Roadmap til håndtering af EU-persondataforordningen Klaus Kongsted, [email protected] Vejle, den 21. maj 2015 DUBEX SECURITY & RISK MANAGEMENT UPDATE 2015 Agenda Hvordan ser det ud i dag? Hvem vedrører forordningen? Skal min organisation gøre noget? - Hvad? - Hvornår? Kan/skal vi forberede os nu? Er der nogle vi kan lære af? Roadmap Hvordan ser det ud i dag? Den nuværende persondatalov • • Fra år 2000, løbende smårevisioner Bunder hovedsaglig i et EU-direktiv • Tre niveauer af personoplysninger • • • • • • Følsomme oplysninger (lovovertrædelser, helbred, seksualitet, religion mm.) Oplysninger om rent private forhold Ikke-følsomme oplysninger Som udgangspunkt anmeldelsespligt for registre Lang række undtagelser Bliver i stort omfang ikke fulgt, sanktioner stærkt begrænsede ... Sanktioner? Den nye forordning, med EU-Parlamentets ændringer • • • • • • Forordning – direkte lovgyldighed i alle lande Ensartede regler i hele EU / EØS samt one-stop myndighedsudøvelse Retten til at få slettet oplysninger (ikke kun til at blive “glemt”) Kun registrering ved aktivt samtykke Ingen forhåndsgodkendelse af registre (til myndighed) Breach Notification • Som udgangspunkt inden for 24 timer • Data Protection Officer (databeskyttelsesansvarlig) • SMV’er som udgangspunkt undtaget (< 250 ansatte) • Obligatorisk Privacy Impact Assesment • SMV’er som udgangspunkt undtaget (< 250 ansatte) • Store bøder (højeste af EUR 100 mio eller 2% / 5% af omsætning) Roadmap EU-Kommisionens oprindelige forslag 25/1-2012 2012 LIBE giver OK EU’s kommite for Borgernes Rettigheder og Retlige og Indre Anliggender (LIBE) giver OK for videre fremdrift 22/10 2013 2013 Høringsrunde Politikere og høringsberretigede organisationer i alle EUlande kunne kommentere 2014 Ministerrådsvedtagelse Helt grundlæggene ændringer kan ikke foretages uden at genstarte processen. 2015 EU-parlamentsvedtagelse 3000+ ændringer. Vedtaget 12/3 2014 2016 Delvis ikræfttrædelse Overgangsordninger på op til to år for visse elementer Endelig, fuld gyldighed Ikke flere overgangsbestemmelser 2017/18 Forberedelse • Forberedelsen starter NU: • Dokumentér databehandlingssystemer • Lav baseline • Log adgang • Kryptér data – også data i transit • Stil krav til tredjeparts-databehandlere • Identificér risikofaktorer • Forbered Data Privacy Impact Assessments • Lav plan for DPO’er • … tag udgangspunkt i ISO 2700x Er vi forberedte? http://www.scmagazineuk.com/infosec-teams-unprepared-for-new-eu-data-protection-laws/article/394614/ Myndighedsudøvelse, jurisdiktion • One-stop myndighedsudøvelse • Organisationerne er som udgangspunkt kun underlagt deres egen nationale datamyndighed • Ikke-EU/EØS-virksomheder, der udbyder varer/ydelser til EU-borgere/virksomheder, er også underlagt. Også ”gratis”-ydelser! Lobby-arbejde fra landene - eksempel Hvis nogen stadig skulle være i tvivl om hvem der bestemmer i EU: Lobby-arbejde fra landene - eksempel Hvis nogen stadig skulle være i tvivl om hvem der bestemmer i EU: Data Protection Officers • Refererer direkte til ledelsen • Udpeget for fire år, beskyttet mod afskedigelse (sammenligneligt med sikkerhedsrepræsentanter) • • • • • • … eksternt sourcede dog to år SMV’er (< 250 ansatte) kun hvis databehandling er kernevirksomhed * … dog alle offentlige myndigheder Få lande har i dag tvungne DPO’er – Tyskland er tættest på Formentlig ofte ekstern Find dem snart – der bliver rift om dem! *: Og/eller behandler over 5000 data-subjekter/år Hvem er DPO’erne? • Skal have ekspertkendskab til: • Relevant lovgivning (Data Protection Act) • Databeskyttelse • Privacy Assesments • … hvor mange har den kombination? • Må ikke have ”interessekonflikter” (?) • • • • • • Ansvarlig for forordningens overholdelse i organisationen Point-of-contact for data-subjekter og myndigheder Ansvarlig for procedurer, risikovurderinger, dokumentation, DPIA mm. Klageansvarlig Ansvarlig over for revision Potentielt under strafansvar Informeret samtykke og right-to-be-erased Informeret samtykke • Eksplicit samtykke for registrering • Som udgangspunkt en rettighed for borgeren • Ikke kun opt-out • Kræver i praksis formentlig afkrydsningsbokse eller lignende • Breach Notification-krav (se senere) Right to be erased • EU-Parlamentets udvidelse fra ”right-to-be-forgotten” • EU-domstolen har yderligere stadfæstet princippet • Naturligvis ikke absolut (kriminalregistre etc.) • Som udgangspunkt en rettighed for borgeren • Store konsekvenser – tænk på gamle backups • … Og så har borgerne ret til at få deres data flyttet til anden udbyder (”Right to data portability”) Breach Notification • • • • Inden for 24 timer (under visse omstændigheder 72) Også hvis data ligger hos tredjepart Både til myndigheder og berørte borgere Krav til mængden af information • Tidspunkt • Karakter af lækket data • Hvor mange entiteter der er omfattet • Undtagelser – hvis det kan påvises data er ubrugelige (effektivt krypterede) • Overstiger allerede vedtagne krav til TelCos • Ligner eksisterende krav i Tyskland og Frankrig • Kræver i praksis effektive loghåndteringssystemer og IAM • Kræver i praksis 7x24 beredskab – eget eller SOC-leverandør Data Protection Impact Assessment • Ofte kaldet ”Privacy Impact Assessment” (PIA) • Obligatorisk – når der er ”særlige risici” • Erstatter anmeldelsespligten til national myndighed • SMV’er (< 250 ansatte) kun hvis databehandling er kernevirksomhed * • Offentlige myndigheder undtaget, hvis behandlingen er et EU-krav • Risikobaseret tilgang – ledelsen burde juble • Der findes en del frameworks tilgængelige • Vigtigt at få sat i system, og integreret del af projektplaner *: Og/eller behandler over 5000 data-subjekter/år Hvad indeholder en (D)PIA? • Risikovurdering – med udgangspunkt i datasubjekterne! • Dokumentation • Organisatoriske foranstaltninger • Tekniske foranstaltninger • Compliance – i forhold til forordningen • Evt. høring af datasubjekter • Evt. høring af myndigheder (ved forøget risiko) • Evt. foretagen begrænsning af risici • Konsekvensanalyser • Yderligere dokumentationskrav uden for (D)PIA • Formål • Kontaktoplysninger • Evt. tilladelser/hjemmel • Klageadgang • Kontrolforanstaltninger • Subjekttyper, datatyper, modtagere, sletningskrav, evt. overførsler PIA frameworks - eksempler Yderligere henvisninger • Fact-sheet om EU-Parlamentets ændringer til Kommissionens forslag http://ec.europa.eu/justice/dataprotection/files/factsheets/factsheet_dp_plenary_vote_14031 2_en.pdf • Samlet oversigt over Parlamentets ændringer og Ministerrådets nuværende positioner (tungt!) http://www.statewatch.org/news/2015/apr/eu-council-dp-reg4column-2015.pdf • DI ITEK’s skabelon for Privacy Impact Assessment http://itek.di.dk/SiteCollectionDocuments/Vejledninger/DI's% 20skabelon%20for%20Privacy%20Impact%20Assessment.p df Tak! Kontakt [email protected] for yderligere information
© Copyright 2024