Transcript ppt-Dokument - Datenschutz Zug

Präsentation zur Schulung der
Mitarbeitenden
Weitere Informationen: http://www.datenschutz-zug.ch
Version 2.0, November 2013
Rechtliche Grundlagen: Überblick
Schulung: Umsetzung der Datensicherheitsverordnung
2
DSV Datensicherheitsverordnung Kanton Zug
 Bezweckt den Schutz von Daten
 Gilt für alle dem DSG unterstellten Organe
 Regelt das Verfahren und die Zuständigkeiten zur
Gewährleistung der Sicherheit von Daten
Schulung: Umsetzung der Datensicherheitsverordnung
3
Datensicherheitsverordnung (1)
§ 1 Gegenstand und Geltungsbereich
1 Diese Verordnung regelt das Verfahren und die Zuständigkeiten zur
Gewährleistung der Sicherheit von Daten, die mit elektronischen Hilfsmitteln
oder auf andere Weise bearbeitet werden.
2 Sie gilt für die dem Datenschutzgesetz unterstellten Organe. Für Organe,
die für den Kanton oder die Gemeinden öffentliche Aufgaben erfüllen, ist
sie nur im Rahmen der übertragenen Aufgaben anwendbar.
§ 2 Zweck der Datensicherheit
Die Datensicherheit bezweckt den Schutz von Daten insbesondere gegen:
a) zufällige Bekanntgabe, Vernichtung oder Verlust;
b) technische Fehler;
c) unbefugte Kenntnisnahme;
d) unbefugte Bearbeitung;
e) Fälschung, Entwendung oder widerrechtliche Verwendung.
Schulung: Umsetzung der Datensicherheitsverordnung
4
Datensicherheitsverordnung (2)
§ 3 Überprüfung der Datensicherheit
Die Organe sind verantwortlich für die Überprüfung der Sicherheit der
Daten in den Phasen ihrer Erhebung, Bearbeitung, Aufbewahrung und
Löschung. Für die Überprüfung der Sicherheit der Daten in der Phase der
Archivierung ist das Archiv zuständig.
§ 4 Sicherheitsmassnahmen
1 Die Organe bestimmen die zum Schutz der Daten erforderlichen
Sicherheitsmassnahmen, wie Zugangs-, Benutzer-, Zugriffs- oder Bearbeitungskontrollen.
2 Sie berücksichtigen dabei den gegenwärtigen Stand der Technik sowie
die Grundsätze der Verhältnismässigkeit und Wirtschaftlichkeit.
3 Sie erstellen einen Massnahmenkatalog, der Auskunft gibt über den
Zweck und die Kosten der vorgeschlagenen Massnahmen sowie den Zeitbedarf
für deren Umsetzung.
Schulung: Umsetzung der Datensicherheitsverordnung
5
Datensicherheitsverordnung (3)
§ 5 Umsetzung
1 Die Organe beantragen die Umsetzung des Massnahmenkatalogs – je
nach Zuständigkeit – bei den Direktionen, dem Obergericht, dem Verwaltungsgericht,
der Staatskanzlei sowie den vorgesetzten gemeindlichen Stellen.
Bei ausgelagerter Datenbearbeitung gehen die betreffenden Organe
sinngemäss vor.
2 Die Organe sorgen für die Instruktion der Mitarbeitenden und überprüfen
alle vier Jahre die Wirksamkeit der bisherigen Massnahmen.
§ 6 Regierungsrat
Der Regierungsrat erlässt eine Weisung zur Überprüfung der Datensicherheit.
Schulung: Umsetzung der Datensicherheitsverordnung
6
Merkblatt «Der sichere Umgang mit Daten»
Bei der Bearbeitung von Personendaten bestehen
gewisse Risiken und Gefahren
 Schutz gegen Zugriff Unberechtigter


Bei Abwesenheit Gerät sperren
Bei Arbeitsschluss
 Weitergabe, Speichern und Löschen von Daten



Weitergabe von Daten
Speichern von Daten
Löschen von Daten
 Schutz vor Verlust


Mobile Datenträger
Viren: Schutz vor Viren und Vorgehen bei Auftreten von Viren
Schulung: Umsetzung der Datensicherheitsverordnung
7
Merkblatt «Der sichere Umgang mit Daten»
 Kommunikation über Netze


Internet
Intranet und internes Netz
 Datenspuren


In Dateien
Beim Surfen
 Rechtsgrundlagen





Datenschutzgesetz des Kantons Zug
Datensicherheitsverordnung
Verordnung über die Benutzung von elektronischen Kommunikationsmitteln im
Arbeitsverhältnis
Personalgesetz und Personalverordnung
Strafgesetzbuch
Schulung: Umsetzung der Datensicherheitsverordnung
8
Merkblatt «Der sichere Umgang mit Daten»
 Weitere zusätzliche Hinweise



DSB Kanton Zug:
http://www.datenschutz-zug.ch/
DSB Kanton Zürich:
Lernprogramm zu Datensicherheit
https://dsb.zh.ch/internet/datenschutzbeauftragter/de/home.html
Grobanalyse getroffener Massnahmen für Datenschutz und
Informatiksicherheit
https://review.datenschutz.ch/review/index.php
Eidg. Datenschutz- und Öffentlichkeitsbeauftragter:
http://www.edoeb.admin.ch
Schulung: Umsetzung der Datensicherheitsverordnung
9
Merkblatt «Passwort»
 Passwort: Schutz vor dem Zugriff Unberechtigter
 Ein gutes – oder «starkes» Passwort





mind. 8 oder besser aus 10 Zeichen
enthält Zahlen, Buchstaben und Sonderzeichen kombiniert
hat Gross- und Kleinbuchstaben
können Sie sich gut merken, andere aber nicht erraten, zum Beispiel
Sonn**EN00schein, fRan?ziska57
besteht nicht nur aus Wörtern – auch nicht in einer Fremdsprache – oder
Namen
 Anleitung für sichere Passwörter

Bilden Sie einen Satz: «Im August schien die Sonne nur 1x!» ergibt das starke
Passwort: <IAsdSn1x!>
Schulung: Umsetzung der Datensicherheitsverordnung
10
Merkblatt «Passwort»
 Handhabung des Passwortes





Halten Sie das Passwort geheim
Ändern Sie das Passwort spätestens nach drei Monaten
Verwenden Sie für verschiedene Anwendungen verschiedene Passwörter
Keine Weitergabe an Mitarbeiter oder Dritte
Verwenden Sie privat und geschäftlich andere Passwörter
 Wichtige zusätzliche Informationen zum Passwort


Hier können Sie überprüfen, wie gut Ihr Passwort ist:
https://review.datenschutz.ch/passwortcheck/check.php
Weitere Hinweise des deutschen Bundesamtes für Sicherheit in der
Informationstechnik/BSI für zum Passwort:
https://www.bsi-fuerbuerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html
Schulung: Umsetzung der Datensicherheitsverordnung
11
Merkblatt «Der sichere Umgang mit E-Mail»
 Eile mit Weile!

Ein Klick und Ihr Mail ist unwiderruflich weg
 Wissen Sie wirklich, wer der Adressat ist?
 Versand innerhalb des verwaltungseigenen Netzes

Endet die Adresse auf «zg.ch» oder «gemeindename.ch», erfolgt die
Zustellung über das eigene Netz
 Versand via Internet
 Erhalt von E-Mails



Mails von zweifelhafter Herkunft sind ungeöffnet zu löschen
Ebenso ungeöffnet zu löschen sind Dateien mit der Endung «.scr»,
ausführbare Dateien («.exe», «.bat», «.vbs» etc.) und Bilder von zweifelhafter
Herkunft
Fehlende Gewissheit über Identität des Absenders erfordert telefonisches
Nachfragen beim Absender
Schulung: Umsetzung der Datensicherheitsverordnung
12
Merkblatt «Der sichere Umgang mit E-Mail»
 Vorgehen bei Ferienabwesenheit


Eingehende E-Mails nicht automatisch an eine E-Mail-Adresse ausserhalb des
eigenen Netzes weiterleiten
Absenderinnen und Absender von E-Mails mit einer automatischen Antwort
über Ihre Ferienabwesenheit und Ihre Stellvertretung informieren
 Wichtige zusätzliche Informationen im Umgang mit E-Mail


Private Nutzung von E-Mails?
Zur Verschlüsselung von [Office-] Dokumenten
Schulung: Umsetzung der Datensicherheitsverordnung
13
Merkblatt «Mobile Geräte»
 Mobile Geräte (Laptops/Notebooks, PDA,
Mobiltelefone/Smartphones, USB-Sticks etc.)






Grundsätzlich dieselben Sicherheitsbestimmungen wie für feste
Arbeitsstationen
Schutz des Gerätes durch ein starkes Passwort
Diverse Möglichkeiten zur drahtlosen Kommunikation (WLAN, Bluetooth,
Infrarot, GSM etc.)
Nutzung von öffentlichen «Hotspots» ist zu vermeiden
Aktualisierung des Virenschutzes
Umgehende Information an IT-Verantwortlichen bei Verlust oder Diebstahl
 Verschlüsselung
 SMS, MMS und E-Mail
 Vertrauliches gehört nicht an die Öffentlichkeit
Schulung: Umsetzung der Datensicherheitsverordnung
14
Risiken melden!
 Beobachten Sie Ihr Umfeld sorgfältig.
 Melden Sie entdeckte Risiken Ihrem
Vorgesetzten.
 Sie sind unser wichtigster Sicherheitssensor!
 Besten Dank!
Fragen und Antworten
Schulung: Umsetzung der Datensicherheitsverordnung
16