"Personally Indentifiable Information (PII) och ISO/IEC Privacy framework

Transkript

1 "Personally Indentifiable Information (PII) och ISO/IEC Privacy framework Säker hantering av personuppgifter med ny lagstiftning i dagens IT-miljö Hans Dahlquist

2 2

3 Human Resources and Skills Development Canada (HRSDC) says it will start using "data loss technology" in response to the recent loss of a hard drive that contained the personal information of hundreds of thousands of Canada Student Loan borrowers the loss of an external hard drive that contained the personal information for 583,000 Canada Student Loan borrowers. The unencrypted hard drive was found to be missing on Nov. 5, but department security was not notified until Nov. 28 data, which included names, birthdays, and social insurance numbers... 3

4 Statistik Studien visade också att den stulna informationstypen ändras; 2011 var 95% Personal Identifiable Information mot 1% Allt fler spärrar personnummer efter ID-stöld Enligt säkerhetsföretaget mysafetys beräkningar genomfördes förra året uppskattningsvis ID-stölder, vilket gör det till Sveriges absolut vanligaste enskilda form av bedrägeri. Ökningen av antalet ID-stölder har nu lett till att allt fler spärrar sina personnummer. Enligt statistik från mysafetys samarbetspartner UC, Sveriges största kreditupplysningsföretag, ökade under förra året antalet spärrade personnummer med 27 procent. I dag lever nästan svenskar med en spärr på sitt personnummer. Från 2006 innebär det en ökning med 900 procent. 4

5 Slutsatser 1. Undermålig informationssäkerhet i alla länder och alla verksamheter 2. Oacceptabelt ur ett konsumentsäkerhetsperspektiv 3. Kränkande och mycket besvärligt för individen 4. Lagstiftning släpar efter 5

6 Hur går det till? 6

7 Omvänd brandväggsanalys Vilken information lämnar din dator? Rote genomförde 2012 en mätning av dataflöde vid uppkoppling mot en svensk hemsida för nyhetsförmedling. Totalt gjordes 13 st kopplingar till andra siter. Motsvarande sker vid - Mobil bredbandsuppkoppling - Webmail 7

8 VAD GÖRA? 8

9 Gällande och kommande lagstiftning PuL - Personuppgiftslagen LEK - Lagen om elektronisk kommunikation 18 under 5:e kapitlet: "Uppgifter får lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnenten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den. Detta hindrar inte sådan lagring eller åtkomst som behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller som är nödvändig för att tillhandahålla en tjänst som användaren eller abonnenten uttryckligen har begärt." COM(2012) 10 Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offenses or the execution of criminal penalties, and the free movement of such data. COM(2012) 11 Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data. (General Data Protection Regulation) 9

10 Viktiga förändringar I EU Regelverk 1. A right to be forgotten will help people better manage data-protection risks online. When they no longer want their data to be processed and there are no legitimate grounds for retaining it, the data will be deleted. (Radering av kunddata som inte behövs, ex. lämnat, avlidit etc. Kostsamt!) 2. Whenever consent is required for data processing, it will have to be given explicitly, rather than be assumed. (Allmänna villkor i kontrakt) 3. Companies and organizations will have to notify serious data breaches without undue delay, where feasible within 24 hours. (Incidenthantering till kund och myndigheter) 4. Companies will only have to deal with a single national data protection authority in the EU country where they have their main establishment. (Datainspektionen) 5. Increased responsibility and accountability for those processing personal data. (Skydd, tillgång, kryptering och klassificering av persondata) 6. National data protection authorities will be strengthened so they can better enforce the EU rules at home. 10

11 PII = Personal Identifiable Information Namn Addresser Telefonnummer Call data records (CDR) Bilder Position Personnummer Etc enligt ISO Or any personal information relating to an individual, whether it relates to his or her private, professional or public life 11

12 FRÅN lagefterlevnad till konkurrensfördel 1. Legala krav 2. Varumärke 3. Kundrelationer 1. Kundrelationer 2. Varumärke 3. Legala krav 12

13 Hur kommer man igång med ett införande? - Genomför en GAP-analys If you don't know where you are and where you want to go it is difficult to describe the way to your destination C Mognad B A Implementation Nuläge Önskat läge 13

14 Behovsstyrt förändringsarbete LEDNING VISION STRATEGI ORGANISATION PROCESSER 1. Tydlig och förankrad VISION i ledningen. Vad är syftet, varför gör vi detta och vad vill man uppnå? 2. Hur skall man nå målen i visionen? 3. Vem/vilka skall vara ansvariga och hur vill vi styra personlig data i organisationen 4. Vilka är verksamhetens huvudprocesser och hur påverkas de? VERKTYG, KONTROLLER, NULÄGE och AKTIVITETER 5. Vilket stöd, rutiner och kontroller behöver vi? 14

15 Standard för personinformation; ISO/IEC Privacy framework 1. Ramverk för hantering av PII 2. Ej certifierbart 3. Inget uttalat ledningssystem 4. Innehåller: Terminologi och definitioner Definition på roller för att hantera PII PII säkerhetskrav och riskhantering Referens till kända principer för PII 15

16 Ledningssystem som införandestrategi: 1. Ett samlat regelverk som ligger till grund för styrning av företaget/organisationen/myndigheten Lagar, standarder, normer, Policy, Anvisningar, Riktlinjer och beslut Policy Anvisning Riktlinje 2. Processer: Ständiga förbättringar (PLAN DO CHECK ACT) Kontrollmiljö, rapportering och KPI:er Ledningens engagemang och genomgång Utbildning och dokumentation Genomförande (beställning-leverans) och förvaltning Riskbaserad bedömning av exponeringen 3. Organisation med tydliga roller (Chief Privacy Officer, CPO), ansvar, befogenheter och kunskap i en operativ beskrivning 16

17 Information Life Cycle Management Radering (purging) Reg. av ny kund Backup Disposal Capture Inläsning Krypterad HD? Storage Processing CRM Behörigheter Presentation Transmission VPN? Information lifecycle 17

18 Sammanfattning införande: Börja med grundlig GAP-analys innan eventuellt införande som beaktar hela livscykeln för personinformation Använd verksamhetsledningssystem (LS) som införandestrategi där Privacy LS blir en integrerad komponent i hela organisationens LS Använd ISO som stöd och referens Ställ krav på Privacy by Design för all ny ICT som upphandlas och införs Grunda beslut om åtgärder på en riskbedömning för att reducera exponeringen 18

19 slutsatser Antalet informationsrelaterade bedrägerier och kriminalitet ökar kraftigt Dina personliga preferenser och beteenden på internet sprids och lagras utan din kännedom eller ditt medgivande De legala kraven på personinformation ökar i hela världen Men många länder saknar i dag helt lagkrav inom området Förlust av personinformation, som hanteras för att leverera varor och tjänster, skadar förtroende och varumärke för alla typer av organisationer 19

20 Frågor och kommentarer?