GDPR Programme de gouvernance d implémentation G. MOLLERS - CSSI

Transcription

1 GDPR Programme de gouvernance d implémentation G. MOLLERS - CSSI

2 La GDPR Le temps de la réflexion 2

3 GDPR approche traitement : processus & données & acteurs 1 er message : Ne pas réduire la GDPR à l informatique Ne pas réduire la GDPR au Juridique GDPR = responsabilité institutionnelle et une affaire de tous => d où communication / sensibilisation 2d message :«Deux mondes qui s entremêlent» Ne pas confondre protection des données Et sécurité informatique 3

4 Pour l hôpital : une évolution et non une révolution Information System Security Contenant Vs Contenu Privacy Data Management Travail complémentaire Conseiller en Sécurité du SI Data Protection Officer 4

5 GDPR Le contexte Hôpital L Hôpital, c est gérer des données à caractère personnel Les données de santé, administratives, financières, sociales des patients Les données des travailleurs, des intérimaires et des candidats Les données de contacts et de partenaires (fournisseurs, sous-traitants, OA, ) Des Processus multiples et un Système d information complexe Solutions (institutionnelle/départementale/locale) mais aussi équipements medicaux, fichiers individuels Données dans nos datacenters, sur des supports mobiles, dans le cloud (chez nos fournisseurs ou dans le cloud public) Accès sur site et hors site Un Système d Information interconnecté (avec d autres hôpitaux, avec des fournisseurs, ) Un archive long terme des données (Dossier médical = 30 ans fin vie/dernière visite) Un «monde à risque» dont l institution doit garder la maîtrise Une évidence dans ce contexte : «on ne peut maitriser que les risques des traitements que nous connaissons» Attention aux initiatives individuelles (Db locales, applications web, cloud) 5

6 LA GDPR mettre les moyens Connaître ses traitements Finalité : qui-quoi-comment-pq => approche par Processus métier => approche du risque Flux de données/solutions/localisation/acteurs. => Registre des traitements Informer et sensibiliser ts les acteurs Patients / Collaborateurs / Partenaires Protéger les données de manière adéquate et responsable (dans la durée) Apporter les preuves de cette bonne gestion d une utilisation responsable 6

7 Healhtcare Information System Complexity IMPORTANCE DE LA CARTOGRAPHIE des Processus, données et des solutions Catégoriser les données > Outils de Détection + gestion métadonnées Assurer de la sécurité par défaut > Adopter la norme ISO27000 Assurer la sécurité adéquate > Etude de risque régulièrement évaluée > Implémenter de la sécurité additionnelle Connaître / surveiller les usages > Traçabilité en fct(catégorie) + S.O.C. 7

8 Saint-Luc sera conforme GDPR si 8

9 Saint-Luc sera conforme GDPR si 1. Nous maîtrisons l organisation de la protection et de la sécurité des données => Gouvernance et gestion opérationnelle 2. Nous mettons en œuvre au quotidien des traitements des données reconnus par l institution assurant et garantissant une approche sécurisée, dans les règles de l art, et régulièrement auditée. => Via une certification interne des traitements qui alimentent le registre des traitements reconnus (à partir de normes et de modèle PIA : Privacy Impact Assessment) 3. Nous réagissons correctement en cas d incident (le risque zéro n existe pas ) En monitorant nos processus - recours à un Security Operation Center (SOC) En activant une Incident Team à chaque remontée d incident (déclaration dans les 72h auprès CPVP) En faisant la preuve d une gestion adéquate (en fct des risques identifiés) En disposant d une Assurance adaptée aux risques inhérents 9

10 Evolution de la protection des données : complémentarité des approches «sécurité» et «management» Approche ISO Access Management Physique - Logique Backup - redondance Business Continuity Plg Sécurité De l information «ICT Approach» Analyse de Log / d Event Firewall / IDS / (reverse) Proxy / AntiMalware Segmentation réseau - filtrage de protocole Patch Vulnerability management Management Des données «Business Approach» Politique de gestion des données (catégorie) Finalité du traitement Cycle de vie des données (yc effacement) Risk Assessment Security Architecture Technical Audit Logical Audit Gérer/auditer les usages Incident Management 10

11 GDPR Contenu du Projet Objectif : Mise en œuvre et maintien de la conformité Hors scope : les éventuels upgrades techniques déduits de l audit de sécurité. (des minis- projets connexes) 11

12 Programme Data Protection Politique Normes Modèles Consentement Notices d Information Sensibilisation Information Gouvernance Registre/PIA/consentement Comité Confidentialité Sécurité de l Information Procédure Certification interne Campagne Information Suivi d indicateurs Détection incidents Réponse incidents Monitoring Surveillance (SOC) Certification Active Cartographie des processus Catégorisation des données Modèle fct (finalité, localisation) Certification auditée (PIA) Audits réguliers Registre de traitements

13 GDPR - Saint-Luc sera conforme GDPR si Nous maîtrisons l organisation de la sécurité des données Comment? Gouvernance et gestion opérationnelle Gouvernance : Un copil (le COSI) : direction / juriste / DPO / IT Security Officer / IT Architecte / Définit les politiques et les règles Valide les audits Dégage les moyens pour renforcer la sécurité de base Gestion opérationnelle Un Data Team (autour du DPO / CSSI/ IT Security Officer) Cartographie les traitements (combinaison processus/solutions) et catégorise les datas Élabore les recommandations + définit les normes Effectue les audits et assure la surveillance (Global/par traitement) Maintient à jour le registre des traitements Une Operational Implementation team (autour IT et Utilisateur principal) Implémente les règles en fct (type de traitement) En assure le maintien Effectue du monitoring et de la détection (piratage, fuite, ) Une incident Team Corrige et analyse les incidents Assure la remontée des incidents vers les autorités Maintient à jour le registre des incidents 13

14 Certification Interne Confidentialité, Disponibilité, Intégrité, Preuve Consentement Data controller / operator / DPO Notices d Information Procédure utilisateur Sensibilisation Information responsabilité Sous-traitant Contrat + SLA / audit Exigences (modèle adéquat) Sécurisation Fct(PIA) (ISO29100) Catégorisation données + durée conservation Finalité et minimalisation Exigences (cryptage, masquage, habilitation) Droits d accès / diffusion traçabilité Réponse incidents Monitoring Surveillance Exercice droits Droit de regard / consultation Rectification / effacement Audits réguliers portabilité

15 Quelques approches pratiques - Normes - Privacy Framework - Modèles d exigences mesures organisationnelles et techniques - La check list des actions pour mener un programme de Data Privacy Management 15

16 Analyse de normes + de références Examen des travaux => exemples de PIA / de structure de registre - CPVP CNIL

17 normes volontaires, choisies et adoptées ISO/IEC Privacy Framework Consent and choice Consentement éclairé des personnes concernées Purpose legitimacy and specification Légitimité et communication de la finalité des traitements Collecte limitation Données collectées adéquates, pertinentes et non excessives au regard de la finalité Data minimization Use, retention, and disclosure limitation Données utilisées minimisées et cloisonnées Traitement, conservation et diffusion de données limités Accuracy and quality Openness, transparency and notice Individual participation and access Accountability Information security Privacy compliance Données exactes, complètes et tenues à jour Information complète des personnes concernées Droit d accès et de rectification des personnes concernées Capacité à gérer les données et à rendre compte Sécurité des données Gestion des risques et contrôle continu

18 La protection des données en fonction des usages

19 Modèle d exigences mesures organisationnelles et techniques 19

20 20

21 21

22 GDPR à vous de jouer 22

23 Conclusion La GDPR En Quatre processus incontournables 1. Maintenir un registre institutionnel des traitements reconnus 2. Systématiser et généraliser la «certification interne des traitements» 3. Limiter l impact d un éventuel incident (SOC + Incident team et assurance) 4. Entretenir une culture d entreprise (la sécurité au quotidien) 23

24 CONCLUSION Etre GDPR COMPLIANT = Culture d entreprise Par une approche systématique et institutionnelle de la protection des données «La protection des données n est plus seulement une question de mise en œuvre de mécanismes techniques C est une question de gestion stratégique des données Basée sur une étude permanente du risque Basée sur le respect individuel et collectif des règles.» 24