NKOR 2015 Spor 3 - Datasikkerhed 5. november Kontorchef Michael Kubel

Relaterede dokumenter
Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

Notat til Statsrevisorerne om beretning om statens behandling af fortrolige oplysninger om personer og virksomheder. Februar 2015

Notat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Februar 2016

Bilag 1 Databehandlerinstruks

Rigsrevisionen og Cybersikkerhed Revisordøgnet 9. september 2014

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration

Retningsgivende databehandlervejledning:

Kl Indledning v. Lone Strøm, Rigsrevisor

/2017. November Rigsrevisionens beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata

Beretning til Statsrevisorerne om forebyggelse af hackerangreb. Oktober 2013

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Databehandlerinstruks

Bilag 9 Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale

PERSONDATALOVEN OG SUNDHEDSLOVEN

Underbilag Databehandlerinstruks

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014

Datatilsynets inspektionsrapport

Sundhedsministeren. Statsrevisorerne Sekretariatet Folketinget Christiansborg 1240 København K

Kontraktbilag 7: Databehandleraftale

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

For så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærkninger, skal jeg bemærke følgende:

It-revision af Sundhedsdatanettet januar 2016

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Beretning til Statsrevisorerne om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Oktober 2015

Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne

Persondatapolitik for TAGARNO A/S

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

BILAG 5 DATABEHANDLERAFTALE

Databehandleraftale. om [Indsæt navn på aftale]

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

Beretning til Statsrevisorerne om statens behandling af fortrolige oplysninger om personer og virksomheder. November 2014

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

PERSONDATAPOLITIK. Som hovedregel kan du tilgå vores hjemmeside uden at fortælle os, hvem du er eller give personlige oplysninger om dig selv.

! PERSONDATAPOLITIK ! PERSONDATAPOLITIK FOR FIXNBIKE APPLIKATIONEN. 1. Generelle bestemmelser

Finansudvalget FIU Alm.del Bilag 5 Offentligt 3/2013

PERSONDATAPOLITIK (EKSTERN)

1/2014. Beretning om statens behandling af fortrolige oplysninger om personer og virksomheder

EG Cloud & Hosting

Forslag til folketingsbeslutning om styrkelse af datasikkerhed

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

Procedure for tilsyn af databehandleraftale

Bilag X Databehandleraftale

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Retsudvalget REU Alm.del Bilag 364 Offentligt

Dato: 6. oktober 2011 Side 1 af 7. Fælles Databehandlerinstruks -

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

Rigsrevisionens notat om beretning om beskyttelse mod ransomwareangreb

Ilisimatusarfik 11. maj Privatlivsbeskyttelse og Informationssikkerhed i Grønland

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Privatlivspolitik (ekstern persondatapolitik)

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Årshjul for persondata. v/henrik Pors

I det følgende kan du læse hvordan vi håndterer dine personoplysninger.

1.3. Kentaur er dataansvarlig for dine personoplysninger. Al henvendelse til Kentaur skal ske via kontaktoplysningerne anført under pkt. 7.

Wila A/S persondatapolitik

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

1. Ledelsens udtalelse

Svanningevej 2 DK-9220 Aalborg Øst Tel

Tilladelsen gives på følgende vilkår:

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

KÆRE MEDARBEJDER OG LEDER

Privatlivspolitik (ekstern persondatapolitik)

Hvad er persondata? Vi indsamler persondata på flere måder. Vi indsamler og bruger dine persondata til bestemte formål

PRIVATLIVSPOLITIK. Hjemmeside Ved besøg på vores hjemmeside indsamler vi følgende oplysninger om dig:

Kære medarbejder og leder

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Tønder Kommune BILAG 10

PERSONDATAPOLITIK. Håndtering af personoplysninger om kunder og samarbejdspartnere hos BOXITs depotrumsafdeling

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018

POLITIK PRIVATLIVS. AARHUS Johann Gutenbergs Vej Aarhus N KOLDING Niels Bohrs Vej 1A 6000 Kolding

Fonden Center for Autisme CVR-nr.:

Informationssikkerhed regler og råd

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Persondata politik for GHP Gildhøj Privathospital

Vilkår og privatlivspolitik

Hvordan styrer vi leverandørerne?

BILAG 14: DATABEHANDLERAFTALE

Behandling af personoplysninger i forbindelse med venteliste

Databehandlingsvilkår - vilkår for behandling af personoplysninger på vegne af en dataansvarlig kunde

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

PERSONDATAPOLITIK. Håndtering af personoplysninger om kunder og samarbejdspartnere hos BOXITs containerafdeling

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

IST DANMARK APS ISAE 3000 ERKLÆRING

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

Transkript:

NKOR 2015 Spor 3 - Datasikkerhed 5. november 2015 - Kontorchef Michael Kubel

Agenda 3 spørgsmål 1. Er datasikkerheden omkring borgernes følsomme oplysninger god nok? 2. Hvordan sikres balancen mellem brugervenlighed og datasikkerhed? 3. Aktuelle udfordringer ved datasikkerhed i de centrale offentlige systemer? 2

Spørgsmål 1 (1) Beretning om statens behandling af fortrolige oplysninger om borgere og virksomheder 1/2014 8 institutioner, 8 systemer med persondata (Sikkerhedsbek.) og 3 med virksomhedsdata (Arbejdsskadestyrelsen, Danmarks Statistik, Forsvarskommandoen, Institut for Menneskerettigheder, Rigspolitiet, Skat, Socialstyrelsen og Sundhedsstyrelsen). Revisionsresultater, eksempler (ikke gældende for alle): Retningslinjer for beskyttelse af persondata ikke opdateret årligt Brugeradgange kontrolleres ikke halvårligt Manglende eller utilstrækkelig opfølgning på afviste adgangsforsøg Manglende registrering af medarbejdernes opslag på enkeltpersoner Logregistreringer slettes ikke Der mangler en aftale med databehandleren Der følges ikke op på databehandleraftalen Der mangler retningslinjer for tilsyn. Risiko/konsekvens: Krænkelse af borgernes privatliv, virksomheder kan miste konkurrencefordele. 3

Spørgsmål 1 (2) Beretning om forebyggelse af hackerangreb 3/2013 4 institutioner udvalgt: Statens It, Digitaliseringsstyrelsen, Energistyrelsen og Klima- og Energi-ministeriets departement. Revisionsresultater: Alle 4 institutioner: Ingen begrænsning af download af programmer fra internettet (el. whitelisting) Ingen begrænsning af brugen af lokaladministratorer Ingen systematisk sikkerhedsopdatering af operativsystemer, browsere og 3. partsprogrammer (fx Internet E, Adope Reader, Flash Player og Java). Statens It: Statens It havde en udbredt af anvendelse af domæneadministratorer, hvilket medfører en høj risiko ved et evt. internt misbrug eller hackerangreb. Statens It havde ikke overvejet risikoen for spredning af hackerangreb via delte services. Risiko/konsekvens: Misbrug af it-systemer og fortrolige data. 4

Spørgsmål 1 (3) Beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver 1/2015 6 institutioner udvalgt: Energinet.dk, Banedanmark, National Sundheds-it, Statens It, Direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT. Revisionsresultater, eksempler på hvor god praksis ikke følges: Medarbejdere samt system- og servicekonti med udv. adm. rettigheder: Antallet af konti ikke begrænset, ingen regelmæssig kontrol, kontiene benyttes til at logge på computere, servere og tilgå internettet m. adm. rettigheder, svagheder i password kompleksitet og manglende skift af password v. fratrædelse.. Logning af udv. adm. rettigheder: Logning af brugere i AD ikke følger god praksis, ikke alle computere logges, administratorer har adgang til loggen, logfiler opbevares ikke i en tilstrækkelig lang periode, manglende regelmæssig gennemgang af AD-logfiler samt ingen overvågning af anomalier. Risiko/konsekvens: True løsningen af samfundsvigtige opgaver og kompromittere fortrolige data. 5

Klip fra medier 2014-2015 6

Hvordan sikres balancen mellem brugervenlighed og datasikkerhed? (1) Borgernes ønsker og behov sættes i fokus. Dette kan gøres ved, at institutionerne tilstræber, at løsningen (den digitale service) skal være: - nem at lære og forstå - nem at huske - effektiv Brugervenlighed - pålidelig - tilfredsstillende Digital service Datasikkerhed Krav til datasikkerhed er fx fastlagt i persondata-lovens 41, stk. 3. Virksomheder skal etablere de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. 7

Hvordan sikres balancen mellem brugervenlighed og datasikkerhed? (2) Hvordan kan vi sikre en bedre balance? Digitaliser for brugerne- involver dem og lad dem også teste. Brugervenlighed og -orientering er et fokuspunkt, som der skal tages udgangspunkt i allerede i designfasen. Anvend bedste praksis og benyt fx vejledninger om brugervenlighedstest mv. Efter idriftsættelse: Revurdere og forbedre løsningen Andre forhold som kan påvirke balancen: Økonomiske hensyn Særlig lovgivning på de forskellige områder, fx om følsomme data. 8

Aktuelle udfordringer ved datasikkerheden i centrale offentlige systemer? Ledelsen går forrest og tager ansvar System- og dataklassifikation hvilke har vi? Risikovurdering brug den! Manglende forståelse af proces-, system- og dataejerskab Sikkerhedsbevidsthed hos medarbejdere It-leverandørstyring er service og sikkerhed i orden? It-teknisk gæld (forældede systemer) Sikkerhedsopdatering Beskyttelse af persondata (databeh.aftaler, sikk.bek.) Udv. administratorrettigheder / system- og servicekonti Logning og overvågning 9

Links Rigsrevisionen: www.rigsrevisionen.dk Beretning om forebyggelse af hackerangreb: www.rigsrevisionen.dk/publikationer/2013/32013 Beretning om statens behandling af fortrolige oplysninger om personer og virksomheder: www.rigsrevisionen.dk/publikationer/2014/12014 Beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver: www-rigsrevisionen.dk/publikationer/12015 11

Kontaktoplysninger Rigsrevisionen Landgreven 4 DK- 1301 Købehavn K Kontorchef Michael Kubel (miku@rigsrevisionen.dk) +45 33 92 86 17 12

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback