Datenschutz-Behördenaudit in Schleswig-Holstein

Transkript

1 Datenschutz-Behördenaudit in Schleswig-Holstein Erfahrungen und Perspektiven 1 Heiko Behrendt

2 2 Heiko Behrendt Impulse für ein Behördenaudit Wettbewerbsvorteil, Qualitätsgewinn - Mehrwert, Vorzeigemodell Mängelbeseitigung - Beachtung von Rechtsvorschriften Beseitigung von Unsicherheiten - Ordnungsgemäßer Einsatz von IT-Systemen Wahrung der Bürgerinteressen - Sichere Verarbeitung von Bürgerdaten

3 Gegenstand des Auditverfahrens Einzelne Verfahren zur Verarbeitung personenbezogener Daten, z.b. die Fachanwendung Personalinformationssystem Abgrenzbarer Teilbereich der Daten verarbeitenden Stelle, z.b. der Internetanschluss Die gesamte Verarbeitung personenbezogener Daten einer Daten verarbeitenden Stelle 3 Heiko Behrendt

4 Ablauf des Auditverfahrens Bestandsaufnahme Festlegung der Datenschutzziele Einrichtung eines Datenschutzmanagementsystems Begutachtung durch das ULD Verleihung des Datenschutzauditzeichens 4 Heiko Behrendt

5 Bestandsaufnahme Feststellung des Ist-Zustands der Datenverarbeitung Gegenüberstellung mit dem Soll-Zustand im Hinblick auf Datenschutz und Datensicherheit Grundlage: Regelungen des LDSG und der DSVO, bereichsspezifische Gesetze, interne Vorschriften 5 Heiko Behrendt

6 Ergebnisse der Bestandsaufnahme Arbeitsstationen sind unzureichend gesichert Die Befugnisse der Mitarbeiter sind nicht bekannt Daten werden unstrukturiert verwaltet Administrative Aktivitäten werden nicht überwacht Nicht mehr benötigte Daten werden nicht gelöscht Externe Dienstleister haben vollen Zugriff Dokumentationsunterlagen sind unzureichend 6 Heiko Behrendt

7 Mängelbeseitigung, Vorschriften beachten Dokumentationsunterlagen optimieren Technische Mängel beseitigen Datenschutzziele festlegen Datenschutzmanagement einrichten Mitarbeiter sensibilisieren Datenschutzfreundliche Aspekte hervorheben Sicherheitspolicy umsetzen 7 Heiko Behrendt

8 Datenschutzmanagementsystem Fortentwicklung der Sicherheitspolicy Kontrolle der Sicherheitsmaßnahmen Reaktion auf Sicherheitsvorfälle Einrichtung von Kommunikationsverfahren Berücksichtigung von Rechtsänderungen Pflege des Sicherheitskonzepts etc. Unterrichtung des ULD 8 Heiko Behrendt

9 Begutachtung Dokumentationsunterlagen, z.b. Verträge, IT-Konzepte, Anweisungen etc. Organisatorische und technische Verfahrensabläufe Datenschutz- bzw. Sicherheitskonzept 9 Heiko Behrendt

10 Datenschutzaudits bei Großprojekten Finanzministerium - Landesnetz Betreiberfunktion Dienstleister Dataport und T-Systems Auftragsdatenverarbeitung Landesnetzkomponenten Netzmanagement Generaldokumentation Berichtswesen, Revision Sicherheitsmanagement 10 Heiko Behrendt

11 Datenschutzaudits bei Großprojekten Kreis Nordfriesland Interne Datenverarbeitung Rechenzentrumsbetrieb auch für Kommunen Netzstrukturen Einsatz von Fachverfahren Datenverwaltung Außenstellenanbindung Benutzer- und Rechteverwaltung Dokumentation Sicherheitsmanagement 11 Heiko Behrendt

12 Auswirkungen und Konsequenzen Schlanke und effektive Abläufe Transparenz der Prozesse Solide Basis für Weiterentwicklungen Synchronisation Aufbau- und Ablauforganisation Zusammenarbeit zwischen IT- u. Fachabteilungen Umsetzung gesetzlicher Vorschriften Qualitätssteigerung 12 Heiko Behrendt

13 Audits im laufenden Prozess Finanzministerium, Landesnetz (nach Abschluss folgt das Sprachnetz) Finanzministerium, SAP- Kosten- und Leistungsrechnung Komfit, Finanzministerium, Kommunaler IT-Standard (KITS) Landwirtschaftsministerium, Informationssysteme der Zahlstelle Landwirtschaftsministerium, K3 Umwelt Landtag, Videoüberwachung Kreis Nordfriesland, Interne DV und Kreisnetz Kreis Plön, Kreisnetz und Service-Ärea Stadt Flensburg, Internetzzugang und Anbindung externer Netze Stadt Pinneberg, Interne DV und Internetzugang Gemeinde Stockelsdorf, Interne DV und Internetzugang Gemeinde Ratekau, Interne DV und Internetzugang 13 Heiko Behrendt

14 Viel Erfolg bei der Sensibilisierung der Managementebene und bei der Überprüfung bzw. bei der Umsetzung Ihrer Sicherheitspolitik 14 Heiko Behrendt