Bliv klædt på til den kommende EU-forordning.
Se dette seminar, hvis du ønsker at gå i dybden med, hvad man skal være opmærksom på i forhold til de største buzzwords fra den nye forordning:
- Indblik i cyber security
- Indblik i "data protection by design"
- Hvad indebærer det, når man arbejder med sociale medier i praksis?
3. Disclaimer and copyright notice
• The presentation is for information purposes only, is general in nature, and is
not intended to and should not be relied upon or construed as a legal
opinion or legal advice regarding any specific issue or factual circumstance.
Nor is this information intended to create, and receipt of it does not create,
an attorney-client relationship between you and the firm. Therefore, you
should consult an attorney in the event you want legal advice.
• The person receiving this presentation via email from Synch is solely allowed
to review the presentation in digital form or printed form and any further use
of the presentation (including but not limited to copying, reproducing,
making available, incorporating the presentation into other works or
modifying etc.) is subject to Synch prior written authorisation. All rights are
vested in Synch.
10. Cybersikkerhed på
dagsordenen
• Troværdighed og økonomi
• Cyber-kriminalitet en voksende trussel
• Maersk 27. juni 2017 ”NotPetya”
• NATO
• “the fifth domain of warfare in which NATO must defend itself”
• air, land, sea, space and cyber
• Risiko for tab eller kompromittering af oplysninger, herunder personoplysninger, kædes ofte
sammen med cybersikkerhed
• Den teknologiske udvikling øger integration mellem systemer og webservices
• Sikkerhed og privatlivsbeskyttelse har traditionelt ikke været tænkt ind i udviklingen og
anskaffelsen af it-systemer
• Behandlingssikkerhed er en ”hygiejnefaktor” i den digitale økonomi
• Digitale ydelser fremtidssikres kun ved at indtænke databeskyttelsesprincipperne fra start (til
slut)
11. Recap
• Personoplysninger
• Enhver information, som kan henføres til en identificeret eller
identificérbar person
• Kun lovligt at behandle personoplysninger hvis, der er
• Et retligt grundlag for behandlingen
• Sagligt og proportionalt formål med behandlingen
• Ikke yderligere behandling end nødvendigt for formålet
• Sletning eller anonymisering af data, når formålet er opfyldt
13. Fokus på
behandlingssikkerhed
• GDPR stiller krav om behandlingssikkerhed og
tilrettelæggelsen af behandling af personoplysninger
• Konkrete pligter i form af pligt til anmeldelse og
underretning i tilfælde af sikkerhedsbrud
14. Ny tilgang til
behandlingssikkerhed
• GDPRs udgangspunkt er, at behandling af personoplysninger er
forbundet med risici
• Der skal etableres et sikkerhedsniveau, der matcher risici ved
hjælp af passende tekniske og organisatoriske foranstaltninger
• Den dataansvarlige og databehandlerne afgør selv hvilke
foranstaltninger, der skal gennemføres og står på mål for de
valgte foranstaltninger
• Risikobaseret tilgang
15. GDPR artikel 32
• ”Under hensyntagen til…”
• Aktuelt teknisk niveau
• Implementeringsomkostningerne
• Pågældende behandlings karakter, omfang,
sammenhæng og formål
• Risici af varierende sandsynlighed
• Alvor for fysiske personers rettigheder og frihedsrettigheder
• ”passende tekniske og organisatoriske
foranstaltninger”
16. ”Passende” foranstaltninger
• Tekniske foranstaltninger
• Organisatoriske foranstaltninger
• Vurderes navnlig på baggrund af risiko for
• Hændelig eller ulovlig tilintetgørelse
• Tab
• Ændring
• Uautoriseret videregivelse af eller adgang til personoplysninger,
der er transmitteret, opbevaret eller på anden måde behandlet
17. Tekniske foranstaltninger
• Pseudonymisering
• Kryptering
• Evne til at sikre vedvarende fortrolighed, integritet,
tilgængelighed og robusthed af behandlingssystemer og –
tjenester
• Evne til rettidigt at genoprette tilgængeligheden af og
adgangen til personoplysninger i tilfælde af en fysisk eller
teknisk hændelse
• Procedurer for regelmæssig afprøvning, vurdering og
evaluering af sikkerhedsforanstaltninger
18. Organisatoriske
foranstaltninger
• Adgangskontrol
• Adgangsbegrænsning
• Segmentering af netværk
• Interne procedurer og politikker
• Uddannelse af ansatte
• Som alternativ til (uforholdsmæssige) tekniske
foranstaltninger på legacy systemer
• Overholdelse af godkendt adfærdskodeks eller
certificering
19. Praktisk gennemførsel af
foranstaltninger
1. Identifikation og vurdering af risici
2. Identifikation af relevante foranstaltninger
3. Matchning af foranstaltninger med relevante risici,
så et passende sikkerhedsniveau opnås
4. Implementering af vedtagne passende
foranstaltninger
20. Regelmæssig
sikkerhedsvurdering
• Behandlingssikkerhed skal være et strategisk fokus for
virksomheden
• Der bør regelmæssigt foretages en vurdering af
behandlingssikkerheden og foranstaltningerne
• Sikkerhedsvurdering
• Simulering af angreb
• Kriseøvelser
• Træning af beredskab
• Opfølgning på om procedurer og politikker følges
21. Plan for etablering af cyberforsvar
Center for Cybersikkerheds vejledning:
• Forankring i topledelsen
• De rette tekniske kompetencer
• Tekniske og organisatoriske sikkerhedstiltag
• 4-trins model
• Awareness, awareness, awareness
• Imødegåelse af social engineering
• En reaktiv kapacitet
• Logs
• Løbende sikkerhedstekniske undersøgelser
• Løbende test af det reelle sikkerhedsniveau
• Yderligere tekniske og organisatoriske tiltag
• Start med de største risici og arbejd ”nedad”
23. Transparens og
Accountability
• Grundlæggende principper i GDPR
• Reaktionspligt ved brud på persondatasikkerheden
• Manglende overholdelse af reaktionspligten er bødebelagt
• ...det er efterfølgende konstatering af manglende compliance i henhold til
artikel 32 sandsynligvis også…
• Brud er en begivenhed, der fører til hændelig eller ulovlig
tilintetgørelse, tab, ændring uautoriseret videregivelse af eller
adgang til personoplysninger, der er transmitteret, opbevaret eller
på anden måde behandlet
24. Hvornår foreligger der et
sikkerhedsbrud?
• Når et it-system med personoplysninger ikke er
tilstrækkeligt sikret mod, at udefrakommende får
adgang til oplysningerne
• Den dataansvarliges egen behandling:
• ubeføjet videregivelse eller ændring af
personoplysningerne
• ulovlig eller hændelig tilintetgørelse
25. Reaktionspligt
• Reaktionspligten udløses, når den dataansvarlige er blevet bekendt med
sikkerhedsbruddet
• Medmindre at det er usandsynligt, at bruddet indebærer en risiko for fysiske personers
rettigheder eller frihedsrettigheder
• Reaktionspligten afhænger af sikkerhedsbruddets karakter
• Anmeldelse til Datatilsynet
• Underretning til berørte registrerede
• Intern log over sikkerhedshændelser
• Databehandlere skal give besked til den dataansvarlige. Databehandlerens pligt er
absolut – databehandleren kan således ikke vurdere at det er usandsynligt, at
bruddet indebærer risiko for fysiske personers rettigheder eller frihedsrettigheder
26. Hvilken reaktion?
• Anmeldelse til Datatilsynet
• Ethvert brud
• Medmindre at det er usandsynligt, at bruddet indebærer en risiko for fysiske
personers rettigheder eller frihedsrettigheder
• Underretning til de berørte registrerede
• Når høj risiko for fysiske personers rettigheder og frihedsrettigheder
• Diskrimination
• Identitetstyveri
• Svindel
• Tab af fortrolighed af tavshedspligtbelagt information
• Enhver væsentlig økonomisk eller social ulempe
• Intern log over sikkerhedshændelser
• Alle hændelser (uanset om der sker anmeldelse og/eller underretning)
27. Anmeldelse til Datatilsynet
• Anmeldelsen skal ”mindst” indeholde:
• Beskrivelse af karakteren af bruddet, herunder om muligt kategorierne og det omtrentlige antal berørte
registrerede samt kategorierne af berørte registreringer
• Navn og kontaktoplysninger på DPO eller anden kontaktperson, hvis der ikke er udpeget DPO
• Beskrivelse af de sandsynlige konsekvenser af bruddet
• Beskrivelse af trufne eller foreslåede foranstaltninger til imødegåelse af sikkerhedsbruddet, herunder
foranstaltninger til begrænsning af bruddets skadevirkninger
• Tilsynsmyndigheden skal kunne vurdere håndteringen af bruddet
• Ingen sprog- eller formkrav
• 72 timer…
• Dog muligt at foretage trinvis anmeldelse
28. Underretning til den/de
registrerede
• Uden unødig forsinkelse
• Vurderes på baggrund af risikoen for umiddelbar og sekundær skade
(passwords)
• Krav om klart og tydeligt sprog
• Mindst indeholde samme oplysninger, som anmeldelsen til
tilsynsmyndigheden
• Den registrerede skal hurtigst muligt gives mulighed for at træffe
fornødne forholdsregler
• Tilsynsmyndigheden har mulighed for at skride ind
29. Intern log
• Den dataansvarlige skal kunne bevise, at reglerne er
overholdt
• Pligt til at dokumentere alle brud på
persondatasikkerheden
• Faktiske omstændigheder ved bruddet
• Bruddets virkninger
• Trufne, afhjælpende foranstaltninger, herunder anmeldelse
og/eller underretning
30. Undtagelser til
underretningspligten
• Underretning kan undlades hvis
a) Passende tekniske og organisatoriske foranstaltninger, som
er anvendt på de kompromitterede personoplysninger
b) Der er truffet efterfølgende foranstaltninger, der sikrer, at
risikoen ikke længere er reel
c) Det vil kræve en uforholdsmæssig indsats. I stedet gives
offentlig meddelelse eller tilsvarende foranstaltning
31. Forberedelse, forberedelse,
forberedelse…
• ”Når” ikke ”hvis”…
• Systemer og procedurer skal designet sådan, at
reaktionspligten kan overholdes
• Etablering af procedurer for håndtering af sikkerhedsbrud
• Forberedelse af overholdelse af notifikationspligten
• Procedure for vurdering af bruddets karakter
• Rollefordeling
• PR
33. GDPR artikel 25
• Under hensyntagen til det aktuelle tekniske niveau,
implementeringsomkostningerne og den pågældende behandlings karakter,
omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed
og alvor for fysiske personers rettigheder og frihedsrettigheder, som
behandlingen indebærer, gennemfører den dataansvarlige både på
tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for
selve behandlingen passende tekniske og organisatoriske foranstaltninger,
såsom pseudonymisering, som er designet med henblik på effektiv
implementering af databeskyttelsesprincipper, såsom dataminimering, og
med henblik på integrering af de fornødne garantier i behandlingen for at
opfylde kravene i denne forordning og beskytte de registreredes rettigheder.
• Under hensyntagen til det aktuelle tekniske niveau,
implementeringsomkostningerne og den pågældende behandlings karakter,
omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed
og alvor for fysiske personers rettigheder og frihedsrettigheder, som
behandlingen indebærer, gennemfører den dataansvarlige både på
tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for
selve behandlingen passende tekniske og organisatoriske foranstaltninger,
såsom pseudonymisering, som er designet med henblik på effektiv
implementering af databeskyttelsesprincipper, såsom dataminimering, og
med henblik på integrering af de fornødne garantier i behandlingen for at
opfylde kravene i denne forordning og beskytte de registreredes rettigheder.
34. Databeskyttelse gennem
design
• Nyskabelse i GDPR
• Overvejelsesforpligtelse og en håndteringsforpligtelse
• Den dataansvarlige skal i hele livscyklen for løsning, der behandler
personoplysninger, understøtter alle de garantier, der stilles i forordningen
• Behandlingsprincipperne
• Kravet om retligt grundlag for behandling
• Opfyldelse af de registreredes rettigheder
• Behandlingssikkerhed
• Dermed rækker begrebet ud over blot at iværksætte tekniske og
organisatoriske sikkerhedsforanstaltninger
• Ikke krav om re-design af gamle systemer. Dog kan organisatoriske
foranstaltninger komme på tale.
35. Protection by design – et nyt
mindset
• Protection by design skal sikre overholdelse af alle de garantier,
der stilles i forordningen
• Bredere formål end behandlingssikkerhed
• Der skal ses på det bredest mulige spektrum af organisatoriske
og teknologiske muligheder, når man skal fastlægge et design,
der understøtter hele forordningen
• Omfatter hele organisationen (ikke begrænset til
softwareudvikling) og hele operationens livscyklus
36. Designeksempler
• Drop-down fremfor fritekstfelter
• Data discovery
• Data loss prevention
• Shadow-IT discovery
• Smart cards
• Identity governance
• Automatisering af processer ved udøvelse af de registreredes
rettigheder
• Fx oplysningspligt, indsigt, sletning
• Automatiseret sletning eller anonymisering
• Pseudonymisering
37. Protection by default
• Databeskyttelse gennem standardindstillinger
• Tilføjelse til protection by design
• Systemer skal have indstillingsmuligheder (design) og
disse skal indstilles, så de understøtter
behandlingsprincipperne (default)
38. Case 1
• Virksomheder skal undgå ulovlig behandling af
følsomme personoplysninger i CRM-system
• Uddannelse af medarbejdere til ikke at skrive dem ind i
fritekstfelter
• Anvendelse af en dropdown-menu (uden skrivemulighed)
• Udvikling af data discovery-teknologi, som anvendes på
fritekstfelter
39. Case 2
• Virksomheder skal kunne imødekomme
indsigtsanmodninger fra registrerede
• Manuel kontrol af identitet og oplysning fra sag til sag
• Udvikling af automatiseret selvbetjeningsløsning med
identity governance-teknologi
40. Afrunding
• Risikobaseret tilgang
• Konkret vurdering af behandlingsprocesser
• Valg og implementering af relevante teknologier og
metoder til imødegåelse af identificerede risici
(sikkerhed) og overholdelse af kravene i GDPR (design)
• Gør databeskyttelse til en strategisk målsætning
• Et nyt mindset for hele organisationen - awareness
• Kendskab til egne processer og risici er afgørende