Sikkerhedsbrud – Har du styr på skidtet eller skidt på styret?
Teknisk temadag SDN & VDX
BERGEN OSLO
HELSINKI STOCKHOLM
GOTHENBURG
COPENHAGEN MALMO
BRUSSELS
+ 100 seniorkonsulenter inden for Governance,
Risk og Compliance
Hvem er vi?
Thomas Møldrup-Koch Seniorkonsulent og CEO
med speciale i informationssikkerhed og persondatabeskyttelse Sidsel Redke Sørensen
Juridisk konsulent (CIPP/E) med speciale i
persondatabeskyttelse og compliance
Hvad skal vi igennem?
• Formelle krav i
persondataforordningen i forhold til sikkerhedsbrud og logning
• Praktisk tilgang til sikkerhedsbrud og logning
• Q&A
Formelle krav i persondataforordningen i
forhold til sikkerhedsbrud og logning
Hvad er et brud på
persondatasikkerhed?
”Ved begrebet brud på persondatasikkerhed forstås et brud på sikkerheden, der fører til
hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er
transmitteret, opbevaret eller på anden måde
behandlet.”
Anmeldelsespligt til Datatilsynet
Databehandler
Dataansvarlig
Datatilsynet
Uden unødig forsinkelse og senest 72 timer
Sikkerhedsbrud
Når bekendt med
sikkerhedsbrud Uden unødig
forsinkelse
Underretningspligt til den registrerede
Dataansvarlig
Sikkerhedsbrud
Bruddet indebærer en høj risiko
Uden unødig forsinkelse
Den registrerede
Når bekendt med sikkerhedsbrud
Logning i forhold til
sikkerhedsbrud
Praktisk tilgang til sikkerhedsbrud og
logning
Handlingsplan
• Praktisk tilgang
• Konsekvensanalyse (DPIA)
• Risikovurdering
• Logning
Konsevensanalyse (DPIA)
risikovurdering vs.
Risikovurderingen
• Risiko katalog
– Primære aktiver
• Forretningsproces
• Informationsaktiv
– Støtteaktiver (hardware, software, personale, proces etc.)
– Trusler
– Sårbarheder
– Eksisterende kontroller – Konsekvenser
• Trusselssenarie
Output risikovurdering
Trusselsscenarie
• Forretningsorienteret scenarie
• Konsekvens
– For forretningen
• Sandsynlighed
– Estimeret
• Fokus er undgå scenariet
Konsekvensanalyse
• Det er gået galt
• Konsekvens
– For individet
• Konfidentialitet
• Integritet
• Tilgængelighed
• Sandsynlighed
– Estimeret
• Fokus er at begrunde controller og
forebyggende tiltag for at undgå
lækage/datatab etc.
Hvad skal vi logge? Aggregation of information
Spørgsmål?
© Transcendent Group2017
Sidsel Katrine Redke Sørensen Juridisk konsulent (CIPP/E)
+45 6166 3644
srs@transcendentgroup.com
Thomas Møldrup-Koch Senior konsulent & CEO +45 4085 4085
tmk@transcendentgroup.com