Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting Vi skaber muligheder & realiserer potentialet sammen
Et højt niveau af it-sikkerhed og privatlivsbeskyttelse er med til at give de statslige virksomheder og myndigheder den license to operate, som de fleste i Danmark hidtil har taget for givet. Det er nøglen til at skabe den tryghed, vi som borgere og virksomheder må kræve i et demokratisk samfund. http://www.denoffentlige.dk/privatliv-og-tillid-saettes-paa-spil-med-usikre-offentlige-it-systemer 2
50 % af de offentligt ansatte har kendskab til et eller flere brud på informationssikkerheden på deres egen arbejdsplads inden for de sidste 12 måneder. Hver 5. offentligt ansatte har oplevet, at fortrolige oplysninger om borgerne har været tilgængelige for medarbejdere uden relation til sagen. Næsten hver 5. oplyser også, at de har kollegaer, som ikke altid overholder reglerne om informationssikkerhed. 34 % af de offentligt ansatte er ind i mellem i tvivl om, hvorvidt de behandler fortrolige personoplysninger korrekt 36 % af de offentligt ansatte føler sig kun i nogen eller ringe grad klædt på til at forvalte disse oplysninger. KMD Analyse Informationssikkerhed i det offentlige, 2015 3
67% er bekymret over ikke at have kontrol over de oplysninger, de afgiver online Data protection Euroarometer 2015 4
For 68% af danskerne betyder det noget, at en hjemmeside fortæller, hvad den gør med deres persondata, og hvad den ikke gør. Befolkningens adfærd på nettet samlet rapport, marts 2015, Erhvervsstyrelsen og IDA 5
Center for Cybersikkerheds observationer fra 2014 til forår 2015 viser, at især malware-angreb dominerer i antallet af sikkerhedshændelser. Cybertruslen: Fortsat behov for at styrke basal itsikkerhed https://feddis.dk/cfcs/nyheder/arkiv/2015/pages/truslermodcybersikkerheden.aspx 6
Bødestraf: EU forordningen 2016 Offentlige myndigheder Private virksomheder Manglende svar på henvendelser fra datasubjekt Op til 250.000 euro Op til 0,5% af årlig global omsætning Ikke opfylder den datasubjektets rettigheder Op til 500.00 euro Op til 1% af årlig global omsærning Ikke opfylder krav om samtykke eller andet lovligt grundlag for databehandling Op til 1 mio euro Op til 2% af årlig global omsætning Ikke indberetter sikkerhedsbrud eller udfører privacy impact assessemnt Op til 1 mio euro Op til 2% af årlig global omsætning 7
Med big data skabes nye og mere effektive metoder til at sammenstille og analysere ekstremt store datasæt, der er baseret på stor variation i datakilderne. Vi bliver transparente 8
Valgfrihed: Vi har som borgere ikke har nogen valgmulighed i forhold til at aflevere vores data til offentlige myndigheder. Hvis vi vil leve digitalt, er aflevering af data til virksomheder en forudsætning. Data vil i større og større omfang blive delt på tværs af enheder, myndigheder og virksomheder uden at vi kan ikke vælge det fra eller kun har begrænset valgfrihed. Dataetiske overvejelser: Hvor meget data er det i orden staten og virksomhederne opbevarer og behandler om os? 9
Privacy has to do with my free will, with my free decision. In the moment when I give up a part of my privacy, I also give up part of my decision, of my will; ( ) then I prefer more risk. 10
Fix Processer og procedurer Databehandling: nedskrevne og offentligt tilgængelige retningslinjer for, hvordan data indsamles og fra hvilke kilder, hvornår de indsamles og anvendes, omfanget af data, hvor længe de opbevares, hvem de deles med, hvordan kunden og borgeren kan bruge sine datarettigheder. It-sikkerhed: interne retningslinjer for hvem, der har ret til at se og bruge data, i hvilke situationer, om den fysiske og digitale sikkerhed, opdatering af programmer, logning af brug, alarmer ved uberettiget brug, back up, hackerangreb, brug af kryptering. 11
Fix Organisatoriske greb Ansvar og kontrol: effektiv intern og ekstern kontrol med, hvem der har adgang til persondata og følsomme persondata, og hvad de anvendes til. Beskrivelse af beslutningsansvar og placering i ledelseslag. Struktur og relationer: hvem har kontakt med kunder, om hvad, hvilke data er nødvendige at have adgang til for medarbejdere, i hvilke situationer, og hvordan skal data anvendes. 12
Privacy Impact Assessment Privacy by design Privacy by default Risiko analyser IT design & arkitektur Databehandling - data komprommitering - compliance - governance - indlejret privacy - anonymisering - pseudonymisering - kryptering - identiy management - effektiv privacy som standardindstilling - Begrænset indsamling, visning og videregivelse Privacy Kompasset Erhvervsstyrelsen lancerer som led i Vækstplan for digitalisering i Danmark PrivacyKompasset, der giver mulighed for at teste din virksomheds niveau for persondatabeskyttelse og generere en privacy politik. Lancering: 10. november 2015.
Ledelse Risiko Beslutning om beskyttelsesniveau Nye forretningsmuligheder Beslutning om udvikling med privacy by design, privacy by default, PETs Regulering Politik om privatlivsbeskyttelse Politik om it-sikkerhed Krav til leverandører Adfærdskodeks for medarbejdere Organisation Data Protection Officer Samarbejde mellem it-sikkerhed og jura Produkt/service udvikling og tilpasning Træning af medarbejdere i privacy og sikkerhed 14
Privacy by Default Privacy by Design IT sikkerhed Instrukser og procedurer for informationssikkerhed Forretnings udvikling Ledelse Jura Privacy Impact Assessment Data Protection Officer Træning Bevidsthed Kultur HR Kommunikation Intern revision Kontrol med overholdelse af procedurer og instrukser 15
Privacy by design Privacy by default Privacy Enhancing Techn. Digital dannelse Risiko Teknologi Compliance Governance Viden og awareness Tryghed Risiko Eliminering & reduktion Håndtering EU forordning Privacy Impact Assesment (PIA)
Birgitte Kofod Olsen Partner, phd Carve Consulting Nørre Voldgade 11, 2. sal 1358 København K +45 25 26 09 03 bko@carve.dk Carve.dk 17