Security & Risk Management Update 2017 Scandic Bygholm Park, Horsens, den 1. juni 2017 Premium partner: Partnere:
Organisationens ansvar og seneste danske vejledninger Rasmus Lund, Delacour, og Klaus Kongsted, Dubex Horsens, 1. juni 2017
Agenda Vejledningerne fra Datatilsynet eller? Øvrige relevante fortolkningsbidrag (betænkningen) Egentlige nyheder i forordningen - accountability DPO eller CPO? Nødvendige antagelser i forhold til sikkerhedsmæssige foranstaltninger Hvordan opfylder man kravet om Breach Notification?
Hvad skal vi have ud af dette indlæg? Mål for dette indlæg er at give svar på: Hvad nyt er der egentlig i forordningen, sammenlignet med Persondataloven? Hvordan griber vi dette an? Hvilke metoder og løsninger kan vi benytte os af? Disclaimer: GDPR og den dermed forbundne it sikkerhed, risikostyring og databeskyttelse er meget store og komplekse emneområder i konstant forandring. I løbet af den næste halve time når vi højst at skrabe en lille smule i overfladen. #dsru17
Persondataforordningen Organisationens ansvar og seneste nyheder
02-06-2017 6 Seneste nyheder
Seneste nyheder Justitsministeriet betænkning Vejledninger på vej 02-06-2017 7
Vejledninger Emne Dato Generel informationspjece Sep 2017 Databeskyttelsesrådgiver Sep 2017 Overførsler af personoplysninger til tredjelande Sep 2017 Dataansvarlige og databehandlere Okt 2017 Samtykke Okt 2017 Fortegnelse / dokumentation for behandling Nov 2017 Adfærdskodeks og certificeringsordninger Dec 2017 Behandlingssikkerhed Dec 2017 02-06-2017 8
Vejledninger Emne Dato Cloud computing Dec 2017 Data privacy by default and design Dec 2017 Datasubjektets rettigheder Jan 2018 Datasikkerhedsbrud Jan 2018 02-06-2017 9
02-06-2017 10 Overblik over indhold og største nyheder
Overblik over indhold Pligter for DA og DB Lovlig behandling Nuværende regler fastholdes Visse regler strammes Datasubjektets rettigheder Ny regler indføres
Lovlig behandling Kumulative betingelser Pligter for DA og DB Lovlig behandling 1. Grundlæggende principper 2. Lovhjemmel til behandling 3. Lovhjemmel til overførsel til 3. lande Datasubjektets rettigheder 4. Anmeldelse / tilladelse (bortfalder i vidt omfang) DA skal kunne dokumentere overholdelsen!
Datasubjektets rettigheder Rettigheder (eksempler): Pligter for DA og DB Lovlig behandling Datasubjektets rettigheder 1. Orienteringspligt 2. Ret til dataportabilitet 3. Ret til at blive glemt!
Pligter for DA og DB DA s pligter (og delvist DB s pligter): Pligter for DA og DB Lovlig behandling Datasubjektets rettigheder 1. Data accountability 2. Privacy by default and design 3. Databehandleraftaler 4. Dokumentation for databehandling 5. Risikovurdering og konsekvensanalyse 6. Sikkerhedsforanstaltninger 7. Anmeldelse af datasikkerhedsbrud 8. Databeskyttelsesrådgiver (DPO) I
02-06-2017 15 Data accountability
Data acountability Dataansvarlig skal indføre foranstaltninger for at sikre og være i stand til at dokumentere overholdelse af forordningen. Vi ved, hvilke data vi behandler og kan begrunde lovlighed Vi har en holdning og oplyser herom Vi gør, hvad vi siger og kan dokumentere det Data ansvarlighed
Compliance manual Lovlig behandling Breach notification Overførsel udenfor EU Sikkerhed Politik Datasubjekt rettigheder Risikoanalyser Medarbejdere DPO 02-06-2017 17
02-06-2017 18 Anmeldelse af datasikkerhedsbrud
Anmeldelse af sikkerhedsbrud DA har pligt til i visse tilfælde af egen drift at anmelde sikkerhedsbrud til Datatilsynet hhv. alle berørte datasubjekter. Offentliggørelse og shitstorms. Stor kommerciel skadevirkning. 02-06-2017 19
DPO eller ej 02-06-2017 20
Skal DA/DB have en DPO eller ej? Data Protection Officer Chief Privacy Officer 02-06-2017 21
Behandlingssikkerhed
Hvad siger de danske myndigheder? Fra Justitsministeriets stormøde: Q Hvad er den dataansvarlige ansvar? Den dataansvarliges ansvar er det samme, som man kender det i dag: >> Man skal have styr på sin behandling af personoplysninger << OBS på påvisningskrav: Man skal kunne påvise, at ens behandling er i overensstemmelse med forordningen Dette kan gøres ved at efterleve fortegnelseskravet i artikel 30 Der er ikke krav om, at der udarbejdes en dataflow analyse af ens behandling Adfærdskodeks eller certificering #dsru17
Behandlingssikkerhed artikel 30 Henset til det aktuelle tekniske niveau og omkostningerne og i betragtning af behandlingens karakter, omfang, kontekst og formål og risikoen af varierende sandsynlighed og alvor for fysiske personers rettigheder træffer den DA og DB passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, herunder bl.a. i det nødvendige omfang: 1. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed i forbindelse med de systemer og tjenester, der behandler personoplysninger Logning, f.eks. SIEM systemer (aktiv teknisk sikkerhed) Pseudonymisering og kryptering (passiv teknisk sikkerhed) 2. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til oplysninger i tilfælde af en fysisk eller teknisk hændelse (se mere om beredskabsplan ved datasikkerhedsbrud) 3. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til at sikre behandlingssikkerhed #dsru17
Accountability - overholdelse Er ISO 27002 svaret? Artikel 23 (indbygget databeskyttelse), stk. 2a: En godkendt certificeringsmekanisme i medfør af artikel 39 kan blive brugt som et element til at påvise overensstemmelse med kravene i stk. 1 og 2. Men: Ifølge Datatilsynet (stormøde 9. februar 2017) og analog praksis fra Tyskland, henviser formuleringen til brancheforeninger mv., der laver certificeringsprocesser af enkeltstående behandlinger eller produktprodukter Det er dog stadig vores opfattelse at ISO 2700x-compliance opfylder dokumentationsbehovet for passende tekniske og organisatoriske foranstaltninger #dsru17
Svenskerne har (også) lavet en juridisk redegørelse Särskilda certifieringsorgan ska enligt artikel 43 vara ackrediterade. Medlemsstaten ska säkerställa att certifieringsorganen är ackrediterade av både eller endera av tillsynsmyndigheten och det nationella ackrediteringsorgan som utsetts i enlighet med förordning (EG) nr 765/20082. Ackrediteringen ska ske i enlighet med EN-ISO/IEC 17065/2012 och med de ytterligare krav som fastställts av tillsynsmyndigheten. #dsru17
ISO 27001 hjælper med mange af kravene, bl.a. Scope (4) Politikker, roller og ansvar (5) Risikovurderinger (6.1, 8.2 og 8.3) Effektivitetsmålinger (6.2 og 9.1) Awareness, kommunikation og kompentencer (7) Drift af sikkerhedssystemet (8.1) Evaluering og audit (9) Forbedringer og korrigerende handlinger (10) #dsru17
ISO 27002 hjælper med krav til dokumentation, f.eks. Kortlægning af datastrømme i alle led (A.8.1.1) Klassificering af data (A.8.2.1) Håndtering og opbevaring af data (A.8.2.3) Identificering af sikkerhedsbrud (A.16.1) Udførelse af overvågning og andre kontroller for hele datastrømmen (A.12.4, A.13.2 m.fl.) Registrere bevis for compliance (A.18.2) Tilstrækkelig beredskab til rettidig rapportering samt om nødvendigt give vejledning til personer (A.16.1, A.7.2 m.fl.) #dsru17
Understøttelse af sikkerhedsprocessen Pointen er, at alle er blevet hacket Sikkerhed drejer sig i dag om vores proces og tilgang til at Risikostyre vores aktiver (Predict & Identify) Implementere passende afvejede kontroller (Prevent & protect) Opdage når vi bliver kompromitteret (Detect) Reagere hurtigt på en kompromittering (Respond & recover) Understøttelse med værktøjer og processer (Capabilities) Predict & Identify Prevent & Protect Detect Respond & Recover Security capabilities Risk Management Vulnerability Management Fundamental Security Security Monitoring Incident Handling Disaster Recovery Visibility Analytics Advanced Security Threat Intelligence Containment Forensic #dsru17
Normalisering Kategorisering Rapportering Enheder Sårbarheder Korrelering Baseline Troværdighed Lokation Threats Geo Alarmer Security Information and Event Management (SIEM) A.12.4, A.16 og A.18.2.2 Indsamler logs fra alle systemer Server and Desktop OS Firewalls/ VPN Security Intelligence Information Vulnerabilities Geo-location Threats Directory Services Korrelerer på tværs Finder nålen i høstakken Physical Infrastructure IPS/IDS Identity Management Tusinder af sikkerhedsrelevante events Hundredevis af korrelerede events Muliggør relevant rapportering System Health Information Network Equipment Vulnerability Assessment Anti-Virus Few suspicious events for manual handling Databases Applications Millioner af rå events Inventory Users Configuration Netflow 02-06-2017 31 #dsru17
Analytikerservice (SAC) LogSafe Service 01111000 Dubex Datacenter A Dubex Datacenter B Log collector Kunde Datacenter DIRT SAC Kunde Dubex Analytikere Analysere Data (teknologi + Processer + Mennesker) Reducer data til brugbare hændelser Dubex Alarmering #dsru17
Incident Response Incident starter Objektiver time estimat aftales On-site arbejdet påbegyndes On-site arbejdet afsluttes Kunden kontakter hotline Incident Response konsulent er på vej Identification Containment Eradication Recovery Rapportering og anbefalinger #dsru17
Kommende arrangementer og kurser Check Point / Dubex / Delacour GDPR Update 20. juni 2017, Dubex, Gyngemose Parkvej 50, 2860 Søborg DPO-uddannelse - uddannelse i EU-Persondataforordningen 23.-24. august + 12.-13. september 2017 i Aarhus 20.-21. september + 4.-5. oktober 2017 i København 11.-12. oktober + 25.-26. oktober 2017 i Aarhus 6.-7. november + 20.-21. november 2017 i København #dsru17
Tak!