HVORDAN REAGERER STATSFORVALTNINGEN PÅ EU S PERSONDATA- FORORDNING?

Relaterede dokumenter
Persondataforordningen. Henrik Aslund Pedersen Partner

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Persondataforordningen...den nye erklæringsstandard

INFORMATIONSSIKKERHED - OG AKTUELLE NEDSLAGSPUNKTER FRA DEN KOMMENDE DATABESKYTTELSESFORORDNING

EU Persondataforordning GDPR

Per Løkken, Partner. CAMPUS November 2018

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Persondataforordningen den 20. februar 2018

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Bliv klar til Persondataforordningen

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Regler om persondata Koordinatormøde den 28. nov. 2017

Rollen som DPO. September 2016

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft den 25. maj 2018.

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

De første 350 dage med den nye databeskyttelsesforordning

Hvad er Informationssikkerhed

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Ny persondataforordning

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Målrettet arbejde med persondataforordningen for

Informationssikkerhedspolitik for Horsens Kommune

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Sådan bliver din virksomhed klar til at håndtere PERSONDATA. efter de nye regler!

General Data Protection Regulation

HVORFOR ER INFORMATIONSSIKKERHED DEN NYE SORT?

N. Zahles Skole Persondatapolitik

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Persondatapolitik for Tørring Gymnasium 2018

Databeskyttelsesdagen

Overblik over persondataforordningen

6.1 Introduktion. Af Jeppe Høyer Jørgensen, LETT Advokatpartnerselskab Indhold. Denne artikel har følgende

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondataforordningen AbMano

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

Må lrettet årbejde med persondåtåforordningen for

Persondatapolitik Vordingborg Gymnasium & HF

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Præsentation Tid +/- 25 minutter i praktik

Ma lrettet arbejde med persondataforordningen for

Persondatapolitik for Aabenraa Statsskole

Målrettet arbejde med persondataforordningen for

EU Persondataforordningen, skærpet krav til sikkerheden om data

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Plesner Certifikat i Persondataret

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

UVMs bidrag til GDPR implementering i uddannelsessektoren

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

ertifikat i ersondataret

FRA PERSONDATALOV TIL PERSONDATAFORORDNING

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

EU S PERSONDATAFORORDNING & CLOUD COMPUTING

Persondata politik for GHP Gildhøj Privathospital

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

NY PERSONDATALOV (GDPR) HVAD BETYDER DET FOR DIN VIRKSOMHED?

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Målrettet arbejde med persondataforordningen for

Undervisningsplan for certifikat i persondataret

Kong Frederik den Syvendes Stiftelse paa Jægerspris

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Privatlivspolitik. TEKNIK OG MILJØ AffaldVarme Aarhus Aarhus Kommune

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

Persondatapolitik på Gentofte Studenterkursus

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

I vores privatlivspolitik kan du læse om, hvordan vi behandler dine personoplysninger.

Jesper Andersen / Lone Forsberg Databeskyttelsesrådgiveren September 2018

SISCON GDPR I revisionsmæssigt perspektiv incl. præcisering vedrørned DPIA

Vejledning om informationssikkerhed

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

Praktisk persondatacompliance

Er du klar til den nye Persondataforordning?

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Når compliance bliver kultur

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

VEJLEDNING. om specialklubbernes håndtering af medlemmernes personoplysninger

Persondatapolitik for

Persondataforordningen

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

MedComs informationssikkerhedspolitik. Version 2.2

Det skal du have styr pa inden 2018

Ma lrettet arbejde med persondataforordningen for

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

INTRO TIL PERSONDATAFORORDNINGEN. Væsentligste nyskabelser af relevans for IT-leverandører 8. juni 2016

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Databehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Transkript:

HVORDAN REAGERER STATSFORVALTNINGEN PÅ EU S PERSONDATA- FORORDNING? YOU ARE HERE Jesper Aarestrup jesaar@statsforvaltningen.dk +4591334657 23. januar 2018

Kort om Statsforvaltningen En statslig styrelse under Børne- og Socialministeriet Vi behandler sager på indenfor forskellige områder - bl.a. (om året): Skilsmisse og separation ca 21.500 afgørelser Børne- og ægtefællebidrag ca. 21.500 afgørelser Samvær ca. 18.700 afgørelser Forældremyndighed 25.500 afgørelser Faderskab ca. 13.400 afgørelser Navnesager 5.700 afgørelser Adoption - ca. 3.000 afgørelser Værgemål ca. 15.500 afgørelser EU ophold ca 50.000 afgørelser Indfødsret 1.200 afgørelser 4 Disse behandles af omkring 450 personer fordelt på 9 afdelinger ud over hele landet.

HVORFOR ER DATASIKKERHED VIGTIGT? En dansk identitet kan købes på nettet for 98 kroner på det sorte marked Berlingske.dk Fem millioner danske CPR-numre og helbredsoplysninger er ved en fejl blevet leveret til den kinesiske virksomhed, der står for visum-ansøgninger (2015) DR.dk 3100 danske lægers CPR-numre er blevet lækket på en amerikansk hjemmeside Det er muligt at udskrive receptpligtig medicin i danske lægers navn 2 Stor stigning i antallet af aggressive hackerangreb fra fremmede statslige magter Tv2.dk Over 100 internationale (herunder 6 danske) atleter har fået lækket deres sundhedsdata af russiske hackere med henblik på afsløre USA og andre nationer i "beskidte metoder efter udelukkelse af russiske atleter fra OL

HVAD ER KONSEKVENSERNE? TAB AF DATA, TID OG PENGE Når systemer nedlægges, kan medarbejdere ofte ikke udføre deres job. Kan vi fortsat indkalde de rigtige borgere, hvis vi ikke kan tilgå vores itsystemer? TABT TILLID OG TRYGHED Generelt har borgere og virksomheder i Norden stor tillid til myndigheder. Hvis kritisk information går tabt eller bliver uhensigtsmæssigt spredt, vil tilliden blive brudt Ved hackerangreb kan data mistes eller skades. Hvad gør vi, hvis vi mister elektroniske journaler? Hvad vil det betyde for virksomheders økonomi, hvis den daglige drift ikke kan fortsættes? Og hvor mange penge vil en hacker kræve for at overgive kontrollen af vores data/systemer? 3 OG I VÆRSTE TILFÆLDE: TAB AF MENNESKELIV

HVORFOR SÅ MEGET SNAK OM GDPR? Databeskyttelsesforordningen skal øge og ensarte beskyttelsen af persondata inden for EU og stiller derfor nye krav For offentlige organisationer og virksomheder har GDPR den konsekvens, at kravene til behandling af data skærpes i forhold til den eksisterende persondatalov, og potentielle bødeforlæg øges markant. 4 Krav til tilstrækkelig sikker behandling af persondata Bøder, 4% af omsætning eller op til 20 mio. euro for virksomheder. Offentlige organisationer kan idømmes op til 16 mio. kr. Oprettelse af en DPO-funktion (data protection officer) Skærpede dokumentationskrav, privacy impact assessment Registreredes rettigheder Retten til at blive glemt (HR-data, kundedata m.m.) Indsigtsret og ret til berigtigelse Krav om anmeldelse til Datatilsynet ved persondatabrud Krav vedr. ansvarsfordeling mellem databehandler og dataansvarlig Særlige krav til behandling af data vedr. børn.

HVAD VAR VIGTIGT FOR STATSFORVALTNINGEN? At sikre borgernes data er en opgave, som skal løftes af hele organisationen. Samtidig skal samspillet mellem ISO27001 og GDPR udnyttes Samspillet mellem informationssikkerhed (ISO27001) og GDPR Vigtigt at Statsforvaltningen kan vedligeholde GDPR-compliance og følge ISO27701-principperne men med få ressourcer Statsforvaltningen kan derved koncentrere sig om sit hovedforretningsvirke Krav om systemunderstøttelse af processerne hvor det giver mening. GDPR-opgaven skal løftes af medarbejderne Statsforvaltningen ønsker, at både GDPR og informationssikkerhed skal forankres ved medarbejderne. Der skal opbygges en sikkerhedskultur. Statsforvaltningen ønsker, at borgerne skal føle sig trygge, at deres data er sikre, og at behandlingen af data er i sikre hænder Krav til en grundig GDPR-implementering Prioritet på forankring af GDPR i drift, og at compliancy kan vedligeholdes. 5

STATSFORVALTNINGENS FREMGANGSMÅDE Forordningen er særligt vigtig for en offentlig organisation som Statsforvaltningen, da den primære data i er personfølsom Det har høj prioritet ved Statsforvaltningen at sikre borgernes data. Derfor har vi valgt at købe ekstern rådgivning, som ska l sikre, at vi overholder alle nye krav, når forordningen træder i kraft. Modenhedsanalyse Etablering af fortegnelse Markedsafdækning ift. GDPR-tool Implementering af ISO27001 For at kunne gennemføre en minimumskompatibilitet med GDPR skal Statsforvaltningen kende GDPR-kravenes implikationer. Derfor har Statsforvaltningen, bistået af PA Consulting Group, vurderet den nuværende situation og undersøgt, hvor moden organisationen er i forhold til kravene, GDPR stiller. PA har gennemført interviews og kortlægning med henblik på at udarbejde en fortegnelse over behandling af persondata og personfølsomme data i Statsforvaltningen. Fortegnelsen er baseret på Justitsministeriets betænkning og skal løftes over i Risma. PA har gennemført en markedsundersøgelse og en analyse af relevante, tilgængelige tools på markedet og med relevans for Statsforvaltningen. Som led i dette er identificeret krav til løsningen via såvel desk reseach som afholdelse af interviews med leverandører og brugere. Statsforvaltningen har anskaffet Risma som tool. Statsforvaltningen skal følge ISO27001-principperne, hvorfor det komplette informationssikkerhedsrammeværk skal forankres. PA har udarbejdet en gap-analyse i henhold til det ønskede sikkerhedsniveau og en implementeringsplan. PA bistår med en vurdering af implementeringen. 6

FØRSTE SKRIDT ER MODENHEDSANALYSE Forordningen er særligt vigtig for en offentlig organisation som Statsforvaltningen, da den primære data i er personfølsom Modenhedsanalysen er udført ved hjælp af et PA-værktøj, som vurderer organisationens nuværende drift i forhold til 19 GDPR-relevante domæner. Blandt domænerne kan nævnes politikker & procedurer, tredjepartsrisiko og fordelingen af roller & ansvar. Vurderingen har genereret et visuelt indblik i den nuværende drift og har banet vejen for udarbejdelse af en konkret handling splan. Compliant 18% S; 100% Q; 44% R; 46% P; 25% A; 44% B; 50% C; 56% D; 50% E; 46% Delvis compliant 25% Ikke compliant 57% O; 42% N; 53% F; 38% G; 36% M; 25% H; 33% K; 25% J; 30% I; 38% L; 50% 7

Roller Medarbejdere Ledelse ET KRITISK OMRÅDE ER ROLLER & ANSVAR Modenhedsanalysen viste, at Statsforvaltningens roller & ansvar i forhold til GDPR er mangelfuld. DPO-funktionen er lovpligtig fra den 25. maj Topledelse Har det overordnede ansvar for informationssikkerheden og sætter den strategiske retning Har overblik over risici og fordeler og placerer roller og ansvar i organisationen. Mellemledelse Sikrer forankring af informationssikkerhed i forretningsprocesser og aktiviteter.. Informationssikkerhedsudvalget Tværfaglig gruppe med topledelse som formand der sætter mål for sikkerheden Sørger for at informationssikkerheden realiseres og efterleves i organisationen. Funktioner Dataejere Agerer som ansvarlige for sårbare data og håndtering af disse Er eventuelt skilt fra den dataansvarlige organisation Udpeget af topledelsen. Systemejerne Ansvarlige for de enkelte systemer og står for at identificere de mest sårbare dele af systemerne Udpeget af topledelsen. Databeskyttelsesrådgiver (DPO) Informationssikkerhedskoordinator Medarbejdere Forstår at efterleve politikker og retningslinjer Agerer proaktivt og bidrager dermed til at sikre høj informationssikkerhed.. Overvåge, underrette og rådgive om overholdelsen af lovkrav vedr. følsomme persondata Udpeget af topledelsen. Sekretær for sikkerhedsudvalget Organisationens tværgående daglige sikkerhedsleder.

HVEM ER ANSVARLIGE FOR IMPLEMENTERING? Som konsekvens af modenhedsanalysen har vi nu udpeget roller og afdelinger, som vil være ansvarlige for implementering af de mangler, som analysen viste DPO Direktion Informationssikkerhedskoordinator og IT Jura og HR Ansvarlig for områderne: Ansvarlig for områderne: Ansvarlig for områderne: Ansvarlig for områderne: Underretninger Design Uddannelse. Skal inddrages i områderne: Scope Roller og ansvar Register og databeholdning Politikker og procedurer Tredjepartsrisiko Scope Vision og strategi Governance og overblik Programdesign Roller og ansvar Ansvarlighed Fejlkorrektion. Skal inddrages i områderne: Register og databeholdning Informationssikkerhedskoordinator er ansvarlig for: Integritet og fortrolighed Styring af individers rettigheder. Skal inddrages i områderne: Register og databeholdning Politikker og procedurer Styring af individers rettigheder Retsmæssig fairness Formål og begrænsning Overførsel på tværs af grænser. Jura inddrages i områderne: Dataminimering. HR inddrages i områderne: Integritet og fortrolighed. Retsmæssighed og fairness Retmæssighed og fairness Design. Formål og begrænsning Formål og begrænsning Dataminimering. Uddannelse og awareness.

HEREFTER ETABLERES FORTEGNELSEN Forordningen kræver, at offentlige myndigheder til enhver tid kan fremvise en opdateret fortegnelse Statsforvaltningen har gjort brug af PA Consulting Group til at udarbejde fortegnelsen. Fortegnelsen er opdelt efter forretningsområder og indeholder for hvert område en oversigt over persondatatyper, der behandles, hvilken hjemmel de behandles/opbevares efter, hv or de opbevares, og hvornår de slettes. 10

UNDERVEJS OPSTOD BEHOV FOR TOOL Selvom forordningen ikke stiller krav til fortegnelsens format, har Statsforvaltningen valgt at søge støtte i form af GDPR-værktøjet Risma Risma blev udvalgt efter en markedsafdækning udført i samarbejde med PA. Vi udvalgte netop dette værktøj, fordi det løser opgaven med kontinuerlig opdatering og overblik over arbejdet på en intuitiv og brugervenlig måde. Udover at støtte arbejdet med GDPR har Risma også et ISO27001-modul, som gør, at datasikkerhedsarbejdet kan samles ét sted. Intuitivt for alle at bruge Med et intuitivt og brugervenligt design, vil alle involverede medarbejdere, uanset kendskab til kravene i forordningen, bidrage til, at behandlingen af personoplysninger lever op til kravene i forordningen og at den forbliver lovlig. Strukturen i systemet guider jer gennem datamapping, gap-analyser og sikrer, at hvert enkelt område gennemgår Persondataforordningen og tager stilling til de rette ting. 11 Overblik over hele processen Vi kan til enhver tid dokumentere og overvåge status på overholdelse af forordningen. Det er enkelt at opsætte regler for automatisk opfølgning på opgaver og processer. Er stort udvalg af rapporter og dashboards giver ledelsen et komplet overblik over organisationens compliance med forordningen både undervejs med arbejdet og fremadrettet. Kontinuerlig opdatering Løsningen har en klar struktur og opgavefordeling. Alle opgaver med forordningen bliver tildelt en medarbejder. Opgave og deadlines bliver beskrevet, og opfølgning sikrer, at opgaverne laves til tiden. Derfor vil vi altid efterleve forordningen, og arbejdet med den vil kontinuerligt blive vedligeholdt. Plesner Advokatpartnerselskab opdaterer løbende løsningen, når der er ændringer og tilføjelser til forordningen.

KONKLUSION PÅ GDPR-REJSEN Persondataforordningen er ny for alle. Derfor har forløbet været en læringsfase, hvor vi har gjort en række observationer, andre også kan drage nytte af Kend din forretning Dokumenterede hovedprocesser og ejere Klare roller og funktioner. Start så tidligt som muligt Start med datamapning og etablering af fortegnelsen. Fordel ved at have et godt forankret informationssikkerheds-setup Sammenspil mellem kontroller i GDPR og ISO27001 er vigtigt. Awarenes er vigtigt Opbyg en sikkerhedskultur. Lav gerne en awareness-strategi. Vigtigt at finde en god samarbejdspartner Vær grundig med markedsafklaringen; tag referencer. 12

13 SPØRGSMÅL?

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback