SlideShare a Scribd company logo

Komfo Seminar - GDPR and cyber security (Part 2)

Komfo
Komfo

Bliv klædt på til den kommende EU-forordning. Se dette seminar, hvis du ønsker at gå i dybden med, hvad man skal være opmærksom på i forhold til de største buzzwords fra den nye forordning: - Indblik i cyber security - Indblik i "data protection by design" - Hvad indebærer det, når man arbejder med sociale medier i praksis?

Social Media
1 of 44
Download to read offline
Disclaimer and copyright notice •  The presentation is for information purposes only, is general in nature, and is not intended to and should not be relied upon or construed as a legal opinion or legal advice regarding any specific issue or factual circumstance. Nor is this information intended to create, and receipt of it does not create, an attorney-client relationship between you and the firm. Therefore, you should consult an attorney in the event you want legal advice. •  The person receiving this presentation via email from Synch is solely allowed to review the presentation in digital form or printed form and any further use of the presentation (including but not limited to copying, reproducing, making available, incorporating the presentation into other works or modifying etc.) is subject to Synch prior written authorisation. All rights are vested in Synch.
SynchWakeup @Komfo 17. Januar 2018 Behandlingssikkerhed og protection by design Advokat Niels Dahl-Nielsen, Synch
Synch is a business oriented law firm with innovation and technology at its ” ”
Silicon Valley Copenhagen Stockholm Oslo
Growth Established Mature Vores klienter
Dagsorden Indledning og recap GDPR om cybersecurity Sikkerhedsbrud Data protection by design and by default Spørgsmål Afrunding
Indledning og recap
Cybersikkerhed på dagsordenen •  Troværdighed og økonomi •  Cyber-kriminalitet en voksende trussel •  Maersk 27. juni 2017 ”NotPetya” •  NATO •  “the fifth domain of warfare in which NATO must defend itself” •  air, land, sea, space and cyber •  Risiko for tab eller kompromittering af oplysninger, herunder personoplysninger, kædes ofte sammen med cybersikkerhed •  Den teknologiske udvikling øger integration mellem systemer og webservices •  Sikkerhed og privatlivsbeskyttelse har traditionelt ikke været tænkt ind i udviklingen og anskaffelsen af it-systemer •  Behandlingssikkerhed er en ”hygiejnefaktor” i den digitale økonomi •  Digitale ydelser fremtidssikres kun ved at indtænke databeskyttelsesprincipperne fra start (til slut)
Recap •  Personoplysninger •  Enhver information, som kan henføres til en identificeret eller identificérbar person •  Kun lovligt at behandle personoplysninger hvis, der er •  Et retligt grundlag for behandlingen •  Sagligt og proportionalt formål med behandlingen •  Ikke yderligere behandling end nødvendigt for formålet •  Sletning eller anonymisering af data, når formålet er opfyldt
GDPR og cybersecurity
Fokus på behandlingssikkerhed •  GDPR stiller krav om behandlingssikkerhed og tilrettelæggelsen af behandling af personoplysninger •  Konkrete pligter i form af pligt til anmeldelse og underretning i tilfælde af sikkerhedsbrud
Ny tilgang til behandlingssikkerhed •  GDPRs udgangspunkt er, at behandling af personoplysninger er forbundet med risici •  Der skal etableres et sikkerhedsniveau, der matcher risici ved hjælp af passende tekniske og organisatoriske foranstaltninger •  Den dataansvarlige og databehandlerne afgør selv hvilke foranstaltninger, der skal gennemføres og står på mål for de valgte foranstaltninger •  Risikobaseret tilgang
GDPR artikel 32 •  ”Under hensyntagen til…” •  Aktuelt teknisk niveau •  Implementeringsomkostningerne •  Pågældende behandlings karakter, omfang, sammenhæng og formål •  Risici af varierende sandsynlighed •  Alvor for fysiske personers rettigheder og frihedsrettigheder •  ”passende tekniske og organisatoriske foranstaltninger”
”Passende” foranstaltninger •  Tekniske foranstaltninger •  Organisatoriske foranstaltninger •  Vurderes navnlig på baggrund af risiko for •  Hændelig eller ulovlig tilintetgørelse •  Tab •  Ændring •  Uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet
Tekniske foranstaltninger •  Pseudonymisering •  Kryptering •  Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester •  Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse •  Procedurer for regelmæssig afprøvning, vurdering og evaluering af sikkerhedsforanstaltninger
Organisatoriske foranstaltninger •  Adgangskontrol •  Adgangsbegrænsning •  Segmentering af netværk •  Interne procedurer og politikker •  Uddannelse af ansatte •  Som alternativ til (uforholdsmæssige) tekniske foranstaltninger på legacy systemer •  Overholdelse af godkendt adfærdskodeks eller certificering
Praktisk gennemførsel af foranstaltninger 1.  Identifikation og vurdering af risici 2.  Identifikation af relevante foranstaltninger 3.  Matchning af foranstaltninger med relevante risici, så et passende sikkerhedsniveau opnås 4.  Implementering af vedtagne passende foranstaltninger
Regelmæssig sikkerhedsvurdering •  Behandlingssikkerhed skal være et strategisk fokus for virksomheden •  Der bør regelmæssigt foretages en vurdering af behandlingssikkerheden og foranstaltningerne •  Sikkerhedsvurdering •  Simulering af angreb •  Kriseøvelser •  Træning af beredskab •  Opfølgning på om procedurer og politikker følges
Plan for etablering af cyberforsvar Center for Cybersikkerheds vejledning: •  Forankring i topledelsen •  De rette tekniske kompetencer •  Tekniske og organisatoriske sikkerhedstiltag •  4-trins model •  Awareness, awareness, awareness •  Imødegåelse af social engineering •  En reaktiv kapacitet •  Logs •  Løbende sikkerhedstekniske undersøgelser •  Løbende test af det reelle sikkerhedsniveau •  Yderligere tekniske og organisatoriske tiltag •  Start med de største risici og arbejd ”nedad”
Sikkerhedsbrud
Transparens og Accountability •  Grundlæggende principper i GDPR •  Reaktionspligt ved brud på persondatasikkerheden •  Manglende overholdelse af reaktionspligten er bødebelagt •  ...det er efterfølgende konstatering af manglende compliance i henhold til artikel 32 sandsynligvis også… •  Brud er en begivenhed, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet
Hvornår foreligger der et sikkerhedsbrud? •  Når et it-system med personoplysninger ikke er tilstrækkeligt sikret mod, at udefrakommende får adgang til oplysningerne •  Den dataansvarliges egen behandling: •  ubeføjet videregivelse eller ændring af personoplysningerne •  ulovlig eller hændelig tilintetgørelse
Reaktionspligt •  Reaktionspligten udløses, når den dataansvarlige er blevet bekendt med sikkerhedsbruddet •  Medmindre at det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder •  Reaktionspligten afhænger af sikkerhedsbruddets karakter •  Anmeldelse til Datatilsynet •  Underretning til berørte registrerede •  Intern log over sikkerhedshændelser •  Databehandlere skal give besked til den dataansvarlige. Databehandlerens pligt er absolut – databehandleren kan således ikke vurdere at det er usandsynligt, at bruddet indebærer risiko for fysiske personers rettigheder eller frihedsrettigheder
Hvilken reaktion? •  Anmeldelse til Datatilsynet •  Ethvert brud •  Medmindre at det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder •  Underretning til de berørte registrerede •  Når høj risiko for fysiske personers rettigheder og frihedsrettigheder •  Diskrimination •  Identitetstyveri •  Svindel •  Tab af fortrolighed af tavshedspligtbelagt information •  Enhver væsentlig økonomisk eller social ulempe •  Intern log over sikkerhedshændelser •  Alle hændelser (uanset om der sker anmeldelse og/eller underretning)
Anmeldelse til Datatilsynet •  Anmeldelsen skal ”mindst” indeholde: •  Beskrivelse af karakteren af bruddet, herunder om muligt kategorierne og det omtrentlige antal berørte registrerede samt kategorierne af berørte registreringer •  Navn og kontaktoplysninger på DPO eller anden kontaktperson, hvis der ikke er udpeget DPO •  Beskrivelse af de sandsynlige konsekvenser af bruddet •  Beskrivelse af trufne eller foreslåede foranstaltninger til imødegåelse af sikkerhedsbruddet, herunder foranstaltninger til begrænsning af bruddets skadevirkninger •  Tilsynsmyndigheden skal kunne vurdere håndteringen af bruddet •  Ingen sprog- eller formkrav •  72 timer… •  Dog muligt at foretage trinvis anmeldelse
Underretning til den/de registrerede •  Uden unødig forsinkelse •  Vurderes på baggrund af risikoen for umiddelbar og sekundær skade (passwords) •  Krav om klart og tydeligt sprog •  Mindst indeholde samme oplysninger, som anmeldelsen til tilsynsmyndigheden •  Den registrerede skal hurtigst muligt gives mulighed for at træffe fornødne forholdsregler •  Tilsynsmyndigheden har mulighed for at skride ind
Intern log •  Den dataansvarlige skal kunne bevise, at reglerne er overholdt •  Pligt til at dokumentere alle brud på persondatasikkerheden •  Faktiske omstændigheder ved bruddet •  Bruddets virkninger •  Trufne, afhjælpende foranstaltninger, herunder anmeldelse og/eller underretning
Undtagelser til underretningspligten •  Underretning kan undlades hvis a)  Passende tekniske og organisatoriske foranstaltninger, som er anvendt på de kompromitterede personoplysninger b)  Der er truffet efterfølgende foranstaltninger, der sikrer, at risikoen ikke længere er reel c)  Det vil kræve en uforholdsmæssig indsats. I stedet gives offentlig meddelelse eller tilsvarende foranstaltning
Forberedelse, forberedelse, forberedelse… •  ”Når” ikke ”hvis”… •  Systemer og procedurer skal designet sådan, at reaktionspligten kan overholdes •  Etablering af procedurer for håndtering af sikkerhedsbrud •  Forberedelse af overholdelse af notifikationspligten •  Procedure for vurdering af bruddets karakter •  Rollefordeling •  PR
Protection by design and by default
GDPR artikel 25 •  Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder. •  Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.
Databeskyttelse gennem design •  Nyskabelse i GDPR •  Overvejelsesforpligtelse og en håndteringsforpligtelse •  Den dataansvarlige skal i hele livscyklen for løsning, der behandler personoplysninger, understøtter alle de garantier, der stilles i forordningen •  Behandlingsprincipperne •  Kravet om retligt grundlag for behandling •  Opfyldelse af de registreredes rettigheder •  Behandlingssikkerhed •  Dermed rækker begrebet ud over blot at iværksætte tekniske og organisatoriske sikkerhedsforanstaltninger •  Ikke krav om re-design af gamle systemer. Dog kan organisatoriske foranstaltninger komme på tale.
Protection by design – et nyt mindset •  Protection by design skal sikre overholdelse af alle de garantier, der stilles i forordningen •  Bredere formål end behandlingssikkerhed •  Der skal ses på det bredest mulige spektrum af organisatoriske og teknologiske muligheder, når man skal fastlægge et design, der understøtter hele forordningen •  Omfatter hele organisationen (ikke begrænset til softwareudvikling) og hele operationens livscyklus
Designeksempler •  Drop-down fremfor fritekstfelter •  Data discovery •  Data loss prevention •  Shadow-IT discovery •  Smart cards •  Identity governance •  Automatisering af processer ved udøvelse af de registreredes rettigheder •  Fx oplysningspligt, indsigt, sletning •  Automatiseret sletning eller anonymisering •  Pseudonymisering
Protection by default •  Databeskyttelse gennem standardindstillinger •  Tilføjelse til protection by design •  Systemer skal have indstillingsmuligheder (design) og disse skal indstilles, så de understøtter behandlingsprincipperne (default)
Case 1 •  Virksomheder skal undgå ulovlig behandling af følsomme personoplysninger i CRM-system •  Uddannelse af medarbejdere til ikke at skrive dem ind i fritekstfelter •  Anvendelse af en dropdown-menu (uden skrivemulighed) •  Udvikling af data discovery-teknologi, som anvendes på fritekstfelter
Case 2 •  Virksomheder skal kunne imødekomme indsigtsanmodninger fra registrerede •  Manuel kontrol af identitet og oplysning fra sag til sag •  Udvikling af automatiseret selvbetjeningsløsning med identity governance-teknologi
Afrunding •  Risikobaseret tilgang •  Konkret vurdering af behandlingsprocesser •  Valg og implementering af relevante teknologier og metoder til imødegåelse af identificerede risici (sikkerhed) og overholdelse af kravene i GDPR (design) •  Gør databeskyttelse til en strategisk målsætning •  Et nyt mindset for hele organisationen - awareness •  Kendskab til egne processer og risici er afgørende
Spørgsmål?
HUSK tilmelding til næste seminar den 16. maj 2018 Tak for i dag!
Niels Dahl-Nielsen niels.dahl-nielsen@synchlaw.dk +45 4030 9749
Komfo Seminar - GDPR and cyber security (Part 2)

Recommended

EU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdeEU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdePeytz & Co
 
It sikkerhed
It sikkerhedIt sikkerhed
It sikkerhedMicrosoft
 
Komfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen
Komfo seminar: Er du klar til GDPR med Niels Dahl-NielsenKomfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen
Komfo seminar: Er du klar til GDPR med Niels Dahl-NielsenKomfo
 
Bliv compliant med persondataforordningen – København, 24. oktober
Bliv compliant med persondataforordningen – København, 24. oktoberBliv compliant med persondataforordningen – København, 24. oktober
Bliv compliant med persondataforordningen – København, 24. oktoberPeytz & Co
 
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018Peytz & Co
 
Sådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceSådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceMicrosoft
 
Devoteam indlæg - Ny forordning - hvordan skal man bære sig ad?
Devoteam indlæg - Ny forordning - hvordan skal man bære sig ad?Devoteam indlæg - Ny forordning - hvordan skal man bære sig ad?
Devoteam indlæg - Ny forordning - hvordan skal man bære sig ad?InfinIT - Innovationsnetværket for it
 
General Data Protection Regulation by Bird & Bird
General Data Protection Regulation by Bird & BirdGeneral Data Protection Regulation by Bird & Bird
General Data Protection Regulation by Bird & BirdAdapt
 

Recommended

EU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdeEU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdePeytz & Co
 
It sikkerhed
It sikkerhedIt sikkerhed
It sikkerhedMicrosoft
 
Komfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen
Komfo seminar: Er du klar til GDPR med Niels Dahl-NielsenKomfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen
Komfo seminar: Er du klar til GDPR med Niels Dahl-NielsenKomfo
 
Bliv compliant med persondataforordningen – København, 24. oktober
Bliv compliant med persondataforordningen – København, 24. oktoberBliv compliant med persondataforordningen – København, 24. oktober
Bliv compliant med persondataforordningen – København, 24. oktoberPeytz & Co
 
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018Peytz & Co
 
Sådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceSådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceMicrosoft
 
Devoteam indlæg - Ny forordning - hvordan skal man bære sig ad?
Devoteam indlæg - Ny forordning - hvordan skal man bære sig ad?Devoteam indlæg - Ny forordning - hvordan skal man bære sig ad?
Devoteam indlæg - Ny forordning - hvordan skal man bære sig ad?InfinIT - Innovationsnetværket for it
 
General Data Protection Regulation by Bird & Bird
General Data Protection Regulation by Bird & BirdGeneral Data Protection Regulation by Bird & Bird
General Data Protection Regulation by Bird & BirdAdapt
 
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen Komfo
 
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolenDatasikkerhed i folkeskolen
Datasikkerhed i folkeskolen4ben
 
PROSPER - Module 1 - Unit 5.pptx
PROSPER - Module 1 - Unit 5.pptxPROSPER - Module 1 - Unit 5.pptx
PROSPER - Module 1 - Unit 5.pptxcaniceconsulting
 
RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017J Hartig
 
Best brains product_owners_ værktøjskasse_mar2013
Best brains product_owners_ værktøjskasse_mar2013Best brains product_owners_ værktøjskasse_mar2013
Best brains product_owners_ værktøjskasse_mar2013BestBrains
 
GDPR for GlobalNetwork
GDPR for GlobalNetworkGDPR for GlobalNetwork
GDPR for GlobalNetworkKåre Rude Andersen
 
ACI gdpr præsentation
ACI gdpr præsentationACI gdpr præsentation
ACI gdpr præsentationJ Hartig
 
GDPR og Cloud - Infowise
GDPR og Cloud - InfowiseGDPR og Cloud - Infowise
GDPR og Cloud - InfowiseOliver O'loughlin
 
GDPR for CIOs i praksis
GDPR for CIOs i praksisGDPR for CIOs i praksis
GDPR for CIOs i praksisMicrosoft
 
Virksomheders risk management hjemmeside version
Virksomheders risk management hjemmeside versionVirksomheders risk management hjemmeside version
Virksomheders risk management hjemmeside versionThomas Hald
 
Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?Lakeside A/S
 
Implementering af databeskyttelsesforordningen i københavns kommune
Implementering af databeskyttelsesforordningen i københavns kommuneImplementering af databeskyttelsesforordningen i københavns kommune
Implementering af databeskyttelsesforordningen i københavns kommuneLFF - Landsforeningen til bevaring af foto og film
 
KMD_sikkerhedbrochure
KMD_sikkerhedbrochureKMD_sikkerhedbrochure
KMD_sikkerhedbrochureClaus Lavdal
 
Persondataforordning - Joomla User Group Copenhagen 18-01-2018
Persondataforordning - Joomla User Group Copenhagen 18-01-2018Persondataforordning - Joomla User Group Copenhagen 18-01-2018
Persondataforordning - Joomla User Group Copenhagen 18-01-2018AbMano - marketing & websupport
 
Facebook ROI beyond the numbers
Facebook ROI beyond the numbersFacebook ROI beyond the numbers
Facebook ROI beyond the numbersKomfo
 
Facebook’s News Feed is changing, keep your brand page relevant
Facebook’s News Feed is changing, keep your brand page relevantFacebook’s News Feed is changing, keep your brand page relevant
Facebook’s News Feed is changing, keep your brand page relevantKomfo
 
Komfo webinar - The future of social
Komfo webinar - The future of socialKomfo webinar - The future of social
Komfo webinar - The future of socialKomfo
 
Komfo seminar: Få mere ud af din spildtid på sociale medier med Trine-Maria K...
Komfo seminar: Få mere ud af din spildtid på sociale medier med Trine-Maria K...Komfo seminar: Få mere ud af din spildtid på sociale medier med Trine-Maria K...
Komfo seminar: Få mere ud af din spildtid på sociale medier med Trine-Maria K...Komfo
 
Komfo webinar - Rethinking employee advocacy on social
Komfo webinar - Rethinking employee advocacy on socialKomfo webinar - Rethinking employee advocacy on social
Komfo webinar - Rethinking employee advocacy on socialKomfo
 
TXO & Komfo - AI: The good, the bad, and the ugly of AI
TXO & Komfo - AI: The good, the bad, and the ugly of AITXO & Komfo - AI: The good, the bad, and the ugly of AI
TXO & Komfo - AI: The good, the bad, and the ugly of AIKomfo
 
KOMFO SUMMIT - Søren schønnemann
KOMFO SUMMIT - Søren schønnemannKOMFO SUMMIT - Søren schønnemann
KOMFO SUMMIT - Søren schønnemannKomfo
 
KOMFO SUMMIT 2017 - Alexander Åberg & Andreas Granath
KOMFO SUMMIT 2017 - Alexander Åberg & Andreas Granath KOMFO SUMMIT 2017 - Alexander Åberg & Andreas Granath
KOMFO SUMMIT 2017 - Alexander Åberg & Andreas Granath Komfo
 

More Related Content

Similar to Komfo Seminar - GDPR and cyber security (Part 2)

KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen Komfo
 
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolenDatasikkerhed i folkeskolen
Datasikkerhed i folkeskolen4ben
 
PROSPER - Module 1 - Unit 5.pptx
PROSPER - Module 1 - Unit 5.pptxPROSPER - Module 1 - Unit 5.pptx
PROSPER - Module 1 - Unit 5.pptxcaniceconsulting
 
RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017J Hartig
 
Best brains product_owners_ værktøjskasse_mar2013
Best brains product_owners_ værktøjskasse_mar2013Best brains product_owners_ værktøjskasse_mar2013
Best brains product_owners_ værktøjskasse_mar2013BestBrains
 
ACI gdpr præsentation
ACI gdpr præsentationACI gdpr præsentation
ACI gdpr præsentationJ Hartig
 
GDPR for CIOs i praksis
GDPR for CIOs i praksisGDPR for CIOs i praksis
GDPR for CIOs i praksisMicrosoft
 
Virksomheders risk management hjemmeside version
Virksomheders risk management hjemmeside versionVirksomheders risk management hjemmeside version
Virksomheders risk management hjemmeside versionThomas Hald
 
Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?Lakeside A/S
 
KMD_sikkerhedbrochure
KMD_sikkerhedbrochureKMD_sikkerhedbrochure
KMD_sikkerhedbrochureClaus Lavdal
 
Persondataforordning - Joomla User Group Copenhagen 18-01-2018
Persondataforordning - Joomla User Group Copenhagen 18-01-2018Persondataforordning - Joomla User Group Copenhagen 18-01-2018
Persondataforordning - Joomla User Group Copenhagen 18-01-2018AbMano - marketing & websupport
 

Similar to Komfo Seminar - GDPR and cyber security (Part 2) (14)

KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
 
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolenDatasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
 
PROSPER - Module 1 - Unit 5.pptx
PROSPER - Module 1 - Unit 5.pptxPROSPER - Module 1 - Unit 5.pptx
PROSPER - Module 1 - Unit 5.pptx
 
RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017
 
Best brains product_owners_ værktøjskasse_mar2013
Best brains product_owners_ værktøjskasse_mar2013Best brains product_owners_ værktøjskasse_mar2013
Best brains product_owners_ værktøjskasse_mar2013
 
GDPR for GlobalNetwork
GDPR for GlobalNetworkGDPR for GlobalNetwork
GDPR for GlobalNetwork
 
ACI gdpr præsentation
ACI gdpr præsentationACI gdpr præsentation
ACI gdpr præsentation
 
GDPR og Cloud - Infowise
GDPR og Cloud - InfowiseGDPR og Cloud - Infowise
GDPR og Cloud - Infowise
 
GDPR for CIOs i praksis
GDPR for CIOs i praksisGDPR for CIOs i praksis
GDPR for CIOs i praksis
 
Virksomheders risk management hjemmeside version
Virksomheders risk management hjemmeside versionVirksomheders risk management hjemmeside version
Virksomheders risk management hjemmeside version
 
Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?
 
Implementering af databeskyttelsesforordningen i københavns kommune
Implementering af databeskyttelsesforordningen i københavns kommuneImplementering af databeskyttelsesforordningen i københavns kommune
Implementering af databeskyttelsesforordningen i københavns kommune
 
KMD_sikkerhedbrochure
KMD_sikkerhedbrochureKMD_sikkerhedbrochure
KMD_sikkerhedbrochure
 
Persondataforordning - Joomla User Group Copenhagen 18-01-2018
Persondataforordning - Joomla User Group Copenhagen 18-01-2018Persondataforordning - Joomla User Group Copenhagen 18-01-2018
Persondataforordning - Joomla User Group Copenhagen 18-01-2018
 

More from Komfo

Facebook ROI beyond the numbers
Facebook ROI beyond the numbersFacebook ROI beyond the numbers
Facebook ROI beyond the numbersKomfo
 
Facebook’s News Feed is changing, keep your brand page relevant
Facebook’s News Feed is changing, keep your brand page relevantFacebook’s News Feed is changing, keep your brand page relevant
Facebook’s News Feed is changing, keep your brand page relevantKomfo
 
Komfo webinar - The future of social
Komfo webinar - The future of socialKomfo webinar - The future of social
Komfo webinar - The future of socialKomfo
 
Komfo seminar: Få mere ud af din spildtid på sociale medier med Trine-Maria K...
Komfo seminar: Få mere ud af din spildtid på sociale medier med Trine-Maria K...Komfo seminar: Få mere ud af din spildtid på sociale medier med Trine-Maria K...
Komfo seminar: Få mere ud af din spildtid på sociale medier med Trine-Maria K...Komfo
 
Komfo webinar - Rethinking employee advocacy on social
Komfo webinar - Rethinking employee advocacy on socialKomfo webinar - Rethinking employee advocacy on social
Komfo webinar - Rethinking employee advocacy on socialKomfo
 
TXO & Komfo - AI: The good, the bad, and the ugly of AI
TXO & Komfo - AI: The good, the bad, and the ugly of AITXO & Komfo - AI: The good, the bad, and the ugly of AI
TXO & Komfo - AI: The good, the bad, and the ugly of AIKomfo
 
KOMFO SUMMIT - Søren schønnemann
KOMFO SUMMIT - Søren schønnemannKOMFO SUMMIT - Søren schønnemann
KOMFO SUMMIT - Søren schønnemannKomfo
 
KOMFO SUMMIT 2017 - Alexander Åberg & Andreas Granath
KOMFO SUMMIT 2017 - Alexander Åberg & Andreas Granath KOMFO SUMMIT 2017 - Alexander Åberg & Andreas Granath
KOMFO SUMMIT 2017 - Alexander Åberg & Andreas Granath Komfo
 
KOMFO SUMMIT 2017- Mats Lyngstad
KOMFO SUMMIT 2017- Mats Lyngstad KOMFO SUMMIT 2017- Mats Lyngstad
KOMFO SUMMIT 2017- Mats Lyngstad Komfo
 
KOMFO SUMMIT 2017 - Mads Cramer
KOMFO SUMMIT 2017 - Mads CramerKOMFO SUMMIT 2017 - Mads Cramer
KOMFO SUMMIT 2017 - Mads CramerKomfo
 
KOMFO SUMMIT 2017 - Kim Lindberg
KOMFO SUMMIT 2017 - Kim Lindberg KOMFO SUMMIT 2017 - Kim Lindberg
KOMFO SUMMIT 2017 - Kim Lindberg Komfo
 
KOMFO SUMMIT 2017 - Kerry Watkins
KOMFO SUMMIT 2017 - Kerry WatkinsKOMFO SUMMIT 2017 - Kerry Watkins
KOMFO SUMMIT 2017 - Kerry WatkinsKomfo
 
KOMFO SUMMIT 2017 - Jonas & Francesco
KOMFO SUMMIT 2017 - Jonas & Francesco KOMFO SUMMIT 2017 - Jonas & Francesco
KOMFO SUMMIT 2017 - Jonas & Francesco Komfo
 
KOMFO SUMMIT 2017 - Jannick Blaksmark
KOMFO SUMMIT 2017 - Jannick Blaksmark KOMFO SUMMIT 2017 - Jannick Blaksmark
KOMFO SUMMIT 2017 - Jannick Blaksmark Komfo
 
KOMFO SUMMIT 2017 - Anne Sophie Hurst
KOMFO SUMMIT 2017 - Anne Sophie Hurst KOMFO SUMMIT 2017 - Anne Sophie Hurst
KOMFO SUMMIT 2017 - Anne Sophie Hurst Komfo
 
KOMFO SUMMIT 2017 - Ditte Wolff-Jacobsen
KOMFO SUMMIT 2017 - Ditte Wolff-Jacobsen KOMFO SUMMIT 2017 - Ditte Wolff-Jacobsen
KOMFO SUMMIT 2017 - Ditte Wolff-Jacobsen Komfo
 
KOMFO SUMMIT 2017 - David Lorenzten
KOMFO SUMMIT 2017 - David Lorenzten KOMFO SUMMIT 2017 - David Lorenzten
KOMFO SUMMIT 2017 - David Lorenzten Komfo
 
KOMFO SUMMIT 2017 - Chris 'Kubby' Kubbernus
KOMFO SUMMIT 2017 - Chris 'Kubby' KubbernusKOMFO SUMMIT 2017 - Chris 'Kubby' Kubbernus
KOMFO SUMMIT 2017 - Chris 'Kubby' KubbernusKomfo
 
KOMFO SUMMIT 2017 - Carlos Gil
KOMFO SUMMIT 2017 - Carlos GilKOMFO SUMMIT 2017 - Carlos Gil
KOMFO SUMMIT 2017 - Carlos GilKomfo
 
KOMFO SUMMIT 2017 - Christina Boutrup
KOMFO SUMMIT 2017 - Christina Boutrup KOMFO SUMMIT 2017 - Christina Boutrup
KOMFO SUMMIT 2017 - Christina Boutrup Komfo
 

More from Komfo (20)

Facebook ROI beyond the numbers
Facebook ROI beyond the numbersFacebook ROI beyond the numbers
Facebook ROI beyond the numbers
 
Facebook’s News Feed is changing, keep your brand page relevant
Facebook’s News Feed is changing, keep your brand page relevantFacebook’s News Feed is changing, keep your brand page relevant
Facebook’s News Feed is changing, keep your brand page relevant
 
Komfo webinar - The future of social
Komfo webinar - The future of socialKomfo webinar - The future of social
Komfo webinar - The future of social
 
Komfo seminar: Få mere ud af din spildtid på sociale medier med Trine-Maria K...
Komfo seminar: Få mere ud af din spildtid på sociale medier med Trine-Maria K...Komfo seminar: Få mere ud af din spildtid på sociale medier med Trine-Maria K...
Komfo seminar: Få mere ud af din spildtid på sociale medier med Trine-Maria K...
 
Komfo webinar - Rethinking employee advocacy on social
Komfo webinar - Rethinking employee advocacy on socialKomfo webinar - Rethinking employee advocacy on social
Komfo webinar - Rethinking employee advocacy on social
 
TXO & Komfo - AI: The good, the bad, and the ugly of AI
TXO & Komfo - AI: The good, the bad, and the ugly of AITXO & Komfo - AI: The good, the bad, and the ugly of AI
TXO & Komfo - AI: The good, the bad, and the ugly of AI
 
KOMFO SUMMIT - Søren schønnemann
KOMFO SUMMIT - Søren schønnemannKOMFO SUMMIT - Søren schønnemann
KOMFO SUMMIT - Søren schønnemann
 
KOMFO SUMMIT 2017 - Alexander Åberg & Andreas Granath
KOMFO SUMMIT 2017 - Alexander Åberg & Andreas Granath KOMFO SUMMIT 2017 - Alexander Åberg & Andreas Granath
KOMFO SUMMIT 2017 - Alexander Åberg & Andreas Granath
 
KOMFO SUMMIT 2017- Mats Lyngstad
KOMFO SUMMIT 2017- Mats Lyngstad KOMFO SUMMIT 2017- Mats Lyngstad
KOMFO SUMMIT 2017- Mats Lyngstad
 
KOMFO SUMMIT 2017 - Mads Cramer
KOMFO SUMMIT 2017 - Mads CramerKOMFO SUMMIT 2017 - Mads Cramer
KOMFO SUMMIT 2017 - Mads Cramer
 
KOMFO SUMMIT 2017 - Kim Lindberg
KOMFO SUMMIT 2017 - Kim Lindberg KOMFO SUMMIT 2017 - Kim Lindberg
KOMFO SUMMIT 2017 - Kim Lindberg
 
KOMFO SUMMIT 2017 - Kerry Watkins
KOMFO SUMMIT 2017 - Kerry WatkinsKOMFO SUMMIT 2017 - Kerry Watkins
KOMFO SUMMIT 2017 - Kerry Watkins
 
KOMFO SUMMIT 2017 - Jonas & Francesco
KOMFO SUMMIT 2017 - Jonas & Francesco KOMFO SUMMIT 2017 - Jonas & Francesco
KOMFO SUMMIT 2017 - Jonas & Francesco
 
KOMFO SUMMIT 2017 - Jannick Blaksmark
KOMFO SUMMIT 2017 - Jannick Blaksmark KOMFO SUMMIT 2017 - Jannick Blaksmark
KOMFO SUMMIT 2017 - Jannick Blaksmark
 
KOMFO SUMMIT 2017 - Anne Sophie Hurst
KOMFO SUMMIT 2017 - Anne Sophie Hurst KOMFO SUMMIT 2017 - Anne Sophie Hurst
KOMFO SUMMIT 2017 - Anne Sophie Hurst
 
KOMFO SUMMIT 2017 - Ditte Wolff-Jacobsen
KOMFO SUMMIT 2017 - Ditte Wolff-Jacobsen KOMFO SUMMIT 2017 - Ditte Wolff-Jacobsen
KOMFO SUMMIT 2017 - Ditte Wolff-Jacobsen
 
KOMFO SUMMIT 2017 - David Lorenzten
KOMFO SUMMIT 2017 - David Lorenzten KOMFO SUMMIT 2017 - David Lorenzten
KOMFO SUMMIT 2017 - David Lorenzten
 
KOMFO SUMMIT 2017 - Chris 'Kubby' Kubbernus
KOMFO SUMMIT 2017 - Chris 'Kubby' KubbernusKOMFO SUMMIT 2017 - Chris 'Kubby' Kubbernus
KOMFO SUMMIT 2017 - Chris 'Kubby' Kubbernus
 
KOMFO SUMMIT 2017 - Carlos Gil
KOMFO SUMMIT 2017 - Carlos GilKOMFO SUMMIT 2017 - Carlos Gil
KOMFO SUMMIT 2017 - Carlos Gil
 
KOMFO SUMMIT 2017 - Christina Boutrup
KOMFO SUMMIT 2017 - Christina Boutrup KOMFO SUMMIT 2017 - Christina Boutrup
KOMFO SUMMIT 2017 - Christina Boutrup
 

Komfo Seminar - GDPR and cyber security (Part 2)

  • 1.
  • 2.
  • 3. Disclaimer and copyright notice •  The presentation is for information purposes only, is general in nature, and is not intended to and should not be relied upon or construed as a legal opinion or legal advice regarding any specific issue or factual circumstance. Nor is this information intended to create, and receipt of it does not create, an attorney-client relationship between you and the firm. Therefore, you should consult an attorney in the event you want legal advice. •  The person receiving this presentation via email from Synch is solely allowed to review the presentation in digital form or printed form and any further use of the presentation (including but not limited to copying, reproducing, making available, incorporating the presentation into other works or modifying etc.) is subject to Synch prior written authorisation. All rights are vested in Synch.
  • 4. SynchWakeup @Komfo 17. Januar 2018 Behandlingssikkerhed og protection by design Advokat Niels Dahl-Nielsen, Synch
  • 5. Synch is a business oriented law firm with innovation and technology at its ” ”
  • 8. Dagsorden Indledning og recap GDPR om cybersecurity Sikkerhedsbrud Data protection by design and by default Spørgsmål Afrunding
  • 10. Cybersikkerhed på dagsordenen •  Troværdighed og økonomi •  Cyber-kriminalitet en voksende trussel •  Maersk 27. juni 2017 ”NotPetya” •  NATO •  “the fifth domain of warfare in which NATO must defend itself” •  air, land, sea, space and cyber •  Risiko for tab eller kompromittering af oplysninger, herunder personoplysninger, kædes ofte sammen med cybersikkerhed •  Den teknologiske udvikling øger integration mellem systemer og webservices •  Sikkerhed og privatlivsbeskyttelse har traditionelt ikke været tænkt ind i udviklingen og anskaffelsen af it-systemer •  Behandlingssikkerhed er en ”hygiejnefaktor” i den digitale økonomi •  Digitale ydelser fremtidssikres kun ved at indtænke databeskyttelsesprincipperne fra start (til slut)
  • 11. Recap •  Personoplysninger •  Enhver information, som kan henføres til en identificeret eller identificérbar person •  Kun lovligt at behandle personoplysninger hvis, der er •  Et retligt grundlag for behandlingen •  Sagligt og proportionalt formål med behandlingen •  Ikke yderligere behandling end nødvendigt for formålet •  Sletning eller anonymisering af data, når formålet er opfyldt
  • 13. Fokus på behandlingssikkerhed •  GDPR stiller krav om behandlingssikkerhed og tilrettelæggelsen af behandling af personoplysninger •  Konkrete pligter i form af pligt til anmeldelse og underretning i tilfælde af sikkerhedsbrud
  • 14. Ny tilgang til behandlingssikkerhed •  GDPRs udgangspunkt er, at behandling af personoplysninger er forbundet med risici •  Der skal etableres et sikkerhedsniveau, der matcher risici ved hjælp af passende tekniske og organisatoriske foranstaltninger •  Den dataansvarlige og databehandlerne afgør selv hvilke foranstaltninger, der skal gennemføres og står på mål for de valgte foranstaltninger •  Risikobaseret tilgang
  • 15. GDPR artikel 32 •  ”Under hensyntagen til…” •  Aktuelt teknisk niveau •  Implementeringsomkostningerne •  Pågældende behandlings karakter, omfang, sammenhæng og formål •  Risici af varierende sandsynlighed •  Alvor for fysiske personers rettigheder og frihedsrettigheder •  ”passende tekniske og organisatoriske foranstaltninger”
  • 16. ”Passende” foranstaltninger •  Tekniske foranstaltninger •  Organisatoriske foranstaltninger •  Vurderes navnlig på baggrund af risiko for •  Hændelig eller ulovlig tilintetgørelse •  Tab •  Ændring •  Uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet
  • 17. Tekniske foranstaltninger •  Pseudonymisering •  Kryptering •  Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester •  Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse •  Procedurer for regelmæssig afprøvning, vurdering og evaluering af sikkerhedsforanstaltninger
  • 18. Organisatoriske foranstaltninger •  Adgangskontrol •  Adgangsbegrænsning •  Segmentering af netværk •  Interne procedurer og politikker •  Uddannelse af ansatte •  Som alternativ til (uforholdsmæssige) tekniske foranstaltninger på legacy systemer •  Overholdelse af godkendt adfærdskodeks eller certificering
  • 19. Praktisk gennemførsel af foranstaltninger 1.  Identifikation og vurdering af risici 2.  Identifikation af relevante foranstaltninger 3.  Matchning af foranstaltninger med relevante risici, så et passende sikkerhedsniveau opnås 4.  Implementering af vedtagne passende foranstaltninger
  • 20. Regelmæssig sikkerhedsvurdering •  Behandlingssikkerhed skal være et strategisk fokus for virksomheden •  Der bør regelmæssigt foretages en vurdering af behandlingssikkerheden og foranstaltningerne •  Sikkerhedsvurdering •  Simulering af angreb •  Kriseøvelser •  Træning af beredskab •  Opfølgning på om procedurer og politikker følges
  • 21. Plan for etablering af cyberforsvar Center for Cybersikkerheds vejledning: •  Forankring i topledelsen •  De rette tekniske kompetencer •  Tekniske og organisatoriske sikkerhedstiltag •  4-trins model •  Awareness, awareness, awareness •  Imødegåelse af social engineering •  En reaktiv kapacitet •  Logs •  Løbende sikkerhedstekniske undersøgelser •  Løbende test af det reelle sikkerhedsniveau •  Yderligere tekniske og organisatoriske tiltag •  Start med de største risici og arbejd ”nedad”
  • 23. Transparens og Accountability •  Grundlæggende principper i GDPR •  Reaktionspligt ved brud på persondatasikkerheden •  Manglende overholdelse af reaktionspligten er bødebelagt •  ...det er efterfølgende konstatering af manglende compliance i henhold til artikel 32 sandsynligvis også… •  Brud er en begivenhed, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet
  • 24. Hvornår foreligger der et sikkerhedsbrud? •  Når et it-system med personoplysninger ikke er tilstrækkeligt sikret mod, at udefrakommende får adgang til oplysningerne •  Den dataansvarliges egen behandling: •  ubeføjet videregivelse eller ændring af personoplysningerne •  ulovlig eller hændelig tilintetgørelse
  • 25. Reaktionspligt •  Reaktionspligten udløses, når den dataansvarlige er blevet bekendt med sikkerhedsbruddet •  Medmindre at det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder •  Reaktionspligten afhænger af sikkerhedsbruddets karakter •  Anmeldelse til Datatilsynet •  Underretning til berørte registrerede •  Intern log over sikkerhedshændelser •  Databehandlere skal give besked til den dataansvarlige. Databehandlerens pligt er absolut – databehandleren kan således ikke vurdere at det er usandsynligt, at bruddet indebærer risiko for fysiske personers rettigheder eller frihedsrettigheder
  • 26. Hvilken reaktion? •  Anmeldelse til Datatilsynet •  Ethvert brud •  Medmindre at det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder •  Underretning til de berørte registrerede •  Når høj risiko for fysiske personers rettigheder og frihedsrettigheder •  Diskrimination •  Identitetstyveri •  Svindel •  Tab af fortrolighed af tavshedspligtbelagt information •  Enhver væsentlig økonomisk eller social ulempe •  Intern log over sikkerhedshændelser •  Alle hændelser (uanset om der sker anmeldelse og/eller underretning)
  • 27. Anmeldelse til Datatilsynet •  Anmeldelsen skal ”mindst” indeholde: •  Beskrivelse af karakteren af bruddet, herunder om muligt kategorierne og det omtrentlige antal berørte registrerede samt kategorierne af berørte registreringer •  Navn og kontaktoplysninger på DPO eller anden kontaktperson, hvis der ikke er udpeget DPO •  Beskrivelse af de sandsynlige konsekvenser af bruddet •  Beskrivelse af trufne eller foreslåede foranstaltninger til imødegåelse af sikkerhedsbruddet, herunder foranstaltninger til begrænsning af bruddets skadevirkninger •  Tilsynsmyndigheden skal kunne vurdere håndteringen af bruddet •  Ingen sprog- eller formkrav •  72 timer… •  Dog muligt at foretage trinvis anmeldelse
  • 28. Underretning til den/de registrerede •  Uden unødig forsinkelse •  Vurderes på baggrund af risikoen for umiddelbar og sekundær skade (passwords) •  Krav om klart og tydeligt sprog •  Mindst indeholde samme oplysninger, som anmeldelsen til tilsynsmyndigheden •  Den registrerede skal hurtigst muligt gives mulighed for at træffe fornødne forholdsregler •  Tilsynsmyndigheden har mulighed for at skride ind
  • 29. Intern log •  Den dataansvarlige skal kunne bevise, at reglerne er overholdt •  Pligt til at dokumentere alle brud på persondatasikkerheden •  Faktiske omstændigheder ved bruddet •  Bruddets virkninger •  Trufne, afhjælpende foranstaltninger, herunder anmeldelse og/eller underretning
  • 30. Undtagelser til underretningspligten •  Underretning kan undlades hvis a)  Passende tekniske og organisatoriske foranstaltninger, som er anvendt på de kompromitterede personoplysninger b)  Der er truffet efterfølgende foranstaltninger, der sikrer, at risikoen ikke længere er reel c)  Det vil kræve en uforholdsmæssig indsats. I stedet gives offentlig meddelelse eller tilsvarende foranstaltning
  • 31. Forberedelse, forberedelse, forberedelse… •  ”Når” ikke ”hvis”… •  Systemer og procedurer skal designet sådan, at reaktionspligten kan overholdes •  Etablering af procedurer for håndtering af sikkerhedsbrud •  Forberedelse af overholdelse af notifikationspligten •  Procedure for vurdering af bruddets karakter •  Rollefordeling •  PR
  • 32. Protection by design and by default
  • 33. GDPR artikel 25 •  Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder. •  Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.
  • 34. Databeskyttelse gennem design •  Nyskabelse i GDPR •  Overvejelsesforpligtelse og en håndteringsforpligtelse •  Den dataansvarlige skal i hele livscyklen for løsning, der behandler personoplysninger, understøtter alle de garantier, der stilles i forordningen •  Behandlingsprincipperne •  Kravet om retligt grundlag for behandling •  Opfyldelse af de registreredes rettigheder •  Behandlingssikkerhed •  Dermed rækker begrebet ud over blot at iværksætte tekniske og organisatoriske sikkerhedsforanstaltninger •  Ikke krav om re-design af gamle systemer. Dog kan organisatoriske foranstaltninger komme på tale.
  • 35. Protection by design – et nyt mindset •  Protection by design skal sikre overholdelse af alle de garantier, der stilles i forordningen •  Bredere formål end behandlingssikkerhed •  Der skal ses på det bredest mulige spektrum af organisatoriske og teknologiske muligheder, når man skal fastlægge et design, der understøtter hele forordningen •  Omfatter hele organisationen (ikke begrænset til softwareudvikling) og hele operationens livscyklus
  • 36. Designeksempler •  Drop-down fremfor fritekstfelter •  Data discovery •  Data loss prevention •  Shadow-IT discovery •  Smart cards •  Identity governance •  Automatisering af processer ved udøvelse af de registreredes rettigheder •  Fx oplysningspligt, indsigt, sletning •  Automatiseret sletning eller anonymisering •  Pseudonymisering
  • 37. Protection by default •  Databeskyttelse gennem standardindstillinger •  Tilføjelse til protection by design •  Systemer skal have indstillingsmuligheder (design) og disse skal indstilles, så de understøtter behandlingsprincipperne (default)
  • 38. Case 1 •  Virksomheder skal undgå ulovlig behandling af følsomme personoplysninger i CRM-system •  Uddannelse af medarbejdere til ikke at skrive dem ind i fritekstfelter •  Anvendelse af en dropdown-menu (uden skrivemulighed) •  Udvikling af data discovery-teknologi, som anvendes på fritekstfelter
  • 39. Case 2 •  Virksomheder skal kunne imødekomme indsigtsanmodninger fra registrerede •  Manuel kontrol af identitet og oplysning fra sag til sag •  Udvikling af automatiseret selvbetjeningsløsning med identity governance-teknologi
  • 40. Afrunding •  Risikobaseret tilgang •  Konkret vurdering af behandlingsprocesser •  Valg og implementering af relevante teknologier og metoder til imødegåelse af identificerede risici (sikkerhed) og overholdelse af kravene i GDPR (design) •  Gør databeskyttelse til en strategisk målsætning •  Et nyt mindset for hele organisationen - awareness •  Kendskab til egne processer og risici er afgørende
  • 42. HUSK tilmelding til næste seminar den 16. maj 2018 Tak for i dag!