Post on 28-Sep-2020
1DANVA
14.11.2016
INFORMATIONSSIKKERHED
PERSONDATAFORORDNING PersondataforordningenAgenda
Hvordan kom EU Persondataforordningen på dagsorden i HOFOR
Hvordan forbereder HOFOR sig på at blive compliant
Oplæg til foranalyserapport
Uddrag af HOFORs foranalyserapporten
Finn Asmussen
Chefkonsulent
IT
Direkte: 27 95 46 38
fina@hofor.dk
HOFOR A/S
Ørestads Boulevard 35 2300 København S www.hofor.dk tlf: 33 95 33 95
2DANVA
14.11.2016
INFORMATIONSSIKKERHED
PERSONDATAFORORDNING PersondataforordningenHvordan kom EU Persondataforordningen på dagsorden i HOFOR
- I HOFOR var ledelsen involveret fra starten- Involver ledelsen så hurtigt som muligt
20.08.2015: Invitation til møde med Ernst & Young sendt fra HOFORs Økonomidirektør til IT-chef og IT-sikkerhedsansvarlig med emnet: ”Cybersikkerhed og EU's nye privacy forordning”
09.10.2015: Mødet med Ernst & Young, hvor de præsenterede ”Cyber Modenheds Program”
Dec. 2015: Ordlyden vedtages i EU Parlamentet
Jan. 2016: IT-Sikkerhed udpeges til at koordinere aktiviteterne på tværs i HOFOR efter intern debat blandt funktionslederne i IT, Jura, HR, Kundegruppen og Økonomi
01.02.2016: 1. interne koordineringsmøde afholdes
18.06.2016: Projektkommissorium udarbejdet og vedtaget
3DANVA
14.11.2016
INFORMATIONSSIKKERHED
PERSONDATAFORORDNING PersondataforordningenHvordan forbereder HOFOR sig på at blive compliant
Foranalyse
18.06.2016 31.12.2016 25.05.2018
Gennemførelse
Formålet med projektet er at gøre HOFOR i stand til at efterleve EU Persondataforordningen pr. 25.05.2018.
Projektet er inddelt i 2 faser, en Foranalyse og en Gennemførelse
HOFOR har defineret et projekt
Projektkommissoriet er udarbejdet af en intern arbejdsgruppe i HOFOR bestående af:
Ida Sylvest, jura
Christina Bøje, HR
Mette Ivarsen, Økonomi
Elna Rasmussen, Kundecenter
Susanne Kaa, Kundeprogram
Gert Rigbolt, Kontrakter
Steen Pries og Finn Asmussen, IT Sikkerhed
Bred forankring i organisationen
- Definer et projekt- Projektet skal være bredt forankret
4DANVA
14.11.2016
INFORMATIONSSIKKERHED
PERSONDATAFORORDNING PersondataforordningenProjektkommissorium
Foranalyse: Projektetablering for foranalysen gennemført Begrebsafklaring for væsentlige begreber udarbejdet Oplæg til procedure / rolle og ansvarsfordeling for opfølgning og detailfortolkning af persondataforordningen udarbejdet Vurdering af compliance niveau udarbejdet Liste over informationsaktiver (IT systemer og papirarkiver) med persondata og deres dataansvarlige udarbejdet Krav til dataansvarlige (Proces- og dataejere / systemansvarlige) fastlagt Model for dataklassificering udarbejdet og godkendt Dataklassificering for persondata gennemført Plan for kortlægning af dataflow for persondata udarbejdet Liste over nødvendige politikker, procedurer og regler for håndtering af persondata udarbejdet Liste over kontrakter, hvori der indgår behandling af persondata udarbejdet Krav til databehandleraftale fastlagt Liste over databehandleraftaler udarbejdet Mapning mellem Persondataforordning og IT Sikkerhedsstandarden ISO27001/2 gennemført Vurdering af behov for DPO (Data Protection Officer) udarbejdet Analyserapport med oplæg til projekt- og tidsplan for næste projektfase udarbejdet Analyserapport drøftet i FL Revideret kommissorium for næste projektfase udarbejdet
Projektmål
- Brug tid på at få styr på projektmål
5DANVA
14.11.2016
INFORMATIONSSIKKERHED
PERSONDATAFORORDNING PersondataforordningenDel1: Analyserapport
Indhold af analyserapport kap 1-5
1. Indledning1.1. Baggrund1.2. Ændringer og nyskabelser i forhold til den gældende persondatalov1.3. Persondataforordning og ISO270011.4. Vurdering af nuværende compliance niveau1.5. Kort sammenfatning og anbefalinger1.5.1. Gennemførelsesfasen: Tid, økonomi, kvalitet, risici
2. Persondata i HOFOR2.1. Oplysningskategorier2.1.1. Brug af CPR nummer i HOFOR2.2. Klassifikation af information (ISO27001 8.2.1)2.2.1. Kontroller / regler2.3. Persondata i HOFOR2.4. Plan for kortlægning af dataflow2.5. Elektronisk adgang til personfølsomme data (Access management)2.6. Håndtering af målerdata2.7. Fysisk opbevaring af papir – papirarkiver2.8. HR Data - clean desk policy
3. Databehandleraftaler, kontrakter og samtykke3.1. Eksisterende3.2. Manglende3.3. Skabelon for databehandleraftale3.4. Anvendelse af samtykke i HOFOR
4. Informationsaktiver4.1. Fortegnelse for aktiver (ISO27001 8.1.1)4.2. Liste over informationsaktiver med personindhold4.3. Beskrivelse af løbende vedligehold af informationsaktiver
5. Rolle- og ansvarsfordeling5.1. Data- og procesejer5.2. Systemansvarlig (ISO27001 6.1.1)5.3. Opfølgning og detailfortolkning5.4. Anbefaling vedrørende DPO
- Definer indhold af analyserapport
6DANVA
14.11.2016
INFORMATIONSSIKKERHED
PERSONDATAFORORDNING PersondataforordningenDel1: Analyserapport
Indhold af analyserapport kap 6-14
6. Nødvendige politikker, procedurer og regler6.1. Informationssikkerhedspolitik6.2. Liste over understøttende procedurer, retningslinjer og vejledninger
7. Liste over opgaver
8. Tekniske foranstaltninger8.1. Adgangsstyring8.2. Backup8.3. Logning8.4. Videoovervågning8.5. GPS overvågning
9. Anskaffelse, udvikling og vedligeholdelse af systemer9.1. Informationssikkerhedskrav (ISO27001 14.1.1)9.2. Liste over igangværende projekter med persondata9.3. Beskrivelse af håndtering af igangværende projekter.
10. Awereness og uddannelse (ISO27001 7.2.2)10.1. Awareness10.2. Uddannelse
11. Styring af informationssikkerhedsbrud (ISO27001 kap. 17)
12. Beredskab
13. Datatilsynet13.1. Hvad skriver datatilsynet13.2. Minimumskrav i forbindelse med personaleadministration
14. Oplæg gennemførelsesfasen 01.01.2017 - 30.06.201814.1. Formål14.2. Leverancer14.3. Organisering14.4. Økonomi
- Definer indhold af analyserapport
7DANVA
14.11.2016
INFORMATIONSSIKKERHED
PERSONDATAFORORDNING PersondataforordningenUddrag af analyserapporten: Dataklassificering i HOFOR
• Følsomme personoplysninger. Omfatter helbredsoplysninger, fagforeningsforhold, etnisk tilhørsforhold, religion, sociale forhold, straffeforhold, m.m.
• Almindelige personoplysninger. Indeholder identificerbare oplysninger som f.eks. navn, adresse, e-mail, telefonnumre, fødselsdato, medarbejderID, etc.
• Fortrolige informationer. Oplysninger der har en væsentlig økonomisk eller forvaltningsmæssig værdi for HOFOR, og hvor offentliggørelse vil forårsage væsentlige skade på HOFOR’s image eller økonomi. Det gælder f.eks. visse økonomidata, data om it-infrastruktur, fortrolige forretningsplaner eller udbudsmateriale.
• Interne informationer. Omfatter oplysninger, som ikke indeholder personoplysninger eller fortrolige informationer, men kun er tiltænkt internt brug i HOFOR, og hvor offentliggørelse kun vil forårsage ubetydelig skade på HOFOR’s image eller økonomi, som f.eks. vagtplaner og interne notater.
• Åbne informationer. Omfatter alt hvad der ikke er omfattet af ovenstående som f.eks. alle oplysninger, der er egnet til almen offentliggørelse, åbne dagsordner, kunde og erhvervsinformation.
Klassifikation Adgang Fysisk opbevaring Elektronisk
opbevaring
Fysisk transport Elektronisk
transmission
Følsomme
personoplysninge
r
Meget begrænset
Politik 9.1.1
Låst inde
Politik 11.2.9
Backup
Politik 12.3.1
Sikker kurer
Politik 8.3.3
Krypteret
Politik 10.1.1
Politik 13.2
Almindelige
personoplysninge
r
Meget begrænset
Politik 9.1.1
Låst inde
Politik 11.2.9
Backup
Politik 12.3.1
Sikker kurer
Politik 8.3.3
Krypteret
Politik 10.1.1
Politik 13.2
Fortrolige
informationerMeget begrænset
Politik: 9.1.1
Låst inde
Politik 11.2.9
Backup
Politik 12.3.1
Sikker kurer
Politik 8.3.3
Krypteret
Politik 10.1.1.
Politik 13.2
Interne
informationer
Begrænset adgang
efter behovIngen regler
Backup
Politik 12.3.1Ingen regler Ingen regler
Åbne
informationerAlle Ingen regler
Backup
Politik 12.3.1Ingen regler Ingen regler - Få styr på
dataklassificering
8DANVA
14.11.2016
INFORMATIONSSIKKERHED
PERSONDATAFORORDNING PersondataforordningenUddrag af analyserapporten: Persondata i HOFOR
Kategori EU Persondataforordning -
kunder
EU Persondataforordning -
medarbejdere
EU Persondataforordning -
Eksterne
Almindelige
oplysninger
Personnavn
Adresse
Telefonnummer
Målerværdier
Foto
Personnavn
Adresse
Telefonnummer
Fødselsdato
Foto
MedarbejderID
Kontonummer
Personlighedstest
Familiemæssige oplysninger
Adgangskontrol
Videoovervågning
GPS Data
Sko- og tøjstørrelse
Personnavn
Adresse
Telefonnummer
Straffeattest (?)
Semi-følsomme
oplysninger
Helbredsoplysninger
Fagforeningsforhold ??
CPR-nr. Opbevares for alle
kunder ??
Opbevares for alle
medarbejdere
Kunder – medarbejdere - eksterne
Ved eksterne forstås: Ansøgere, leverandører, rådgivere, etc.
- Analyser persondata i din virksomhed
9DANVA
14.11.2016
INFORMATIONSSIKKERHED
PERSONDATAFORORDNING PersondataforordningenUddrag af analyserapporten: Plan for kortlægning af dataflow
- Brug DIs PIA skabelon
10DANVA
14.11.2016
INFORMATIONSSIKKERHED
PERSONDATAFORORDNING PersondataforordningenUddrag af analyserapporten: Plan for kortlægning af dataflow
- Tilpas PIA skabelon
HOFOR spørgeskema: Kunder
11DANVA
14.11.2016
INFORMATIONSSIKKERHED
PERSONDATAFORORDNING PersondataforordningenUddrag af analyserapporten: Liste over understøttende procedurer, retningslinjer og vejledninger
- Brug DIs vejledning
HOFORInformations-
sikkerhed-politik
Procedurer Vejledninger Retningslinjer Opgaver
Persondataforordningen
Udsnit af ISO27002
Procedurer Retningslinjer
Analyserapporten indeholder en liste over procedurer, vejledninger og retningslinjer, som skal udarbejdes indenfor informationssikkerhed for at kunne overholde persondataforordningen
12DANVA
14.11.2016
INFORMATIONSSIKKERHED
PERSONDATAFORORDNING PersondataforordningenUddrag af analyserapporten: Awareness og uddannelse
1. Indledning2. Styring af informationssikkerhed3. Lederes og medarbejdernes ansvar
4. Årshjul5. Informationssikkerhedspolitikker6. Organisering af informationssikkerhed7. Personalesikkerhed8. Styring af aktiver9. Adgangsstyring10. Kryptografi11. Fysisk sikring og miljøsikring12. Driftssikkerhed13. Kommunikationssikkerhed
14. Anskaffelse, udvikling og vedligeholdelse af systemer15. Leverandørforhold16. Styring af informationssikkerhedsbrud17. Informationssikkerhedsaspekter ved nød-, beredskabs- og
reetableringsstyring18. Overensstemmelse
Uddannelsesprogram skal tilpasses de enkelte arbejdssituationer
Topledelsen (VL)
Funktionsledere (FL)
Øvrige ledere (Afd-chefer, sektionsledere etc.)
IT ledere
IT-Drift
IT-Projekter
HR
Jura
Projektafdeling
Planafdeling
Kundeafdeling
Etc.
På tværs af arbejdet med EU Persondataforordningen ligger der en stor organisatorisk opgave i at uddanne dem, der skal arbejde med persondata. For nogle medarbejdere vil mange af opgaverne være kendte. Men for andre vil opgaverne være nye, og de vil – ligesom ledelsen – være usikre på, hvordan de kan være med til at sikre, at HOFOR lever op til kravene i forordningen.
Medarbejdere i it-afdelingen og i afdelinger, hvor der arbejdes meget med personoplysninger og fortrolige informationer, skal uddannes regelmæssigt i informationssikkerhed. Uddannelsesmaterialet skal jævnligt ajourføres med henblik på nye risici.
Alle medarbejdere skal have kendskab, hvordan HOFOR klassificerer informationer.
Der skal udarbejdes et uddannelsesprogram i informationssikkerhed, som er målrettet de enkelte funktioner. Uddannelsesprogrammet skal bl.a. have fokus på personoplysninger og fortrolige informationer.
- Vær opmærksom på adfærd, awareness og uddannelse
13DANVA
14.11.2016
INFORMATIONSSIKKERHED
PERSONDATAFORORDNING PersondataforordningenISMS Manual 1: Informationssikkerhedspolitikker
Inspiration fra bl.a.:
Kontrollerne i ISO27001 HOFOR’s nuværende politikker Digitaliseringsstyrelsen Dansk Industri Dansk Standard Københavns Kommune Neupart (nu del af KMD) DUBEX persondataforordning kommende bekendtgørelser IT-revisionen plus en række andre
HOFOR’s informationssikkerhedspolitik er inspireret af en række input udefra.
- Se på, hvad andre gør
14DANVA
14.11.2016
INFORMATIONSSIKKERHED
PERSONDATAFORORDNING PersondataforordningenISMS Manual 1: Informationssikkerhedspolitikker
- Personoplysninger favner bredt
Angivelse af, hvor mange steder ordet ”Personoplysninger” forekommer i informationssikkerhedspolitikken
1. Indledning2. Styring af informationssikkerhed3. Lederes og medarbejdernes ansvar4. Årshjul5. Informationssikkerhedspolitikker (1)6. Organisering af informationssikkerhed (7)7. Personalesikkerhed (2)8. Styring af aktiver (5)9. Adgangsstyring (3)10. Kryptografi (2)11. Fysisk sikring og miljøsikring (9)12. Driftssikkerhed (2)13. Kommunikationssikkerhed (3)14. Anskaffelse, udvikling og vedligeholdelse af systemer (6)15. Leverandørforhold (9)16. Styring af informationssikkerhedsbrud17. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring (under udarbejdelse)18. Overensstemmelse (11)
15DANVA
14.11.2016
INFORMATIONSSIKKERHED
PERSONDATAFORORDNING PersondataforordningenTilgængelig litteratur
Persondataforordningen træder i kraft den 25. maj 2018. Denne bog introducerer læseren til disse fælles europæiske regler og principper for behandling af personoplysninger. Bogen – som er forsynet med tjeklister og oversigter – kan benyttes som værktøj for private virksomheder og offentlige myndigheder til at sikre compliance med de nye, skærpede regler.
I bogens specielle del redegøres bl.a. for behandling af personoplysninger i forbindelse med virksomhedsoverdragelser, outsourcing, markedsføring, ansættelsesforhold og nye teknologier, så som cloud computing, internet of things, big data og droner.
Forordningen er optrykt i bogen og derfor altid ved hånden.
- Få inspiration udefra
Sprog: DanskISBN-13: 9788792598424Sideantal: 400Udgivet: 06-09-2016Udgave: 1
Persondataforordningen – en håndbog for praktikere
16DANVA
14.11.2016
INFORMATIONSSIKKERHED
PERSONDATAFORORDNING PersondataforordningenSpørgsmål