Jak cloudové technologie mohou usnadnit život DPO? Zdeněk Jiříček, National Technology Officerđ This presentation is intended to provide an overview of GDPR and is not a definitive statement of the law.
GDPR - procesy 1 Mapujte Zjistěte, jaké osobní údaje máte a kde se nacházejí 2 Spravujte Rozhodujte o způsobech využití a udělení přístupu k osobním údajům 3 Chraňte Zaveďte bezpečnostní opatření k předcházení, detekování a zvládání bezpečnostních incidentů 4 Dokumentujte Uchovávejte požadovanou dokumentaci, vč. žádostí týkajících se správy osobních údajů či případů porušení zabezpečení
Jak může zpracování v cloudu pomoci? Některé funkce spojené s výkonem práv subjektů dat (čl. 12 až 20) Nalezení osobních údajů, přístup, omezení, protokolární výmaz, přenositelnost Reflektovat smluvní požadavky na zpracovatele (čl. 28) Zabezpečení zpracování osobních údajů (čl. 32) Správa záložních kopií, řízení kontinuity Audity účinnosti zavedených opatření Implementace pseudonymizace a šifrování dat (čl. 25, 32) Šetření a ohlašování bezpečnostních incidentů (čl. 33, 34) Modelové posouzení vlivu na ochranu os. údajů DPIA (čl. 35) Kodexy chování zpracovatelů a certifikace služeb (čl. 40 až 43)
Reflektovat smluvní požadavky na zpracovatele (čl. 28) Čl. 28 odst.1: správce využije pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení Reflektovat smluvní požadavky čl. 28, 32 a 33 ve svých standardních smluvních podmínkách, např.: Informovat předem o zapojení dalších zpracovatelů Zpracování osobních údajů pouze na základě pokynů správce Vhodná sada opatření: ISO/IEC 27018: Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors Microsoft: nyní dodatek ke smlouvě, od léta 2017 součástí Podmínek
Článek 32 Zabezpečení zpracování (os. údajů) (1) S přihlédnutím ke stavu techniky... povaze... rozsahu... a k různě závažným rizikům pro práva fyz. osob, zavedou správce a zpracovatel vhodná tech/org. bezp. opatření... odpovídající danému riziku,.. včetně: a) pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) obnovit dostupnost osobních údajů včas v případě technických incidentů; d) pravidelného testování a hodnocení účinnosti zavedených opatření (2) zohlednit rizika náhodného zničení, ztráty, pozměňování, neoprávněného zpřístupnění osobních údajů
Od analýzy rizik k DPIA Čl. 35: nutné posouzení vlivu pro zpracování s vysokým rizikem (DPIA Data Protection Impact Assesment) Zpracovatel: jak nejlépe pomoci správci a vyhovět regulátorovi 1. Vzorová analýza rizik určitého typu zpracování osobních údajů Hodnotíme rizika porušení důvěrnosti, integrity, dostupnosti a ztráty os. údajů Dále rizika souladu s regulatorními požadavky pro správce Souvislost se ZoKB: rozsah analýzy rizik dle VoKB č. 316/2014 Sb. 2. Nastavení adekvátních bezp. opatření 3. Charakteristika zbytkových rizik pro správce
Modelové analýzy rizik a scénáře pro DPIA K dispozici modelové analýzy rizik pro zákazníky (v češtině): 1) Zdravotnická dokumentace: řešení ICZ a.s. PACS snímky v Azure Znalecký posudek ústavu CETAG: adekvátní úroveň zabezpečení dle GDPR 2) Spisová služba: Gordic GINIS v Azure (autoři RAC, Mainstream) 3) Formát DPIA pro zpracování osobních údajů v Office 365 (od S.ICZ) Osobní údaje v Exchange Online Citlivé osobní údaje v SharePoint Online Telemedicína / citlivé osobní údaje přes a upload přes Skype for Business Ve formátu posouzení vlivu (DPIA), testujeme s ÚOOÚ Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o.
Prvky Privacy by Design : Pseudonymizace, šifrování, minimalizace Propojení oddělených záznamů subjektu dat jedinečným, bezvýznamovým identifikátorem Další nebo citlivé osobní údaje v cloudu B Způsob zpracování dat v cloudu Základní identifikační údaje subjektu dat v cloudu A Key Vault Řízení přístupu a logování událostí Privátní cloud správce dat Ochrana šifrováním volby z pohledu zpracování v cloudu: 1) Klíče v perimetru správce (dešifrovaná data pouze uvnitř organizace) 2) Klíče využívá aplikace v cloudu, ale jsou pod výhradní kontrolou správce 3) Klíče ve správě zpracovatele; zákazník má auditovatelnost přístupu z logů
Administrátor cloudu žádá přístup Office 365 / Azure Datacenter Network Udělení dočasného přístupu: Jen metadata? (poštovní obálka) Obsah dat? Microsoft firemní síť Smluvní nastavení podmínek, za kterých může administrátor cloudu dostat přístup na zákaznická data. Lock Box udělí nutné zvýšení práv administrátora k provedení úkonu. Auditovatelné logováním. Prověrky administrátorů: 1. Kontrola trestního rejstříku 2. Kontrola zadlužení a referencí ze zaměstnání 3. Musí projít bezpečnostním školením
Přenesení části odpovědnosti na zpracovatele Nástroje k ochraně důvěrnosti, integrity a dostupnosti osobních údajů 5. Nástroje pro vysokou dostupnost a odolnost 2. Zabezpečení koncových zařízení 3. Řízení přístupu, zabezpečení identit Správa identit v cloudových službách s integrací do on-premise snižuje rizika slabých hesel 1. Ochrana dat (důvěrnost, integrita) 4. Nástroje pro kontrolu a auditovatelnost Kontrola pomocí certifikací a auditů třetích stran. Provozní logy a další kontrolní nástroje. 6. Zvládání bezp. incidentů Zabezpečení zařízení, informací, a uživatel. identit Ochrana dat v úložišti a při přenosu Brzká detekce bezpečnostních incidentů, Threat Intelligence
Threat Intelligence Audit Logs Intune Active Directory Log Analytics ediscovery Azure Security Center Data Log Data Loss Prevention Cloud App Security Key Vault Data Classification Threat Detection Windows Hello Bitlocker Credential Guard Information Protection Transparent Data Encryption Always Encrypted
REGIONAL INDUSTRY US GOV GLOBAL Certifikace a pokladová dokumentace nyní přístupné na Microsoft Trust Center www.microsoft.com/trust ISO 27001 ISO 27018 ISO 27017 ISO 22301 ISO 9001 SOC 1 Type 2 SOC 2 Type 2 SOC 3 CSA STAR Self-Assessment CSA STAR Certification CSA STAR Attestation Moderate JAB P-ATO High JAB P-ATO DoD DISA SRG Level 2 DoD DISA SRG Level 4 DoD DISA SRG Level 5 SP 800-171 FIPS 140-2 Section 508 VPAT ITAR CJIS IRS 1075 PCI DSS Level 1 CDSA MPAA FACT UK Shared Assessments FISC Japan HIPAA / HITECH Act HITRUST GxP 21 CFR Part 11 MARS-E IG Toolkit UK FERPA GLBA FFIEC Argentina PDPA EU Model Clauses UK G-Cloud China DJCP China GB 18030 China TRUCS Singapore MTCS Australia IRAP/CCSL New Zealand GCIO Japan My Number Act ENISA IAF Japan CS Mark Gold Spain ENS Spain DPA India MeitY Canada Privacy Laws Privacy Shield Germany IT Grundschutz workbook
Alternativa ke zvážení: Přesuňte část odpovědnosti na poskytovatele cloudových služeb, který je k tomu náležitě vybaven!
Microsoft.com/GDPR Microsoft.com/TRUST
GDPR Compliance Zjednodušení cesty k souladu Identifikace rizik a realizace opatření Využití expertních znalostí