6. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 6
GDPR lovgivning
Scoping
Er vi underlagt GDPR?
Skal vi have en DPO?
Skal vi lave DPIA?
ARTICLE 29 DATA PROTECTION WORKING PARTY. 17/EN WP 248, 4 April 2017
ARTICLE 29 DATA PROTECTION WORKING PARTY. 16/EN WP 243 rev 1, 13. december 2016, rev. 5. april 2107
7. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 7
GDPR lovgivning
• Behandling af persondata
Kategorier
Behandlinger
Dataansvarlighed
Databehandlere
Retligt grundlag
Principper for behandling
Underlagt hvilket tilsyn
8. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 8
GDPR lovgivning
Kategorier af persondata
• Almindelige personoplysninger
• Navn, adresse, e-mail, telefon/mobil, fødselsdato, familiestatus,
uddannelsen, eksamener, tjenstlige forhold, bolig, bil, løn, skat,
ip-adr., adfærd, køb, lokation mv.
• Strafferetlige forhold.
• CPR-nr. eller andet nationalt identifikationsnummer.
• Følsomme personoplysninger
• Race, etnisk oprindelse, politisk, religiøs eller filosofisk
overbevisning,
• fagforeningsmæssigt tilhørsforhold, genetisk/biometriske forhold,
helbredsoplysninger, oplysninger om seksuelle forhold eller
seksuel orientering.
9. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 9
GDPR lovgivning
Principper
• Dokumenterede behandlinger (ikke for under 250 ansatte)
• retligt grundlag, samtykke
• interesseafvejning dataansvarlig-datasubjekt og eksplicit dokumentation
• kontraktlige forpligtelser, dokumenteret
• rimelighed/fairness og gennemsigtighed
• begrænset til et angivet og legitimt formål
• sikring af at behandling ikke sker til andre uforenelige formål
• sikring af at der kun behandles tilstrækkelige, relevante og nødvendige
korrekte og ajourførte
• ukorrekte personoplysninger slettes eller rettes
• kun lagres i en form, hvor datasubjekt kan identificeres, hvis nødvendigt
• fornødne tekniske og organisatoriske sikkerhedsforanstaltninger (sikret
fortrolighed, integritet og tilgængelighed)
10. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 10
GDPR lovgivning
De registreredes rettigheder
Den dataansvarlige virksomhed skal sikre at:
• Datasubjekt kan udøve rettigheder
• Besvare henvendelser indenfor en måned
• tilvejebringe oplysninger om behandlinger (data,
behandlingsformålet, retsgrundlaget, lagring, videregivelse,
Rettigheder, etc.)
• Retning, sletning eller begrænsning
• Rettelse eller sletning til tredjeparter
• Levere oplysninger i struktureret, almindeligt anvendt og
maskinlæsbart format
• Håndtere indsigelse mod behandling
• Ikke foretages profilering uden udtrykkeligt samtykke
11. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 11
GDPR lovgivning
Virksomhedens forpligtelser -1
Den dataansvarlige har ansvaret for at:
• Efterleve og dokumentere efterlevelse
• Fastlægge databeskyttelsespolitikker, -procedurer og kontroller
• Implementere tekniske og organisatoriske sikkerhedsforanstaltninger
der understøtter forordningens principper
• Etablere særlige designkrav
• Sikre databehandlerne har implementeret fornødne sikkerhed og ikke
bruger underdatabehandlere uden godkendelse
• Databehandlere kun behandler personoplysninger efter instruktion fra
den dataansvarlige, med de samme krav som for dataansvarlig
• Dokumentere ansvarlig, behandlere, formål, overførsler,
sikkerhedstiltag, behandlingsaktiviteter, etc. (Glæder også i rollen som
databehandler)
• Gennemføre en risikoanalyse og på den baggrund iværksætte
passende tekniske og organisatoriske sikkerhedstiltag (skal inkludere
kryptering og pseudonymisering)
12. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 12
GDPR lovgivning
Virksomhedens forpligtelser -2
Den dataansvarlige har ansvaret for at:
• Data kan genskabes indenfor rimelig tid
• Sikkerhedstiltag skal testes og evalueres
• Medarbejdere hos dataansvarlige og data- behandlere må kun
behandle personoplysninger efter instruks
• Have procedurer for at kunne meddele databrud indenfor 72 timer til
datatilsyn
• Indsamle dokumentation (forensics) af databruddet
• Databehandlere, som opdager et databrud, skal straks orientere den
dataansvarlige
• Ved høj risiko, skal datasubjekter orienteres om bruddet
• Hvis konsekvensanalysen indikerer høj risiko skal der foretages
anmeldelse til Datatilsynet og foretages DPIA
• Gennemføre en konsekvensanalyse for datasubjekt
• Overveje, om der skal udpeges en databeskyttelsesrådgiver (DPO)
14. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 14
Uden for scope:
Scoping, documentation og forklaring af non-scope
Løbende overvågning/scoping
Sikre sig at der ikke sættes gang i behandling af persondata uden
screening/scoping
Projektstyring SOP (default design)
IS Anskaffelse og Udvikling SOP (default design)
IS Change SOP (default design)
GDPR compliance
15. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 15
Scoping for persondata (Screening)
FASE 1
Analyse af persondata i scope
FASE 2
Analyse af kontrolmiljø i scope
FASE 3
Gap-analyse
FASE 4
Implementering af kontroller for
dækning af gaps
GDPR compliance
Hvis persondata
16. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 16
GDPR lovgivning
GDPR compliance – Lite
• Kortlægning og dokumentation
• Behandlinger og formål
• Lovlighed,
• Samtykke, databehandleraftaler
• Sikre efterkommelse af datasubjekts rettigheder
• Sikring af data
• Default design, projekt
• Politikker og procedurer
17. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 17
I scope for DPO – Data Protection Officer
Organisationer som både er dataansvarlige og databehandlere
Offentlige myndigheder
Kerneaktivitet kræver regelmæssig og systematisk monitorering
Kerneaktivitet omfattende behandling af følsomme personoplysninger
Alle organisationer bør forankre arbejdet hos en ansvarlig
Koncern kan udpege én fælles DPO
GDPR compliance
ARTICLE 29 DATA PROTECTION WORKING PARTY. 16/EN WP 243 rev 1, 13. december 2016, rev. 5. april 2107
18. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 18
I scope for DPIA - Data Protection Impact Assessment
Article 35.
Where a processing is:
“likely to result in a high risk”*
“likely to result in a high risk to
the rights and freedoms of
natural persons”*
GDPR compliance
*ARTICLE 29 DATA PROTECTION WORKING PARTY. 17/EN WP 248, 4 April 2017
I form af generisk*:
i større organisationer
fra leverandører
I brancher
19. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 19
DPIA Hvornår?
Examples*:
Evaluation or scoring, including profiling and predicting
Automated-decision making with legal or similar significant effect
Systematic monitoring
Sensitive data
Data processed on a large scale
Datasets that have been matched or combined
Data concerning vulnerable data subjects
Innovative use or applying technological or organizational solutions
Data transfer across borders outside the European Union
When the processing in itself “prevents data subjects from exercising a right or using a
service or a contract”
GDPR compliance
*ARTICLE 29 DATA PROTECTION WORKING PARTY. 17/EN WP 248, 4 April 2017)
20. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 20
DPIA (Article 35(7), and recitals 84 and 90)
Indhold - Minimumskrav*:
En beskrivelse af formål og processerne for den planlagte
behandlingen
En vurdering af behandlingens nødvendighed og proportionalitet
Vurdering af risiciene for de registreredes rettigheder og friheder
Plan for behandling (mitigering) af:
Risici for datasubjekt
Non-compliance for organisationen
Name of presentaion
GDPR compliance
* Annex A og side 14, ARTICLE 29 DATA PROTECTION WORKING PARTY. 17/EN WP 248, 4 April 2017
21. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 21
Scoping for DPIA analyse
DPIA - FASE 1
Analyse af persondata i scope
DPIA - FASE 2
Analyse af kontrolmiljø i scope
DPIA - FASE 3
Risikovurdering (datasubjekt og non-
compliance) og mitigeringsplan
DPIA - FASE 4
Implementering af mitigerende
kontroller
GDPR compliance
22. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 22
GDPR compliance
DPIA Fase 1 - Analyse af persondata i scope
Data flow
Juridiske enheder
Behandlingshjemmel
Dataansvarlig
Databehandlere
Typer behandlinger, hvordan
opsamles og hvor videregives de til
Hvor og hvor lang tid gemmes data
Evt. automatisk profilering
23. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 23
GDPR compliance
DPIA Fase 2 - Analyse af kontrolmiljø
(Juridisk)
Opsamling af information om og vurdering
af kontroller for:
Databehandleraftaler
Behandlingshjemmel
Samtykker-erklæringer
Proportionalitet
Hvor lang tid opbevares data (evt. anden
lovgivning)
Kan virksomheden behandle oplysningerne
på en mindre indgribende måde og stadig
opnå formålet?
• interesseafvejning
dataansvarlig-datasubjekt og
eksplicit dokumentation
• kontraktlige forpligtelser,
dokumenteret
• rimelighed/fairness
• gennemsigtighed
• begrænset til et angivet og
legitimt formål
• sikring af at behandling ikke
sker til andre uforenelige formål
• sikring af at der kun behandles
tilstrækkelige, relevante og
nødvendige
• korrekte og ajourførte
• ukorrekte personoplysninger
slettes eller rettes
• kun lagres i en form, hvor
datasubjekt kan identificeres,
hvis nødvendigt
24. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 24
GDPR compliance
DPIA Fase 2 - Analyse af kontrolmiljø
(IS og processer)
Opsamling af information om og vurdering af kontroller for:
Informationssikkerhed og IT
Informationssikkerhed (fx ISO 27001 og ISO 27002)
Organisering af IS og sikkerhedskontroller
Teknisk opfyldelse af rettigheder for datasubjekt
Opfyldelse af krav til rapportering til myndigheder
Forretningsprocesser
Politikker, SOPer, arbejdsinstruktioner og awareness
Forretningsmæssig opfyldelse af rettigheder for datasubjekt
Projektstyring
Politikker, SOPer, arbejdsinstruktioner og awareness
25. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 25
GDPR compliance
DPIA Fase 2 - Analyse af kontrolmiljø (IS og processer)
Opsamling af information om og vurdering af kontroller for:
Informationssikkerhed og IT
Teknisk opfyldelse af rettigheder for datasubjekt:
I stand til at slette data inden for den krævede tid også i
backups og hos databehandlere?
I stand til at levere data inden for den krævede tid og i
de krævede formater?
Opfyldelse af myndighedskrav til rapportering
Er der etableret en proces for hændelsesregistrering?
Er det muligt at rapportere som krævet?
Er der proces for behandling af indsigelse mod
behandling?
26. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 26
GDPR compliance
DPIA Fase 3 - Risikovurdering og overordnet mitigeringsplan
Risikovurdering - Datasubjekt:
Konsekvensvurdering for datasubjekt
Risikovurdering - Compliance
GAP-analyse (input fra analyse af kontrolmiljøerne)
Prioritering af GAPs
Mitigeringsplan (behandlingsplan)
Estimat af tid og cost for mitigering
DPIA Fase 4 - Implementering af mitigerende kontroller
27. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 27
DPIA - FASE 1
Analyse af persondata i scope
DPIA - FASE 2
Analyse af kontrolmiljø i scope
DPIA - FASE 3
Risikovurdering (datasubjekt og
organisation) og mitigeringsplan
DPIA - FASE 4
Implementering af mitigerende
kontroller
GDPR compliance
I scope - DPIA
ARTICLE 29 DATA PROTECTION WORKING PARTY. 17/EN WP 248, 4 April 2017, Annex 2
28. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 28
Sammenhæng med informationssikkerhed
GDPR compliance
29. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 29
DPIA Fase 2 analyse af IS kontroller (ISO 27001 ISMS)
GDPR compliance
1. Plan
Leadership and
project approval
Analyze the existing
system
Understanding the
organization
Initiating the ISMS
Scope
Security Policy
Risk Assessment
Statement of
applicability
Communication
Design of controls
and procedures
Document
Management
Organizational
structure
Awareness and
training
Implementation of
controls
Incident
Management
Operations
Management
Monitoring
Measurement
Analysis and
Evaluation
Treatment of
Non-Conformities
2. Do 3. Check 4. Act
Continual
Improvement
Internal Audit
Management
Review
30. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 30
GDPR compliance
1. Plan
Leadership and
project approval
Analyze the existing
system
Understanding the
organization
Initiating the ISMS
Scope
Security Policy
Risk Assessment
Statement of
applicability
Communication
Design of controls
and procedures
Document
Management
Organizational
structure
Awareness and
training
Implementation of
controls
Incident
Management
Operations
Management
Monitoring
Measurement
Analysis and
Evaluation
Treatment of
Non-Conformities
2. Do 3. Check 4. Act
Continual
Improvement
Internal Audit
Management
Review
DPIA Fase 2 analyse af IS kontroller (ISO 27001 ISMS)
31. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 31
GDPR compliance
For eksempel:
To Faktor login
Kryptering
SIEM System
Change management
Patch management
DLP, IDM
Awareness træning
Etc.
DPIA Fase 2 analyse af IS kontroller (ISO 27002 kontroller)
32. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 32
GDPR compliance
DPIA Fase 2 analyse af IS kontroller (Dokumentation)
33. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 33
Sammenhæng i organisationen
GDPR compliance
34. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 34
Informationssikkerhed
35. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 35
Informationssikkerhed
36. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 36
Informationssikkerhed
37. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 37
Risikostyring
Risikostyring
Ledelsesværktøj - Prioritering
Går forud for sikkerhedsaktiviteter
38. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 38
Udfordring: Begrænset ressourser
Brandsikring i centralt
datacenter
Forbedret Malicious
Software beskyttelse
Kapacitets Management
Mekanismer
RBAC Identity
Management system
Forbedret Netværks
Adgangskontrol
Forbedret Server patching
Mekanismer
Dokumentation af nøgle
medarbejderes viden
Forbedret
Beredskabsplaner
Compliance i forhold til
GDPR lovgivning
Forbedret Kontrakt
Management
Fysisk adgangskontrol i
datacenter
Backup / Restore
Forbedringer
Risikostyring
39. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 39
Total udbrændt central
Datacenter forårsager tab af
tilgængelighed til alle systemer i
3 dage
Malware kommer ind i
infrastrukturen på en måde der
bryder fortroligheden af de mest
fortrolige data i virksomheden
Tilgængelighed til systemer
mistes i 4 timer grundet
utilstrækkelig kapacitet på
Management Mekanismer
Tab af fortrolighed for vigtige
data grundet utilstrækkelig
Identity Management baseret på
Roller
Tab af fortrolighed for kritisk
information grundet
utilstrækkelig Netværks
Adgangskontrol
Tilgængeligheds-, Integritets- og
Fortroligheds-brud grundet
utilstrækkelig Patching
Nøgle medarbejder mangler til
vigtigt proces information
Forlænget recovery tid (6 timer)
grundet manglende ordentlige
beredskabsplaner
Non-compliance erklæring fra
Datatilsynet i forhold til GDPRs
krav til beskyttelse af følsomme
persondata
Problemer med tredje
part/leverandør grundet mangel
på tilstrækkelig kontraktstyring
Tilgængelighed til centrale
systemer mistes grundet ekstern
persons fysisk tilstædeværelse i
datacenter
24 timers tab af kritiske data
grundet utilstrækkelige backup
og restore mekanismer
Risikostyring – Bygge scenarier
40. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 40
Total udbrændt central Datacenter
forårsager tab af tilgængelighed til alle
systemer i 3 dage
SLE: 3.000.000, ARO: 1/50
ALE: 60.000
Malware kommer ind i infrastrukturen
på en måde der bryder fortroligheden
af de mest fortrolige data i
virksomheden
SLE: 1.000.000, ARO: 1/10
ALE: 100.000
Tilgængelighed til systemer mistes i 4
timer grundet utilstrækkelig kapacitet
på Management Mekanismer
SLE: 200.000, ARO: 5
ALE: 1.000.0000
Tab af fortrolighed for vigtige data
grundet utilstrækkelig Identity
Management baseret på Roller
SLE: 100.000, ARO: 3
ALE: 300.000
Tab af fortrolighed for kritisk
information grundet utilstrækkelig
Netværks Adgangskontrol
SLE: 100.000, ARO: 1
ALE: 100.000
Tilgængeligheds-, Integritets- og
Fortroligheds-brud grundet
utilstrækkelig Patching
SLE: 300.000, ARO: 10
ALE: 3.000.000
Nøgle medarbejder mangler til vigtigt
proces information
SLE: 50.000, ARO: 10
ALE: 500.000
Forlænget recovery tid (6 timer)
Grundet manglende DRP
SLE: 1mill., ARO 1/5 ALE: 200.000
Non-compliance erklæring fra
Datatilsynet i forhold til GDPR krav til
beskyttelse af følsomme persondata
SLE: 75.000.000, ARO: 1/5
ALE: 15.000.000
Problemer med tredje part/leverandør
grundet mangel på tilstrækkelig
kontraktstyring
SLE: 30.000, ARO: 25
ALE: 7.500.000
Tilgængelighed til centrale systemer
mistes grundet ekstern persons fysisk
tilstædeværelse i datacenter
SLE: 300.000, ARO: 1/20
ALE: 15.000
24 timers tab af kritiske data grundet
utilstrækkelige backup og restore
mekanismer
SLE: 500.000, ARO: 1/10
ALE: 50.000
Risikostyring – Konsekvens/sandsynlighed
41. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 41
Total udbrændt central Datacenter
forårsager tab af tilgængelighed til alle
systemer i 3 dage
SLE: 3.000.000, ARO: 1/50
ALE: 60.000
Malware kommer ind i infrastrukturen
på en måde der bryder fortroligheden af
de mest fortrolige data i virksomheden
SLE: 1.000.000, ARO: 1/10
ALE: 100.000
Tilgængelighed til systemer mistes i 4
timer grundet utilstrækkelig kapacitet
på Management Mekanismer
SLE: 200.000, ARO: 5
ALE: 1.000.0000
Tab af fortrolighed for vigtige data
grundet utilstrækkelig Identity
Management baseret på Roller
Security
SLE: 100.000, ARO: 3
ALE: 300.000
Tab af fortrolighed for kritisk information
grundet utilstrækkelig Netværks
Adgangskontrol
SLE: 100.000, ARO: 1
ALE: 100.000
Tilgængeligheds-, Integritets- og
Fortroligheds-brud grundet
utilstrækkelig Patching
SLE: 300.000, ARO: 10
ALE: 3.000.000
Nøgle medarbejder mangler til vigtigt
proces information
SLE: 50.000, ARO:
10
ALE: 500.000
Forlænget recovery tid (6 timer)
Grundet manglende DRP
SLE: 1mill., ARO 1/5 ALE: 200.000
Non-compliance erklæring fra
Datatilsynet i forhold til GDPR krav til
beskyttelse af følsomme persondata
SLE: 75.000.000, ARO: 1/5
ALE: 15.000.000
Problemer med tredje part/leverandør
grundet mangel på tilstrækkelig
kontraktstyring
SLE: 30.000, ARO: 25
ALE: 7.500.000
Tilgængelighed til centrale systemer
mistes grundet ekstern persons fysisk
tilstædeværelse i datacenter
SLE: 300.000, ARO: 1/20
ALE: 15.000
24 timers tab af kritiske data grundet
utilstrækkelige backup og restore
mekanismer
SLE: 500.000, ARO: 1/10
ALE: 50.000
Risikostyring – Prioritering
42. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 42
GDPR compliance
Vejledninger og værktøjer
• Article 29, (DATA PROTECTION WORKING PARTY), vejledninger, DPO,
DPIA, etc.
• Dansk Industri (DI's skabelon for Data Protection Impact
Assessment)
• Dansk Industri (Persondataforordningen - Implementering i danske
virksomheder)
• Digitaliseringsstyrelsen (Guide til konsekvensvurdering af
privatlivsbeskyttelse)
• Digitaliseringsstyrelsen (Excelmodel til privatlivsvudering)
• ISO 27001, ISO 27002 og ISO 31000
• Henning Mortensen (Forfatter til Dis vejledninger) https://ao.dk/gdpr-
skabelon. Via Linkedin.
• KL 7.2 Øget sikkerhed og implementering af EU's
databeskyttelsesforordning
• Justitsministeriets betænkning 24. maj 2017
43. ACI A/S · Esromgade 15 · 2200 København N · www.acias.dk
Page 43
Spørgsmål