Security & Risk Management Update 2017

Relaterede dokumenter
Security & Risk Management Summit 2016

Forordningens sikkerhedskrav

Køreplan ift. EU-persondataforordningen - processer og kontroller

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Persondata Behandlingssikkerhed. v/rami Chr. Sørensen

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Sådan får du styr på de digitale risici

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Hvilke initativer kræver implementering af EUpersondataforordningen. værktøjer. Klaus Kongsted, Dubex. Horsens, 13. maj 2016

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Behandling af personoplysninger

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

EU GDPR og IT-sikkerhedsløsninger v/jørgen Hartig

Databeskyttelsesdagen

Persondataforordningen...den nye erklæringsstandard

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Persondataforordningen. Konsekvenser for virksomheder

Introduktion til persondataforordning

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

OPDAG ANGREB OG REAGÉR HURTIGT

Persondataforordningen den 20. februar 2018

Præsentation Tid +/- 25 minutter i praktik

Digital verden post GDPR

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Bilag 1 Databehandler aftale (v.1.2)

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Databehandleraftale (v.1.1)

Konsekvensanalyser i praksis: hvorfor, hvornår og hvordan

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

EU Persondataforordning GDPR

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

EU S PERSONDATAFORORDNING & CLOUD COMPUTING

Business casen ved implementering af Log Management. Claus Løppenthien, Hotel Vejlefjord, 21. maj 2015

Persondataforordningen - set med danske øjne

Per Løkken, Partner. CAMPUS November 2018

Stormøde om databeskyttelsesforordningen - og betænkning nr juni 2017

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

1 Indhold. Side 2 af 15

Security & Risk Management Update 2017

EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

GDPR og ISO-standarderne Få styr på værktøjskassen af ISO-standarder

SIEM hvilken løsning skal du vælge? Claus Løppenthien, Dubex A/S, 12. maj 2015

Databehandleraftale. Mellem. Dataansvarlig: Kunden

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

HAR DIN VIRKSOMHED STYR PÅ GDPR? v/ Advokat Henrik Mansfeldt Witt & Advokatfuldmægtig Majbritt Alemany

Regler om persondata Koordinatormøde den 28. nov. 2017

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause


Retningslinje om behandlingssikkerhed

Håndtering af Persondataforordningen. Aarhus den 22. august 2017 Advokat Kamilla Mondrup

Plesner Certifikat i Persondataret

Hvilke forberedelser kræver EUpersondataforordningen? Klaus Kongsted, Dubex A/S, 11. juni 2015

Hvorfor bruge Managed Security Services & Security Analytics Center?

Aftale vedrørende fælles dataansvar

Målrettet arbejde med persondataforordningen for

General Data Protection Regulation

Bilag 6 Databehandleraftale v.1.1

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

Overblik over persondataforordningen

Ma lrettet arbejde med persondataforordningen for

Er du nu HELT klar til GDPR? Bosted Temadag Rune Andersen, Manager, Product Management, EG

GML-HR A/S CVR-nr.:

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Roadmap til håndtering af EU-persondataforordningen. Klaus Kongsted, Vejle, den 21. maj 2015

Databehandleraftale (Skabelon fra Datatilsynet)

Nye regler på vej Status på arbejdet med databeskyttelsesforordningen. 8. november 2017

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Sletteregler. v/rami Chr. Sørensen

DATABEHANDLERAFTALE. Omsorgsbemanding

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

Konsekvensanalyse vedrørende databeskyttelse

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Security & Risk Management Summit

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Databehandleraftale. Mellem. Kunder. Foredragsholdere, musikere og underholdere. Databehandler: ARTE BOOKING CVR DALVEJ HASLEV

Målrettet arbejde med persondataforordningen for

Bilag 3 Personoplysninger Den registrerede Behandling af personoplysninger Dataansvarlig Databehandler Brud på persondatasikkerheden

GML-HR A/S CVR-nr.:

Databehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Persondataforordningen. Hvad kan vi bruge KITOS til?

7. NOVEMBER Side 1. Udbud og persondata. Advokat Jesper Nørøxe samt advokat Rasmus Holm Hansen

Introduktion til persondataforordningen PSF temadag d , lektor Dorthe Høilund, Metropol

GDPR En praktisk tilgang

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

Persondata og sikkerhedsbrud

Data protection impact assessment

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

Transkript:

Security & Risk Management Update 2017 Scandic Bygholm Park, Horsens, den 1. juni 2017 Premium partner: Partnere:

Organisationens ansvar og seneste danske vejledninger Rasmus Lund, Delacour, og Klaus Kongsted, Dubex Horsens, 1. juni 2017

Agenda Vejledningerne fra Datatilsynet eller? Øvrige relevante fortolkningsbidrag (betænkningen) Egentlige nyheder i forordningen - accountability DPO eller CPO? Nødvendige antagelser i forhold til sikkerhedsmæssige foranstaltninger Hvordan opfylder man kravet om Breach Notification?

Hvad skal vi have ud af dette indlæg? Mål for dette indlæg er at give svar på: Hvad nyt er der egentlig i forordningen, sammenlignet med Persondataloven? Hvordan griber vi dette an? Hvilke metoder og løsninger kan vi benytte os af? Disclaimer: GDPR og den dermed forbundne it sikkerhed, risikostyring og databeskyttelse er meget store og komplekse emneområder i konstant forandring. I løbet af den næste halve time når vi højst at skrabe en lille smule i overfladen. #dsru17

Persondataforordningen Organisationens ansvar og seneste nyheder

02-06-2017 6 Seneste nyheder

Seneste nyheder Justitsministeriet betænkning Vejledninger på vej 02-06-2017 7

Vejledninger Emne Dato Generel informationspjece Sep 2017 Databeskyttelsesrådgiver Sep 2017 Overførsler af personoplysninger til tredjelande Sep 2017 Dataansvarlige og databehandlere Okt 2017 Samtykke Okt 2017 Fortegnelse / dokumentation for behandling Nov 2017 Adfærdskodeks og certificeringsordninger Dec 2017 Behandlingssikkerhed Dec 2017 02-06-2017 8

Vejledninger Emne Dato Cloud computing Dec 2017 Data privacy by default and design Dec 2017 Datasubjektets rettigheder Jan 2018 Datasikkerhedsbrud Jan 2018 02-06-2017 9

02-06-2017 10 Overblik over indhold og største nyheder

Overblik over indhold Pligter for DA og DB Lovlig behandling Nuværende regler fastholdes Visse regler strammes Datasubjektets rettigheder Ny regler indføres

Lovlig behandling Kumulative betingelser Pligter for DA og DB Lovlig behandling 1. Grundlæggende principper 2. Lovhjemmel til behandling 3. Lovhjemmel til overførsel til 3. lande Datasubjektets rettigheder 4. Anmeldelse / tilladelse (bortfalder i vidt omfang) DA skal kunne dokumentere overholdelsen!

Datasubjektets rettigheder Rettigheder (eksempler): Pligter for DA og DB Lovlig behandling Datasubjektets rettigheder 1. Orienteringspligt 2. Ret til dataportabilitet 3. Ret til at blive glemt!

Pligter for DA og DB DA s pligter (og delvist DB s pligter): Pligter for DA og DB Lovlig behandling Datasubjektets rettigheder 1. Data accountability 2. Privacy by default and design 3. Databehandleraftaler 4. Dokumentation for databehandling 5. Risikovurdering og konsekvensanalyse 6. Sikkerhedsforanstaltninger 7. Anmeldelse af datasikkerhedsbrud 8. Databeskyttelsesrådgiver (DPO) I

02-06-2017 15 Data accountability

Data acountability Dataansvarlig skal indføre foranstaltninger for at sikre og være i stand til at dokumentere overholdelse af forordningen. Vi ved, hvilke data vi behandler og kan begrunde lovlighed Vi har en holdning og oplyser herom Vi gør, hvad vi siger og kan dokumentere det Data ansvarlighed

Compliance manual Lovlig behandling Breach notification Overførsel udenfor EU Sikkerhed Politik Datasubjekt rettigheder Risikoanalyser Medarbejdere DPO 02-06-2017 17

02-06-2017 18 Anmeldelse af datasikkerhedsbrud

Anmeldelse af sikkerhedsbrud DA har pligt til i visse tilfælde af egen drift at anmelde sikkerhedsbrud til Datatilsynet hhv. alle berørte datasubjekter. Offentliggørelse og shitstorms. Stor kommerciel skadevirkning. 02-06-2017 19

DPO eller ej 02-06-2017 20

Skal DA/DB have en DPO eller ej? Data Protection Officer Chief Privacy Officer 02-06-2017 21

Behandlingssikkerhed

Hvad siger de danske myndigheder? Fra Justitsministeriets stormøde: Q Hvad er den dataansvarlige ansvar? Den dataansvarliges ansvar er det samme, som man kender det i dag: >> Man skal have styr på sin behandling af personoplysninger << OBS på påvisningskrav: Man skal kunne påvise, at ens behandling er i overensstemmelse med forordningen Dette kan gøres ved at efterleve fortegnelseskravet i artikel 30 Der er ikke krav om, at der udarbejdes en dataflow analyse af ens behandling Adfærdskodeks eller certificering #dsru17

Behandlingssikkerhed artikel 30 Henset til det aktuelle tekniske niveau og omkostningerne og i betragtning af behandlingens karakter, omfang, kontekst og formål og risikoen af varierende sandsynlighed og alvor for fysiske personers rettigheder træffer den DA og DB passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, herunder bl.a. i det nødvendige omfang: 1. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed i forbindelse med de systemer og tjenester, der behandler personoplysninger Logning, f.eks. SIEM systemer (aktiv teknisk sikkerhed) Pseudonymisering og kryptering (passiv teknisk sikkerhed) 2. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til oplysninger i tilfælde af en fysisk eller teknisk hændelse (se mere om beredskabsplan ved datasikkerhedsbrud) 3. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til at sikre behandlingssikkerhed #dsru17

Accountability - overholdelse Er ISO 27002 svaret? Artikel 23 (indbygget databeskyttelse), stk. 2a: En godkendt certificeringsmekanisme i medfør af artikel 39 kan blive brugt som et element til at påvise overensstemmelse med kravene i stk. 1 og 2. Men: Ifølge Datatilsynet (stormøde 9. februar 2017) og analog praksis fra Tyskland, henviser formuleringen til brancheforeninger mv., der laver certificeringsprocesser af enkeltstående behandlinger eller produktprodukter Det er dog stadig vores opfattelse at ISO 2700x-compliance opfylder dokumentationsbehovet for passende tekniske og organisatoriske foranstaltninger #dsru17

Svenskerne har (også) lavet en juridisk redegørelse Särskilda certifieringsorgan ska enligt artikel 43 vara ackrediterade. Medlemsstaten ska säkerställa att certifieringsorganen är ackrediterade av både eller endera av tillsynsmyndigheten och det nationella ackrediteringsorgan som utsetts i enlighet med förordning (EG) nr 765/20082. Ackrediteringen ska ske i enlighet med EN-ISO/IEC 17065/2012 och med de ytterligare krav som fastställts av tillsynsmyndigheten. #dsru17

ISO 27001 hjælper med mange af kravene, bl.a. Scope (4) Politikker, roller og ansvar (5) Risikovurderinger (6.1, 8.2 og 8.3) Effektivitetsmålinger (6.2 og 9.1) Awareness, kommunikation og kompentencer (7) Drift af sikkerhedssystemet (8.1) Evaluering og audit (9) Forbedringer og korrigerende handlinger (10) #dsru17

ISO 27002 hjælper med krav til dokumentation, f.eks. Kortlægning af datastrømme i alle led (A.8.1.1) Klassificering af data (A.8.2.1) Håndtering og opbevaring af data (A.8.2.3) Identificering af sikkerhedsbrud (A.16.1) Udførelse af overvågning og andre kontroller for hele datastrømmen (A.12.4, A.13.2 m.fl.) Registrere bevis for compliance (A.18.2) Tilstrækkelig beredskab til rettidig rapportering samt om nødvendigt give vejledning til personer (A.16.1, A.7.2 m.fl.) #dsru17

Understøttelse af sikkerhedsprocessen Pointen er, at alle er blevet hacket Sikkerhed drejer sig i dag om vores proces og tilgang til at Risikostyre vores aktiver (Predict & Identify) Implementere passende afvejede kontroller (Prevent & protect) Opdage når vi bliver kompromitteret (Detect) Reagere hurtigt på en kompromittering (Respond & recover) Understøttelse med værktøjer og processer (Capabilities) Predict & Identify Prevent & Protect Detect Respond & Recover Security capabilities Risk Management Vulnerability Management Fundamental Security Security Monitoring Incident Handling Disaster Recovery Visibility Analytics Advanced Security Threat Intelligence Containment Forensic #dsru17

Normalisering Kategorisering Rapportering Enheder Sårbarheder Korrelering Baseline Troværdighed Lokation Threats Geo Alarmer Security Information and Event Management (SIEM) A.12.4, A.16 og A.18.2.2 Indsamler logs fra alle systemer Server and Desktop OS Firewalls/ VPN Security Intelligence Information Vulnerabilities Geo-location Threats Directory Services Korrelerer på tværs Finder nålen i høstakken Physical Infrastructure IPS/IDS Identity Management Tusinder af sikkerhedsrelevante events Hundredevis af korrelerede events Muliggør relevant rapportering System Health Information Network Equipment Vulnerability Assessment Anti-Virus Few suspicious events for manual handling Databases Applications Millioner af rå events Inventory Users Configuration Netflow 02-06-2017 31 #dsru17

Analytikerservice (SAC) LogSafe Service 01111000 Dubex Datacenter A Dubex Datacenter B Log collector Kunde Datacenter DIRT SAC Kunde Dubex Analytikere Analysere Data (teknologi + Processer + Mennesker) Reducer data til brugbare hændelser Dubex Alarmering #dsru17

Incident Response Incident starter Objektiver time estimat aftales On-site arbejdet påbegyndes On-site arbejdet afsluttes Kunden kontakter hotline Incident Response konsulent er på vej Identification Containment Eradication Recovery Rapportering og anbefalinger #dsru17

Kommende arrangementer og kurser Check Point / Dubex / Delacour GDPR Update 20. juni 2017, Dubex, Gyngemose Parkvej 50, 2860 Søborg DPO-uddannelse - uddannelse i EU-Persondataforordningen 23.-24. august + 12.-13. september 2017 i Aarhus 20.-21. september + 4.-5. oktober 2017 i København 11.-12. oktober + 25.-26. oktober 2017 i Aarhus 6.-7. november + 20.-21. november 2017 i København #dsru17

Tak!

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback