Η γνωστοποίηση παραβίασης ασφάλειας Breach notification

Σχετικά έγγραφα
EU Cyber Security Policy Ευρωπαϊκό δίκαιο προστασίας και ασφάλειας δεδομένων στα επόμενα χρόνια Θοδωρής Κωνσταντακόπουλος

GDPR (General Data Protection Regulation) Παναγιώτης Οικονόμου

GDPR σε Φορείς και Επιχειρήσεις

Παραβίαση της ασφάλειας των προσωπικών δεδομένων

Εκτίμηση κινδύνου και μέτρα ασφαλείας για την προστασία προσωπικών δεδομένων

Προετοιμασία για μια νέα σχέση με την Αρχή Προστασίας Δεδομένων. Κωνσταντίνος Λιμνιώτης. Γεώργιος Ρουσόπουλος

Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer)

Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΙΩΑΝΝΗΣ Δ. ΙΓΓΛΕΖΑΚΗΣ ΑΝ. ΚΑΘΗΓΗΤΗΣ ΝΟΜΙΚΗΣ ΣΧΟΛΗΣ ΑΠΘ

Ο Ανθρώπινος Παράγοντας και η Φυσική Ασφάλεια στην Επεξεργασία Προσωπικών Δεδομένων Χρίστος Κόζιαρης Christos Koziaris

Η Γνωστοποίηση Περιστατικών Παραβίασης ως εργαλείο συμμόρφωσης με το ΓΚΠΔ

DATA BREACH. Η ΑΝΤΙΜΕΤΩΠΙΣΗ ΑΠΟ ΤΗΝ ΑΠΔΠΧ ΠΡΟΤΑΣΕΙΣ ΣΩΣΤΗΣ ΠΡΟΕΤΟΙΜΑΣΙΑΣ ΑΛΚΙΒΙΑΔΗΣ ΠΟΥΛΙΑΣ

DPO ΓΕΝΙΚΑ. Μια από τις αρχές του GDPR είναι Α. Η λογοδοσία Β. Η ακεραιότητα των δεδομένων Γ. Όλα τα παραπάνω

Προσωπικά Δεδομένα. στο νέο ρυθμιστικό πλαίσιο. Σπύρος Τάσσης.

GDPR Από τη Θεωρία στην Πράξη Μύθοι και Πραγματικότητα Κώστας Παπαχριστοφής (MSc, MBA)

Α Π Ο Φ Α Σ Η 14/2019 (Τμήμα)

GDPR για επιχειρήσεις με λόγια απλά

GDPR: Η αντίστροφη μέτρηση έχει αρχίσει! Δ. Στασινόπουλος, MBA Manager IT Governance

η PRIORITY από το 1995 ανάλυση και βελτίωση επιχειρησιακών διαδικασιών σύμφωνα με κανονιστικό πλαίσιο διεθνή πρότυπα και βέλτιστες πρακτικές

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων στον Δήμο Καλαμαριάς. 2 Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων

Προστασία Δεδομένων (Data Protection)

Ο Ανθρώπινος Παράγοντας και η Ασφάλεια στην Επεξεργασία Προσωπικών Δεδομένων Χρίστος Κόζιαρης Christos Koziaris

G D P R : C O M P L I A N C E & P H Y S I C A L S E C U R I T Y

Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) & Aσφάλιση Cyber Privacy Insurance. Νίκος Γεωργόπουλος- Cyber Privacy Risks Advisor

ΟΔΗΓΙΑ: Όροι Συμμόρφωσης των Αεροπορικών Εταιρειών με το κανονιστικό πλαίσιο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα

CYBER INSURANCE BY.

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Διαχείριση Παραβίασης Προσωπικών Δεδομένων

ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

Αποκρυπτογραφώντας την προστασία δεδομένων ήδη από το σχεδιασμό και εξ ορισμού ΒΑΣΙΛΗΣ ΚΑΡΚΑΤΖΟΥΝΗΣ ΔΙΚΗΓΟΡΟΣ LLM ΣΥΝΙΔΡΥΤΗΣ LAWSPOT.

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

Κατευθυντήρια Οδηγία προς την Αεροδρομιακή Κοινότητα

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

έργα GDPR Alpha Υποστηρικτικών Εργασιών

Ολοκληρωμένες Υπηρεσίες Συμμόρφωσης στις Απαιτήσεις του Γενικού Κανονισμού για τα Προσωπικά Δεδομένα (GDPR)

1.1. Πολιτική Ασφάλειας Πληροφοριών

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Προκλήσεις από τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων. Dr. Θεμιστοκλής Κ. Γιαννακόπουλος

Διαχείριση Περιστατικών Παραβίασης Δεδομένων & Ασφάλιση Cyber Privacy Insurance. Νίκος Γεωργόπουλος, cyrm, MBA Cyber Risks Advisor

ISMS κατά ISO Δεκέμβριος 2016

Η πολιτική αφορά στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από την εταιρία.

Ασφάλιση Σύγχρονων Επιχειρηματικών Κινδύνων GDPR & Cyber Risks

Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΟ ΠΛΑΙΣΙΟ ΤΟΥ ΓΕΝΙΚΟΥ ΚΑΝΟΝΙΣΜΟΥ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (GDPR)

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

G D P R. General Data Protection Regulation. Άννα Μαστοράκου

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

ΕταιρικήΠαρουσίαση ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΔΙΚΑΣΙΕΣ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΜΑΪΟΣ 2018

Ξενοδοχειακός Τομέας & Aσφάλιση Cyber Insurance

Ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων (DPO) στον τομέα της υγείας

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Connected Threat Defense

Εθνικό και Ευρωπαϊκό Νομικό Πλαίσιο για την Προστασία Δεδομένων

ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (General Data Protection Regulation)

ΓΚΠΔ GDPR H σημασία του Data Protection Impact Assessment «Πρακτικά και εφαρμοστικά ζητήματα του Κανονισμού GDPR: Η επόμενη μέρα» ΣΕΒ 7/2/2018

GDPR General Data Protection Regulation

Πολιτική Ιδιωτικότητας και Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Τεχνολογίες και Διαδικασίες ως μέσα συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων

Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων

Η ενίσχυση των δικαιωμάτων στην πράξη & τα εργαλεία συμμόρφωσης για τη μετάβαση από το ν.2472/1997 στον ΓΚΠΔ

Cyber Risk Insurance. Κωνσταντέλος Τάσος Διευθυντής Ανάπτυξης Εργασιών. Front Line S.A. Insurance Brokers

ΕΝΗΜΕΡΩΣΗ ΓΙΑ ΤΟ ΝΕΟ ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (GDPR) ΥΠΟΧΡΕΩΣΕΙΣ ΟΔΟΝΤΙΑΤΡΩΝ

Πολιτική Ασφαλείας Προσωπικών Δεδομένων GDPR General Data Protection Regulation

Δεδομένων Προσωπικού Χαρακτήρα (General Data Protection Regulation - GDPR)

Πρακτικός Οδηγός Ενσωμάτωσης του Κανονισμού σε επιχειρήσεις και οργανισμούς

General Data Protection Regulation (GDPR)

LAW FORUM GDPR DATA BREACH. Γιώργος Τσινός Υπεύθυνος Ασφάλειας Πληροφορίας (CISO)

Το νομικό πλαίσιο του ΓΚΠΔ ΚΑΝΟΝΙΣΜΟΥ (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27 ης Απριλίου Δέσπω Ανδρέου Δικηγόρος

Connected Threat Defense

GDPR : Περιστατικά Παραβίασης Προσωπικών Δεδομένων 8 μήνες μετά

The DPO Academy Profile

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/7022-2/ Α Π Ο Φ Α Σ Η ΑΡ. 67/ 2018

ΘΕΜΑΤΟΛΟΓΙΑ ΣΕΜΙΝΑΡΙΟΥ Data Protection Officer (DPO)

Πρόγραμμα εκπαιδευτικού σεμιναρίου (40ώρο 28/04/2018) Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer - DPO)

Αντικείμενο της Πολιτικής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Πρόγραμμα εκπαιδευτικού σεμιναρίου (40ώρο 09/06/2018) Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer - DPO)

ΓΝΩΣΤΟΠΟΙΗΣΗ ΠΕΡΙ ΠΡΟΣΤΑΣΙΑΣ ΑΠΟΡΡΗΤΟΥ ΓΙΑ ΠΙΘΑΝΗ ΑΝΕΠΙΘΥΜΗΤΗ ΕΝΕΡΓΕΙΑ

Ο Ευρωπαϊκός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR) Υποχρεώσεις - Κατευθυντήριες Οδηγίες - Τεχνικά & Οργανωτικά Μέτρα

Ενημέρωση για τον Γενικό Κανονισμό για την Προστασία των Δεδομένων της ΕΕ (679/2016)

018 Απειλές στον κυβερνοχώρο: Πρόληψη και διαχείριση κινδύνων

ΚΕΦΑΛΑΙΟ I. Γενικές διατάξεις. Άρθρο 1. Αντικείμενο και στόχοι

Συνεργασία PRIORITY & INTERAMERICAN:

Διαχείριση προσωπικών δεδομένων (data governance) υπό το νέο Κανονισμό. Ανδριανή Φέρτη, Senior Associate Καρατζά και Συνεργάτες

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

GDPR: Ευκαιρία να ξανα-συστηθούμε στους καταναλωτές μας Η νέα πελατοκεντρική προσέγγιση»

Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων. Σωκράτης Κ. Κάτσικας Τμήμα Μηχ/κών Πληροφοριακών & Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου

Cloud Computing και Νομικά Ζητήματα Προστασίας Προσωπικών Δεδομένων Τάκης Κακούρης, Partner, Ζέπος & Γιαννόπουλος

ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Συστήματα Διαχείρισης Κινδύνου στα Ασύρματα Δίκτυα. Επιμέλεια: Βασίλης Παλιούρας MSc Information Security, MCSA, CCDA, CCA

Δεδομένα Ειδικών κατηγοριών. Πεδίο Εφαρμογής. Επεξεργασία. Δεδομένα Προσωπικού Χαρακτήρα. Εισαγωγικές έννοιες και ορισμοί..

Το Ηλεκτρονικό Εμπόριο στο νέο πλαίσιο προστασίας προσωπικών δεδομένων

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΚΑΙ ΔΕΣΜΕΥΣΕΙΣ

Εξειδικευμένο λογισμικό για GRC

Ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων (DPO)

Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR)

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΚΑΙ ΔΕΣΜΕΥΣΕΙΣ

Πολιτική Ασφαλείας Δεδομένων Πιστοποίηση ISO 27001:2013 από την TÜV Austria Hellas

Transcript:

Η γνωστοποίηση παραβίασης ασφάλειας Breach notification Κατευθυντήριες γραμμές των κανονιστικών αρχών Ηλίας Χάντζος Senior Director EMEA & APJ Government Affairs 24 th Ιουνίου 2019 Αθήνα

Ιδιωτικότητα και Ευρώπη EU has GDPR Britain will do GDPR anyhow Mexico, Switzerland, Israel have old adequacy regimes US has no uniform privacy regime but the Privacy Shield agreement with the EU is compliant with GDPR Japan, Korea are slotted for GDPR adequacy India is thinking about it Η εξέλιξη οδηγεί προς το υψηλότερο πρότυπο για να υπάρχει αντιστοιχία με άλλες δικαιοδοσίες είτε μέσω άμεσης εφαρμογής είτε μέσω συμβάσεων είτε μέσω μεταφοράς δεδομένων είτε ως επιχειρηματική επιλογή για την επίτευξη ανταγωνιστικού πλεονεκτήματος Australia, Singapore, Thailand, Canada, Philippines, Russia, South Africa have also privacy regimes 2

Ασφάλεια και ιδιωτικότητα Μέρος της ευρύτερης αρχιτεκτονικής Ιδιωτικότητα = Στρατηγική Αποτελέσματα Απαιτήσεις Τρόπου επεξεργασίας των δεδομένων Ασφάλεια = Επιχειρησιακές δυνατότητες Ικανότητες δράσεις Σημεία ελέγχου Πρακτική εφαρμογή Μπορείς να έχεις ασφάλεια χωρίς ιδιωτικότητα αλλά δεν μπορείς να έχεις ιδιωτικότητα χωρίς ασφάλεια 3

Η ασφάλεια ως βασική αρχή του Κανονισμού Το άρθρο 32 αναφέρει - Ασφάλεια επεξεργασίας- Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση: (α) της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα, (β) της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση, (γ) της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος, (δ) διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας 4

Η έννοια της «τελευταίας εξέλιξης» State of the art Αναζητώντας τις κατάλληλες τεχνολογίες! State of the Art Δεν ορίζεται πουθενά Πρέπει οι επιλογές να εξισορροπήσουν ανάμεσα στην καινοτομία και στο βαθμό εμπιστοσύνης ότι η τεχνολογία θα είναι αρκετά ώριμη για να αποδώσει αποτελεσματικά Ωριμότητα Χρυσή τομή Καινοτομία 5

Ο βαθμός κινδύνου Πως ορίζουμε τον κίνδυνο Η εκτίμηση του κινδύνου μεταβάλλεται στο χρόνο Πιθανότητα Συνέπειες Τι συνιστά πιθανό κίνδυνο; Ποιές οι μεταβολές; Έγκλημα Πολιτικά υποκινούμενες απειλές Λάθος Εσωτερικοί/Εξωτερικοί παράγοντες Είδος των δεδομένων Είδος της επεξεργασίας Που βρίσκονται τα δεδομένα; Αποδοχή/Μεταβίβαση/Περιορισμός του κινδύνου 6

Η ασφάλεια που ο κανονισμός επιβάλλει Βελτιωμένες απαιτήσεις ασφάλειας Κρυπτογραφία, ανωνυμία, ταυτοποίηση Άσκηση, Εκπαίδευση, αξιολόγηση Αποτελεσματικός εντοπισμός και αντιμετώπιση 7

Τα κριτήρια του κανονισμού Άρθρο 4 Παράγραφος 12: Τι συνιστά παραβίαση Τι μπορεί να συμβεί στα δεδομένα; που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία Η απαίτηση: Πρόληψη, Εντοπισμός, Καταγραφή, Αναφορά, Αντιμετώπιση Προοίμιο 75: Οι συνέπειες Τι μπορεί να συμβεί στα υποκείμενα; να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη, ιδίως όταν η επεξεργασία μπορεί να οδηγήσει σε διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, βλάβη φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο, παράνομη άρση της ψευδωνυμοποίησης, ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα Η προσδοκία: Αναμονή, Αποφυγή, Περιορισμός, Αποζημίωση 8

Η γνωστοποίηση παραβίασης Σχετικά άρθρα 4(12), 33(1, 5), 34(1) Είδη γνωστοποιήσιμων παραβιάσεων: Παραβίαση Εμπιστευτικότητα Παραβίαση Ακεραιότητας Παραβίαση Διαθεσιμότητας Συνέπεια: Ο υπεύθυνος επεξεργασίας αδυνατεί να εγγυηθεί την ασφάλεια των δεδομένων 9

Η γνωστοποίηση στην εθνική αρχή Εντοπισμός της παραβίασης: Εντοπισμός: Πότε ο υπεύθυνος «γνωρίζει»; Εκτίμηση κινδύνου: (Υψηλός/Πολύ υψηλος) Συνέπειες Γνωστοποίηση: Σε ποιόν και σε ποιες προθεσμίες Ο χρόνος εκτίμησης της παραβίασης καθίσταται κρίσιμος Ο ρόλος του DPO: Οδηγίες στον υπεύθυνο και στον εκτελών την επεξεργασία Έλεγχος και εφαρμογή του κανονισμού εσωτερικά Σχέση και επικοινωνία με τις ρυθμιστικές αρχές 10

Τι περιέχει η γνωστοποίηση στην εθνική αρχή; Η γνωστοποίηση πρέπει: a) Να περιγράφει το είδος της παραβίασης, τις κατηγορίες δεδομένων τον αριθμό των δεδομένων και τον αριθμό των υποκειμένων που επηρεάζονται b) Να συνιστά μέτρα για να περιορίσουν τις αρνητικές συνέπειες της παραβίασης c) Να περιγράφει τις πιθανές συνέπειες της παραβίασης d) Να περιγράφει τα προτεινόμενα ή τα ληφθέντα μέτρα για να αντιμετωπιστεί η παραβίαση 11

Επικοινωνία με το υποκείμενο δεδομένων Ξεκάθαρη γλώσσα Το είδος της παραβίασης Τα μέτρα που ελήφθησαν για να περιορίσουν τον κίνδυνο Επικοινωνία δεν απαιτείται αν δεν υπάρχει υψηλός κίνδυνος: Εφάρμοστηκαν τεχνικά και οργανωτικά μέτρα, πχ τα προσωπικά δεδομένα είναι ακατάληπτα Αν ο υπεύθυνος δεν γνωστοποιήσει ή το κάνει καθυστερημένα Πρέπει να γίνει πλήρως αιτιολογημένα Η μη γνωστοποίηση μπορεί να επιφέρει ποινές (μέχρι 10M or 2% του παγκόσμιου εισοδήματος) Η αρχή μπορεί να επιβάλλει να γίνει επικοινωνία Η αρχή της λογοδοσίας 12

Εκτιμώντας τον κίνδυνο και τον υψηλό κίνδυνο Πρώτα βήματα: Περιορισμός και έλεγχος του περιστατικού Εκτίμηση του κινδύνου για τα υποκείμενα Ο κίνδυνος είναι συνάρτηση της δυνητικής ζημίας και της πιθανότητας να επέλθει η ζημία Παράγοντες που συνεκτιμώνται για την αντίληψη του κινδύνου 13

Τεχνικής φύσεως παρατηρήσεις Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο αμελλητί και παραχρήμα Μερική γνωστοποίηση είναι δυνατή υπό προϋποθέσεις Προοίμιο 87 απαιτεί άμεσο εντοπισμό της παραβίασης Προγραμματισμένη διακοπή δεν συνιστά παραβίαση Προοίμιο 88 λαμβάνει υπόψιν του την ποινική διερεύνηση και την υποχρέωση γνωστοποίησης/ενημέρωσης Δεν υπάρχουν ξεκάθαρες υποχρεώσεις διατήρησης/αποθήκευσης των δεδομένων Σε περιπτώσεις συνυπευθυνότητας πρέπει να είναι ξεκάθαρο ποιός από τους υπεύθυνους επεξεργασίας γνωστοποιεί 14

Ο κανονισμός και τα εσωτερικά σημεία τριβής Η κρισιμότητα των κατευθυντήριων γραμμών Ασφάλεια Δεν μπορεί να βασίζεται μόνο στην συγκατάθεση Ανάγκη ελέγχου του περιβάλλοντος εργασίας Υποχρέωση προστασίας δεδομένων και εντοπισμού παραβιάσεων Σωστή εκτίμηση κινδύνου Έγκαιρη εφαρμογή αντιμέτρων Κρυπτογραφία Ιδιωτικότητα εργαζομένων Διαφάνεια των μέτρων ασφαλείας Ελαχιστοποίηση της εισβολής στην ιδιωτικότητα Αντίδραση σε επίθεση και συλλογή/καταγραφή πληροφοριών Κρυπτογραφία

Ποια η διαφορά σε περίπτωση εφαρμογών νέφους; Οι ίδιες υποχρεώσεις και για εφαρμογές νέφους Έχεις όμως το ίδιο επίπεδο ελέγχου και αντίληψης για δεδομένα που βρίσκονται στο νέφος; 16

Mobile SaaS IaaS/PaaS Το χάος του νέφους Σκιώδης υποδομή +1500 εφαρμογές νέφους κατά μέσο όρο σε μια επιχείρηση Σκιώδη δεδομένα Mobile/BYOD/Public Wifi Clients Partners 1 in 3 οργανισμούς έχουν περισσότερα δεδομένα στο νέφος απ ότι εσωτερικά Vendors 17 Corporate network

Σκιώδης πληροφοριακά συστήματα Unmanaged environments and users Medical Records Εφαρμογές νέφους Endpoints Managed environments 1232 HR Records Email Shadow IT Storage, Network, Mobile and Cloud 40 Financials Perceived Unstructured data (forms and images) Credit Card Info SSNs and Government IDs Actual Οι οργανισμοί χρησιμοποιούν Legacy data 30 x περισσότερες εφαρμογές νέφους απ ότι νομίζουν Source: Symantec Shadow Data Report 18

Ποιες είναι οι συνέπειες για τον κανονισμό; Παραβιάζεται σχεδόν όλος Άρθρα 5, 12-14, 15-22 (ατομικά δικαιώματα) Άρθρα 25, 26, 28, 29, 30-36 (λογοδοσία, ασφάλεια, ειδοποίηση, εκτίμηση κινδύνου) Όλο το κεφάλαιο 5 (Διεθνείς μεταβιβάσεις δεδομένων) Ποινές και ευθύνη ( Άρθρα 82, 83) 19

Τι θα γίνει με το Brexit; Κανείς δεν ξέρει σίγουρα Η θέση της κυβέρνησης του ΗΒ Έχει ενταχθεί στο εθνικό δίκαιο Μεταβίβαση δεδομένων σε τρίτη χώρα Εφαρμογή ως μέρος της εφοδιαστικής αλυσίδας Εφαρμογή άμεση αν εταιρείες του ΗΒ στοχεύουν την Ευρώπη Τι θα γίνει με τις αρχές ασφάλειας του ΗΒ; Πόσο εύκολα μπορεί το ΗΒ να πάρει επάρκεια; 20

Πολυεθνική παραβίαση και γνωστοποίηση Διαφορετικά σενάρια Ποιόν ενημερώνω; Πως θα διεξαχθεί η έρευνα; Δεδομένα διαφορετικών εθνικοτήτων Δεδομένα σε διαφορετικές τοποθεσίες Δεδομένα σε διαφορετικά νέφη Επικεφαλής αρχή Εθνική αρχή Ποια είναι η εποπτεύουσα αρχή Μια αρχή Περισσότερες Τι προκάλεσε; Ex officio Ανταγωνιστής Υπάλληλος Καταναλωτής ΜΚΟ/Τρίτοι Γνωστοποίηση Ποιός είναι ο πιθανός κίνδυνος Τι άλλο θα αποκαλυφθεί; Ενημέρωση εντός προθεσμίας αλλά άγνοια του περιστατικού

Κρίσιμες ερωτήσεις για την πρακτική εφαρμογή Τα κρίσιμα τα σημεία ελέγχου ασφάλειας Ποιό είναι το προφίλ κινδύνου του οργανισμού; Που πρέπει να επικεντρωθώ για να εφαρμόσω τον Κανονισμό; Πως διαχειρίζομαι και αναφέρω τις πρακτικές πληροφοριακού κινδύνου; Τι προσωπικά δεδομένα έχω και που ακριβώς βρίσκονται; Μπορούμε να ελέγξουμε τι προσωπικά δεδομένα είναι προσβάσιμα και ποιος έχει πρόσβαση; Μπορούμε να ελέγξουμε που θα αποθηκεύσουμε δεδομένα; Μπορούμε να κρυπτογραφήσουμε ή να ανωνυμοποίησουμε τα δεδομένα; Μπορούμε να εντοπίσουμε παραβιάσεις; Μπορούμε να κάνουμε γρήγορα και αποτελεσματικά γνωστοποίηση; Μπορούμε να εκτιμούμε συνεχώς την αποτελεσματικότητα της ασφάλειας μας; Risk Management Compliance Assessments Information Centric Security DLP / CASB Authentication Encryption Tokenisation Breach Response Managed Security and Incident Response Services Security Analytics 22

Πως η τεχνολογία μπορεί να βοηθήσει; Παραδείγματα Αρχιτεκτονικής Προστασία ιδιωτικότητας και ασφάλειας PREPARE PROTECT DETECT RESPOND Understand Data Risk DLP Data Insight CASB Audit DLP Encryption Technology Risk Management Personal Data Protection Everywhere VIP Advanced Breach Detection, Remediation, & Notification Endpoint Email Server Web / CASB CCS EPM CASB Web CDP ATP Understand, Report, and Remediate Compliance Analytics Cyber Security Services Unparalleled Threat Intelligence Endpoint 175M endpoints protected Cloud Security 12,000 cloud applications secured Email 2Bm emails scanned/day Physical & Virtual Workloads 64K Datacenters protected Web 1.2Bn web requests secured/day 23

Συνολική εικόνα κανονιστικού περιβάλλοντος General Data Protection Regulation (GDPR) All Industries holding Personal Data Regulatory Level Network Information Security Directive (NISD) a.k.a. Cyber Directive Critical National Infrastructure: Financial Services; Energy; Water; Food; Transport; Health; Government; and Emergency Services ISO 27001 ISO 27005 ISO 27018 COBIT DPA 10 Steps Cyber Essentials FTSE 350 Cyber CREST Techincal Standards National Level Financial Services CBEST / FCA / PRA PCI / PSD MAS / Swiss / Lux Energy / Utilities Health and Safety CPNI PCI / DSS Industry Level 24

Δεν είναι μόνο θέμα τεχνολογίας Εκπαιδευθείτε Εξασκηθείτε Δημιουργείστε τις διαδικασίες Προσέξτε τις συμβάσεις σας Προσέξτε με ποιόν συναλλάσσεστε Αναλογιστείτε τι σημαίνει για την δική σας ανταγωνιστικότητα και εξωστρέφεια Διαχειριστείτε τον κύκλο ζωής των δεδομένων σας Σκεφτείτε που χρειάζεστε τεχνολογία Ο κανονισμός δεν είναι μόνο θέμα τεχνολογίας αλλά δεν μπορεί να εφαρμοστεί χωρίς τεχνολογία 25

Ευχαριστώ πολύ!! Ilias_chantzos@symantec.com go.symantec.com/gdpr

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια