Strategidag i Som aftalt på den ekstraordinære generalforsamling 1. august 2017 blev bestyrelsen for RFDS til en strategidag, hvor Rådets arbejde m.m. blev diskuteret. Dato: Onsdag d. 6. september 2017 kl. 9:00-16:00 Sted: Rørvang 3, 2620 Albertslund (AO s adresse) Agenda: 1. Godkendelse af referat for den ekstraordinære generalforsamling d. 1. august 2017 Referat godkendt. 2. Strategi og fremtidige arbejdsområder a. Under dette punkt blev der foretaget en bordrunde, hvor hvert bestyrelsesmedlem fremlagde hvad de kunne bidrage med til Rådet. o DKCERT uddannelsesinstitutioner: DIGST; CFCS; presse - samlet set den offentlige sektor i fokus o Medierådet for Børn og Unge (B&U) - GDPR ift. B&U; DIGST samarbejde om at nå B&U med digitaldannelse; B&U s forståelse for og tilgang til offentlig digitalisering; digital dannelse generelt; god databehandlings skik - danne en standard o NETS - sikre medarbejderes forståelse for sikkerhedsmiljøet; leverandørstyring; time2market In Competition; Compliance; Privacy by design and default o NetCompany GDPR s anvendelse i udbudssituationen; efterforskningsværktøjer, kompetencer, ressourcer og lovgivning; DMCA-Takedowns o TÆNK - GDPR/dansk databeskyttelseslov forbrugerkampagne; digitalselvforsvar; det gode eksempel o IDA Socialt ansvar i teknologisk udvikling og digitalisering; DLP og sikker E- mail/dmarc; o Alexandra Instituttet - Bibringe viden og indsigter i forskningen på området; teknikken som kan hjælpe GDPR implementering; sikring af alt digitalt; kryptografi o Sepior kryptering og generel sikring af cloud-løsninger o ITB Biometriske data; god dataskik og digitaldannelse; Den fjerde industrielle revolution (Agent Intelligens og Internet of Things etc.) o Siscon Compliance generelt og GDPR specifikt; certificeringer og standarder - også i udbudssituationer; underleverandør/leverandørstyring
o AO Konkret GDPR-erfaring Jura vs. praktik; Data protection by design og udfordringerne med betænkning 1565; leverandørstyring; folkeskolelovens 7, stk. 1 (seksualundervisning mm) justeres, så der undervises i IT-sikkerhed og beskyttelse af personoplysninger evt. i et Digital Dannelses perspektiv o Microsoft - Digital Dannelse i alle dimensioner af samfundet, modernisering af infrastruktur, GDPR rightsizing/vejledning, tryghedsskabende inventar o Øvrige - DMARC b. Baseret på bordrunden og bestyrelses forskellige arbejdsområder blev det besluttet at sammenfatte dette til i alt 7 emner. Ligeledes blev det besluttet, hvem der skulle stå for de forskellige elementer i sammenfatningen af emnerne. o GDPR-implementering og udfordringer RfDS spørger medlemskredsen (Henning) Alexandra Instituttet sammenskriver ovenstående (Gert) Sammenskrivningen gives til Justitsministeriet - med det mål at sikre, at vejledningerne rammer behovet! (Henning) Bestyrelsen tilføjer derudover emner, som ikke er dækket af medlemmerne men vurderes som væsentlige Data Protection by Design tages med under dette emne (Henning dækker det emne) Bidrag fra Medierådet (om Unge under 18) tages med (Claus dækker det emne) o Leverandørstyring ITB, Nets og Siscon udarbejder oplæg o Digitaldannelse / God skik / Digitalsamfundsforståelse Ikke kun sikkerhed men evt. også etik, borgere og menneskerettigheder - fordi det skaber tryghed! Ole skriver et oplæg til dimensionerne, der skal indgå i en holdning fra RfDS og selve holdningspapiret Målet er at få oplægget med ind i DIGST-kampagnen o DMARC Jørn tager fat i det medlem, som har tilbuds specifik hjælp til at skrive om DMARC o PASSWORD Jakob reviderer skriv om passwords (på baggrund af NIST vejledning/standard) o IR4.0 / Digital Transformation / Digitalisering Følgende rapporter vedhæftet af Ole som aftalt:
Industry 4.0 fra World Economic Forum: https://www.weforum.org/about/the-fourth-industrialrevolution-by-klaus-schwab og https://aka.ms/wefindu4 Microsoft s Danske Digital Transformationsrapport: https://qvartz.com/buzz/whitepaper/digitaltransformation-report/ Gert og Christian hjælpes om at lave et oplæg til temaerne til næste møde o Michael laver et oplæg om værktøjer/ressourcer og kompetencer hos politiet. c. Et muligt samarbejde med Digitaliseringsstyrelsen, Erhvervsstyrelsen og Datatilsynet blev ligeledes blive drøftet. Her blev det besluttet, ar Rådet skal samarbejde med disse styrelser i forbindelse med borger- og virksomhedsvendte kampagner, samt til revision af Sikkerhedstjekket og Privacykompas. 3. Drøftelse af eventuelle værktøjer og deres rækkevidde Under dette punkt blev det drøftet om Rådet skal udarbejde værktøjer selv. Det blev besluttet, at Rådet skal samarbejde med Erhvervsstyrelsen om at skabe et GDPR low-levelværktøj, som kan hjælpe SMV er med en enkelt Go-Do-liste. Herunder skal det pointeres, at værktøjet ikke kan være ansvarspådragende. Ligeledes skal der henvises til private leverandører, som kan håndtere den fulde GPDR-proces som en service/et produkt 4. Drøftelse af uklare forhold i GDPR Se punkt 2b, GDPR-implementering og udfordringer 5. CodeX Fremtidens tilgang til CodeX-projektet blev drøftet. Her blev følgende vendt: o Testet på ca. 300 skoler (5.-6. klassetrin) o Evaluering og tilbagemeldinger mangler o Anette tager fat i Fie/Rasmus for at finde materiale som opfølgning på betaversionen o Punktet om CodeX tilføjes til næste bestyrelsesmøde (og indgår i punkt 2b, Digitaldannelse) o Evt. kobling til CodingPirates og lignende initiativer 6. Medlemssituationen - Alle midler er historisk blevet taget i brug - Der skal ca. 100 nye medlemmer til, hvis Rådet vil finansiere et sekretariat på 1 person - Af formanden forslag var følgende: 1. Som formand, vil Henning dedikere hovedparten af sin tid til hvervekampen
2. Bestyrelsen pålægges at hverve medlemmer 3. Aktivering af medlemmer - Det blev besluttet, at alle medlemmer af bestyrelsen, fremover har til hensigt at hverve ét nyt medlem pr kvartal - Hverveliste skal koordineres på mødet og en fordelingsliste sendes ud med referat - For at aktivere medlemmerne, vil Henning sende listen over temaer og kontaktpersoner ud til medlemmerne o Denne henvendelse vil inkludere mulighed for at give inputs til temaerne o Kommunikationsformen afgøres af det enkelte team/kontaktperson o Det skal stå klart for medlemmerne, at teamet der udarbejdes, efterfølgende bliver forelagt bestyrelsen - Det blev desuden besluttet, at foreslå til generalforsamlingen i juni 2018, at kontingentet reguleres 1/7/2018 o På kommende bestyrelsesmøde i 2017, behandles detaljerne i dette forslag 7. Pressehåndtering Under dette punkt blev det drøftet, hvem der kan og vil udtale sig på Rådets vegne om hvad. Herunder blev det besluttet, at det fordeles emnevist. Emnerne er foreløbige og den øvrige bestyrelse bør læse emnerne igennem og supplere: - Henrik Larsen o Borgersikkerhed o Forskning o Offentlig digitalisering - Gert o Privacy by design o Kryptering o Industri 4.0 / fremtidens digitale teknologier o Big Data - Henning o, generelle henvendelser o Persondata o Databeskyttelsesloven o Privacy by design - Michael o Værktøjer til efterforskning o Digitaldannelse - Jakob o Privacy by design o Big Data o Kryptering - Shehzad o Borgersikkerhed
o Sikkerhed i den finansielle sektor - Anette o Forbrugerbeskyttelse o Sociale medier - Ole o Cloud o MedTech / sundhedsdata / IT o Industri 4.0 / fremtidens digitale teknologier o Digitaldannelse - Christian o IT-branchen o Leverandører (styring) o Industri 4.0 / fremtidens digitale teknologier o IT-hygiejne / God data-skik Listen er et øjebliksbillede og bør behandles/justeres løbende på hvert bestyrelsesmøde. De bestyrelsesmedlemmer, der ikke var til stede på mødet, bedes melde tilbage til Fie, hvis der er emner, som de gerne vil udtale sig om på Rådets vegne. 8. Rådet som netværksorganisation Under dette punkt blev det drøftet, hvordan vi kan gøre en forskel for medlemmerne, så det giver øget værdi at være medlem af Rådet. Se punkt 6. 9. Holdning til bøder til den offentlige sektor i forbindelse med brud på persondataforordningen og Databeskyttelsesloven Rådets holdning til ovenstående blev diskuteret. Rådets holdning blev vedtaget til følgende: o Rådet mener, at sanktioner til den offentlig sektor ift. GDPR bør være mulig o Bestyrelsen vedtog, at Rådet anbefaler passende sanktioner - fx kunne bøder være midlet o Det blev desuden vedtaget, at Rådet skal fokusere på, hvilket mål, der skal opnås med sanktioner (nemlig at skabe tryghed til digitale løsninger og sikre at evt. hul/breach ikke kan gentages og effekten formindskes/fjernes). Dermed bliver det op til dem, der finder på sanktionerne at godtgøre, hvad det er passende for at opnå dette mål. 10. Holdning til europæisk sikkerhedsmærkning af IT-systemer Rådets holdning til ovenstående blev diskuteret. Rådets holdning blev vedtaget til følgende: o Det er uafklaret om sikkerhedsmærkning er afgrænset til fysiske produkter og/eller softwareløsninger. o Udgangspunktet skal være i Security by Design og Privacy by Design. Ligeledes er det vigtigt, at mærkningsordninger skal være internationale, ikke nationale.
11. Holdning til Center for Cybersikkerhed Rådets holdning til ovenstående blev diskuteret. Det blev desuden drøftet, om Rådet har en holdning til, hvad der skal ligge under CfCS. Rådets holdning blev vedtaget til følgende: o Udfordringen er, at offentlighedslov, forvaltningslov etc. IKKE gælder for CfCS - det gør, at RfDS må mene, at alt der kan håndteres udenfor CfCS bør behandles hos anden myndighed under civilsamfundets regler. o RfDS anerkender, at der er behov for sikkerhedsleverancer fra både offentlig og private entiteter - specielt på kritisk infrastruktur giver det mening at leverancen kan ske fra offentlig myndighed. Det skal dog i alle tilfælde nøje overvejes om ydelsen er bedst leveret fra offentlig eller privat leverandør 12. Fremtidige møder det næste år Der blev fastlagt mødedatoer i Rådet for det kommende halvår. Formanden lagde op til, at halvdelen af Rådets møder blev afholdt som telefonmøder, dels grundet effektivisering og dels for i højere grad at kunne inddrage de jyske bestyrelsesmedlemmer. o En kalenderinvitation er udsendt på de aftalte mødedatoer til bestyrelsesmedlemmerne 13. Eventuelt - Kontaktpersoner for Morten RV fra DI Digital - Jakob Pagter og Ole Kjeldsen - CPR nummer - er det en trussel? Spørgsmålet blev overført til senere drøftelse - Forslag om, at Rådet går mere om mere over til at benytte LinkedIn som kommunikationskanal o Alt der lægges på FB kopieres til LinkedIn o Dette blev vedtaget - GDPR event med udgangspunkt i DPIA hos Udenrigsministeriet mandag 11/9 - content deles med bestyrelsen og streaming gøres tilgængeligt efterfølgende. Fuldt booket og venteliste