1DANVA

14.11.2016

INFORMATIONSSIKKERHED

PERSONDATAFORORDNING PersondataforordningenAgenda

Hvordan kom EU Persondataforordningen på dagsorden i HOFOR

Hvordan forbereder HOFOR sig på at blive compliant

Oplæg til foranalyserapport

Uddrag af HOFORs foranalyserapporten

Finn Asmussen

Chefkonsulent

IT

Direkte: 27 95 46 38

fina@hofor.dk

HOFOR A/S

Ørestads Boulevard 35 2300 København S www.hofor.dk tlf: 33 95 33 95

2DANVA

14.11.2016

INFORMATIONSSIKKERHED

PERSONDATAFORORDNING PersondataforordningenHvordan kom EU Persondataforordningen på dagsorden i HOFOR

- I HOFOR var ledelsen involveret fra starten- Involver ledelsen så hurtigt som muligt

20.08.2015: Invitation til møde med Ernst & Young sendt fra HOFORs Økonomidirektør til IT-chef og IT-sikkerhedsansvarlig med emnet: ”Cybersikkerhed og EU's nye privacy forordning”

09.10.2015: Mødet med Ernst & Young, hvor de præsenterede ”Cyber Modenheds Program”

Dec. 2015: Ordlyden vedtages i EU Parlamentet

Jan. 2016: IT-Sikkerhed udpeges til at koordinere aktiviteterne på tværs i HOFOR efter intern debat blandt funktionslederne i IT, Jura, HR, Kundegruppen og Økonomi

01.02.2016: 1. interne koordineringsmøde afholdes

18.06.2016: Projektkommissorium udarbejdet og vedtaget

3DANVA

14.11.2016

INFORMATIONSSIKKERHED

PERSONDATAFORORDNING PersondataforordningenHvordan forbereder HOFOR sig på at blive compliant

Foranalyse

18.06.2016 31.12.2016 25.05.2018

Gennemførelse

Formålet med projektet er at gøre HOFOR i stand til at efterleve EU Persondataforordningen pr. 25.05.2018.

Projektet er inddelt i 2 faser, en Foranalyse og en Gennemførelse

HOFOR har defineret et projekt

Projektkommissoriet er udarbejdet af en intern arbejdsgruppe i HOFOR bestående af:

Ida Sylvest, jura

Christina Bøje, HR

Mette Ivarsen, Økonomi

Elna Rasmussen, Kundecenter

Susanne Kaa, Kundeprogram

Gert Rigbolt, Kontrakter

Steen Pries og Finn Asmussen, IT Sikkerhed

Bred forankring i organisationen

- Definer et projekt- Projektet skal være bredt forankret

4DANVA

14.11.2016

INFORMATIONSSIKKERHED

PERSONDATAFORORDNING PersondataforordningenProjektkommissorium

Foranalyse: Projektetablering for foranalysen gennemført Begrebsafklaring for væsentlige begreber udarbejdet Oplæg til procedure / rolle og ansvarsfordeling for opfølgning og detailfortolkning af persondataforordningen udarbejdet Vurdering af compliance niveau udarbejdet Liste over informationsaktiver (IT systemer og papirarkiver) med persondata og deres dataansvarlige udarbejdet Krav til dataansvarlige (Proces- og dataejere / systemansvarlige) fastlagt Model for dataklassificering udarbejdet og godkendt Dataklassificering for persondata gennemført Plan for kortlægning af dataflow for persondata udarbejdet Liste over nødvendige politikker, procedurer og regler for håndtering af persondata udarbejdet Liste over kontrakter, hvori der indgår behandling af persondata udarbejdet Krav til databehandleraftale fastlagt Liste over databehandleraftaler udarbejdet Mapning mellem Persondataforordning og IT Sikkerhedsstandarden ISO27001/2 gennemført Vurdering af behov for DPO (Data Protection Officer) udarbejdet Analyserapport med oplæg til projekt- og tidsplan for næste projektfase udarbejdet Analyserapport drøftet i FL Revideret kommissorium for næste projektfase udarbejdet

Projektmål

- Brug tid på at få styr på projektmål

5DANVA

14.11.2016

INFORMATIONSSIKKERHED

PERSONDATAFORORDNING PersondataforordningenDel1: Analyserapport

Indhold af analyserapport kap 1-5

1. Indledning1.1. Baggrund1.2. Ændringer og nyskabelser i forhold til den gældende persondatalov1.3. Persondataforordning og ISO270011.4. Vurdering af nuværende compliance niveau1.5. Kort sammenfatning og anbefalinger1.5.1. Gennemførelsesfasen: Tid, økonomi, kvalitet, risici

2. Persondata i HOFOR2.1. Oplysningskategorier2.1.1. Brug af CPR nummer i HOFOR2.2. Klassifikation af information (ISO27001 8.2.1)2.2.1. Kontroller / regler2.3. Persondata i HOFOR2.4. Plan for kortlægning af dataflow2.5. Elektronisk adgang til personfølsomme data (Access management)2.6. Håndtering af målerdata2.7. Fysisk opbevaring af papir – papirarkiver2.8. HR Data - clean desk policy

3. Databehandleraftaler, kontrakter og samtykke3.1. Eksisterende3.2. Manglende3.3. Skabelon for databehandleraftale3.4. Anvendelse af samtykke i HOFOR

4. Informationsaktiver4.1. Fortegnelse for aktiver (ISO27001 8.1.1)4.2. Liste over informationsaktiver med personindhold4.3. Beskrivelse af løbende vedligehold af informationsaktiver

5. Rolle- og ansvarsfordeling5.1. Data- og procesejer5.2. Systemansvarlig (ISO27001 6.1.1)5.3. Opfølgning og detailfortolkning5.4. Anbefaling vedrørende DPO

- Definer indhold af analyserapport

6DANVA

14.11.2016

INFORMATIONSSIKKERHED

PERSONDATAFORORDNING PersondataforordningenDel1: Analyserapport

Indhold af analyserapport kap 6-14

6. Nødvendige politikker, procedurer og regler6.1. Informationssikkerhedspolitik6.2. Liste over understøttende procedurer, retningslinjer og vejledninger

7. Liste over opgaver

8. Tekniske foranstaltninger8.1. Adgangsstyring8.2. Backup8.3. Logning8.4. Videoovervågning8.5. GPS overvågning

9. Anskaffelse, udvikling og vedligeholdelse af systemer9.1. Informationssikkerhedskrav (ISO27001 14.1.1)9.2. Liste over igangværende projekter med persondata9.3. Beskrivelse af håndtering af igangværende projekter.

10. Awereness og uddannelse (ISO27001 7.2.2)10.1. Awareness10.2. Uddannelse

11. Styring af informationssikkerhedsbrud (ISO27001 kap. 17)

12. Beredskab

13. Datatilsynet13.1. Hvad skriver datatilsynet13.2. Minimumskrav i forbindelse med personaleadministration

14. Oplæg gennemførelsesfasen 01.01.2017 - 30.06.201814.1. Formål14.2. Leverancer14.3. Organisering14.4. Økonomi

- Definer indhold af analyserapport

7DANVA

14.11.2016

INFORMATIONSSIKKERHED

PERSONDATAFORORDNING PersondataforordningenUddrag af analyserapporten: Dataklassificering i HOFOR

• Følsomme personoplysninger. Omfatter helbredsoplysninger, fagforeningsforhold, etnisk tilhørsforhold, religion, sociale forhold, straffeforhold, m.m.

• Almindelige personoplysninger. Indeholder identificerbare oplysninger som f.eks. navn, adresse, e-mail, telefonnumre, fødselsdato, medarbejderID, etc.

• Fortrolige informationer. Oplysninger der har en væsentlig økonomisk eller forvaltningsmæssig værdi for HOFOR, og hvor offentliggørelse vil forårsage væsentlige skade på HOFOR’s image eller økonomi. Det gælder f.eks. visse økonomidata, data om it-infrastruktur, fortrolige forretningsplaner eller udbudsmateriale.

• Interne informationer. Omfatter oplysninger, som ikke indeholder personoplysninger eller fortrolige informationer, men kun er tiltænkt internt brug i HOFOR, og hvor offentliggørelse kun vil forårsage ubetydelig skade på HOFOR’s image eller økonomi, som f.eks. vagtplaner og interne notater.

• Åbne informationer. Omfatter alt hvad der ikke er omfattet af ovenstående som f.eks. alle oplysninger, der er egnet til almen offentliggørelse, åbne dagsordner, kunde og erhvervsinformation.

Klassifikation Adgang Fysisk opbevaring Elektronisk

opbevaring

Fysisk transport Elektronisk

transmission

Følsomme

personoplysninge

r

Meget begrænset

Politik 9.1.1

Låst inde

Politik 11.2.9

Backup

Politik 12.3.1

Sikker kurer

Politik 8.3.3

Krypteret

Politik 10.1.1

Politik 13.2

Almindelige

personoplysninge

r

Meget begrænset

Politik 9.1.1

Låst inde

Politik 11.2.9

Backup

Politik 12.3.1

Sikker kurer

Politik 8.3.3

Krypteret

Politik 10.1.1

Politik 13.2

Fortrolige

informationerMeget begrænset

Politik: 9.1.1

Låst inde

Politik 11.2.9

Backup

Politik 12.3.1

Sikker kurer

Politik 8.3.3

Krypteret

Politik 10.1.1.

Politik 13.2

Interne

informationer

Begrænset adgang

efter behovIngen regler

Backup

Politik 12.3.1Ingen regler Ingen regler

Åbne

informationerAlle Ingen regler

Backup

Politik 12.3.1Ingen regler Ingen regler - Få styr på

dataklassificering

8DANVA

14.11.2016

INFORMATIONSSIKKERHED

PERSONDATAFORORDNING PersondataforordningenUddrag af analyserapporten: Persondata i HOFOR

Kategori EU Persondataforordning -

kunder

EU Persondataforordning -

medarbejdere

EU Persondataforordning -

Eksterne

Almindelige

oplysninger

Personnavn

Adresse

E-mail

Telefonnummer

Målerværdier

Foto

Personnavn

Adresse

E-mail

Telefonnummer

Fødselsdato

Foto

MedarbejderID

Kontonummer

Personlighedstest

Familiemæssige oplysninger

Adgangskontrol

Videoovervågning

GPS Data

Sko- og tøjstørrelse

Personnavn

Adresse

E-mail

Telefonnummer

Straffeattest (?)

Semi-følsomme

oplysninger

Helbredsoplysninger

Fagforeningsforhold ??

CPR-nr. Opbevares for alle

kunder ??

Opbevares for alle

medarbejdere

Kunder – medarbejdere - eksterne

Ved eksterne forstås: Ansøgere, leverandører, rådgivere, etc.

- Analyser persondata i din virksomhed

9DANVA

14.11.2016

INFORMATIONSSIKKERHED

PERSONDATAFORORDNING PersondataforordningenUddrag af analyserapporten: Plan for kortlægning af dataflow

- Brug DIs PIA skabelon

10DANVA

14.11.2016

INFORMATIONSSIKKERHED

PERSONDATAFORORDNING PersondataforordningenUddrag af analyserapporten: Plan for kortlægning af dataflow

- Tilpas PIA skabelon

HOFOR spørgeskema: Kunder

11DANVA

14.11.2016

INFORMATIONSSIKKERHED

PERSONDATAFORORDNING PersondataforordningenUddrag af analyserapporten: Liste over understøttende procedurer, retningslinjer og vejledninger

- Brug DIs vejledning

HOFORInformations-

sikkerhed-politik

Procedurer Vejledninger Retningslinjer Opgaver

Persondataforordningen

Udsnit af ISO27002

Procedurer Retningslinjer

Analyserapporten indeholder en liste over procedurer, vejledninger og retningslinjer, som skal udarbejdes indenfor informationssikkerhed for at kunne overholde persondataforordningen

12DANVA

14.11.2016

INFORMATIONSSIKKERHED

PERSONDATAFORORDNING PersondataforordningenUddrag af analyserapporten: Awareness og uddannelse

1. Indledning2. Styring af informationssikkerhed3. Lederes og medarbejdernes ansvar

4. Årshjul5. Informationssikkerhedspolitikker6. Organisering af informationssikkerhed7. Personalesikkerhed8. Styring af aktiver9. Adgangsstyring10. Kryptografi11. Fysisk sikring og miljøsikring12. Driftssikkerhed13. Kommunikationssikkerhed

14. Anskaffelse, udvikling og vedligeholdelse af systemer15. Leverandørforhold16. Styring af informationssikkerhedsbrud17. Informationssikkerhedsaspekter ved nød-, beredskabs- og

reetableringsstyring18. Overensstemmelse

Uddannelsesprogram skal tilpasses de enkelte arbejdssituationer

Topledelsen (VL)

Funktionsledere (FL)

Øvrige ledere (Afd-chefer, sektionsledere etc.)

IT ledere

IT-Drift

IT-Projekter

HR

Jura

Projektafdeling

Planafdeling

Kundeafdeling

Etc.

På tværs af arbejdet med EU Persondataforordningen ligger der en stor organisatorisk opgave i at uddanne dem, der skal arbejde med persondata. For nogle medarbejdere vil mange af opgaverne være kendte. Men for andre vil opgaverne være nye, og de vil – ligesom ledelsen – være usikre på, hvordan de kan være med til at sikre, at HOFOR lever op til kravene i forordningen.

Medarbejdere i it-afdelingen og i afdelinger, hvor der arbejdes meget med personoplysninger og fortrolige informationer, skal uddannes regelmæssigt i informationssikkerhed. Uddannelsesmaterialet skal jævnligt ajourføres med henblik på nye risici.

Alle medarbejdere skal have kendskab, hvordan HOFOR klassificerer informationer.

Der skal udarbejdes et uddannelsesprogram i informationssikkerhed, som er målrettet de enkelte funktioner. Uddannelsesprogrammet skal bl.a. have fokus på personoplysninger og fortrolige informationer.

- Vær opmærksom på adfærd, awareness og uddannelse

13DANVA

14.11.2016

INFORMATIONSSIKKERHED

PERSONDATAFORORDNING PersondataforordningenISMS Manual 1: Informationssikkerhedspolitikker

Inspiration fra bl.a.:

Kontrollerne i ISO27001 HOFOR’s nuværende politikker Digitaliseringsstyrelsen Dansk Industri Dansk Standard Københavns Kommune Neupart (nu del af KMD) DUBEX persondataforordning kommende bekendtgørelser IT-revisionen plus en række andre

HOFOR’s informationssikkerhedspolitik er inspireret af en række input udefra.

- Se på, hvad andre gør

14DANVA

14.11.2016

INFORMATIONSSIKKERHED

PERSONDATAFORORDNING PersondataforordningenISMS Manual 1: Informationssikkerhedspolitikker

- Personoplysninger favner bredt

Angivelse af, hvor mange steder ordet ”Personoplysninger” forekommer i informationssikkerhedspolitikken

1. Indledning2. Styring af informationssikkerhed3. Lederes og medarbejdernes ansvar4. Årshjul5. Informationssikkerhedspolitikker (1)6. Organisering af informationssikkerhed (7)7. Personalesikkerhed (2)8. Styring af aktiver (5)9. Adgangsstyring (3)10. Kryptografi (2)11. Fysisk sikring og miljøsikring (9)12. Driftssikkerhed (2)13. Kommunikationssikkerhed (3)14. Anskaffelse, udvikling og vedligeholdelse af systemer (6)15. Leverandørforhold (9)16. Styring af informationssikkerhedsbrud17. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring (under udarbejdelse)18. Overensstemmelse (11)

15DANVA

14.11.2016

INFORMATIONSSIKKERHED

PERSONDATAFORORDNING PersondataforordningenTilgængelig litteratur

Persondataforordningen træder i kraft den 25. maj 2018. Denne bog introducerer læseren til disse fælles europæiske regler og principper for behandling af personoplysninger. Bogen – som er forsynet med tjeklister og oversigter – kan benyttes som værktøj for private virksomheder og offentlige myndigheder til at sikre compliance med de nye, skærpede regler.

I bogens specielle del redegøres bl.a. for behandling af personoplysninger i forbindelse med virksomhedsoverdragelser, outsourcing, markedsføring, ansættelsesforhold og nye teknologier, så som cloud computing, internet of things, big data og droner.

Forordningen er optrykt i bogen og derfor altid ved hånden.

- Få inspiration udefra

Sprog: DanskISBN-13: 9788792598424Sideantal: 400Udgivet: 06-09-2016Udgave: 1

Persondataforordningen – en håndbog for praktikere

16DANVA

14.11.2016

INFORMATIONSSIKKERHED

PERSONDATAFORORDNING PersondataforordningenSpørgsmål