Sikkerhedsbrud – Har du styr på skidtet eller skidt på styret?

Sikkerhedsbrud – Har du styr på skidtet eller skidt på styret?

Teknisk temadag SDN & VDX

BERGEN OSLO

HELSINKI STOCKHOLM

GOTHENBURG

COPENHAGEN MALMO

BRUSSELS

+ 100 seniorkonsulenter inden for Governance,

Risk og Compliance

Hvem er vi?

Thomas Møldrup-Koch Seniorkonsulent og CEO

med speciale i informationssikkerhed og persondatabeskyttelse Sidsel Redke Sørensen

Juridisk konsulent (CIPP/E) med speciale i

persondatabeskyttelse og compliance

Hvad skal vi igennem?

• Formelle krav i

persondataforordningen i forhold til sikkerhedsbrud og logning

• Praktisk tilgang til sikkerhedsbrud og logning

• Q&A

Formelle krav i persondataforordningen i

forhold til sikkerhedsbrud og logning

Hvad er et brud på

persondatasikkerhed?

”Ved begrebet brud på persondatasikkerhed forstås et brud på sikkerheden, der fører til

hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er

transmitteret, opbevaret eller på anden måde

behandlet.”

Anmeldelsespligt til Datatilsynet

Databehandler

Dataansvarlig

Datatilsynet

Uden unødig forsinkelse og senest 72 timer

Sikkerhedsbrud

Når bekendt med

sikkerhedsbrud Uden unødig

forsinkelse

Underretningspligt til den registrerede

Dataansvarlig

Sikkerhedsbrud

Bruddet indebærer en høj risiko

Uden unødig forsinkelse

Den registrerede

Når bekendt med sikkerhedsbrud

Logning i forhold til

sikkerhedsbrud

Praktisk tilgang til sikkerhedsbrud og

logning

Handlingsplan

• Praktisk tilgang

• Konsekvensanalyse (DPIA)

• Risikovurdering

• Logning

Konsevensanalyse (DPIA)

risikovurdering vs.

Risikovurderingen

• Risiko katalog

– Primære aktiver

• Forretningsproces

• Informationsaktiv

– Støtteaktiver (hardware, software, personale, proces etc.)

– Trusler

– Sårbarheder

– Eksisterende kontroller – Konsekvenser

• Trusselssenarie

Output risikovurdering

Trusselsscenarie

• Forretningsorienteret scenarie

• Konsekvens

– For forretningen

• Sandsynlighed

– Estimeret

• Fokus er undgå scenariet

Konsekvensanalyse

• Det er gået galt

• Konsekvens

– For individet

• Konfidentialitet

• Integritet

• Tilgængelighed

• Sandsynlighed

– Estimeret

• Fokus er at begrunde controller og

forebyggende tiltag for at undgå

lækage/datatab etc.

Hvad skal vi logge? Aggregation of information

Spørgsmål?

© Transcendent Group2017

Sidsel Katrine Redke Sørensen Juridisk konsulent (CIPP/E)

+45 6166 3644

srs@transcendentgroup.com

Thomas Møldrup-Koch Senior konsulent & CEO +45 4085 4085

tmk@transcendentgroup.com