Udbytte

Alle står i dag overfor mange forskellige cybertrusler, som truer de personoplysninger, som organisationen behandler, og i øvrigt truer organisationens øvrige fortrolige data og systemer. IT-kriminelle, der bruger ransomware og CEO-fraud, fremmede lande, der finder sårbarheder, skriver exploits og hacker, og organisationens egne medarbejdere og tilknyttede konsulenter, der begår fejl, er blot nogle af de udfordringer, vi står overfor.

Det er ikke simpelt at håndtere cybertruslerne i en persondataretlig kontekst, for hvordan finder man ud af hvilke trusler man står overfor? Hvordan prioriterer man dem? Og hvordan beskytter man sig mod dem? Det er formålet med dette kursus at bibringe deltagerne viden om cybertrusler og håndtering af disse således, at deltagerne i egen organisation konkret kan bidrage til at beskytte personoplysninger og andre fortrolige data, samt skabe compliance med lovgivningen. Kurset giver således en sammenhæng mellem trusler, regler, metoder, foranstaltninger og værktøjer.
 
Der er en klar sammenhæng mellem beskyttelse af organisationen og beskyttelse af personoplysninger. Statssponseret overvågning har givet anledning til Schrems II-dommen, Supply-chain hacket mod Solar Winds har åbnet op for adgang til mange personoplysninger og andre fortrolige data. Derudover har krige og andre uroligheder udfordret trusselsbilledet og sårbarheder samt fejlkonfigurationer, udgør en trussel og underminerer tilliden til både organisationen og digitaliseringen i bred forstand. Alt dette sker samtidigt med, at næsten alle organisationer oplever et ønske om at anvende flere og flere cloudbaserede tjenester på trods af udfordringerne med tredjelandsoverførsler.
 

Efter kurset vil du:

• Have kendskab til sikkerhedsstandarderne ISO27001, ISO27002 og ISO27701
• Hvilke sikkerhedstiltag og designmæssige tiltag, der kan iværksættes for at beskytte personoplysninger i henhold til persondataforordningen
• Datatilsynets afgørelser fsva. sikkerhed og risikovurdering
• Hvilke trusler deres organisation og de registrerede står overfor
• Hvordan man kortlægger systemer og behandlinger
• Hvordan man laver en risikovurdering
• Hvilke organisatoriske og tekniske sikkerhedstiltag, der er i spil for at beskytte personoplysninger
• Hvad der gør, at man kan blive en kvalificeret medspiller i dialogen med it-afdelingen og eksterne konsulenter og kunne bedrive audits og sikre at alle væsentlige aktører i organisationen trækker på samme hammel

Indhold

På kurset er formålet at bygge bro mellem jurister og teknikere og sikre at de to parter i højere grad kan forstå hinandens overvejelser, bevæggrunde og argumentation. Kurset etablerer også en basis for at dokumentere compliance og sikkerhed i samme systemer og med det samme sprog. Kurset kræver ingen tekniske forudsætninger. Uden en teknisk baggrund og forståelse kan det være vanskeligt at sikre, at ens organisation har det rette sikkerhedsniveau. 

På kurset gennemgås:

• Hvilke trusler en organisation står overfor – både set fra organisationens og de registreredes perspektiv
• Hvordan man laver risikovurderinger
• Hvordan man kortlægger og styrer risici
• Hvordan man kortlægger systemer og behandlinger
• Hvordan man med et framework i form af en standard kan sikre, at man kommer hele vejen rundt om risici 
• Praktisk udformning af procedurer og andre organisatoriske foranstaltninger
• Konkret demonstration af mapping mellem krav i persondataforordningen og ISO27002 og ISO27701
• Et kig ind i konkrete tekniske sikkerhedsforanstaltninger (uden tekniske forudsætninger), som kan give afrapportering af sikkerhedsniveauet
• Hvordan man i praksis gennemfører sikkerheds- og persondataretlige kontroller i sin driftsafdeling i et årshjul – uden at blive snydt

Målgruppe

Kurset er målrettet jurister, auditører og teknikere som skal lave anbefalinger eller foretage beslutninger om tiltag, og som skal kontrollere og dokumentere en organisations risikobillede og mitigerende sikkerhedstiltag – særligt i en GDPR-kontekst.

Materiale

Du får adgang til relevant kursusmateriale på JUC’s online materialeportal, herunder præsentation og henvisning til forskellige online skabeloner. Deltagerne vil desuden arbejde med nogle af skabelonerne med deres egne data.

Kurset kan godkendes som obligatorisk efteruddannelse for advokater.