Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

VUCHosting Revisorerklæring og persondata

Offentliggjort afMagnus Simonsen Redigeret for ca. et år siden

Lignende præsentationer

Præsentationer af emnet: "VUCHosting Revisorerklæring og persondata"— Præsentationens transcript:

1 VUCHosting Revisorerklæring og persondata
5. september 2016

2 Agenda VUCHostings revisorerklæring Persondata

3 Sektion 1: VUCHostings revisorerklæring

4 Hvad er it-revision? Revisionsstandard ISAE 3402-I eller II
Udgangspunkt i anerkendt struktur – ISO 27001/2 Kontrollernes udformning, implementering og evt. effektivitet Gennemgang (dokumentation, stikprøver) af forskellige kontrolområder, fx Driftssikkerhed Organisering af informationssikkerhed Dokumentation Netværkssikkerhed, patch Osv. Afgives én gang om året Resulterer i en revisorerklæring, der kan leveres videre i systemet Til finansiel revisor Til ledelsen Til kunder

5 Hvad er ISAE 3402? ISAE = International Standard on Assurance Engagements International standard for revisorerklæringer Billede af den generelle tilstand i it-organisationen Laves på baggrund af anerkendt struktur, fx ISO27001/2 eller ITIL Øjebliksbillede (3402-I) eller periode (3402-II)

6 Hvad ligger til grund for erklæringen?
Krav om revisorerklæring for VUCHostings drift Vi har revideret VUCHostings forhold op mod en ISO-standard for styring af informationssikkerhed – ISO 27001/2

7 Hvad er ISO 27001/2? Internationalt regelsæt for styring af it-sikkerhed 18 kontrolområder med tilhørende underområder Opstiller konkrete regler og kontroller Eksempel:

8 Opbygning af erklæringen
Afsnit 1: VUCHostings ledelseserklæring Introduktion og bekræftelse Afsnit 2: VUCHostings kontrolbeskrivelse Kontroller baseret på ISO 2700x Det, vi reviderer Afsnit 3: Uafhængig revisors erklæring Konklusion af vores revision Evt. afsnit 4: Observationer (type 2-erklæringer) Skema over gennemgåede kontrolområder Detaljerede resultater af vores gennemgang

9 Hvad betyder erklæringen?
Dokumenterer, om der er orden i sagerne God it-skik Overholdelse af lovkrav Erklæring fra CSC (LUDUS) og VUCHosting = I lever op til kravene i bekendtgørelsen om studieadministrative systemer

10 Hvad er persondata?

11 Persondata – helt basalt
Lovgivning om korrekt håndtering af data og databeskyttelse Meget omtalt for tiden, da ændringer til lovgivningen er på vej

12 Definitioner Personoplysninger
enhver form for information om en identificeret eller identificérbar fysisk person Behandling enhver aktivitet eller række af aktiviteter som personoplysninger eller en samling af personoplysninger gøres til genstand for, fx indsamling, opbevaring eller tilpasning Dataansvarlig en fysisk eller juridisk person der alene eller sammen med andre afgør til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger Databehandler en fysisk eller juridisk person eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne

13 Der kommer en ny persondataforordning

14 Nu et direktiv – snart kommer der en forordning
Forordninger En "forordning" er en bindende retsakt. Det skal følges i alle enkeltheder i hele EU. Direktiver Et "direktiv" er en retsakt, der fastsætter et mål, som EU-landene skal opnå. Det er dog op til de enkelte lande at lave deres egne love for, hvordan disse mål skal opnås.

15 Hvad og hvornår? Nuværende persondatalov Et EU-direktiv fra 1995
Implementeret i dansk lovgivning i 2000 Kommende persondataregler En EU-forordning, dog med 51 muligheder for national lovgivning Justitsministeriet har nedsat en task force, der senest i Q skal have en holdning (tolkning) ift. national lovgivning Får virkning d. 25. maj 2018

16 Nøgleord fra den nye forordning
Persondataloven og persondataforordningen er ikke så forskellige Store bøder Helt op til 20 mio. eller op til 4 % af virksomhedens globale omsætning Retten til at blive glemt Eksisterer allerede i den nuværende persondatalov Kan man komme i fængsel? Ja, og det kan man allerede nu

17 Nøgleord fra den nye forordning
DPO Skal vi have en? Dataportabilitet (retten til at blive flyttet) Accountability – dokumentationskrav I skal kunne dokumentere, at I overholder persondataforordningen Anmeldelse af datasikkerhedsbrud I bør have retningslinjer for rapportering til Datatilsynet

18 Hvor er data?

19 Data er overalt Internt Medarbejderes enheder Cloud-løsninger Backup
Ekstern leverandørs leverandørs leverandørs…

20 Data er overalt Mobile enheder PC’en Smartphone Tablet USB-nøgler
Printere og scannere Mails Slettede mails Fildelingstjenester (DropBox, Office 365) Papirer og dokumenter

21 Mennesker er den største fjende
Op mod 90 % af alle sikkerhedsbrud skyldes mennesker Alt skal være hurtigt og effektivt Bruger privat mail til at opbevare data Bruger privat fildeling til at opbevare data Sender data til alle, der beder om det Bedste råd er løbende awareness-træning Tænk jer godt om, når I arbejder med persondata Giv medarbejderne gode og sikre alternativer til fildeling og opbevaring

22 Databehandler og dataansvarlig

23 Hvem har ansvaret? Dataansvarlig Har altid et ansvar Databehandler
En kontraktuel forpligtelse

24 Rollen som dataansvarlig
Krav til kontrakt Dokumentation af fortegnelser og dataflow ”Fremtid Databehandler” Instrukser Procedurer Samtykke med den registrerede (person) Kontrol Erklæring Egenkontrol

25 Rollen som dataansvarlig - fortsat
Databehandleraftaler Anmelde brud på persondatasikkerheden, 72 timer Skal kunne påvise, at behandling er i overensstemmelse med forordningen Revisorerklæring/mulighed for certificering Godkendte adfærdskodeks DPO?

26 Rollen som databehandler
Kende type af dataansvarliges data Få styr på jeres sælgere Databehandlers databehandler (underdatabehandler) Godkendes af dataansvarlig Samme forpligtelser, ellers hænger databehandler på den Skal kunne påvise, at behandling er i overensstemmelse med forordning Revisorerklæring/mulighed for certificering, artikel 42 Godkendte adfærdskodeks, artikel 40

27 Rollen som databehandler - fortsat
Pligter: Alene behandle efter instruks Fortrolighed blandt medarbejdere Gøre dataansvarlig opmærksom på evt. mangler Tilbagelevere/slette data ved ophør af aftale Rapportere lækager Dokumentation af fortegnelser og dataflow Revisionsspor Tekniske og organisatoriske foranstaltninger for sikkerhedsniveau

28 Konsekvenser nu og i fremtiden

29 Konsekvenser nu - eksempler
Rigspolitiet havde et særdeles utilstrækkeligt sikkerhedsniveau omkring Schengen-informationssystemet – Datatilsynet udtaler kritik Dagbladet Aktuelt fulgte ikke procedurerne i persondatalovens procedurer for markedsføring af Politiken og den efterfølgende videregivelse af Aktuelts kunderegister til Politiken – bødeforlæg på kr.

30 Sanktioner efter 25. maj 2018 Bøder KAN gives efter højeste fællesnævner med følgende beløb Op til 10 mio. Euro eller 2 % af virksomhedens globale omsætning Op til 20 mio. Euro eller 4 % af virksomhedens globale omsætning

31 Hvad vil der blive lagt vægt på?
Hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt Eventuelle foranstaltninger, der er truffet af den dataansvarlige eller databehandleren for at begrænse den skade, som den registrerede har lidt Graden af samarbejde med tilsynsmyndigheden for at afhjælpe overtrædelsen og begrænse de negative konsekvenser, som overtrædelsen måtte have givet anledning til De kategorier af personoplysninger, der er berørt af overtrædelsen

32 Bøder på 10 mio. Euro - eksempler
Manglende samtykke fra forældre ved behandling af børn Formålet med behandlingen ikke længere kræver, at personen kan identificeres (eksempelvis til analyser) Manglende tekniske foranstaltninger Manglende default databeskyttelse i software (Data Protection by Design/Default) Manglende vilje til samarbejde med datatilsynet Manglende notifikation ved databrud (hvor det kræves)

33 Bøder på 20 mio. Euro - eksempler
Ulovlig behandling af data Manglende (dokumentation for) samtykke Manglende overholdelse af den registreredes rettigheder Ulovlig overførsel til tredjeland (lande ikke godkendt af, eller en del af, EU) Manglende overholdelse af Datatilsynets påbud

34 Hvad så nu? Identificér jeres dataflow
Har I persondata og personfølsomt data – og hvor? Hvem er dataansvarlig? – Og udarbejdelse af databehandleraftaler Udarbejd konsekvensanalyser på de data, I opbevarer til brug for egen risikovurdering Identificér jeres behov for logning Find ud af, om I skal have en DPO Men: Meget er fortsat ukendt, der er 51 muligheder for national lovgivning, så hold jer opdateret på retningslinjer fra Datatilsynet og EU Følg vores nyhedsbreve på Netværksgruppe om persondata

35 SPØRGSMÅL?

36 TAK FOR I DAG! Jens Kofods Gade 1 1268 København K Tlf. 33 11 81 00
Martin Brogaard Nielsen Tlf

Download ppt "VUCHosting Revisorerklæring og persondata"

Lignende præsentationer

Anskaffelse af ny teknologi

Anskaffelse af ny teknologi
Den Danske Kvalitetsmodel

Den Danske Kvalitetsmodel
Søren Sandfeld Jakobsen 20091 ”Cookies” – hvad siger loven?

Søren Sandfeld Jakobsen ”Cookies” – hvad siger loven?
Ikrafttræden 1. juli 2010 Klager, der er indbragt for KLFU inden den 1. juli 2010, færdigbehandles efter de hidtil gældende regler. KLFU er obligatorisk.

Ikrafttræden 1. juli 2010 Klager, der er indbragt for KLFU inden den 1. juli 2010, færdigbehandles efter de hidtil gældende regler. KLFU er obligatorisk.
Arbejdsmiljøcertificering

Arbejdsmiljøcertificering
Sikring af tilgængelighed er en proces!

Sikring af tilgængelighed er en proces!
Hvad må jeg juridisk Skoleintra efter lovens bogstav

Hvad må jeg juridisk Skoleintra efter lovens bogstav
Loyalitet – hvad siger juraen?

Loyalitet – hvad siger juraen?
Sådan skaber vi et kampagnekorps Baggrund Foreningen skal bruge flere frivillige til centrale og lokale events For fortsat at sikre midler til foreningens.

Sådan skaber vi et kampagnekorps Baggrund Foreningen skal bruge flere frivillige til centrale og lokale events For fortsat at sikre midler til foreningens.
PROGRAM Præsentation. Sager. Sagsbehandlingen. Retsgrundlaget.

PROGRAM Præsentation. Sager. Sagsbehandlingen. Retsgrundlaget.
Overskrift her Navn på oplægsholder Navn på KU- enhed For at ændre ”Enhedens navn” og ”Sted og dato”: Klik i menulinjen, vælg ”Indsæt” > ”Sidehoved / Sidefod”.

Overskrift her Navn på oplægsholder Navn på KU- enhed For at ændre ”Enhedens navn” og ”Sted og dato”: Klik i menulinjen, vælg ”Indsæt” > ”Sidehoved / Sidefod”.
Hvilke regler skal iagttages, når man behandler personoplysninger i whistleblower-systemer Professor, dr.jur. Henrik Udsen henrik.udsen@jur.ku.dk.

Hvilke regler skal iagttages, når man behandler personoplysninger i whistleblower-systemer Professor, dr.jur. Henrik Udsen
Www.socialkvalitetsmodel.dk Dansk kvalitetsmodel på det sociale område.

Dansk kvalitetsmodel på det sociale område.
Statsautoriseret revisor Ove Frederiksen

Statsautoriseret revisor Ove Frederiksen
1 COWI BAR Handel, BAR Jord til Bord, BAR Kontor, Grafisk BAR, Industriens BAR 1 ARBEJDSMILJØLEDELSE OHSAS 18001 Seminar 1 Arbejdsmiljøledelse OHSAS 18001.

1 COWI BAR Handel, BAR Jord til Bord, BAR Kontor, Grafisk BAR, Industriens BAR 1 ARBEJDSMILJØLEDELSE OHSAS Seminar 1 Arbejdsmiljøledelse OHSAS
Arbejdsmiljøledelse – hvad er det? Oktober 2009. 2 Formål Arbejde målrettet og systematisk på at sikre medarbejdernes sundhed, trivsel og arbejdsglæde.

Arbejdsmiljøledelse – hvad er det? Oktober Formål Arbejde målrettet og systematisk på at sikre medarbejdernes sundhed, trivsel og arbejdsglæde.
Quality Management Systems

Quality Management Systems
Sikkerhed, internet-of -things & persondata

Sikkerhed, internet-of -things & persondata
1 Definition: ”Teknisk bistand omfatter enhver form for bistand i forbindelse med reparation, udvikling, fremstilling, samling, prøvning, vedligeholdelse.

1 Definition: ”Teknisk bistand omfatter enhver form for bistand i forbindelse med reparation, udvikling, fremstilling, samling, prøvning, vedligeholdelse.
Seminar 6 – Arbejdsmiljøledelse

Seminar 6 – Arbejdsmiljøledelse

Lignende præsentationer

Annoncer fra Google