Ny betænkning fra Justitsministeriet om Databeskyttelsesforordningen

Den 24. maj kom betænkningen (nr. 1565) fra Justitsministeriet om Databeskyttelsesforordningen i form at 1.100+ sider, der omhandler oplægget til det danske lovforslag som skal erstatte den eksisterende persondatalov. Dette lovforslag forventes fremsat i folketinget til efteråret.

Du kan finde mere om dette forslag på følgende link: samt hente betænkningens to bind på:

Bind 1, del 1: http://justitsministeriet.dk/sites/default/files/media/Pressemeddelelser/pdf/2017/betaenkning_nr._1565_del_i_bind_1.pdf

Bind 1, del 2: http://justitsministeriet.dk/sites/default/files/media/Pressemeddelelser/pdf/2017/betaenkning_nr._1565_del_i_bind_2.pdf

Der kommer desuden vejledninger til en række specifikke emner i den nye forordning som du kan ser her   

Vi koncentrerer os i denne artikel mest om A32 – Behandlingssikkerhed og A33-34 – Notifikationspligten. Vejledningerne til disse punkter forventes at udkomme i december 2017 (A32) og januar 2018 (A33-34).

Det er som sædvanligt småt med detaljer om praktiske tiltag hvad angår A32-34, men følgende kan uddrages af betænkningen:

  • Behandlingssikkerheden bør hvile på principperne i ISO27001 som alle statslige myndigheder skal følge og alle offentlige myndigheder bør følge. (Her henviser vi til ISO27002 og til CIS 20 Critical Security Controls. Det er vigtigt at få foretaget en GAP analyse for at finde ud af hvor langt din organisation er fra disse standarder og hvad der skal gøre for at leve op til kontrollerne i ISO27002 og/eller 20 CSC).
  • Det anbefales at støtte sig til ISO 29134 Privacy Impact Assessment. (Vi kan anbefale at du kigger på PIA på www.nymity.com)
  • Behandlingssikkerhed A32 stykke 1, litra D: A32, stykke 1, Litra d: Det sigtes hermed til f.eks. med jævne mellemrum at teste/afprøve, vurdere og evaluere - alt afhængigt af om det er relevant - firewalls, krypterede forbindelser, krypterede lagringer, foranstaltninger imod forsøg på overbelastnings-angreb (DDos), foranstaltninger imod forsøg på at gætte adgangsgivende faktorer (Brute force), adgangskontrol, brugeradministrationsprocessen og meget andet (ISO27001 A.17.1.1-17.1.3)

 

Behandlingssikkerhed bør omfatte nogle eller alle af følgende elementer:

  • Fysisk sikkerhed
  • Organisatoriske forhold
  • Systemtekniske forhold
  • Uddannelse og instruktion (Fx.Wombat Security for uddannelse af brugerne og awareness træning. Se mere på www.draware.dk)
  • Sikring af bygninger og lokaler
  • Formel autorisation af brugerne
  • Adgangskoder (Her anbefaler vi ManageEngine Password Manager Pro. Se mere på www.draware.dk)
  • Benyttelsesstatistik
  • Transaktionslogning (Her anbefaler vi et log management system som fx Correlog eller EventTracker. Se mere på www.draware.dk)
  • Registrering af uautoriserede adgangsforsøg (se bemærkning ovenfor)
  • Kryptering
  • Regler for udskrifter
  • Regler for destruktion
  • Uddannelse samt tilsyn

 

Der henvises til Justitsministeriets sikkerheds-bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger (https://www.retsinformation.dk/forms/r0710.aspx?id=842) og Datatilsynets vejledning nr. 37 af 2. april 2001 (https://www.retsinformation.dk/Forms/R0710.aspx?id=1002). Desuden henvises til "Cyberforsvar der virker" offentliggjort via digitaliseringsstyrelse og center for cyber sikkerhed hos forsvarets efterretningstjeneste opdateret i januar 2017 (https://www.digst.dk/Informationssikkerhed/Cyber-og-informationssikkerhed/Cyberforsvar-der-virker).

Meget af dette materiale er jo ret gammelt så vi anbefaler at følge vejledningen på Center for Internet Security (20 Critical Security Controls – www.cisecurity.org) og holde sig orienteret ved at søge på Google og finde ”Mandiant M-Trends”, ”Verizon Databreach Investigations” samt NIST ” Framework for Improving Critical Infrastructure Cybersecurity”

Notifikationspligten er nærmere omtalt på side 490 i betænkningen og her er det vigtigt at pointere at der sigtes til en 2-dels oplysningspligt:

  • Den første er en ”straks oplysning” der skal indgives så snart det er blevet bekræftet at der virkelig er tale om en sikkerhedsbrist som involverer personfølsomme data
  • Og den anden som SENEST skal indgives 72 timers efter bristen er opdaget og indeholde følgende detaljer:
  • Databristens karakter
  • Hvilke og hvor mange personfølsomme data er berørt
  • Hvilke konsekvenser har databristen for datasubjektet
  • Hvad har organisationen gjort/vil gøre for at mindske skadevirkningerne af databristen for datasubjektet
  • Hvad har organisationen gjort/vil gøre for at forhindre at denne databrist sker igen
  • Indberetning skal ske til Erhvervsstyrelsen via www.virk.dk
    • Kendelse: https://vimeo.com/185130265
    • Teknisk forsvar: https://vimeo.com/185129438
    • Leverandør: https://vimeo.com/185129439
    • Beredskab: https://vimeo.com/185129437
    • Medarbejder: https://vimeo.com/185129436
  • Eksempler på brud på persondatasikkerheden nævnes på side 493
  • Definitionen på om der er sket en sikkerhedsbrist listes på side 494

Notifikationspligten direkte mod datasubjektet (A34 stykke 2) skal indeholde:

  • Navn og kontaktoplysninger for DPO eller et andet kontaktpunkt
  • Beskrivelse af de sandsynlige konsekvenser bruddet på persondatasikkerheden
  • Beskrivelse af de foranstaltninger som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondata sikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse mulige skadevirkninger