birgitte kofod olsen - sikkerhed i cloud computing og big data
TRANSCRIPT
Sikkerhed ved Cloud Computing og
Big Data i det offentlige
Rådet for Digital Sikkerhed
Offentlig digitalisering, Århus 25. marts 2015
Birgitte Kofod Olsen, Formand
Partner, phd, Carve Consulting
Big data i det offentlige
Effektiv
udnyttelse af
big data
forudsætter
effektiv
beskyttelse af
persondata
Uudnyttede muligheder
• Ny viden om sundhed, arbejde, skat, snyd..
• Øget kvalitet i borgerservice
• Mere effektiv kontrol
• Samfundsøkonomisk effekt
• Vækst
Forudsætninger
• effektiv beskyttelse af persondata
• robust it-sikkerhed
• tillid og tryghed
#1 Effektiv beskyttelse af data
Privacy:
Min krop
Mine ejendele
Mine data
EU traktatens
Charter art. 7
og 8
Privatlivsbeskyttelse og Persondatabeskyttelse
er grundrettigheder i EU
Hovedregel
• beskyttelse af borgerens privatliv og data
Undtagelse
begrænsning af beskyttelsen
• hvis der er et lovligt hensyn og hjemmel,
• og det er proportionalt og nødvendigt
• i et demokratisk samfund
Principper for databehandling
Principper
• minimum af data
• samtykke
• nødvendighed
• formålsbestemthed
• transparens
• porportionalitet
Borgeren har ret til at få
• adgang til data om dem selv
• rettet ukorrekte data
• slettet data, hvis de ikke er
retvisende
• få overflyttet data
• og indgive klage
LøsningerPri
vacy
Impa
ctA
ssess
ment Konsekvens- og
risikoanalyse
- compliance
- risiko
- governancePri
vacy
by d
esi
gn IT Design &
arkitektur
- kryptering
- anonymisering
-pseudonymisering
Pri
vacy
by d
efa
ult
Automatisk beskyttelse som standardindstilling
- forhindrer indsamling, visning og videregivelse
Digitaliseringsstyrelsen har udarbejdet enGuide til konsekvensvurdering af privatlivsbeskyttelse
Erhvervsstyrelsen lancerer som led i Vækstplan for digitalisering i Danmark et online Privay-kompas om lovgivningskrav, god praksis og risikohåndtering Online Privacy Kompas
# 2 Robust sikkerhed
Integreret
it-sikkerhed &
privacy i
kontrakter og
praksis
Assurance-based sikkerhed
• Krav i leverandørkontrakter til organisatoriske og tekniske
sikkerhedsforansataltninger
• ISO 27001Information Security Management
• ISO 27018 om personally identifiable information (PII) in
public clouds
Forebyggende sikkerhed
• Privacy Enhancing Technologies: Lokal kryptering, Multiparty
Computation og Homomorphic Encryption
• Privacy by design
• Privacy Impact Assessment af løsningsforslag og færdige
systemer
UDFORDRING: anvendelse af CPR-nummeret til
identifikation og autentifikation
#3 Tillid og tryghed
Tillid
Empowerment
Tryghedsskabende faktorer
• oplysning
• inddragelse og dialog
• samtykke
• underretning
• viden om indlejret privatlivsbeskyttelse
• viden om indlejret sikkerhed
• transparens
Resultat: sund udnyttelse af data
Risiko Teknologi Compliance GovernanceViden og awareness
Risiko
Eliminering &
reduktion
Håndtering
ISO 27001
ISO 27018
EU forordning
Privacy Impact
Assesment (PIA)
Digital dannelse
Tillid og
tryghed
• ny viden
• øget
kvalitet
effektiv
kontrol
• økonomisk
effekt
• vækst
Privacy by design
Privacy by default
Privacy
Enhancing Techn.
Kontakt information
Rådet for Digital Sikkerhed
Toldbodgade 12
1253 København K
Formand
Birgitte Kofod Olsen
Mobil +45 41 42 83 81
Mail [email protected]
Web digitalsikkerhed.dk