ACI gdpr præsentation

ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 1

Page 2
Agenda GDPR præsentation
 GDPR compliance hvordan?
 Sammenhæng i organisationen
 Scoping
 Uden for scope
 Inden for scope
 Informationssikkerhed
 Værktøjer
 Spørgsmål

Page 3
Sammenhæng med informationssikkerhed
GDPR compliance

Page 4
Sammenhæng i organisationen
GDPR compliance

Page 5
GDPR lovgivning
Forordningens hovedpunkter
 Scoping
 Behandlingstyper
 Principper
 De registreredes rettigheder
 Virksomhedens forpligtelser

Page 6
GDPR lovgivning
Scoping
 Er vi underlagt GDPR?
 Skal vi have en DPO?
 Skal vi lave DPIA?
ARTICLE 29 DATA PROTECTION WORKING PARTY. 17/EN WP 248, 4 April 2017
ARTICLE 29 DATA PROTECTION WORKING PARTY. 16/EN WP 243 rev 1, 13. december 2016, rev. 5. april 2107

Page 7
GDPR lovgivning
• Behandling af persondata
 Kategorier
 Behandlinger
 Dataansvarlighed
 Databehandlere
 Retligt grundlag
 Principper for behandling
 Underlagt hvilket tilsyn

Page 8
GDPR lovgivning
Kategorier af persondata
• Almindelige personoplysninger
• Navn, adresse, e-mail, telefon/mobil, fødselsdato, familiestatus,
uddannelsen, eksamener, tjenstlige forhold, bolig, bil, løn, skat,
ip-adr., adfærd, køb, lokation mv.
• Strafferetlige forhold.
• CPR-nr. eller andet nationalt identifikationsnummer.
• Følsomme personoplysninger
• Race, etnisk oprindelse, politisk, religiøs eller filosofisk
overbevisning,
• fagforeningsmæssigt tilhørsforhold, genetisk/biometriske forhold,
helbredsoplysninger, oplysninger om seksuelle forhold eller
seksuel orientering.

Page 9
GDPR lovgivning
Principper
• Dokumenterede behandlinger (ikke for under 250 ansatte)
• retligt grundlag, samtykke
• interesseafvejning dataansvarlig-datasubjekt og eksplicit dokumentation
• kontraktlige forpligtelser, dokumenteret
• rimelighed/fairness og gennemsigtighed
• begrænset til et angivet og legitimt formål
• sikring af at behandling ikke sker til andre uforenelige formål
• sikring af at der kun behandles tilstrækkelige, relevante og nødvendige
korrekte og ajourførte
• ukorrekte personoplysninger slettes eller rettes
• kun lagres i en form, hvor datasubjekt kan identificeres, hvis nødvendigt
• fornødne tekniske og organisatoriske sikkerhedsforanstaltninger (sikret
fortrolighed, integritet og tilgængelighed)

Page 10
GDPR lovgivning
De registreredes rettigheder
Den dataansvarlige virksomhed skal sikre at:
• Datasubjekt kan udøve rettigheder
• Besvare henvendelser indenfor en måned
• tilvejebringe oplysninger om behandlinger (data,
behandlingsformålet, retsgrundlaget, lagring, videregivelse,
Rettigheder, etc.)
• Retning, sletning eller begrænsning
• Rettelse eller sletning til tredjeparter
• Levere oplysninger i struktureret, almindeligt anvendt og
maskinlæsbart format
• Håndtere indsigelse mod behandling
• Ikke foretages profilering uden udtrykkeligt samtykke

Page 11
GDPR lovgivning
Virksomhedens forpligtelser -1
Den dataansvarlige har ansvaret for at:
• Efterleve og dokumentere efterlevelse
• Fastlægge databeskyttelsespolitikker, -procedurer og kontroller
• Implementere tekniske og organisatoriske sikkerhedsforanstaltninger
der understøtter forordningens principper
• Etablere særlige designkrav
• Sikre databehandlerne har implementeret fornødne sikkerhed og ikke
bruger underdatabehandlere uden godkendelse
• Databehandlere kun behandler personoplysninger efter instruktion fra
den dataansvarlige, med de samme krav som for dataansvarlig
• Dokumentere ansvarlig, behandlere, formål, overførsler,
sikkerhedstiltag, behandlingsaktiviteter, etc. (Glæder også i rollen som
databehandler)
• Gennemføre en risikoanalyse og på den baggrund iværksætte
passende tekniske og organisatoriske sikkerhedstiltag (skal inkludere
kryptering og pseudonymisering)

Page 12
GDPR lovgivning
Virksomhedens forpligtelser -2
Den dataansvarlige har ansvaret for at:
• Data kan genskabes indenfor rimelig tid
• Sikkerhedstiltag skal testes og evalueres
• Medarbejdere hos dataansvarlige og databehandlere må kun
behandle personoplysninger efter instruks
• Have procedurer for at kunne meddele databrud indenfor 72 timer til
datatilsyn
• Indsamle dokumentation (forensics) af databruddet
• Databehandlere, som opdager et databrud, skal straks orientere den
dataansvarlige
• Ved høj risiko, skal datasubjekter orienteres om bruddet
• Hvis konsekvensanalysen indikerer høj risiko skal der foretages
anmeldelse til Datatilsynet og foretages DPIA
• Gennemføre en konsekvensanalyse for datasubjekt
• Overveje, om der skal udpeges en databeskyttelsesrådgiver (DPO)

Page 13
GDPR lovgivning
Forordningens hovedpunkter
 Scoping
 Behandlingstyper
 Principper
 De registreredes rettigheder
 Virksomhedens forpligtelser

Page 14
Uden for scope:
 Scoping, documentation og forklaring af non-scope
 Løbende overvågning/scoping
 Sikre sig at der ikke sættes gang i behandling af persondata uden
screening/scoping
 Projektstyring SOP (default design)
 IS Anskaffelse og Udvikling SOP (default design)
 IS Change SOP (default design)
GDPR compliance

Page 15
Scoping for persondata (Screening)
FASE 1
Analyse af persondata i scope
FASE 2
Analyse af kontrolmiljø i scope
FASE 3
Gap-analyse
FASE 4
Implementering af kontroller for
dækning af gaps
GDPR compliance
Hvis persondata

Page 16
GDPR lovgivning
GDPR compliance – Lite
• Kortlægning og dokumentation
• Behandlinger og formål
• Lovlighed,
• Samtykke, databehandleraftaler
• Sikre efterkommelse af datasubjekts rettigheder
• Sikring af data
• Default design, projekt
• Politikker og procedurer

Page 17
I scope for DPO – Data Protection Officer
 Organisationer som både er dataansvarlige og databehandlere
 Offentlige myndigheder
 Kerneaktivitet kræver regelmæssig og systematisk monitorering
 Kerneaktivitet omfattende behandling af følsomme personoplysninger
 Alle organisationer bør forankre arbejdet hos en ansvarlig
 Koncern kan udpege én fælles DPO
GDPR compliance
ARTICLE 29 DATA PROTECTION WORKING PARTY. 16/EN WP 243 rev 1, 13. december 2016, rev. 5. april 2107

Page 18
I scope for DPIA - Data Protection Impact Assessment
Article 35.
Where a processing is:
 “likely to result in a high risk”*
 “likely to result in a high risk to
the rights and freedoms of
natural persons”*
GDPR compliance
*ARTICLE 29 DATA PROTECTION WORKING PARTY. 17/EN WP 248, 4 April 2017
I form af generisk*:
 i større organisationer
 fra leverandører
 I brancher

Page 19
DPIA Hvornår?
Examples*:
 Evaluation or scoring, including profiling and predicting
 Automated-decision making with legal or similar significant effect
 Systematic monitoring
 Sensitive data
 Data processed on a large scale
 Datasets that have been matched or combined
 Data concerning vulnerable data subjects
 Innovative use or applying technological or organizational solutions
 Data transfer across borders outside the European Union
 When the processing in itself “prevents data subjects from exercising a right or using a
service or a contract”
GDPR compliance
*ARTICLE 29 DATA PROTECTION WORKING PARTY. 17/EN WP 248, 4 April 2017)

Page 20
DPIA (Article 35(7), and recitals 84 and 90)
Indhold - Minimumskrav*:
 En beskrivelse af formål og processerne for den planlagte
behandlingen
 En vurdering af behandlingens nødvendighed og proportionalitet
 Vurdering af risiciene for de registreredes rettigheder og friheder
 Plan for behandling (mitigering) af:
 Risici for datasubjekt
 Non-compliance for organisationen
Name of presentaion
GDPR compliance
* Annex A og side 14, ARTICLE 29 DATA PROTECTION WORKING PARTY. 17/EN WP 248, 4 April 2017

Page 21
Scoping for DPIA analyse
DPIA - FASE 1
DPIA - FASE 2
DPIA - FASE 3
Risikovurdering (datasubjekt og non-
compliance) og mitigeringsplan
DPIA - FASE 4
Implementering af mitigerende
kontroller
GDPR compliance

Page 22
GDPR compliance
DPIA Fase 1 - Analyse af persondata i scope
 Data flow
 Juridiske enheder
 Behandlingshjemmel
 Dataansvarlig
 Databehandlere
 Typer behandlinger, hvordan
opsamles og hvor videregives de til
 Hvor og hvor lang tid gemmes data
 Evt. automatisk profilering

Page 23
GDPR compliance
DPIA Fase 2 - Analyse af kontrolmiljø
(Juridisk)
Opsamling af information om og vurdering
af kontroller for:
 Databehandleraftaler
 Behandlingshjemmel
 Samtykker-erklæringer
 Proportionalitet
 Hvor lang tid opbevares data (evt. anden
lovgivning)
 Kan virksomheden behandle oplysningerne
på en mindre indgribende måde og stadig
opnå formålet?
• interesseafvejning
dataansvarlig-datasubjekt og
eksplicit dokumentation
• kontraktlige forpligtelser,
dokumenteret
• rimelighed/fairness
• gennemsigtighed
• begrænset til et angivet og
legitimt formål
• sikring af at behandling ikke
sker til andre uforenelige formål
• sikring af at der kun behandles
tilstrækkelige, relevante og
nødvendige
• korrekte og ajourførte
• ukorrekte personoplysninger
slettes eller rettes
• kun lagres i en form, hvor
datasubjekt kan identificeres,
hvis nødvendigt

Page 24
GDPR compliance
DPIA Fase 2 - Analyse af kontrolmiljø
(IS og processer)
Opsamling af information om og vurdering af kontroller for:
 Informationssikkerhed og IT
 Informationssikkerhed (fx ISO 27001 og ISO 27002)
 Organisering af IS og sikkerhedskontroller
 Teknisk opfyldelse af rettigheder for datasubjekt
 Opfyldelse af krav til rapportering til myndigheder
 Forretningsprocesser
 Politikker, SOPer, arbejdsinstruktioner og awareness
 Forretningsmæssig opfyldelse af rettigheder for datasubjekt
 Projektstyring
 Politikker, SOPer, arbejdsinstruktioner og awareness

Page 25
GDPR compliance
DPIA Fase 2 - Analyse af kontrolmiljø (IS og processer)
Opsamling af information om og vurdering af kontroller for:
 Informationssikkerhed og IT
 Teknisk opfyldelse af rettigheder for datasubjekt:
 I stand til at slette data inden for den krævede tid også i
backups og hos databehandlere?
 I stand til at levere data inden for den krævede tid og i
de krævede formater?
 Opfyldelse af myndighedskrav til rapportering
 Er der etableret en proces for hændelsesregistrering?
 Er det muligt at rapportere som krævet?
 Er der proces for behandling af indsigelse mod
behandling?

Page 26
GDPR compliance
DPIA Fase 3 - Risikovurdering og overordnet mitigeringsplan
Risikovurdering - Datasubjekt:
 Konsekvensvurdering for datasubjekt
Risikovurdering - Compliance
 GAP-analyse (input fra analyse af kontrolmiljøerne)
 Prioritering af GAPs
Mitigeringsplan (behandlingsplan)
 Estimat af tid og cost for mitigering
DPIA Fase 4 - Implementering af mitigerende kontroller

Page 27
DPIA - FASE 1
DPIA - FASE 2
DPIA - FASE 3
Risikovurdering (datasubjekt og
organisation) og mitigeringsplan
DPIA - FASE 4
Implementering af mitigerende
kontroller
GDPR compliance
I scope - DPIA
ARTICLE 29 DATA PROTECTION WORKING PARTY. 17/EN WP 248, 4 April 2017, Annex 2

Page 28
Sammenhæng med informationssikkerhed
GDPR compliance

Page 29
DPIA Fase 2 analyse af IS kontroller (ISO 27001 ISMS)
GDPR compliance
1. Plan
Leadership and
project approval
Analyze the existing
system
Understanding the
organization
Initiating the ISMS
Scope
Security Policy
Risk Assessment
Statement of
applicability
Communication
Design of controls
and procedures
Document
Management
Organizational
structure
Awareness and
training
Implementation of
controls
Incident
Management
Operations
Management
Monitoring
Measurement
Analysis and
Evaluation
Treatment of
Non-Conformities
2. Do 3. Check 4. Act
Continual
Improvement
Internal Audit
Management
Review

Page 30
GDPR compliance
1. Plan
Leadership and
project approval
Analyze the existing
system
Understanding the
organization
Initiating the ISMS
Scope
Security Policy
Risk Assessment
Statement of
applicability
Communication
Design of controls
and procedures
Document
Management
Organizational
structure
Awareness and
training
Implementation of
controls
Incident
Management
Operations
Management
Monitoring
Measurement
Analysis and
Evaluation
Treatment of
Non-Conformities
2. Do 3. Check 4. Act
Continual
Improvement
Internal Audit
Management
Review
DPIA Fase 2 analyse af IS kontroller (ISO 27001 ISMS)

Page 31
GDPR compliance
For eksempel:
 To Faktor login
 Kryptering
 SIEM System
 Change management
 Patch management
 DLP, IDM
 Awareness træning
 Etc.
DPIA Fase 2 analyse af IS kontroller (ISO 27002 kontroller)

Page 32
GDPR compliance
DPIA Fase 2 analyse af IS kontroller (Dokumentation)

Page 33
Sammenhæng i organisationen
GDPR compliance

Page 34
Informationssikkerhed

Page 35

Page 36

Page 37
Risikostyring
Risikostyring
Ledelsesværktøj - Prioritering
Går forud for sikkerhedsaktiviteter

Page 38
Udfordring: Begrænset ressourser
Brandsikring i centralt
datacenter
Forbedret Malicious
Software beskyttelse
Kapacitets Management
Mekanismer
RBAC Identity
Management system
Forbedret Netværks
Adgangskontrol
Forbedret Server patching
Mekanismer
Dokumentation af nøgle
medarbejderes viden
Forbedret
Beredskabsplaner
Compliance i forhold til
GDPR lovgivning
Forbedret Kontrakt
Management
Fysisk adgangskontrol i
datacenter
Backup / Restore
Forbedringer
Risikostyring

Page 39
Total udbrændt central
Datacenter forårsager tab af
tilgængelighed til alle systemer i
3 dage
Malware kommer ind i
infrastrukturen på en måde der
bryder fortroligheden af de mest
fortrolige data i virksomheden
Tilgængelighed til systemer
mistes i 4 timer grundet
utilstrækkelig kapacitet på
Management Mekanismer
Tab af fortrolighed for vigtige
data grundet utilstrækkelig
Identity Management baseret på
Roller
Tab af fortrolighed for kritisk
information grundet
utilstrækkelig Netværks
Adgangskontrol
Tilgængeligheds-, Integritets- og
Fortroligheds-brud grundet
utilstrækkelig Patching
Nøgle medarbejder mangler til
vigtigt proces information
Forlænget recovery tid (6 timer)
grundet manglende ordentlige
beredskabsplaner
Non-compliance erklæring fra
Datatilsynet i forhold til GDPRs
krav til beskyttelse af følsomme
persondata
Problemer med tredje
part/leverandør grundet mangel
på tilstrækkelig kontraktstyring
Tilgængelighed til centrale
systemer mistes grundet ekstern
persons fysisk tilstædeværelse i
datacenter
24 timers tab af kritiske data
grundet utilstrækkelige backup
og restore mekanismer
Risikostyring – Bygge scenarier

Page 40
Total udbrændt central Datacenter
forårsager tab af tilgængelighed til alle
systemer i 3 dage
SLE: 3.000.000, ARO: 1/50
ALE: 60.000
Malware kommer ind i infrastrukturen
på en måde der bryder fortroligheden
af de mest fortrolige data i
virksomheden
SLE: 1.000.000, ARO: 1/10
ALE: 100.000
Tilgængelighed til systemer mistes i 4
timer grundet utilstrækkelig kapacitet
på Management Mekanismer
SLE: 200.000, ARO: 5
ALE: 1.000.0000
Tab af fortrolighed for vigtige data
grundet utilstrækkelig Identity
Management baseret på Roller
SLE: 100.000, ARO: 3
ALE: 300.000
Tab af fortrolighed for kritisk
information grundet utilstrækkelig
Netværks Adgangskontrol
SLE: 100.000, ARO: 1
ALE: 100.000
SLE: 300.000, ARO: 10
ALE: 3.000.000
Nøgle medarbejder mangler til vigtigt
proces information
SLE: 50.000, ARO: 10
ALE: 500.000
Grundet manglende DRP
SLE: 1mill., ARO 1/5 ALE: 200.000
Datatilsynet i forhold til GDPR krav til
beskyttelse af følsomme persondata
SLE: 75.000.000, ARO: 1/5
ALE: 15.000.000
Problemer med tredje part/leverandør
grundet mangel på tilstrækkelig
kontraktstyring
SLE: 30.000, ARO: 25
ALE: 7.500.000
Tilgængelighed til centrale systemer
mistes grundet ekstern persons fysisk
tilstædeværelse i datacenter
SLE: 300.000, ARO: 1/20
ALE: 15.000
24 timers tab af kritiske data grundet
utilstrækkelige backup og restore
mekanismer
SLE: 500.000, ARO: 1/10
ALE: 50.000
Risikostyring – Konsekvens/sandsynlighed

Page 41
Total udbrændt central Datacenter
forårsager tab af tilgængelighed til alle
systemer i 3 dage
SLE: 3.000.000, ARO: 1/50
ALE: 60.000
Malware kommer ind i infrastrukturen
på en måde der bryder fortroligheden af
de mest fortrolige data i virksomheden
SLE: 1.000.000, ARO: 1/10
ALE: 100.000
Tilgængelighed til systemer mistes i 4
timer grundet utilstrækkelig kapacitet
på Management Mekanismer
SLE: 200.000, ARO: 5
ALE: 1.000.0000
Tab af fortrolighed for vigtige data
grundet utilstrækkelig Identity
Management baseret på Roller
Security
SLE: 100.000, ARO: 3
ALE: 300.000
Tab af fortrolighed for kritisk information
grundet utilstrækkelig Netværks
Adgangskontrol
SLE: 100.000, ARO: 1
ALE: 100.000
SLE: 300.000, ARO: 10
ALE: 3.000.000
Nøgle medarbejder mangler til vigtigt
proces information
SLE: 50.000, ARO:
10
ALE: 500.000
Grundet manglende DRP
SLE: 1mill., ARO 1/5 ALE: 200.000
Datatilsynet i forhold til GDPR krav til
beskyttelse af følsomme persondata
SLE: 75.000.000, ARO: 1/5
ALE: 15.000.000
Problemer med tredje part/leverandør
grundet mangel på tilstrækkelig
kontraktstyring
SLE: 30.000, ARO: 25
ALE: 7.500.000
Tilgængelighed til centrale systemer
mistes grundet ekstern persons fysisk
tilstædeværelse i datacenter
SLE: 300.000, ARO: 1/20
ALE: 15.000
24 timers tab af kritiske data grundet
utilstrækkelige backup og restore
mekanismer
SLE: 500.000, ARO: 1/10
ALE: 50.000
Risikostyring – Prioritering

Page 42
GDPR compliance
Vejledninger og værktøjer
• Article 29, (DATA PROTECTION WORKING PARTY), vejledninger, DPO,
DPIA, etc.
• Dansk Industri (DI's skabelon for Data Protection Impact
Assessment)
• Dansk Industri (Persondataforordningen - Implementering i danske
virksomheder)
• Digitaliseringsstyrelsen (Guide til konsekvensvurdering af
privatlivsbeskyttelse)
• Digitaliseringsstyrelsen (Excelmodel til privatlivsvudering)
• ISO 27001, ISO 27002 og ISO 31000
• Henning Mortensen (Forfatter til Dis vejledninger) https://ao.dk/gdpr-
skabelon. Via Linkedin.
• KL 7.2 Øget sikkerhed og implementering af EU's
databeskyttelsesforordning
• Justitsministeriets betænkning 24. maj 2017

Page 43
Spørgsmål

ACI gdpr præsentation

Recommended

Recommended

More Related Content

Similar to ACI gdpr præsentation

Similar to ACI gdpr præsentation (12)

ACI gdpr præsentation