HVORDAN REAGERER STATSFORVALTNINGEN PÅ EU S PERSONDATA- FORORDNING? YOU ARE HERE Jesper Aarestrup jesaar@statsforvaltningen.dk +4591334657 23. januar 2018
Kort om Statsforvaltningen En statslig styrelse under Børne- og Socialministeriet Vi behandler sager på indenfor forskellige områder - bl.a. (om året): Skilsmisse og separation ca 21.500 afgørelser Børne- og ægtefællebidrag ca. 21.500 afgørelser Samvær ca. 18.700 afgørelser Forældremyndighed 25.500 afgørelser Faderskab ca. 13.400 afgørelser Navnesager 5.700 afgørelser Adoption - ca. 3.000 afgørelser Værgemål ca. 15.500 afgørelser EU ophold ca 50.000 afgørelser Indfødsret 1.200 afgørelser 4 Disse behandles af omkring 450 personer fordelt på 9 afdelinger ud over hele landet.
HVORFOR ER DATASIKKERHED VIGTIGT? En dansk identitet kan købes på nettet for 98 kroner på det sorte marked Berlingske.dk Fem millioner danske CPR-numre og helbredsoplysninger er ved en fejl blevet leveret til den kinesiske virksomhed, der står for visum-ansøgninger (2015) DR.dk 3100 danske lægers CPR-numre er blevet lækket på en amerikansk hjemmeside Det er muligt at udskrive receptpligtig medicin i danske lægers navn 2 Stor stigning i antallet af aggressive hackerangreb fra fremmede statslige magter Tv2.dk Over 100 internationale (herunder 6 danske) atleter har fået lækket deres sundhedsdata af russiske hackere med henblik på afsløre USA og andre nationer i "beskidte metoder efter udelukkelse af russiske atleter fra OL
HVAD ER KONSEKVENSERNE? TAB AF DATA, TID OG PENGE Når systemer nedlægges, kan medarbejdere ofte ikke udføre deres job. Kan vi fortsat indkalde de rigtige borgere, hvis vi ikke kan tilgå vores itsystemer? TABT TILLID OG TRYGHED Generelt har borgere og virksomheder i Norden stor tillid til myndigheder. Hvis kritisk information går tabt eller bliver uhensigtsmæssigt spredt, vil tilliden blive brudt Ved hackerangreb kan data mistes eller skades. Hvad gør vi, hvis vi mister elektroniske journaler? Hvad vil det betyde for virksomheders økonomi, hvis den daglige drift ikke kan fortsættes? Og hvor mange penge vil en hacker kræve for at overgive kontrollen af vores data/systemer? 3 OG I VÆRSTE TILFÆLDE: TAB AF MENNESKELIV
HVORFOR SÅ MEGET SNAK OM GDPR? Databeskyttelsesforordningen skal øge og ensarte beskyttelsen af persondata inden for EU og stiller derfor nye krav For offentlige organisationer og virksomheder har GDPR den konsekvens, at kravene til behandling af data skærpes i forhold til den eksisterende persondatalov, og potentielle bødeforlæg øges markant. 4 Krav til tilstrækkelig sikker behandling af persondata Bøder, 4% af omsætning eller op til 20 mio. euro for virksomheder. Offentlige organisationer kan idømmes op til 16 mio. kr. Oprettelse af en DPO-funktion (data protection officer) Skærpede dokumentationskrav, privacy impact assessment Registreredes rettigheder Retten til at blive glemt (HR-data, kundedata m.m.) Indsigtsret og ret til berigtigelse Krav om anmeldelse til Datatilsynet ved persondatabrud Krav vedr. ansvarsfordeling mellem databehandler og dataansvarlig Særlige krav til behandling af data vedr. børn.
HVAD VAR VIGTIGT FOR STATSFORVALTNINGEN? At sikre borgernes data er en opgave, som skal løftes af hele organisationen. Samtidig skal samspillet mellem ISO27001 og GDPR udnyttes Samspillet mellem informationssikkerhed (ISO27001) og GDPR Vigtigt at Statsforvaltningen kan vedligeholde GDPR-compliance og følge ISO27701-principperne men med få ressourcer Statsforvaltningen kan derved koncentrere sig om sit hovedforretningsvirke Krav om systemunderstøttelse af processerne hvor det giver mening. GDPR-opgaven skal løftes af medarbejderne Statsforvaltningen ønsker, at både GDPR og informationssikkerhed skal forankres ved medarbejderne. Der skal opbygges en sikkerhedskultur. Statsforvaltningen ønsker, at borgerne skal føle sig trygge, at deres data er sikre, og at behandlingen af data er i sikre hænder Krav til en grundig GDPR-implementering Prioritet på forankring af GDPR i drift, og at compliancy kan vedligeholdes. 5
STATSFORVALTNINGENS FREMGANGSMÅDE Forordningen er særligt vigtig for en offentlig organisation som Statsforvaltningen, da den primære data i er personfølsom Det har høj prioritet ved Statsforvaltningen at sikre borgernes data. Derfor har vi valgt at købe ekstern rådgivning, som ska l sikre, at vi overholder alle nye krav, når forordningen træder i kraft. Modenhedsanalyse Etablering af fortegnelse Markedsafdækning ift. GDPR-tool Implementering af ISO27001 For at kunne gennemføre en minimumskompatibilitet med GDPR skal Statsforvaltningen kende GDPR-kravenes implikationer. Derfor har Statsforvaltningen, bistået af PA Consulting Group, vurderet den nuværende situation og undersøgt, hvor moden organisationen er i forhold til kravene, GDPR stiller. PA har gennemført interviews og kortlægning med henblik på at udarbejde en fortegnelse over behandling af persondata og personfølsomme data i Statsforvaltningen. Fortegnelsen er baseret på Justitsministeriets betænkning og skal løftes over i Risma. PA har gennemført en markedsundersøgelse og en analyse af relevante, tilgængelige tools på markedet og med relevans for Statsforvaltningen. Som led i dette er identificeret krav til løsningen via såvel desk reseach som afholdelse af interviews med leverandører og brugere. Statsforvaltningen har anskaffet Risma som tool. Statsforvaltningen skal følge ISO27001-principperne, hvorfor det komplette informationssikkerhedsrammeværk skal forankres. PA har udarbejdet en gap-analyse i henhold til det ønskede sikkerhedsniveau og en implementeringsplan. PA bistår med en vurdering af implementeringen. 6
FØRSTE SKRIDT ER MODENHEDSANALYSE Forordningen er særligt vigtig for en offentlig organisation som Statsforvaltningen, da den primære data i er personfølsom Modenhedsanalysen er udført ved hjælp af et PA-værktøj, som vurderer organisationens nuværende drift i forhold til 19 GDPR-relevante domæner. Blandt domænerne kan nævnes politikker & procedurer, tredjepartsrisiko og fordelingen af roller & ansvar. Vurderingen har genereret et visuelt indblik i den nuværende drift og har banet vejen for udarbejdelse af en konkret handling splan. Compliant 18% S; 100% Q; 44% R; 46% P; 25% A; 44% B; 50% C; 56% D; 50% E; 46% Delvis compliant 25% Ikke compliant 57% O; 42% N; 53% F; 38% G; 36% M; 25% H; 33% K; 25% J; 30% I; 38% L; 50% 7
Roller Medarbejdere Ledelse ET KRITISK OMRÅDE ER ROLLER & ANSVAR Modenhedsanalysen viste, at Statsforvaltningens roller & ansvar i forhold til GDPR er mangelfuld. DPO-funktionen er lovpligtig fra den 25. maj Topledelse Har det overordnede ansvar for informationssikkerheden og sætter den strategiske retning Har overblik over risici og fordeler og placerer roller og ansvar i organisationen. Mellemledelse Sikrer forankring af informationssikkerhed i forretningsprocesser og aktiviteter.. Informationssikkerhedsudvalget Tværfaglig gruppe med topledelse som formand der sætter mål for sikkerheden Sørger for at informationssikkerheden realiseres og efterleves i organisationen. Funktioner Dataejere Agerer som ansvarlige for sårbare data og håndtering af disse Er eventuelt skilt fra den dataansvarlige organisation Udpeget af topledelsen. Systemejerne Ansvarlige for de enkelte systemer og står for at identificere de mest sårbare dele af systemerne Udpeget af topledelsen. Databeskyttelsesrådgiver (DPO) Informationssikkerhedskoordinator Medarbejdere Forstår at efterleve politikker og retningslinjer Agerer proaktivt og bidrager dermed til at sikre høj informationssikkerhed.. Overvåge, underrette og rådgive om overholdelsen af lovkrav vedr. følsomme persondata Udpeget af topledelsen. Sekretær for sikkerhedsudvalget Organisationens tværgående daglige sikkerhedsleder.
HVEM ER ANSVARLIGE FOR IMPLEMENTERING? Som konsekvens af modenhedsanalysen har vi nu udpeget roller og afdelinger, som vil være ansvarlige for implementering af de mangler, som analysen viste DPO Direktion Informationssikkerhedskoordinator og IT Jura og HR Ansvarlig for områderne: Ansvarlig for områderne: Ansvarlig for områderne: Ansvarlig for områderne: Underretninger Design Uddannelse. Skal inddrages i områderne: Scope Roller og ansvar Register og databeholdning Politikker og procedurer Tredjepartsrisiko Scope Vision og strategi Governance og overblik Programdesign Roller og ansvar Ansvarlighed Fejlkorrektion. Skal inddrages i områderne: Register og databeholdning Informationssikkerhedskoordinator er ansvarlig for: Integritet og fortrolighed Styring af individers rettigheder. Skal inddrages i områderne: Register og databeholdning Politikker og procedurer Styring af individers rettigheder Retsmæssig fairness Formål og begrænsning Overførsel på tværs af grænser. Jura inddrages i områderne: Dataminimering. HR inddrages i områderne: Integritet og fortrolighed. Retsmæssighed og fairness Retmæssighed og fairness Design. Formål og begrænsning Formål og begrænsning Dataminimering. Uddannelse og awareness.
HEREFTER ETABLERES FORTEGNELSEN Forordningen kræver, at offentlige myndigheder til enhver tid kan fremvise en opdateret fortegnelse Statsforvaltningen har gjort brug af PA Consulting Group til at udarbejde fortegnelsen. Fortegnelsen er opdelt efter forretningsområder og indeholder for hvert område en oversigt over persondatatyper, der behandles, hvilken hjemmel de behandles/opbevares efter, hv or de opbevares, og hvornår de slettes. 10
UNDERVEJS OPSTOD BEHOV FOR TOOL Selvom forordningen ikke stiller krav til fortegnelsens format, har Statsforvaltningen valgt at søge støtte i form af GDPR-værktøjet Risma Risma blev udvalgt efter en markedsafdækning udført i samarbejde med PA. Vi udvalgte netop dette værktøj, fordi det løser opgaven med kontinuerlig opdatering og overblik over arbejdet på en intuitiv og brugervenlig måde. Udover at støtte arbejdet med GDPR har Risma også et ISO27001-modul, som gør, at datasikkerhedsarbejdet kan samles ét sted. Intuitivt for alle at bruge Med et intuitivt og brugervenligt design, vil alle involverede medarbejdere, uanset kendskab til kravene i forordningen, bidrage til, at behandlingen af personoplysninger lever op til kravene i forordningen og at den forbliver lovlig. Strukturen i systemet guider jer gennem datamapping, gap-analyser og sikrer, at hvert enkelt område gennemgår Persondataforordningen og tager stilling til de rette ting. 11 Overblik over hele processen Vi kan til enhver tid dokumentere og overvåge status på overholdelse af forordningen. Det er enkelt at opsætte regler for automatisk opfølgning på opgaver og processer. Er stort udvalg af rapporter og dashboards giver ledelsen et komplet overblik over organisationens compliance med forordningen både undervejs med arbejdet og fremadrettet. Kontinuerlig opdatering Løsningen har en klar struktur og opgavefordeling. Alle opgaver med forordningen bliver tildelt en medarbejder. Opgave og deadlines bliver beskrevet, og opfølgning sikrer, at opgaverne laves til tiden. Derfor vil vi altid efterleve forordningen, og arbejdet med den vil kontinuerligt blive vedligeholdt. Plesner Advokatpartnerselskab opdaterer løbende løsningen, når der er ændringer og tilføjelser til forordningen.
KONKLUSION PÅ GDPR-REJSEN Persondataforordningen er ny for alle. Derfor har forløbet været en læringsfase, hvor vi har gjort en række observationer, andre også kan drage nytte af Kend din forretning Dokumenterede hovedprocesser og ejere Klare roller og funktioner. Start så tidligt som muligt Start med datamapning og etablering af fortegnelsen. Fordel ved at have et godt forankret informationssikkerheds-setup Sammenspil mellem kontroller i GDPR og ISO27001 er vigtigt. Awarenes er vigtigt Opbyg en sikkerhedskultur. Lav gerne en awareness-strategi. Vigtigt at finde en god samarbejdspartner Vær grundig med markedsafklaringen; tag referencer. 12
13 SPØRGSMÅL?