplysningerne? Hvor stor er den gruppe af datasubjekter, som kan blive berørt? 54
PIA - korrigerende foranstaltninger Er der en sikkerhedsorganisation? Følges en sikkerhedsstandard? Er der fysisk adgangskontrol? Er der styring af brugeres rettigheder og adgang? Foretages der sikkerhedsopdateringer af styresystemer, databaser, m.v.? Logges adgang til personoplysninger? Er der adgang til personoplysninger fra bærbart udstyr? Kan der implementeres teknologier, som pseudonymiserer eller anonymiserer personoplysninger? Slettes eller anonymiseres data, når der ikke længere er brug for dem i henhold til formålet? Er der behov for at foretage anmeldelse af databehandlingen til myndighederne? 55
PIA - information Var datasubjektet orienteret før indsamlingen af personoplysninger fandt sted? Har datasubjektet mulighed for at samtykke til eller at afvise, at data behandles? Hvordan informeres datasubjekterne? Har datasubjekterne nogen grad af direkte kontrol med personoplysningerne? Har datasubjekterne et kontaktpunkt, som de kan henvende sig til? Er der en procedure for at datasubjekterne kan trække samtykke for behandling af personoplysninger tilbage? Er der en procedure for at vurdere om datasubjekterne skal orienteres, hvis deres data fortabes? 56
Privacy Enhancing Technologies Ingen definition Et kontinuum af løsninger fra rollebaseret adgangskontrol til anonymisering Pseudonymisering, på vej mod lidt mere sikkerhed 57
Kontakt Henning Mortensen hem@di.dk 58