Retsudvalget 2014-15 (1. samling)
REU Alm.del Bilag 22
Offentligt
1411762_0001.png
Har din virksomhed styr på persondata og
datasikkerhed?
Corporate Counsel Academy| September 2014
Advokat, partner Janne Glæsel,
[email protected]
Advokat Tue Goldschmieding
,
[email protected]
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
 PDF to HTML - Convert PDF files to HTML files
1411762_0002.png
Agenda
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
 PDF to HTML - Convert PDF files to HTML files
1411762_0003.png
Agenda
Agenda
1. Status på Persondataforordningen
2. Hvordan får man styr på compliance og datasikkerhed i praksis?
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
 PDF to HTML - Convert PDF files to HTML files
1411762_0004.png
Status på Persondataforordningen
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
 PDF to HTML - Convert PDF files to HTML files
1411762_0005.png
Status på Persondataforordningen
Status – Persondata reformen
22. januar 2012:
Viviane Reding
”The new rules will help business in three ways. Firstly they create legal certainty. Secondly, they
simplify the regulatory environment. Thirdly, they provide clear rules for international transfers”
25. januar 2012:
Kommissionens forslag til en Persondataforordning
Modernisering
Styrke individets rettigheder (retten til at blive glemt. Lettere adgang til egne data, kontrol med
egne data og større transparens)
Reducerer administrative tiltag – anmeldelser afskaffes
Undtagelser for SME’s (ingen anmeldelser, krav på gebyr ifb. indsigt, ingen Data Protection
Officer, ingen krav om ”Impact Assessment/PIA - risikoanalyse)
Fremme uniformitet og regelsammenhæng i EU - grundrettigheder respekteres
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
5
 PDF to HTML - Convert PDF files to HTML files
1411762_0006.png
Status på Persondataforordningen
Status – Persondata reformen
21. oktober 2013
Parlamentet - LIBE Komiteens vedtagelse af et mandat til at starte forhandlinger med Rådet mhp. at opnå
enighed om reformen før valget i maj 2014
Offentliggørelse af ”Consolidated draft of the Regulation” – skærpelse – bl.a. i relation til samtykke
indenfor forskningsområdet, bevisbyrde, sanktioner mfl.
12. marts 2014
”The European Parliament today cemented the strong support previously given at committee level to the
European commission’s data protection reform …. by voting in plenary with 621 votes in favour, 10 against
and 22 abstentions for the Regulation and 371 votes in favour, 276 against and 30 abstentions for the
Directive). The reports of MEPs Jan-Philipp Albrecht and Dimitrios Droutsas, on which members of the
European Parliament voted, are a strong endorsement of the commission’s data protection reform and an
important signal of progress in the legislative procedure….”
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
6
 PDF to HTML - Convert PDF files to HTML files
1411762_0007.png
Status på Persondataforordningen
Status – Persondata reformen
Parlamentet
Opbakning til ”the architecture and the fundamental principles”
One continent, one law
One-stop-shop – main establishment
The same rules for all companies - regardless of their establishment
“Data protection is about your fundamental right to privacy”
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
7
 PDF to HTML - Convert PDF files to HTML files
1411762_0008.png
Status på Persondataforordningen
Status – Persondata reformen
Ikrafttræden 2 år efter vedtagelse næppe før 2017/18
Fortsat uenighed, særlig om
Direktiv contra Forordning – Parlamentet › Forordning – DK m.fl. ›Direktiv
One-stop-shop
Om offentlige myndigheder skal være omfattet
“Next meeting of Justice Ministers on the data protection reform will take place in June 2014”
Italien har overtaget EU formandskab for 2. halvår 2014 efter Grækenland – Intet nyt!
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
8
 PDF to HTML - Convert PDF files to HTML files
1411762_0009.png
Status på Persondataforordningen
Status – Persondata reformen
Geografisk afgrænsning – Art 3
Gælder ikke kun dataansvarlige og databehandlere i EU også for sådanne uden for EU
Hvis behandling vedrører udbud af varer og tjenesteydelser
Overvågning/tracking af personer i EU
Også uanset betaling eller ej
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
9
 PDF to HTML - Convert PDF files to HTML files
1411762_0010.png
Status på Persondataforordningen
Status – Persondata reformen
Definition af persondata – Art 4
'''Personal Data' means any information relating to an identified or identifiable natural person
('data subject'); an identifiable person is one who can be identified, directly or indirectly, in
particular by reference to an identifier such as a name, an identification number, location data,
unique identifier or to one or more factors specific to the physical, genetic, mental, economic,
cultural or social or gender identity of that person.''
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
10
 PDF to HTML - Convert PDF files to HTML files
1411762_0011.png
Status på Persondataforordningen
Status – Persondata reformen
Særlige kategorier af personoplysninger – Art 9
Forbud mod behandling af bl.a. helbredsoplysninger med mindre
Samtykke
Vital interesse
Egen offentliggørelse
Nødvendig af hensyn til den offentlige interesse
Hvis betingelser i Art 83 er opfyldt – samtykke m.fl.
Kommission – delegerede retsakter
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
11
 PDF to HTML - Convert PDF files to HTML files
1411762_0012.png
Status på Persondataforordningen
Status – Persondata reformen
Data portabilitet– Art 15
Lettere adgang til egne data
Individets ret til sletning af personlige oplysninger – Art 17
Sletning egne data (fra servere, UGC platforme, øvrige platforme)
Retten til at blive glemt er modificeret – tredjemand skal kun informeres om sletning af links,
hvis offentliggørelsen har været uberettiget, men
EU Domstolens afgørelser i Google sagen og om Logningsdirektivet ……..
Profilering – Art 20
Begrænsninger
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
12
 PDF to HTML - Convert PDF files to HTML files
1411762_0013.png
Status på Persondataforordningen
Status – Persondata reformen
Privacy by design – Art 23
Data beskyttelse skal indtænkes fra start i produkter og services
Privacy by default – Art 23
Default settings skal have den mest databeskyttelsesvenlige indstilling
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
13
 PDF to HTML - Convert PDF files to HTML files
1411762_0014.png
Status på Persondataforordningen
Status – Persondata reformen
Datasikkerhed – Art 30
Sikkerhedspolitik
Uddannelse, guidelines
Sikkerhedsforanstaltninger -
fysisk som systemmæssigt
ICO’s guidance on data security
breach management
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
14
 PDF to HTML - Convert PDF files to HTML files
1411762_0015.png
Status på Persondataforordningen
Status – Persondata reformen
Notificering ved sikkerhedsbrud – Art 31-32
Til myndighed
Til datasubjekt - retten til at vide hvornår ens oplysninger er blevet hacket
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
15
 PDF to HTML - Convert PDF files to HTML files
1411762_0016.png
Status på Persondataforordningen
Status – Persondata reformen
Data Protection Officer – Art 35-37
Virksomheder med 250 ansatte og derover eller hvis hovedformål er databehandling
Certificeringsmulighed
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
16
 PDF to HTML - Convert PDF files to HTML files
1411762_0017.png
Status på Persondataforordningen
Status – Persondata reformen
Overførsel til tredjelande – Art 41-44
Krav om ”adequate level of protection”
Binding Corporate Rules
Standard Clauses
Contractual Clause
EU Kommissionens beslutning
Styrkelse af Safe Harbour – 13 forslag
European Data Protection Board
One-stop-shop – Art 54
Hvis virksomheden opererer i flere EU-lande – ”Main establishment”
Personer har klageadgang til lokale DPOs/Tilsyn
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
17
 PDF to HTML - Convert PDF files to HTML files
1411762_0018.png
Status på Persondataforordningen
Status – Persondata reformen
Sanktioner – Art 53 og 79
Stærke sanktionsbeføjelser for myndighederne
Bøde op til 100 mio. Euro eller 5% (3% højere end Kommunionens forslag ) af den årlige
Worldwide omsætning (alt efter hvad der er størst)
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
18
 PDF to HTML - Convert PDF files to HTML files
1411762_0019.png
Hvordan får man styr på compliance og
datasikkerhed i praksis?
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
 PDF to HTML - Convert PDF files to HTML files
1411762_0020.png
Hvordan får man styr på compliance og datasikkerhed i praksis?
Fokus på datasikkerhed
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
 PDF to HTML - Convert PDF files to HTML files
1411762_0021.png
Hvordan får man styr på compliance og datasikkerhed i praksis?
Fokus på datasikkerhed
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
 PDF to HTML - Convert PDF files to HTML files
1411762_0022.png
Hvordan får man styr på compliance og datasikkerhed i praksis?
Hvor går det galt?
Internt i organisationen
Politik og retningslinjer
• Utilstrækkelig beskrivelse af samt
undervisning i sikkerhedsprocedure i
forbindelse med persondatabehandling –
eksempelvis brug og deling af
personoplysninger.
• Manglende fokus på overholdelse af de
persondataretlige regler i forbindelse med
udvikling og markedsføring af nye
produkter og ydelser.
Teknisk sikkerhed
• Manglende kontrol med
sikkerhedsforanstaltninger truffet hos
databehandlere.
• Ubegrænset adgang til oplysninger – dvs.
oplysninger kan tilgås ud over hvad der er
nødvendigt for rolle eller funktion.
Manglende halvårlig kontrol af
medarbejderes autorisationer.
Brug af anonyme bruger-id’er
(testbrugere eller fællesbrugere),
hvorved tilgang og anvendelse af
personoplysninger ikke kan
spores til én fysisk person.
Manglende stikprøvekontrol af
log.
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
 PDF to HTML - Convert PDF files to HTML files
1411762_0023.png
Hvordan får man styr på compliance og datasikkerhed i praksis?
Hvor går det galt?
Menneskelige fejl
Offentliggørelse af
fortrolige eller følsomme
oplysninger på
internettet
- som følge af fejl eller uvidenhed om,
hvad der må offentliggøres, eller
- som følge af utilstrækkelig
anonymisering mv.
Fejl eller uvidenhed i
forbindelse med udsendelse af
e-mails,
F.eks. at der sendes til forkert adresse, at
fortrolige eller følsomme personoplysninger
sendes i ukrypteret e-mail via internettet, eller
at flere modtagere af en e-mail angives i
modtagerfeltet (i en situation, hvor de ikke bør
kende hinandens oplysninger).
Uvedkommende
dokumenter bliver
blandet ind i et system
F.eks. i forbindelse med
udskrivning og/eller afsendelse
(ses både ved elektronisk og
manuel post).
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
 PDF to HTML - Convert PDF files to HTML files
1411762_0024.png
Hvordan får man styr på compliance og datasikkerhed i praksis?
Hvor går det galt?
Utilstrækkelige eller fejlbehæftede it-løsninger
Manglende kryptering
af formularer på
hjemmesider til brug
for fremsendelse af
fortrolige eller
følsomme oplysninger.
Utilstrækkelig
adgangsløsning i
forbindelse med adgang
via internettet til at se
eller indtaste bl.a.
følsomme oplysninger.
Manglende logning eller
problemer med, om de
loggede oplysninger kan
anvendes til at spore,
hvilke oplysninger en
medarbejder har tilgået.
Adgang til for brugeren
uvedkommende
oplysninger som følge
af fejl i it-systemet
Manglende kontrol med
afviste adgangsforsøg.
Uhensigtsmæssig brug
af administratorrolle i
forbindelse med IT-
systemer
September 2014
Har din virksomhed styr på persondata og datasikkerhed?
 PDF to HTML - Convert PDF files to HTML files
1411762_0025.png
Hvordan får man styr på compliance og datasikkerhed i praksis?
Mapping af databehandling og overførsler?
Moderselskab
US
IT leverandør
Cloud service
UK
Intranet
CRM
HR
Kina
ERP
Financeringspartner
Off-shore support
Datterselskab
Datterselskab
Datterselskab
Underleverandør
Underleverandør
Indien
Kunder
Databehandling:
- Behandlingshjemmel
- Anmeldelse
- Tilladelse
- Risikovurdering
- Retningslinjer og uddannelse
- Databehandlingsaftale
- Tredjelandsoverførselsaftale
September 2014
Har din virksomhed styr på persondata og datasikkerhed?
 PDF to HTML - Convert PDF files to HTML files
1411762_0026.png
Hvordan får man styr på compliance og datasikkerhed i praksis?
Risikoanalyse
Compliance Risks
per Business Area
Probability
Risk
Score
Risk
Control
Risk
Control
Assessm
ent
Risk
Control
Score
Measures to be
implemented
Impact
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
26
 PDF to HTML - Convert PDF files to HTML files
1411762_0027.png
Hvordan får man styr på compliance og datasikkerhed i praksis?
Risikoanalyse
Risk Assessment Report
ID
Risk description
Impact
Risk
Probability Assessment
Score
Regulatory requirement
Security measures Risk Control
and Risk Controls Assessment
Risk
Control
Score
Mitigating Action
Repair department
Repair modtager i forbindelse med
reklamation returnerede medier, som kan
være lagret med kundernes personlige
data. Disse data kan være af ret følsom
karakter. Der kan være en risiko for, at
medarbejderne samt tredjemand
(eksempelvis i tilfælde af, at nye
(returnerede) medier videresælges til en
ny tredjemand) får uberettiget kendskab
til disse data.
1
Dette kan medføre væsentlige dårlig
omtale i medier og på sociale tjenester.
3
2
6
Sikkerhedsbekendtgørelsen§ 9; I Der gives kun
forbindelse med reparation og
mundtlige instrukser til
service af dataudstyr, der
medarbejderne om, at
indeholder personoplysninger, der skal slettes, når
samt ved salg og kassation af
medierne modtages.
anvendte datamedier skal der
Der er ikke udarbejdet
træffes de fornødne
retningslinjer på
foranstaltninger for at sikre, at området.
personoplysninger hændeligt
eller ulovligt tilintetgøres,
fortabes eller forringes samt
mod, at de kommer til
uvedkommendes kendskab,
misbruges eller i øvrigt
behandles i strid med loven.
For at sikre at uklarheder omkring
håndteringen ikke forekommer,
anbefales det, at der udarbejdes
interne skriftlige
retningslinier/arbejdsbeskrivelse til
medarbejderne vedrørende
modtagelse af returnerede medier ved
reklamation, herunder krav om
sletning af medierne mv. for at sikre,
at kundernes personlige data på
medierne ikke videregives uberettiget.
Der kan eventuelt indarbejdes en
rapportering i processerne, når mediet
er nulstillet.
4
24
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
27
 PDF to HTML - Convert PDF files to HTML files
1411762_0028.png
Hvordan får man styr på compliance og datasikkerhed i praksis?
Eksempel på en konsekvensanalyse
Risikoanalyse – Art 32-34
Data protection impact assessment (PIA/DPIA)
Konsekvensanalyse (PIA)
1) Beskrivelse af systemet:
-
-
Skal give et omfattende og fyldestgørende billede af det samlede system
Fx visualisering af design, snitflader og informationsstrømme
2) Identifikation af relevante risici
-
-
Identificere omstændigheder, som vil kunne true eller kompromittere personlige data
Vurdering af sandsynligheden for risiciene
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
28
 PDF to HTML - Convert PDF files to HTML files
1411762_0029.png
Hvordan får man styr på compliance og datasikkerhed i praksis?
Eksempel på en konsekvensanalyse
Konsekvensanalyse (PIA)
3) Identifikation af nuværende og foreslåede kontroller:
-
-
-
Kontroller af enten teknisk eller ikke-teknisk karakter
Tekniske kontroller kan være indbygget i systemet gennem design og konfiguration
Ikke-tekniske kontroller er styrings- og driftsmæssige kontroller
4) Dokumentation af dækning og udestående risici
- Resultaterne af risikovurderingen dokumenteres i en PIA rapport
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
29
 PDF to HTML - Convert PDF files to HTML files
1411762_0030.png
Kontakt os
Har din virksomhed styr på persondata og datasikkerhed?
September 2014
 PDF to HTML - Convert PDF files to HTML files
1411762_0031.png
Kontakt os
Kontakt os
Janne Glæsel
[email protected]
D +45 33 41 42 81
M +45 27 80 40 10
Tue Goldschmieding
[email protected]
D +45 33 41 42 03
M +45 24 28 68 75
Carlsberg
September 2014
 PDF to HTML - Convert PDF files to HTML files
1411762_0032.png
Kontakt os
Find os
København
H.C. Andersens Boulevard 12
1553 Copenhagen V
Denmark
T +45 33 41 41 41
F +45 33 41 41 33
Aarhus
Silkeborgvej 2
8000 Aarhus C
Denmark
T +45 86 20 75 00
F +45 86 20 75 99
Online
www.gorrissenfederspiel.com
[email protected]
Har din virksomhed styr på persondata og datasikkerhed?
September 2014