EU-DATENSCHUTZ-GRUNDVERORDNUNG Projektumsetzung der gesetzlichen Anforderungen in der Praxis x-tention Informationstechnologie GmbH
VORSTELLUNG Christian Rohrauer, Ing. MSc. IT-Sicherheitsbeauftragter Stv. (CISO Stv.) und Geschäftsbereichsleiter Stv. für Informationssicherheit & Datenschutz, Prozess- & Qualitätsmanagement bei x-tention Informationstechnologie GmbH in Wels Ausbildung HTBLA Wels - Informationstechnologie Sichere Informationssysteme (FH Hagenberg) Zertifizierungen Datenschutzbeauftragter (TÜV Austria Cert GmbH) 12.02.2018 www.x-tention.at 2
WIE GEHT MAN SICHERHEIT UND DATENSCHUTZ AN? Ein kleines Gedankenspiel 12.02.2018 www.x-tention.at 3
WAS SOLL GESCHÜTZT WERDEN? 12.02.2018 www.x-tention.at 4
GIBT ES NACHBARN? 12.02.2018 www.x-tention.at 5
GIBT ES WERTVOLLE DINGE? Oldtimer, Peugeot 103, BJ. 1977 historische Familiendokumente 12.02.2018 www.x-tention.at 6
WAS IST WERTVOLL, WAS NICHT? besonders schützenswert öffentlich 12.02.2018 www.x-tention.at 7
WELCHE BEREICHE SOLLEN BESSER GESCHÜTZT WERDEN? 12.02.2018 www.x-tention.at 8
WELCHE VORKEHRUNGEN GIBT ES BEREITS? 12.02.2018 www.x-tention.at 9
WO GIBT ES NOCH HANDLUNGSBEDARF? 12.02.2018 www.x-tention.at 10
WOFÜR ZUERST GELD AUSGEBEN? http://www.sentrysafe.com/content/images/products/x055_a.jpg http://www.hausjournal.net/wp-content/uploads/zylinderschloss-wechseln.jpg 12.02.2018 www.x-tention.at 11 http://ecx.images-amazon.com/images/i/610uh6uzr6l.jpg
WISSEN, WAS ZU TUN IST, WENN DOCH ETWAS PASSIERT! http://www.retter.tv/cms_media/module_bi/75/37978_1_galerie_gartenhuette_bruchsal_1.jpg http://www.kleinezeitung.at/images/uploads_520/d/b/5/4160949/einbruch2_apa.jpg 12.02.2018 www.x-tention.at 12
und nun wieder zurück 12.02.2018 www.x-tention.at 13
INFORMATIONSQUELLEN FÜR DIE PRAXIS Das Rad nicht neu Erfinden 12.02.2018 www.x-tention.at 14
WIRTSCHAFTSKAMMER OBERÖSTERREICH 12.02.2018 www.x-tention.at 15
PRIVACYOFFICERS Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter www.privacyofficers.at 12.02.2018 www.x-tention.at 16
GETTING-READY Das DSGVO-Umsetzungsprojekt 12.02.2018 www.x-tention.at 17
DATENSCHUTZ-MANAGEMENTSYSTEM IST-Analyse Übergabe laufender Betrieb Konzepterstellung Umsetzung 12.02.2018 www.x-tention.at 18
DSGVO-UMSETZUNGSPROJEKTE TODOS Verzeichnis von Verarbeitungs tätigkeiten Datenschutzorganisation Datenschutz- Folgenabschät zung Schulung & Awareness Richtlinien & Vorgaben Prozessuale DSGVO- Anforderun gen Auditplan 12.02.2018 www.x-tention.at 19
RICHTLINIEN UND VORGABEN Das Rahmenwerk 12.02.2018 www.x-tention.at 20
RICHTLINIEN UND VORGABEN Verweise auf weitere Dokumente (Prozesse, Definitionen etc.) Datenschutzrichtlinie (Beschreibung des DSMS) Benutzerrichtlinie (Handlungsanweisungen für die Mitarbeiter) 12.02.2018 www.x-tention.at 21
AUSZUG DATENSCHUTZRICHTLINIE 12.02.2018 www.x-tention.at 22
AUSZUG BENUTZERRICHTLINIE 12.02.2018 www.x-tention.at 23
DATENSCHUTZORGANISATION Definition von Aufgaben im DSMS 12.02.2018 www.x-tention.at 24
DATENSCHUTZORGANISATION Datenschutzbeauftragter (Kontrolle und Beratung) Datenschutzkoordinator (Operativer Betrieb) 12.02.2018 www.x-tention.at 25
DATENSCHUTZBEAUFTRAGTER Verpflichtend bei: Kerntätigkeit: Umfangreiche Verarbeitung besonderer Kategorien von Daten in großem Ausmaß Kerntätigkeit: Umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen Behörde oder öffentliche Stelle (Ausnahme: Gerichte) Bestellung in Hinblick auf Nachweispflicht schriftlich DSB inkl. Kontaktdaten müssen der Datenschutzbehörde gemeldet und veröffentlicht werden 12.02.2018 www.x-tention.at 26
DATENSCHUTZBEAUFTRAGTER Anforderungsprofil eines DSB Rechtliche Kenntnisse DSGVO-Inhalte, nationale Gesetze, Arbeitsrecht (in Grundzügen), Telekommunikationsrecht (in Grundzügen) usw. Technische Kenntnisse Datensicherheitsmaßnahmen, technische Standards und Normen (z.b. ISO/IEC 27001:2013, BSI IT-Grundschutz) usw. Organisatorische Kenntnisse Unternehmensaufbau und organisation Soziale Kompetenzen Loyalität gegenüber dem Arbeitgeber, Kommunikationsfähigkeit, Zuverlässigkeit, Verantwortungsfähigkeit, Teamfähigkeit, Verhandlungsfähigkeit, Kritikfähigkeit usw. 12.02.2018 www.x-tention.at 27
DATENSCHUTZBEAUFTRAGTER Gesetzlich definierte Aufgaben Unterrichtung und Beratung des Verantwortlichen Überwachung und Einhaltung der gesetzlichen Vorgaben Überwachung der Einhaltung der Strategien des Verantwortlichen Beratung izm der Datenschutz-Folgenabschätzung Zusammenarbeit mit der Aufsichtsbehörde Anlaufstelle für die Aufsichtsbehörde und Betroffene Durchführung von regelmäßigen Datenschutz-Awareness- Trainings Artikel 39 DSGVO 12.02.2018 www.x-tention.at 28
DATENSCHUTZKOORDINATOR Regelmäßige Aktualisierung, Dokumentation und kontinuierliche Verbesserung des Datenschutz-Managementsystems (DSMS) der datenschutzrelevanten Richtlinien der Betroffenenrechte des Data-Breach-Prozesses Pflege und Aktualisierung des Verfahrensverzeichnisses Durchführung der Datenschutz-Folgenabschätzung Dokumentation der technischen und organisatorischen Maßnahmen (TOMs) und Identifikation von priorisierten Verbesserungsmaßnahmen Regelmäßiger Review der Auftragsverarbeiter-Rahmenbedingungen Unterstützung bei der Einhaltung der Anforderungen hinsichtlich Privacy by Design und Privacy by Default Diese Tätigkeiten sind auch ohne verpflichtender Bestellung eines DSB durchzuführen! 12.02.2018 www.x-tention.at 29
VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN Dokumentation der Verarbeitungstätigkeiten 12.02.2018 www.x-tention.at 30
VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN Zusammenfassung der wesentlichen Informationen für jedes Verfahren im Unternehmen Kontaktdaten des Verantwortlichen Angabe zu Zweck der Verarbeitung Kategorien betroffener Personen Kategorien personenbezogener Daten Löschfristen Empfänger Übermittlung in Drittland mit geeigneten Garantien Technische und organisatorische Maßnahmen Artikel 30 DSGVO 12.02.2018 www.x-tention.at 31
LIVE DEMO xt-verfahrensverzeichnis 12.02.2018 www.x-tention.at 32
IDENTIFIZIERUNG VON VERFAHREN Mögliche Informationsquellen: Bestehende DVR-Meldungen Standard- und Musterverordnung 2004 Prozesslandkarte IT-Applikationsliste Fragebogen an Fachverantwortliche PRAXISTIPP: Vorrangig in Prozessen denken nicht in Applikationen! Ein Verfahren kann durch mehrere Applikationen unterstützt werden Eine Applikation kann mehrere Verfahren abbilden (z.b. SAP, KIS etc) 12.02.2018 www.x-tention.at 33
DATENSCHUTZ-FOLGENABSCHÄTZUNG Risikobewertung mit Wechsel der Perspektive 12.02.2018 www.x-tention.at 34
DATENSCHUTZ-FOLGENABSCHÄTZUNG Praxisbeispiel: https://www.privacyofficers.at/privacyofficers_dsfa- Umsetzung_DSGVO_v1.0.pdf 12.02.2018 www.x-tention.at 35
DATENSCHUTZ-FOLGENABSCHÄTZUNG Bewertung der Risiken für Betroffene anhand Eintrittswahrscheinlichkeit Auswirkung Vorschlag für zu bewertende Kriterien Vertraulichkeit Verfügbarkeit Integrität 12.02.2018 www.x-tention.at 36
SCHULUNG UND SENSIBILISIERUNG VON MITARBEITER Sicherheitsbewusstsein für alle 12.02.2018 www.x-tention.at 37
SCHULUNGSKONZEPT Zuständigkeiten und Verantwortlichkeiten Art des Schulungsmediums z.b. Workshops, elearning, Plakate etc. Zielgruppe z.b. Führungskräfte, Mitarbeiter mit häufiger PC-Nutzung, neu eingestellte Mitarbeiter etc. Intervall der Schulungen um auf neue Technologien reagieren zu können und um der menschlichen Vergessenskurve entgegenzuwirken Schulungsinhalte Zuordnung, wer, wann, was geschult bekommt 12.02.2018 www.x-tention.at 38
WIE SCHULE ICH MEINE MITARBEITER? Kreative Möglichkeiten zur regelmäßigen Schulung! Goodies mit Sicherheitshinweisen Workshops Plakate, Checklisten Awareness App auf Smartphone Onboarding-Kurse Paten-Regelungen Welcome-Mappen elearning usw. 12.02.2018 www.x-tention.at 39
AUDITPLAN Der Schlüssel zur kontinuierlichen Verbesserung 12.02.2018 www.x-tention.at 40
AUDITPLAN Interne und externe Audits Zur kontinuierlichen Verbesserung / Weiterentwicklung Strukturierte Herangehensweise Zur Erfüllung der Nachweispflicht 12.02.2018 www.x-tention.at 41
PROZESSUALE DSGVO-ANFORDERUNGEN Was es sonst noch so zu beachten gibt 12.02.2018 www.x-tention.at 42
PRIVACY BY DEFAULT Datenschutz durch datenschutzfreundlichen Grundeinstellung Auszug aus möglichen Kontrollfragen (Checkliste): 12.02.2018 www.x-tention.at 43
PRIVACY BY DESIGN Datenschutz durch Technikgestaltung Durch technische und organisatorische Maßnahmen (TOMs) Unterstützung der Betroffenenrechte Patch- und Schwachstellenmanagement Zugriffskontrolle Passwörter Logging (Protokollierung) Schutz der Vertraulichkeit (Verschlüsselung, Anonymisierung, Pseudonymisierung) Backup und Auslagerung Betrieb & Wartung (Virenschutz, Redundanz von Systemen, Zugriff von Extern etc) 12.02.2018 www.x-tention.at 44
PRIVACY BY DESIGN Auszug aus möglichen Kontrollfragen (Checkliste): 12.02.2018 www.x-tention.at 45
AUFTRAGSVERARBEITER- RAHMENBEDINGUNGEN Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (vgl. EU-DSGVO Art. 4 Abs. 8) Abschluss entsprechender Rahmenbedingungen notwendig Z.B. lt. Vorlage WKO https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eudsgvo-mustervertrag.html 12.02.2018 www.x-tention.at 46
AUFTRAGSVERARBEITER- RAHMENBEDINGUNGEN 12.02.2018 www.x-tention.at 47
DATA BREACH NOTIFICATION DUTY Meldepflicht bei Datenpannen Meldung an die Aufsichtsbehörde Meldung an die Betroffenen Meldepflicht an die Aufsichtsbehörde innerhalb von 72 Stunden Erfolgt die Benachrichtigung erst nach dieser Frist, muss die Verzögerung gesondert begründet werden Vorab-Definition von entsprechenden Prozessen und Vorlagen zur Meldung 12.02.2018 www.x-tention.at 48
DATA BREACH NOTIFICATION DUTY 12.02.2018 www.x-tention.at 49
DATA BREACH NOTIFICATION DUTY 12.02.2018 www.x-tention.at 50
VIELE SCHLAGWORTE 12.02.2018 www.x-tention.at 51
SICHERHEIT IST KEIN ZUSTAND Sicherheit ist ein PROZESS! 12.02.2018 www.x-tention.at 52
DANKE FÜR IHRE AUFMERKSAMKEIT! ING. CHRISTIAN ROHRAUER, MSC. CHRISTIAN.ROHRAUER@X-TENTION.AT 12.02.2018 www.x-tention.at 53