GDPR

GDPR Office 365

Den nye personvernloven setter ikke noe krav om systemer og tjenester for å følge regelverket.

Man skal med andre ord lage rutiner, policyer og prosesser som gjør at virksomheten følger kravene. Det finnes derimot noen verktøy som kan hjelpe med å gi oversikt og kontroll. Skulle det skje at noe blir plassert feil eller at rutiner ikke blir fulgt, kan Microsoft Office 365 hjelpe. Har du E3 eller E5 lisens får du med eDiscovery (lokalt søk, originalarkiv og eksport) og DLP (Data Loss Prevention, Manuelle regler for lagring og sletting og manuell klassifisering).

Med dette kan du finne ut hvilken data du har hvor og forhindre at det blir sendt ut av organisasjonen.

Les mer om forskjellene på Office lisensene her. Legger ved noen klipp som beskriver mer om mulighetene.

 

GDPR

GDPR Bøter

Facebook risikerer bot på 1,63 milliarder dollar etter nylig datainnbrudd som berørte 29 millioner brukere.

Google risikerer bot på nærmere 2 milliarder dollar etter datalekkasjen fra 2015 til mars 2018.  Potensielt 500.000 Google+ brukere kan ha blitt rammet og Google velger nå å legge ned tjenesten.

British Airways risikerer bot på 489 millioner pund da kredittkortopplysningene til 380.000 kunder ble stjålet via selskapets nettside for kort tid siden.

Heathrow fikk forrige uke en bot på 1,3 millioner kroner av det Engelske datatilsynet. Dette fordi en minnepinne med personopplysninger ble gjenglemt og kom på avveie. (Samt at de hadde gitt for dårlig opplæring i personvern for de ansatte, kun 2% av dem hadde fått opplæring).

  • Brudd på behandlingsansvarliges (også databehandleres) forpliktelser er 10 millioner euro, eller 2% årlig global omsetning.
  • Overtredelse av grunnprinsippene (inkludert samtykke) 20 millioner euro, eller 4% av årlig global omsetning.
  • Overtredelse av påbud fra Datatilsynet 20 millioner euro, eller 4% av årlig global omsetning.

Det handler om aktsomhet og uaktsomhet.
(Størrelsen på boten handler også om lekkasjen skjedde før eller etter nytt regelverk.)

Hva er 4% av omsetningen din?

bøter

GDPR, Sikkerhet

Stordata

Bedre kjent som BIG DATA. Når man begynner å jobbe med datasikkerhet så innser man hva som egentlig foregår. I denne sammenheng din brukerdata. Informasjon, opplysninger og spor lagt igjen av deg. Gjerne på tjenester som bruker dette for å gi målrettet reklame. Husk at hvis tjenesten er gratis er det du som er produktet.

Stordata er rett og slett store datasett. Som nevnt kan dette brukes til å gi reklame, men  dette kan også brukt til verre formål som å påvirke deg politisk.

Selskaper har nå i lang tid samlet inn data som de nødvendigvis ikke har trengt, dette fordi det har vært enklere å ta alt og at man kanskje kunne bruke det til noe senere. Ofte har dataen blitt solgt videre og er da utenfor din kontroll. Data er den nye oljen blir det ofte sagt.

Angripere liker godt store mengder data om deg, fordi man kan bruke verktøy som enkelt samler inn dette, som igjen brukes til å lage en passord profil for å forsøke å ta over dine brukerkontoer.

Eksempler på verktøy:

Heldigvis har vi fått en ny personvernlov (GDPR) som krever at selskapene informerer hva de gjør med din data og at du må samtykke til dette.

For å vite hva som egentlig skjer og har skjedd i lang tid, vil jeg anbefale boken Data and Goliath fra Bruce Schneier.

bigdata
I like BIG DATA and I cannot lie
GDPR

GDPR Personvernombud

Bedrifter skal utpeke et personvernombud dersom hovedvirksomheten består av regelmessig og systematisk monitorering av personopplysinger, eller behandler sensitive opplysninger. Les mer her og ta Datatilsynet sin veileder.

Forøvrig oppfordrer Datatilsynet alle virksomheter til å opprette personvernombud, uavhengig om de er pålagt å ha det eller ikke. Dokumenterer de vurderingene som har blitt gjort dersom rollen ikke blir opprettet.

Et personvernombud kan ha andre oppgaver og roller i virksomheten. Hvis det er tilfelle, må virksomheten sikre at de andre oppgavene og rollene ikke fører til en interessekonflikt. Dette er tett knyttet opp til forutsetningen om at ombudet skal kunne utføre sine oppgaver på en uavhengig måte.

Som hovedregel kan en person ikke være personvernombud og samtidig ha en rolle der som skal bestemme formålet og måten personopplysninger skal behandles på. Hver enkelt virksomhet er forskjellig og må gjøre sine vurderinger for å sikre at ombudet unngår interessekonflikt i sine roller i virksomheten.

Personvernombudet er kontaktpunkt for ansatte, kunder, og tilsynsmyndighet og er en uavhengig rolle med primære oppgave å overvåke bedriftens etterlevelse av personvernlovgivning. Det fremdeles den behandlingsansvarlige (virksomheten) som har det juridiske ansvaret for at personvernlovgivningen følges.

Oppgaver:

  • samle inn informasjon for å identifisere behandlingsaktiviteter
  • analysere og sjekke at behandlingsaktivitetene er i tråd med regelverket
  • informere, gi råd og anbefalinger for å sikre regelverketterlevelse
  • foreslå ansvarsfordeling for oppgaver knyttet til ivaretakelse av personvernet i virksomheten
  • gjennomføre holdningsskapende arbeid i virksomheten og opplæring av medarbeidere

Som sertifisert personvernombud (PECB DPO) kan jeg hjelpe din bedrift.

GDPR, Sikkerhet

HMS på nett

UiA arrangerte HMS øvelse for sine studenter og DIGFO var invitert for å holde foredrag om datasikkerhet.

«Viktig å bevisstgjøre studentene på hvordan ting foregår i den digitale verden. Vi kan kalle dette HMS på nett og legger et godt grunnlag for gode holdninger til datasikkerhet»

Les mer her.