Retsudvalget 2014-15 (1. samling)
REU Alm.del Bilag 60
Offentligt
1419804_0001.png
Privacy og databeskyttelse
– en ledelses opgave med sund fornuft
Charlotte Pedersen
12. November 2014
 PDF to HTML - Convert PDF files to HTML files
1419804_0002.png
Charlotte Pedersen
Director
Cand.scient.pol.
CIS LA, CIS 2013 UP, CIIP, CISM, CRISC, CGEIT mv.
Medlem af S411 hos Dansk Standard
Cyber Risk Services
Telefon: 20 85 35 42
Mail:
[email protected]
Kernekompetencer:
• Cyber Security Management – informationssikkerhedsledelse (ISO2700x),
risikoanalyse, politik, governance
• Privacy – analyse, strategi og rapportering vedr. personoplysninger
• Proces- og implementeringskonsulent
• Kommunikation og awareness aktiviteter
• Risikostyring, mål- og resultatstyring
• Projektledelse - forandringsledelse
2
© 2014 Deloitte
 PDF to HTML - Convert PDF files to HTML files
1419804_0003.png
Databeskyttelse er en ledelsesdisciplin
Tekniske krav?
Ikke underkende de tekniske muligheder – og udfordringer
Forebyggende tekniske kontroller er en forudsætning
For ensidigt fokus på tekniske kontroller forhindrer databeskyttelse på
direktions – og ledelsesgangen
• Forudsætning for vedvarende forandringer og implementering i
organisationerne er ledelsesforankring
• Databeskyttelse er en ledelsesdisciplin – måske ny for nogen
3
© 2014 Deloitte
 PDF to HTML - Convert PDF files to HTML files
1419804_0004.png
Ledelse
• Prioritering – valg og fravalg på et oplyst grundlag
• Ansvarlighed – stå til ansvar for
• Efterleve lovgivning, andre vedtagne spilleregler og accepterede værdier –
ordentlighed f.eks.
• Ledelse baseret på kontekst analyse – aldrig med bind for øjnene
• Evne til at nå fastlagt mål – finansielle og ikke-finansielle
• Risici – negativt og positivt – trusler og muligheder
• FIT – risiko for tab af tilgængelighed, integritet og fortrolighed
• Forebyggende handlinger er i sidste ende bedre og billigere – end opdagende,
undskyldende og genetablerende handlinger
Rigtig meget sund fornuft
4
© 2014 Deloitte
 PDF to HTML - Convert PDF files to HTML files
1419804_0005.png
Ledelsesværktøjer – hjælp til virksomhederne
• ISO27001:2013 – best practise – ramme for informationssikkerhedsstyring. Nye
udgave af standarden har fokus på ledelsesforankring og risikostyring
• Information om tekniske mulige løsninger
• Formidling af trusselsbilleder og risikoprofiler
• Formidling af vejledninger og eksempler
• Deling af viden om sikkerhedshændelser
• Vejledning og information til ledere på ikke teknisk sprog
• Vi har en salgs- og kommunikationsopgave
5
© 2014 Deloitte
 PDF to HTML - Convert PDF files to HTML files
1419804_0006.png
Privacy vs. sikkerheds paradokset
Privacy
Stærk privacy forudsætter beskyttelse af
borgerens/brugerens identitet fra uautoriseret adgang og
brug
Individuel privacy
og privatlivets fred
Identity
management og
uafviselighed
Sikkerhed
Stærk sikkerhed forudsætter at brugerens identitet er
knyttet til deres adfærd for at kunne tillade autoriseret
adgang, uafviselighed og styring af adgang til data
Sikkerhed er nødvendig for privacy, men jo stærkere den enkeltes identitet
er knyttet til deres adfærd – des større trusse for den enkeltes privacy
© 2014 Deloitte
6
 PDF to HTML - Convert PDF files to HTML files
1419804_0007.png
Fremadrettet rejse – det hårde arbejde
Trusselsbilledet ændrer sig
Nye sikkerhedshændelser offentliggøres hver dag – også i Danmark
Ikke et spørgsmål om – om man bliver ramt – men om hvornår. Fokus på minimering af
risiko og beredskab til den dag - det sker
EU-forordningen om databeskyttelse på vej – indeholder både sikkerheds – og privacy
krav
Sikkerhed handler ikke kun om teknik
Privacy/privatlivets fred er ikke kun jura og politik
Tværfaglig opgaveløsning – forudsætter en flerhed af kompetencer
Databeskyttelse og sikkerhed er en risiko som skal indgå i ledelsesopgaven
© 2014 Deloitte
7
 PDF to HTML - Convert PDF files to HTML files
1419804_0008.png
10 skridt på vejen til forordningen
Politik for behandling af
personoplysninger og
privatlivets fred
Program for
awareness
Program for
håndtering af
datasubjekters
rettigheder
© 2014 Deloitte
Program for
anmeldelse af
sikkerhedsbrud
Program for måling og
kontrol
Muligheder for
Pist.. Start med at
overholde gældende
anvendelse af Privacy
lovgivning
Enhancing Technologies
– PET
7
8
1
2
3
4
5
6
9
Dataklassifikation –
relation til
kerneforretningen
Data flow analyse – hvor
er persondata
Privacy politik til on-line
medier
Program for
databeskyttelsesansvarlig
10
8
 PDF to HTML - Convert PDF files to HTML files
1419804_0009.png
Om Deloitte
Deloitte leverer ydelser indenfor Revision, Skat, Consulting og Financial Advisory til både offentlige og private virksomheder i en lang række brancher. Vores globale
netværk med medlemsfirmaer i mere end 150 lande sikrer, at vi kan stille stærke kompetencer til rådighed og yde service af højeste kvalitet, når vi skal hjælpe vores
kunder med at løse deres mest komplekse forretningsmæssige udfordringer. Deloittes ca. 200.000 medarbejdere arbejder målrettet efter at sætte den højeste
standard.
Deloitte Touche Tohmatsu Limited
Deloitte er en betegnelse for Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar, og dets netværk af medlemsfirmaer. Hvert
medlemsfirma udgør en separat og uafhængig juridisk enhed. Vi henviser til www.deloitte.com/about for en udførlig beskrivelse af den juridiske struktur i Deloitte
Touche Tohmatsu Limited og dets medlemsfirmaer.