EU-GDPR / EU-DSGVO

TOTALREVISION CH-DSGZEIT FÜR EIN PRIVACY PROGRAM

treffPUNKT „KVG“, 31.01.2018, Umberto Annino

Information Security, GRC, Cyber Insurance,

ePrivacy Certification

Umberto Annino

Principal Cyber Security Consultant, Mitglied des Kader

umberto.annino@infoguard.ch +41 79 679 0096

Präsident, ISSS Information Security Society Switzerland www.isss.ch

Education & Certification Director, ISACA Switzerland Chapter www.isaca.ch

Eidg. Dipl. Wirtschaftsinformatiker, NDS FH Integriertes Qualitätsmanagement

© InfoGuard │ INFOGUARD.CH │ 2

General Data Protection Regulation (GDPR)

im Überblick

© InfoGuard │ INFOGUARD.CH │ 3

GELTUNGSBEREICH

Alle Unternehmen weltweit, welche personenbezogene

Daten von EU-Bürgern verarbeiten.

MELDEPFLICHT

72

Unternehmen müssen innerhalb von

72 Stunden Datenschutzpannen melden.

UMSETZUNG

2018Gesetzgebung der EU-Staaten

BUSSGELDER

Bis zu 4% des globalen Jahresumsatzes.

EU-GDPR / EU-DSGVO – die Fakten

• Tritt per Mai 2018 in Kraft

• Bussgelder bis zu 4% des globalen Jahresumsatzes oder bis zu 20

Mio. Euro

Aufsichtsbehörden müssen Bussen verhängen

• Extraterritorialen Charakter und trifft somit auch Schweizer

Unternehmen

• Bei Datenschutzpannen (Data Breaches) ist der Datenbearbeiter

verpflichtet, dies der zuständigen Datenschutzbehörde innert 72

Stunden zu melden.

• Datenschutz-Folgeabschätzung

• “Privacy by Design” und “Privacy by Default” verpflichten die

Datenbearbeiter, die Einhaltung des Datenschutzes bereits mit der

Wahl ihrer Mittel und Technik sicherzustellen.

© InfoGuard │ INFOGUARD.CH │ 4

Was passiert im Mai 2018?

Neue Pflichten

• Meldepflichten bei Datenschutz-verletzungen, möglichst binnen 72 Stunden(Art. 33 DSGVO)

• Benennung eines internen oder externen Datenschutzbeauftragten(Art. 37 DSGVO)

• Datenschutz durch Technikgestaltung sicherstellen(Privacy by Design; Art. 25 Abs. 1DSGVO)

• Datenschutz durch datenschutzfreundliche Voreinstellungen gewährleisten(Privacy by Default; Art. 25 Abs. 2 DSGVO)

• Big Data: Pflicht zur vorgängigen Durchführung einer Datenschutz-Folgenabschätzung(Data Protection Impact Assessment; Art. 35 DSGVO)

• Koppelungsverbot bei Einwilligung (Art. 7 Abs. 4 DSGVO) - Einwilligung zu einer Verarbeitung von personenbezogenen Daten* -Erfüllung des Vertrags

• Auslagerung von der Datenverarbeitung nur auf der Grundlage eines Vertrages bei hinreichenden Garantien des Auftrags-Datenverarbeiters(z.B. Datenschutzsiegel; Art. 28 Abs. 1 DSGVO)

• Keine Unter-Auftragsverarbeitung (Sub-Sub-Akkordanten) ohne schriftliche Genehmigung des Verantwortlichen(Art. 28 Abs. 2 DSGVO)

• Schweizer Unternehmen müssen einen Vertreter in der EU benennen(Art. 27 Abs. 1 DSGVO)

• Einwilligung einholen für die Verwendung der Web-Nutzer- und Verhaltensdaten (freiwillig, unmissverständlich, AGBs nicht hinreichend)

© InfoGuard │ INFOGUARD.CH │ 5

* rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung

Massnahmen

Bewusstsein

•Entscheidungsträger und Schlüssel-personen sind sich der GDPR bewusst.

Gehaltene Informationen

•Dokumentieren Sie die Datenflüsse persönlicher Daten (woher, wohin, geteilt)

Übermittlung der Datenschutz-informationen

•Überprüfen Sie die aktuellen Daten-schutzhinweise. Vorbereitung GDPR Umsetzung

Rechte der Einzelpersonen

•Kontrollverfahren:Rechte / Berechtigungen von Personen, Löschung von Daten, Bereitstellung von Daten

Zugriffsanforderungen

•Prozesse zur Aktualisierung der Berechtigungen innerhalb von Zeit und Qualität

Rechtsgrundlage für die Verarbeitung

•Ermittlung der Art der Daten-verarbeitung, Ermittlung der Rechts-grundlage, Zustimmung: Überprüfung der Suche, Beschaffung, Aufnahme Zustimmung

Kinder

•Überprüfen der Personen Alter, Erhebung der Zustimmung der Eltern / Berechtigten für Datenverarbeitung

Datenschutzverletzungen

•Verfahren zur Erkennung, Meldung, Untersuchung von Datenverletzungen

DP durch Datenschutz-folgenabschätzungen

•Durchführung von Privacy Impact Assessments

Datenschutzbeauftragte (DPO)

•Benennung einer Rolle oder Verantwortlichkeit

International

•Festlegung der zuständigen Daten-schutzbehörde

© InfoGuard │ INFOGUARD.CH │ 6

GDPR : General Data Protection Regulation

DP: Data Protection

DPO: Datenschutzbeauftragte, DP Officer

Totalrevidiertes CH-DSG

Wesentliche Neuerungen

• Information der Betroffenen –

Informationspflicht wird ausgebaut

• Datenschutz-Folgeabschätzung mit

Information des EDÖB

• Meldung von Datenschutzverletzungen an

den EDÖB und ggf. Betroffene Personen

• Datenschutz by Design und –by Default

(Privacy by Design / -by Default)

• Dokumentationspflicht der

Bearbeitungstätigkeit

• Best Practices – Empfehlungen durch den

EDÖB und Abnahme

© InfoGuard │ INFOGUARD.CH │ 7

• Profiling automatisierte Verhaltensauswertung

• Auftragsdatenbearbeitung – keineSubcontractors ohne schriftliche Zustimmung des Auftraggebers

• Weitergabe von Daten ins Ausland –verbindliche Feststellung der Adäquanz durchBundesrat, mehr Rechtssicherheit

• Sanktionen – von früher 10k CHFauf neu 500k 250k CHF Bussen (Antragsdelikt)

• Wegfall “juristische Personen”

• Entfall der Pflicht zur Registrierung von Datensammlung (durch private Unternehmen)

Vorentwurf, Stellungnahmen bis April 2017 möglich

Entwurf, September 2017 bj.admin.ch; 12.01.2018: SPK-N beschliesst Revision in 2 Etappen

Kritikpunkte am Vernehmlassungsentwurf DSG

• Mögliche Abweichungen zwischen CH und EU Gesetzgebung verhindern

• Erhöhung Aufwand bei Umsetzung Datenschutz und Datensicherheit

• Erhöhung Komplexität Erhöhung der Risiken

• Betroffene Bereiche: Umsetzungsstandards, Auftragsdatenbearbeitung, Datenschutz-

Folgeabschätzung und Meldepflicht Datenschutzverletzungen

• Betrieblicher Datenschutzbeauftragter wurde «Datenschutzberater-/in» im Entwurf

• Fehlt im VE-DSG, ohne Begründung

• Ohne bDSB fehlen für Datenschutz notwendige Ressourcen, Verantwortlichkeit

• Strafrechtliche Sanktionen

• Zielen im VE-DSG auf die Person, nicht die Organisation

• Führt zu Schwierigkeiten bei der Rekrutierung (Verantwortung / Bussen) und Schwierigkeiten bei

der Zuordnung der Verantwortung an einzelne Mitarbeitende

© InfoGuard │ INFOGUARD.CH │ 8

Privacy by Design, Privacy by Default

© InfoGuard │ INFOGUARD.CH │ 9

Privacy by Design

• Proaktiv, nicht reaktiv; Vorbeugend, nicht schadenbegrenzend auchDatensparsamkeit!

• Datenschutz als Grundeinstellung

• Privacy in das Design (Produkt, DL) einbetten

• Full Functionality – Positive-Sum, keine Zero-Sum

• End-to-End Security – Full Lifecycle Protection

• Visibilität und Transparenz – Keep it Open

• Respektieren der User Privacy – Keep it User-Centric

© InfoGuard │ INFOGUARD.CH │ 10

Privacy by Default

• Strengste Einstellmöglichkeit (settings) «by Default» bei Produkten und Dienstleistungen

• «Opt-in» als Standard-Einstellung!

• Personenbezogene Daten nur so lange bearbeiten und aufbewahren, wie für die

Dienstleistung notwendig

• Keine Weitergabe ohne Kenntnis (und ggf. Einverständnis) der betroffenen Person

• Zugriff auf personenbezogene Daten nur nach «need to know/have», nicht «Vertrauens-Prinzip:

alle haben Zugriff»

© InfoGuard │ INFOGUARD.CH │ 11

Ein «Privacy Program» - Datenschutz Managementsystem

© InfoGuard │ INFOGUARD.CH │ 12

Technische und organisatorische Massnahmen

Schwerpunkt A: Zugang zu den Daten

• Sicherheit der Räumlichkeiten, -Serverräume, -

Arbeitsplatz

• Identifizierung und Authentifizierung

• Zugang zu den Daten

• Zugang von ausserhalb der Organisation

Schwerpunkt B: Lebenszyklus von Daten

• Datenerfassung, Protokollierung

• Pseudonymisierung und Anonymisierung

• Verschlüsselung, Sicherheit Datenträger

• Datensicherung

• Datenvernichtung

• Auslagerung von Arbeiten (Bearbeitung durch Dritte)

• Sicherheit und Schutz Klassifizierung

Schwerpunkt C: Datenaustausch

• Netzsicherheit

• Verschlüsselung von Mitteilungen

• Unterzeichnen von Mitteilungen

• Übergabe von Datenträgern

• Protokollierung des Datenaustauschs

Schwerpunkt D: Auskunftsrecht

• Recht der betroffenen Personen

• Reproduzierbarkeit der Verfahren

© InfoGuard │ INFOGUARD.CH │ 13

Siehe: Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes (EDOEB)

Privacy Program Management

Strategisches Management

• Definieren einer unternehmerischen Datenschutz Vision & Mission Statement

• Entwickeln einer Privacy Strategy

• Strukturieren des Privacy Team

Framework entwickeln und implementieren

• Aktuelle Privacy Frameworks:

APEC, PIPEDA, OECD, Privacy by Design, White House privacy framework*, FTC recommendations

• Entwickeln Unternehmens-Privacy-Policies, Standards und Richtlinien

Performance Measurement / Reporting

• Privacy Metriken für Management Reporting & ROI

© InfoGuard │ INFOGUARD.CH │ 14

Privacy Operational Lifecycle

Beurteilen (Assess)

• Messen der Maturität der Privacy Prozesse: AICPA/CICA Privacy Maturity Model

• Assess Key Areas – Daten, Systeme, Prozesse(mit Hilfe von Internal Audit, IT, Information Security, Legal & Compliance)

• Processors und 3rd-party Vendor Assessment (Cloud Services!)

Schützen (Protect)

• Data/Information Lifecycle Management (DLM / ILM)

• Information Security Praktiken umsetzen (e.g. ISO 270xx)

• Privacy by Design, Privacy by Default

Aufrechterhalten (Sustain)

• Monitoring von Änderungen der Gesetze und Regulatorien

• Compliance & Risk Monitoring; Audit

• Kommunikation – Intern & Extern

Respond (Antworten)

• Anfragen (Beschwerden, RFI, Berichtigungen, Auskunftsbegehren)

• Vorfälle: Planung & Management (Handling, Response) Incident Management

© InfoGuard │ INFOGUARD.CH │ 15

Linksammlung

Checkliste GDPR Readiness

https://www.infoguard.ch/de/blog/in-10-schritten-zur-gdpr-readiness-dank-unserer-checkliste

+ whitepaper

Leitfäden EDOEB

https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/dokumentation/leitfaeden.html

EDOEB zu Cloud Computing

https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/Internet_und_Computer/cloud-computing.html

Datenschutzbeauftragter Kanton Zürich

https://dsb.zh.ch/internet/datenschutzbeauftragter/de/home.html (www.datenschutz.ch)

IAPP – International Association of Privacy Professionals

https://iapp.org

© InfoGuard │ INFOGUARD.CH │ 16

Event Hinweis

«Security in eHealth»

07.06.2018

Ort voraussichtlich Kanton Zug (Rotkreuz, Zug, andere)

© InfoGuard │ INFOGUARD.CH │ 17