GDPR post 25:e Maj en praktisk lösning Robert Singh 2018-10-23
Om mig! Informationssäkerhetsspecialist på ICA Sverige, funktionsansvarig för informationssäkerhet. M.Sc. i systemvetenskap med inriktning mot informationssäkerhet. B.Sc. i företagsekonomi. Erfarenhet av projektledning och informationssäkerhetsarbete i flera branscher och länder. Har bland annat jobbat med Ericsson Maersk Oil & Gas Handelshögskolan Länsförsäkringar OKQ8 NEVS 2
Agenda 1. Lite om ICA 2. Systemlösning för hantering av registrerades rättigheter 3. Ledningssystem för informationssäkerhet och GDPR compliance 4. DPIA & Privacy By Design 3
18-10-30 4 Lite om ICA
ICA 5
Stora teknologiska framsteg görs snabbt Digital interfaces Big data and computing power Advanced analytics/ AI/Machine Learning Robotics IoT (Internet of Things) More time spent on digital interfaces (e.g. mobile) New digital interfaces evolving (e.g. voice and AR/ VR) Enables more data collection Data captured and stored at a massive scale Sufficient processing power available for advanced analyses Mathematical/ statistical analytics and algorithms AI = programmed to be smart ; Machine learning = Learns to be smart Enabled by new technology/tools, data, computing power Physical robots move and interact with the environment Software robots perform tasks (e.g. RPA: robotic process automation) Sensors which collect data Added to everything Creating even more data 6 ICA Gruppen CMD 2017 2017-12-14
Konsekvenser av bristfälligt informationssäkerhet PCI DSS Regler kring korthantering - Konsekvens -> Varje transaktion blir X kr dyrare, rating för banken blir.. Personuppgifter I ett vitt perspektiv Hanteringskostnader, sanktioner, skadestånd och varumärkespåverkan Börsinformation Otillbörligt avslöjande, Legal påverkan och sanktioner Bristfälliga beslut Vi inte känner till våra risker. Avtalsbrott Vi kan inte hålla våra avtal om leveranser. Ineffektivitet Vi får inte ut lösningar i tid Vår interna hanteringskostnad i allmänhet blir större Varumärkespåverkan Vårt starka varumärke påverkas Legala krav Följa lagstiftning Skadestånd, rättspåverkan, Samhällspåverkan inte kunna förse våra kunder med livsmedel 7
Introduktion till informationssäkerhet på ICA Sverige vårt beroende ICA Sverige har ett starkt beroende till informationsbehandling och IT, och genom GDPR har vi skapat ett nytt ekosystem 8
Kopplingen mellan GDPR och informationssäkerhet Informationssäkerhet och skydd av personlig integritet kan synas vara två helt skilda saker men det finns mer gemensamma nämnare är olikheter. Informationssäkerhet går ut på att säkra informationstillgångars konfidentialitet, integritet och tillgänglighet. Skydd av personlig integritet innehåller legala rättigheter för registrerade, efterlevnad och risk. Informationssäkerhet Skydd av personlig integritet 9
Ledningssystemet för informationssäkerhet (LIS) på hög nivå Förväntat resultat av LIS är en integrerad och effektiv process för informationssäkerhetsarbetet som skapar enkelhet, relevant nivå och ansvarstagande, i linje med ICAs värderingar INPUT: OUTPUT: Krav och förväntningar från organisationen. Intern och extern påverkan, i form av risker och händelser. Ha koll/förstå Styra och samordna Skydda (Göra) Hantera händelser Verksamheten kan utföras utan allvarliga störningar. Allvarliga störningar kan hanteras 10
Systemlösning för hantering av registrerades rättigheter 18-10-30 11
Vi har en systemlösning för hantering av GDPR både för kunder och medarbetare 12
Läget just nu Registerutdrag Portabiltet Ärenden Från Butik Ärenden Till DPO 500+ 150+ Ca 20 tal om dagen Ca 10 tal om dagen 100 Antal inkomna e-mail till MBX- GDPR Ica Sverige I snitt ca 5/dag Tjänst för att hantera portabilitet med fullmakt från registrerad 80 60 40 20 0 Antal Total April Maj Juni 13 18-10-30
Ledningssystem för informationssäkerhet Vad är det och hur kan det användas 14
LIS 18-10-30 15
Vad är Ledningssystem för informationssäkerhet (LIS)? Ledningssystem uppbyggd struktur för att styra vårt informationssäkerhetsarbete. Mer konkret innebär detta mål och krav, metoder, rutiner, processer m.m. för hantering av informationssäkerheten. Vi arbetar Styrt, riskbaserat, systematiskt, ledningen är medveten och engagerad, med ständig förbättring. Systematiskt är att man arbetar planenligt, ordnat som följer en plan 16
Exempel på mål-karta för informationssäkerhet Vision: Informationssäkerhet möjliggör, skyddar och stödjer ICAs affär i alla lägen. Effektmål: Verksamheten ska inte drabbas av någon allvarlig störning och gör den det så ska den kunna hanteras. Strategiskt mål: Informationen skyddas utifrån externa och interna krav på konfidentialitet, riktighet och tillgänglighet. Mål: Styrande dokument enligt ISO 27001/27002 är upprättade och aktuella. Målen enligt 27002 är uppfyllda. Informationsskyddet är riskbaserat. Process för informationssäkerhetsarbetet är upprättad och införd
Information System Management System and Cloud/GDPR ISO/IEC 27002:2013 Riktlinjer för informationssäkerhetsåtgärder Risk Management ISO/IEC 27005: Information security risk management ISO/IEC 29134: Privacy impact assessment GDPR och infosäk ISO/IEC 29151: Code of practice for personally identifiable information protection ISO/IEC 27018: Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processor ISO/IEC 29101: Privacy architecture framework IISO/IEC 29190: Privacy capability assessment model Security measures ISO/IEC 27550 Privacy engineering ISO/IEC 29184: Online privacy notices and consent ISO/IEC 27001:2013 ISMS Requirements ISO/IEC 27552: Enhancement to ISO/IEC 27001 for privacy management Requirements ISO/IEC 29100: Privacy framework ISMS
Förväntat resultat av LIS är en integrerad och effektiv process för informationssäkerhetsarbetet som skapar enkelhet, relevant nivå och ansvarstagande, i linje med ICAs värderingar. Skapa säkerhetskultur i linje med ICAs värderingar som täcker Linjeverksamhet / Projekt & Utveckling / Förvaltning & Drift INPUT: Ha koll/förstå Styra och samordna Skydda Hantera händelser OUTPUT: Krav och förväntningar från organisationen. Intern och extern påverkan, i form av risker och händelser. Identifiera risker Omvärldsanalys Samverkan internt/externt Dimensionerande hotbild Infosäkerhetsanalys Gemensam lägesbild av behov och risker Riskhantering Planering/budget Resurssäkring Uppföljning Granskningar/ kontroller Mätning Utbildningsplanering Ledningens genomgång Kompetensanalys Kommunikation Ärendehantering Metodutveckling Upprätta handlingsplan Framtagande av regler Framtagande och införande av säkerhetsåtgärder Kontroll av nivån Operativ övervakning/ mätning Stöd/rådgivning Information/utbildning Avvikelsehantering Säkra upphandlingar Kontinuitetsplanering Livscykelhantering Incidenthantering Kris- och kontinuitetshantering Verksamheten kan utföras utan allvarliga störningar. Allvarliga störningar kan hanteras 19
Sambanden mellan strategin, ledningssystem och regelstyrning Ett övergripande mål är att varje aktivitet i verksamheten har koppling till visionen VAD VI STYR MOT STRATEGI VAD VI STYR MED L E D N I N G S S Y S T E M Visionen 1 2 3 4 Värderingar 1 2 3 4 5 Långsiktiga mål 1 2 3 4 5 6 7 Kortsiktiga mål A B C D Risk Policy Riktlinjer Instruk- tioner Rutiner R E G E L V E R K HUR VI REALISERAR Underlättas av rätt organisation, kompetens, processer, resurser och aktiviteter. Genomförs via planer, metoder, funktioner, modeller, ramverk och systemstöd. 20
Relationer mellan funktioner och roller 21
Information Security & Privacy activities ICAs projektmodell DP0 DP1 DP2 DP3 DP4 DP5 DP6 Project model phases Project Idea Prestudy Start-up Execution Roll-out & Handover Conclusion Benefit realization Information & IT Security & Privacy Activities 1. Understand the purpose of solution and establish overall context to discover information & Privacy Protection needs (DP1) Information Classification High-level Risk & Impact assessment High-level security & privacy objectives Project staffing needs 2. Define solution security & privacy requirements based on agreed protection needs (DP2) Threat Analysis & mitigation plan Security & Privacy Architecture Analysis Define detailed Security & Privacy objectives and requirements 3. Design, Develop and implement detailed security & privacy controls, based on security & privacy objectives and requirements (DP3) Define & design security & privacy controls; Develop security & privacy controls; Implement security & privacy controls in accordance 4. Validate the effectiveness of security & privacy controls (DP4) Develop test & evaluation plan for verification & validation of security & privacy controls Conduct security & privacy testing and evaluation on target solution Obtain solution approval, from an security & privacy perspective 5. Safe transition is ensured and the project provides support for as long as necessary until the operation is stable from an Security & Privacy perspective 6. The hand-over checklist is reviewed and closed. Unresolved issues are passed to the core maintenance organization
DPIA & Privacy by Design (i korthet) 18-10-30 23
Artikel 25 - Inbyggt dataskydd och dataskydd som standard 1. Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder såsom pseudonymisering vilka är utformade för ett effektivt genomförande av dataskyddsprinciper såsom uppgiftsminimering och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades rättigheter skyddas. 2. Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer. 3. En godkänd certifieringsmekanism i enlighet med artikel 42 får användas för att visa att kraven i punkterna 1 och 2 i den här artikeln följs. 24
Inbyggt Dataskydd på ICA Med andra ord Inbyggt dataskydd och dataskydd som standard på ICA innebär att de se till att de registrerade kan utöva sina rättigheter samtidigt som vi inte behandlar mer personuppgifter än nödvändigt för ändamålen, och att vi skyddar informationen på ett lämpligt sätt. Detta ska utföras med hänsyn till tillgänglig teknologi och best practice, kostnaden, behandlingens natur, omfattning, kontext och ändamål, såväl som riskerna för de registrerade. 25
Basfunktionalitet vid personuppgiftsbehandling En applikation eller system måste stödja möjliggörandet av de registrerades rättigheter. Funktionalitet måste finnas för: På begäran kunna ge den registrerade information om vilka personuppgifter som behandlas, såväl som hur och varför, ett s.k. registerutdrag. Begränsning av personuppgiftsbehandling för en registrerad, på begäran. Dock finns undantag Radering och anonymisering. 26
Personuppgiftbehandlingens livscykel och inbyggt dataskydd Processing Transfer Storage Collection Erasure/ Destruction/ Anonymization 27
Det kompletta skyddet för den registrerades integritet Det finns inget universellt recept för inbyggt dataskydd. Det är hoten, integritetsriskerna, behandlingens syfte och natur tillsammans med tillgänglig teknologi och kostnad som definierar vilka dataskyddskontroller som är nödvändiga. Basic Information Security requirements ICA Policies and control standards Business requirements Special processes? GDPR PII being processed? Data Protection Impact Assessment Additional req Privacy risk mitigations? Additional requirements from Business Intelligence. External risks? Slutgiltiga krav 28
ICA DPIA Process Business change event No need? Identify the need for DPIA Information flow mapping Identify privacy and related risks Identify and evaluate privacy solutions Sign-off and record DPIA outcomes Integrate DPIA outcomes back into project/business 29
1. Identifiera behov av konsekvensbedömning Behovet av en konsekvensbedömning kan identifieras som en del av organisationens ordinarie projektledningsmodell, eller triggas av förändringar i linjen. Rättfärdigandet av en konsekvensanalys ska: Förklara vad projektet eller verksamheten ska uppnå, vilka fördelar som aktiviteten har för organisationen, individer eller andra intressenter. Summera varför behovet av en konsekvensanalys identifierades (frågeformulär används med fördel) Behövs konsultation, antingen intern eller extern? Av experter eller de registrerade? Tumregel kan vara att de registrerades åsikter är extra viktiga om man gör avsteg från branschorganisationers etiska riktlinjer (ex. SWEDMA) DPO:n ska konsulteras om integritetsriskerna är höga. 30
2. Informationsflödesanalys Beskriv aktivitetens informationsflöden. Förklara vilken information som används, varför, vart den kommer ifrån och vart den tar vägen, vem som har åtkomst och annan nödvändig information. Beskriv personuppgiftsflödena och mer specifikt: Hur personuppgifter samlas in och från var Vem är ansvarig inom organisationen avseende personuppgiftsbehandling? Till vilket syfte behandlas personuppgifterna? Hur behandlas personuppgifter? Behållnings- och gallringspolicy för personuppgifterna Hur kommer personuppgifter hanteras? Hur kommer personuppgifterna skyddas? Identifiera om personuppgifter kommer överföras till jurisdiktioner med sämre dataskydd (vid överföring till tredje land) 31
3. Identifiera integritetsrisker Identifiera risker tillsammans med lämpliga representanter från verksamheten, IT, HR etc. Viktigt med olika perspektiv! Riskworkshop Samla riskerna i en risklogg Bestäm dimensionerna som risk bedöms i. 32
4. Identifiera och utvärdera åtgärder Förklara hur riskera kommer att hanteras; mitigera, acceptera, undvika, flytta. Dokumentera ägarskap! Utvärdera kostnad och fördelar med olika lösningar. Tänk över vilka resurser som finns och vad som är rimligt utifrån kostnad och state of the art. 33
5. Dokumentera konsekvensbedömning, åtgärdsplan och ägarskap Säkerställ att risker och åtgärder fått rätt förankring på lämplig nivå. Konsekvensbedömningsrapporten ska summera processen/metoden vilka steg som tagits för att minska integritetsriskerna. Den ska också innehålla beslut för hur riskerna ska hanteras. Fatta beslut tillsammans med DPO om en rapport eller annan information om konsekvensrapporten ska publiceras. Att publicera information om konsekvensbedömningar kommer öka transparens och ökar individernas förståelse om hur deras data används. Om riskerna trots konsekvensbedömning och åtgärder fortfarande är stora skall Datainspektionen kontaktas för förhandssamråd. 34
6. Integrera utkomsterna från konsekvensbedömningen i projekt och linjeaktiviteter Konsekvensbedömningens fynd och åtgärder ska integreras i projektplan eller verksamhetsplanering. Ibland är det nödvändigt att återbesöka konsekvensbedömningen i olika skeden. Större projekt gynnas troligen av en mer formell uppföljningsprocess. En konsekvensanalys genererar troligen åtgärder som kommer fortgå efter bedömningen genomförts, se till att uppföljning sker! Genomför Lessons Learned och förbättra framtida konsekvensbedömningar. 35
Lärdomar från ICA Bra behovsanalyser är viktigt! Representation i riskworkshop från flera perspektiv och områden skapar bättre förutsättningar för en effektiv riskidentifiering. Blanda högt och lågt, smalt och brett. Tidig förankring i team och management viktigt för framgång efter konsekvensbedömningen är gjord. Folk tänker väldigt lätt utifrån verksamhetens perspektiv, konsekvensbedömningen kräver ett integritetsperspektiv. Preppa deltagare i konsekvensbedömningen så att de förstår integritetsbegreppen. Uppmana dem att tänka utifrån sin egen situation! 36
18-10-30 37