Embed Size (px)
Citation preview
EU GDPR og IT-sikkerhedsløsningerv/Jørgen Hartig
Baggrund og idé
• EU GDPR (General Data Protection Regulation) er nok det varmeste emne for tiden.
• Bagkanten er den 25. maj 2018.
• Størstedelen af EU GDPRs indhold har fokus på arbejdsgange, jura og organisering i virksomheden og kobling til 3. part. Dertil kommer teknologiske implementeringer, som kan hjælpe med compliance krav.
• Ideen med dette indlæg er at mappe udvalgte artikler hvor IT-sikkerhedsteknologier (Cisco og andre) bør anvendes og komme med input til fokusområder og sikkerhedsmæssige discipliner.
• Der præsenteres forslag til, hvor din virksomhed bør sættes ind.
Agenda
- Hvad er EU GPDR?
- Fokus på 4 områder:
- Databruddet – hvad er kravene omkring dokumentation og frister?
- Bødestørrelser – hvad bestemmer bødens størrelse?
- Databeskyttelsesrådgiver (DPO) – Opgaver og relaterede discipliner ?
- IT-sikkerhedsløsninger – hvor bør din virksomhed fokusere ?
- Anbefalinger til processen til at komme i gang – og arbejde videre med ”projektet”.
- Nyttige links
Overblik – EU GDPR
Hvad er EU GPDR 2016/679 ?
Afløser af:
• ”Direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.
• Dette direktiv ophæves pr. 25. maj 2018.
Det er et regulativ, hvilket betyder at det er en EU-lov, og skal indarbejdes i national lov i de respektive nationer.
Hvor rammer EU GPDR ?
• Fastsættelse af regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger
• Behandling af persondata, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Overblik – artiklernes fokus
P- primært fokusS- sekundært fokus
Kapitler Beskrivelse Antal artikler no.
Procedurefokus i
virksomheden
Aftale
Fokus/Jura
Teknologi
Fokus
1 Generelle bestemmelser 4 1-4 P
2 Principper 7 5-11 S P S
3 Den registreredes rettigheder 12 12-24 P P
4 Dataansvarlig og databehandler 20 24-45 P P
5
Overførsler af personoplysninger til
tredjelande eller internationale
organisationer 7 46-53 P P S
6 Uafhængige tilsynsmyndigheder 9 51-59 P
7 Samarbejde og sammenhæng 17 60-76 S P
8 Retsmidler, ansvar og sanktioner 8 77-84 P
9
Bestemmelser vedrørende specifikke
behandlingssituationer 7 85-91 S P
10
Delegerede retsakter og
gennemførelsesforanstaltninger 2 92-93 P
11 Afsluttende bestemmelser 6 94-99 P
Total 99
Vigtige punkter
Der kommer en mulighed for at blive certificeret.
EU GDPR er på flere punkter ikke konkret ift. kontroller -> ISO27001 kan være en god ”guideline”.
Konkretisering af visse bestemmelser fastlægges i de enkelte nationer, indenfor de rammerne i artiklerne i GPDR.
Pr. feb. 2017 – nye guidelines fra WP29:
• Databeskyttelsesrådgivere
• Dataportabilitet og
• Identificering af den ledende tilsynsmyndighed.
WP29 – Arbejdsgrupper – frem til 2018
Under ”European Data Protection Board”:
• Future of Privacy subgroup
• Key Provisions subgroup
• Technology subgroup
• International Transfers subgroup
• Borders, Travel and Law Enforcement subgroup
• E-government subgroup
• Financial matters subgroup
• Cooperation subgroup
Interessenter og snitflader
Dataansvarlig DatabehandlerDen registrerede
EU kommisionsudvalg
National tilsynsmyndighed
• Indsigt.• Datamobilitet.• Tydelig
kommunikation.• Retten til at
blive glemt.
garantier
forpligtelser
Sikkerhed
• Processer.• Teknologi.• Juridiske forhold.• Compliance.• ”Accountability”.
garantier
forpligtelser
Sikkerhed
• Processer.• Teknologi.• Juridiske forhold.• Compliance.
Eksempler på persondata ? (artikel 4)
Information, der direkte eller indirekte kan identificeres en fysisk person:• navn • et identifikationsnummer • lokaliseringsdata • en online identifikator
et eller flere elementer som personen:• fysiske• fysiologiske • genetiske• psykiske • økonomiske • kulturelle eller • sociale identitet
Profilering:Automatisk behandling og analyse af personoplysninger, som kan føre til forudsige forhold omkring:• Arbejdsindsats• økonomiske situation • helbred • personlige præferencer • interesser • pålidelighed • adfærd • geografisk position eller • bevægelser.
- Databruddet – hvad er kravene omkring dokumentation og frister?-Bødestørrelser – hvad bestemmer bødens størrelse?
Anmeldelse af brud (artikel 33)
Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til tilsynsmyndigheden.
Min. Indhold af anmeldelsea) beskrive karakteren af bruddet (kategorierne og ca. antal berørte registrerede)b) navn på og kontaktoplysninger for databeskyttelsesrådgiveren.c) beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden d) beskrive de foranstaltninger, som er truffet for at håndtere bruddet og begrænse
skaderne.
Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel er overholdt.
Underretning om brud til registrerede (artikel 34)
”Breach” er opdaget
Høj risiko ift. data ?
Besked til registrerede uden unødigt ophold.
• Krypteret ?• Andre aktiviteter
hos dataansv.?• Uforholdsmæssig
stor indsats ?
Bøder – vurdering af størrelse? (artikel 83)
Bødens størrelse bestemmes af:
• overtrædelsens karakter, omfang eller formål samt antal registrerede samt skade
• forsætligt eller uagtsomt ?
• Foranstaltninger, der er truffet for at begrænse den skade, som den registrerede har lidt ?
• Grad af ansvar under hensyntagen til tekniske og organisatoriske foranstaltninger
• eventuelle relevante tidligere overtrædelser ?
• graden af samarbejde med tilsynsmyndigheden for at afhjælpe overtrædelsen og begrænse de negative konsekvenser ved ”breach”
• kategorier af personoplysninger, der er berørt af overtrædelsen ?
• Hvordan fik tilsynsmyndigheden kendskab til overtrædelsen, navnlig om den dataansvarlige eller databehandleren har underrettet om overtrædelsen, og i givet fald i hvilket omfang
• overholdelse af de påkrævede foranstaltninger og adfærdskodeks?
• om der er andre skærpende eller formildende faktorer ved sagens omstændigheder, såsom opnåede økonomiske fordele eller undgåede tab som direkte eller indirekte følge af overtrædelsen.
Databeskyttelsesrådgiver (DPO) –Opgaver og relaterede discipliner ?
DPO’ens opgaver og rolle (artikel 37-39)
• Underrette og rådgive om forpligtelser i henhold til databeskyttelse
• Overvåge overholdelsen om databeskyttelse igennem virksomhedens opstillede politikker om beskyttelse af personoplysninger, herunder:
• fordeling af ansvar,
• oplysningskampagner
• uddannelse af det relevant personale
• Revisioner
• Rådgive ift. konsekvensanalysen
• Overvåge dens opfyldelse af konsekvens-analysen
• samarbejde med tilsynsmyndigheden
• Databeskyttelsesrådgiveren skal vurdere den risiko, der er forbundet med behandlingsaktiviteter, behandlings karakter, omfang, sammenhæng og formål.
Den Dataansvarlige ansvar (artikel 24)
• Dataansvarlige skal gennemføre passende tekniske og organisatorisk foranstaltninger, som står mål med:
- Databehandlingens karakter og omfang, sammenhæng og formål
- Risici- Alvor for fysiske personers rettigheder og frihedsrettigheder
- Den dataansvarlige skal bevise at forordningen overholdes med de indførte foranstaltninger.
Din beskyttelse imod IT-angreb?
AnalyseReetablereBeredskabOpdageForsvare
100%
0%
Modenhedsniveau
- Technologier ? - Processer ? - Tekniske kapaciteter?- “Awareness” ?
Sandsynlighed og konsekvens betragtninger
Oversigt over behandlingsaktiviteter (artikel 30)
Fortegnelse over behandlingsaktiviteter skal indeholde;
a) Navn på og kontaktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles
dataansvarlige.
b) formålene med behandlingen
c) en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger
d) de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder
modtagere i tredjelande eller internationale organisationer
e) Evt. overførsler af personoplysninger til et tredjeland samt dokumentation for passende garantier
f) Hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger
g) hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger
Risiko-styret approach i EU GDPR
EU GDPR
IT-sikkerhedsløsningen –hvor bør din virksomhed fokusere ?
Behandlingssikkerhed (artikel 32)
1. Etablering af tekniske løsninger og organisatorisk foranstaltninger, som matcher risici (sandsynlighed vs.
Konsekvens) ift personlige informationer. Passende foranstaltninger og indsatsområder:
• Pseudonymisering og kryptering af personoplysninger
• evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer
og -tjenester
• evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk
eller teknisk hændelse
• en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og
organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
2. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som
behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af
eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
3.Overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en godkendt
certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af
kravene i nærværende artikels stk. 1.
Teknologiers opgave ved et ”breach”
Infektion OpdagelseTime to detect
Time to respond”Clean”
Teknologi og visibilitet
Beredskab og processer
”Endpoint” infektion
Fil server
Mail GW
Mail server
12
34
# Cisco teknologier
1 E-mail gw. (spam filter og AMP) Klient med AMP for endpointNetværk med Stealthwatch
2 DNS-beskyttelse – UmbrellaNext Gen Fw – AMP/URL/IPS
3 Next Gen Fw – AMP/URL/IPSKlient med AMP for endpoint
4 Klient med AMP for endpointNetværk med StealthwatchNetværkssegm., med ISE, ACI og ASAv
Netværkssegmentering
• GDPR foreskriver at man skal holde styr på og kontrollere adgangen til de ressourcer, hvor de personlige data gemmes og behandles. (Artikel 28, 30, 70, etc.)
• Der skal dokumenteres på
• Netværksbaseret adgangskontrol og segmentering giver en visibilitet og mulighed for at implementere policy-baseret regler.
• Dette mindsker komplekse adgangskontrol, som sikkerhedspolitikker opdateres og distribueres dynamisk.
• Opdeling af netværk (fysisk eller logisk) med tilhørende sikkerhedsfeatures minimere ”angrebs-fladen” og ”impact” af en given hændelse.
HvornårHvordanHvad Hvem
SIEM Security Incident & Event Management
Vulnerability Management
Data discovery
Identity & Access Management
GRC-værktøj
Anbefaling og nyttige links
5 vigtige punkter til din start på EU GDPR
#1 – ”Buy-in” fra ledelse og etablering af projekt gruppe
#2 - Skab et overblik
#3 – Skab visibilitet
#4 – Styr på processer via GRC tool
#5 – Styr på aftaler med 3. part
Vigtige spørgsmål at kunne besvare…
• Hvilke personlige data informationer bliver behandlet ?
• DataFlow og data ”life-cycle” management?
• Hvor er de placeret i virksomhedens infrastruktur ?
• Hvordan er disse data overført imellem Dataansvarlig og databehandler (og evt. 3. part og udenfor EU) ?
• Hvordan er de sikret fra indsamling til sletning ?
• Hvem har ansvaret for data og systemer ?
• Har vi processer, teknologier og planer til at håndtere et evt. ”breach” ?
Nyttige links
Datatilsynets ”artikel 29 Gruppen”:
• Https://www.datatilsynet.dk/om-datatilsynet/internationalt/artikel-29-gruppen/
Hjemmeside om Databeskyttelsesforordningen:
• http://www.dbreform.dk/
EU ”artikel 29 gruppen”:
• http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
IAPP – International Association of Privacy Proffesional:
• https://iapp.org/
Erhvervsstyrelsen:
• https://erhvervsstyrelsen.dk/sites/default/files/media/vejledning_til_bekendtgoerelse_om_persondatasikkerhed.pdf
