Hvorfor?
Hvorfor have fokus op Persondataforordning 679/2016
Persondataforordningen træder i kraft den 25 maj 2018, og gælder for alle virksomheder i EU og EØS. Forordningen ønsker at beskytte alle EU borgere, og fastslår at alle informationer om en fysisk person til enhver tid tilhører den fysiske person. Dvs. at en fysisk person kan kræve at virksomheden retter eller sletter alle informationer som virksomheden har om vedkommende, med mindre virksomheden har anden lovhjemmel (f.eks. indberetning af skat …) der kræver at virksomheden skal gemme oplysninger i et antal år.
En fysisk person har til enhver tid ret til, at få indsigt i, hvilke data der opbevares om vedkommende, hvor længe disse virksomheden opbevare og med hvilken lovhjemmel. Denne ret gælder alle data om vedkommende.
Derudover er det forbudt at opbevare almindelige persondata og følsomme persondata udenfor EU med mindre, at det er et godkendt tredje land. I dag er der meget få lande der er godkendte. For eksempel Grønland er IKKE med i EU, og er dags dato IKKE godkendt tredje land.
Hvad?
Hvad skal der gøres for at overholde Persondataforordning 679/2016
Persondataforordning 679/2016 er afløser for den i dag gældende ”Data Protection Directive 95/46/EC”
Der skal tages stilling til hvem der er dataansvarlig (en fra den øverste ledelse, normalt formand for bestyrelsen eller den administrerende direktør) og om der eventuelt skal udpeges en DPO (Data Protection Officer).
Der skal udarbejdes en procedurebeskrivelse for alle arbejdsgange omkring persondata og alle personer i virksomheden der arbejder med persondata skal introduceres i de relevante procedure før arbejdet påbegyndes.
Der skal indgås skriftlige aftaler med alle virksomheder og personer der opbevare eller behandler persondata for virksomheden. Hvis der f.eks. bruges ekstern virksomhed til behandling af lønudbetalinger, eller hvis du har placeret din server hos en hostings udbyder, herunder er det vigtigt at underleverandører garanterer at virksomhedens persondata aldrig placeres udenfor EU.
En forordning er en EU lov der er gældende i alle EU og EØS lande fra ikrafttrædelsesdatoen. Det er i sidste ende EU (afløseren af Artikel 29-gruppen) der afgør om, der skal udskrives en bøde, samt hvor stor den skal være. I Danmark fører Datatilsynet kontrol med virksomheder på vegne af EU.
Hvordan?
Hvordan kan I komme i mål med Persondataforordning 679/2016
Til at starte med er det vigtigt at gøre sig klart, at det ikke er et IT projekt, men et ledelsesprojekt, hvor IT er en del af projektet. Derfor er det vitalt, at ledelsen er med i projektet fra starten og udøver en aktiv rolle.
Projektet bør starte med, at finde de rigtige personer der skal deltage i projektet og derefter lokaliserer hvor i virksomheden man opbevarer persondata og afgøre hvilken type disse data er, hvilken behandling der fortages med disse data og hvilken lovhjemmel der er for at opbevare og behandle data.
Næste step er at udføre en GAP analyse, dvs. afklare hvad der skal ændres for, at overholde forordningen og hvordan det skal udføres.
Forordningen kræver at der passes godt på persondata i virksomheden, under hensyntagen til virksomhedens størrelse.
Projektet skal slutte med, at dokumenterer hvordan og hvorfor persondata behandles, hvad virksomheden gør for at den til enhver tid overholder forordningen. Denne dokumentation skal ajourføres ved en ændring i en behandling eller hvis der er en ny dataansvarlig eller en ny DPO. Den skal ajourføres mindst en gang årligt.
Ønsker du at læse mere om Persondataforordningen klik her.
Hvad nu hvis?
Hvad nu hvis virksomheden ikke har dokumenteret persondatabehandlingen
Hvis virksomheden har data om 1 fysisk person, der er EU borger, og denne person har bestemt sig for at chikanerer din virksomhed, har personen ret til at indberette din virksomhed for ikke at ville overholde forordningen, hvis virksomheden ikke udleverer alle personoplysninger indenfor 4 uger. Ved gentagne indberetninger øges risikoen for, at Datatilsynet beder virksomheden om at sende dokumentation for, at der er styr på behandling af persondata.
Forordningen kan udløse meget store bøder, på op til 4% af virksomhedens omsætning. Hvis virksomheden ikke har styr på dokumentationen, er der stor risiko for at Datatilsynet er tvungent til at udskrive en bøde.
EU har med Forordningen gjort det klart, at man kræver at Forordningen overholdes. Hvis en virksomhed ikke overholder Forordningen, skal Datatilsynet udskrive en bøde der kan mærkes af virksomheden. For at sikre at bøderne kan mærkes har EU det sidste ord, hvis de mener, at et givent land udskriver for små bøder.
GDPR LINKS:
Arama Consult kan levere ydelser indenfor flere produkt områder, dette kan lade sig gøre via vores samarbejdspartnere.
Trend Micro
HP ESP
Symantec
ocial Engineering
http://en.wikipedia.org/wiki/Social_engineering_%28security%29
Hvad?
Hvad er Social Engineering?
Social engineering, i forbindelse med informationssikkerhed, henviser til psykologisk manipulation af mennesker til at udføre handlinger eller videregivelse af fortrolige oplysninger. En type tillids trick med henblik på indsamling af oplysninger, svindel, eller systemadgang, det adskiller sig fra et traditionelt "con" i, at det ofte et af mange skridt i et mere kompleks bedrageri.
Udtrykket "social engineering" som en handling af psykologisk manipulation er også forbundet med samfundsvidenskab, men dens anvendelse har fanget på blandt computer-og informationssikkerheds fagfolk.
Hvorfor?
Hvorfor Social Engineering?
Social Engineering er blevet meget populært blandt svindlere, som en metode at tjene penge på, en af grundene til dette er at de mennesker som bliver udsat for Social Engineering ikke er klar over at de er udsat for dette, og derfor frivilligt videregiver fortrolige oplysninger, om dette så er via. Email eller telefon samtaler så er målet altid at få fat i disse fortrolige oplysninger og efterfølgende at bruge dem til at skade den eller de personer som er målet for denne handling.
Hvordan?
Hvordan Social Engineering?
Hvad nu hvis?
Hvad nu hvis Social Engineering?
Arama Consult anbefaler alle sine kunder der har adgang til kildekoden, at få denne Statisk skannet så eventuelle fejl og mangler kan blive dokumenteret og rapporteret til udviklerne af softwaren.
Her er en liste over forskellige Statisk skannings programmer:
- HP Fortify Static Code Analyzer
- IBM Appscan Source
- Flawfinder (Kun C & C++)
- FxCop (Kun .NET Framework 2.0)
- Findbugs (Kun Java)
- RATS
Arama Consult søge altid nye kvalificerede og certificerede konsulenter indenfor projektledelse, netværk og udvikling med fokus på Datasikkerhed, hvis du ligger inde med kompetencer som du mener vi kan drage nytte af er du velkommen til at sende dit CV til os, så vil vi kigge på det er tage kontakt til dig når vi har vurderet dine kompetencer.
Arama Consult koncentrere sig primært om Datasikkerhed, og ønsker konsulenter som kan hjælpe vores kunder med at opnå et bedre Datasikkerheds niveau, vi lægger stor vægt på relevante certificeringer, blandt disse kan nævnes WebSense 201, HP Fortify Subcontractor, ISO27001, Cisco Certified Network Associate (CCNA), Cisco Certified Network Professional (CCNP), Cisco Certified Security Professional (CCSP), Cisco Certified Internetwork Expert (CCIE) eller lignende.
Hvis den certificering du ligger inde med ikke lige er listet på denne side kan du tjekke om den skulle være listet her, vi ser frem til at høre fra dig.
Denne e-mail adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.