Förstudierapport Dataskyddsförordningen

Transkript

1 Sid 1 (25) Förstudierapport Dataskyddsförordningen Slutrapporten fastställs Umeå den 28 mars 2018 Caroline Sjöberg Universitetsdirektör

2 Sid 2 (25) Innehåll Sammanfattning... 4 Bakgrund... 5 Dataskyddsförordningen i korthet Grundläggande principer Missbruksregeln försvinner Personuppgiftsansvariges ansvar Personuppgiftsombud ersätts av dataskyddsombud Personuppgiftsbiträdets ansvar Register över personuppgiftsbehandling Inbyggt dataskydd och dataskydd som standard Säkerhet i samband med behandlingen Rapportering av personuppgiftsincidenter Konsekvensbedömning Sanktionsavgift Förstudiens omfattning Nuläge Organisation Dokumentation Förteckning över personuppgiftsbehandling Teknisk och organisatorisk säkerhet Personuppgiftsbehandling i praktiken Börläge Organisation Dokumentation Förteckning över personuppgiftsbehandling Teknisk och organisatorisk säkerhet Personuppgiftsbehandling i praktiken Osäkerheter Avgränsningar Beroenden och samarbeten... 18

3 Sid 3 (25) 4.6 Organisation Resultat Leveranser Ledningssystem för personuppgiftsbehandling System för hantering av register för behandling av personuppgifter Förstudierapport Ekonomiskt utfall Lösningsförslag Dataskyddsombud Roller och kompetenser Styrande och stödjande dokument Laglig behandling av personuppgifter Kontroll över all behandling av personuppgifter Registrerades rättigheter Incidentrapportering Konsekvensbedömning Teknisk och organisatorisk säkerhet Realisering i framtida projekt och förvaltning Bilagor... 25

4 Sid 4 (25) Sammanfattning Denna rapport redogör för det arbete som genomförts i Förstudie Förberedelser inför nya Dataskyddsförordningen. Dataskyddsförordningen (DSF) träder i kraft 25 maj 2018 och i samband med det upphävs Personuppgiftslagen (1998:204) (PuL) och Personuppgiftsförordningen (1998:1191). Dataskyddsförordningen kommer att kompletteras med nationella förordningar bland annat för forskningsdata och utbildning. Hänvisningar till dataskyddsförordningen avser även sådana nationella förordningar. Kapitel 2 redogör kort för bakgrunden till att en förstudie initierats. I kapitel 3 har huvuddragen i dataskyddsförordningen lyfts och kort beskrivits. I kapitel 4 beskrivs nuläget. Upplägget har varit att beskriva ett nuläge avseende personuppgiftsbehandling vid Umeå universitet för att därefter jämföra det mot ett börläge, det vill säga de krav i dataskyddförordningen som Umeå universitet ska efterleva. Nuläget visar att medarbetare ofta känner sig osäkra på vad som är rätt avseende personuppgiftsbehandling. Det saknas och efterfrågas stöd både i form av dokument, till exempel rutiner, checklistor, och i form av lättillgänglig support att ställa frågor till. Ett register över personuppgiftsbehandling finns men är inte komplett. Umeå universitet har ett personuppgiftsombud (PULO) men uppdraget utförs inom ramen för en annan anställning utan att några tidsmässiga resurser avsatts för uppdraget, så det finns lite tid för annat än att svara på frågor. Umeå universitet har en decentraliserad styrning av it. Det finns idag styrande och stödjande dokument för it som även berör informationssäkerhet, men övergripande struktur och systematiskt grepp som omfattar all information vid universitetet finns dock inte. Vidare saknas styrdokument för hur it-system och -tjänster som omfattar personuppgifter ska designas, sättas upp och förvaltas. Kapitel 5 visar förstudiens resultat i form av leveranser och det ekonomiska utfallet. Förstudien har gjort de planerade leveranserna. Det ekonomiska utfallet ligger inom den detaljerade förstudiebudgeten. Kapitel 6 innehåller förstudiens rekommendationer på åtgärder som behöver vidtas för att Umeå universitet ska ha förutsättningar för att leva upp till dataskyddsförordningen. För att Umeå universitet ska kunna leva upp till dataskyddsförordningen behöver de nya rollerna dataskyddsombud och informationssäkerhetssamordnare tillsättas och erforderliga resurser ges för det arbete de har att utföra. Ansvaret för övriga roller behöver förtydligas och förankras i hela organisationen.

5 Sid 5 (25) Informationssäkerhetsarbetet med avseende på personuppgiftsbehandling måste stärkas och genomsyra hela organisationen för att säkerställa lämpligt skydd för alla behandlingar av personuppgifter. Det naturliga är att ha ett aktivt och strukturerat informationssäkerhetsarbete där säkerhet för personuppgiftsbehandling ingår som en naturlig del. Speciellt behöver en modell för informationsklassning utarbetas. Utöver detta behöver ett projekt tillsättas för att utarbeta styrande dokument och rutiner, utforma information och utbildningar, inrättande av ett register över personuppgiftsbehandling samt framställa rutiner för uppföljning och kontroll. Kapitel 7 innehåller förstudiens förslag på hur lösningsförslagen ska realiseras i ett framtida projekt. Hänvisning till den projektplan som förstudien arbetat fram. Bakgrund Det huvudsakliga syftet med den nya EU-förordningen är att skapa enhetliga dataskyddsregler inom hela EU. Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG träder i kraft 25 maj I samband med ikraftträdandet upphävs Personuppgiftslagen (1998:204) (PuL) och Personuppgiftsförordningen (1998:1191). Den svenska benämningen på den nya lagstiftningen är Dataskyddsförordningen. Dataskyddsförordningen kommer att träda ikraft samtidigt i hela EU utan några övergångsbestämmelser. Den engelska benämningen är General Data Protection Regulation (GDPR). Dataskyddsförordningen får direkt tillämpning på all behandling av personuppgifter som sker av personuppgiftsansvariga och personuppgiftsbiträden inom europeiska unionen varhelst personuppgifter behandlas. Det kan konstateras att bestämmelserna i dataskyddsförordningen i stort överensstämmer med vad som redan är känt genom PuL. I vissa fall har lagstiftningen skärpts och det har även införts ett fåtal nya bestämmelser som kommer att innebära krav på vissa förändringar vid behandling av personuppgifter i universitetets verksamhet. Bland annat har den personuppgiftsansvariges ansvar och skyldigheter förtydligats och utökats samtidigt som de registrerades rättigheter förstärkts. Det är viktigt att så snart som möjligt påbörja arbetet med att se över vilken påverkan dataskyddsförordningen kommer att få för Umeå universitet. För att kunna genomföra alla anpassningar är det viktigt att arbetet ges uppmärksamhet inom hela verksamheten.

6 Sid 6 (25) Dataskyddsförordningen i korthet Dataskyddsförordningen omfattar alla medarbetare som utför någon form av personuppgiftsbehandling. Med personuppgiftsbehandling avses i stort sett allt vi gör med personuppgifter till exempel samla in, registrera, lagra, bearbeta, ändra, sammanföra, sprida, radera. All behandling omfattas oavsett om behandlingen sker automatiserat eller inte. Med personuppgift avses information som direkt eller indirekt kan hänföras till en identifierbar fysisk person som är i livet. Exempel är namn, personnummer, e-postadress, nätidentifierare (till exempel IP-adress, cookies) och bilder. Med särskilda kategorier av personuppgifter avses uppgifter som avslöjar någons ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska personuppgifter, biometriska personuppgifter och personuppgifter som avser hälsa. För behandling av sådana personuppgifter ställs särskilda krav. Dataskyddsförordningen omfattar ett antal kapitel som benämns artiklar. Till varje artikel finns ett så kallat skäl (beaktandesats). Skälen beskriver det som artikeln reglerar och har till syfte att underlätta förståelsen för respektive artikel. 3.1 Grundläggande principer För att få behandla personuppgifter måste den personuppgiftsansvarige tillse att följande principer upprätthålls: Laglighet, korrekthet 1 och öppenhet det vill säga uppgifterna ska behandlas lagligt, korrekt och öppet i förhållande till den registrerade. Ändamålsbegränsning det vill säga det ska finnas ett tydligt ändamål med behandlingen och ändamålet får inte förändras. Uppgiftsminimering det vill säga uppgifterna ska vara relevanta och inte för omfattande i relation till ändamålet. Korrekthet 2 det vill säga uppgifterna ska vara riktiga och om nödvändigt uppdaterade. Lagringsminimering det vill säga uppgifterna får inte förvaras längre än nödvändigt. (Här medges undantag för till exempel arkivändamål, statistiska ändamål och för forskningsändamål.) Integritet 3 och konfidentialitet det vill säga lämpliga tekniska och organisatoriska åtgärder ska vidtas för att säkerställa tillräckligt skydd för uppgifterna. 1 I den svenska översättningen återfinns korrekthet två gånger. I den engelska versionen är det första begreppet fairness vilket betyder ärlighet, rättvisa, öppenhet. Behandlingen ska vara korrekt i betydelsen rättvis och juste gentemot den registrerade. 2 I den engelska versionen är begreppet accuracy. Uppgifterna ska vara korrekta i betydelsen inte vara felaktiga. 3 Integritet i det här fallet handlar om riktighet och dataintegritet det vill säga skydd mot förvanskning av personuppgifterna.

7 Sid 7 (25) Ansvarsskyldighet, vilket innebär att den personuppgiftsansvarige ska ansvara för och kunna visa att ovanstående principer efterlevs. Grundprinciperna beskrivs i dataskyddsförordningen artikel 5.2. Utöver grundprinciperna måste behandlingen stödja sig på att en laglig grund föreligger. Laglig grund utgörs av minst någon av följande punkter: samtycke från den registrerade, nödvändigt för att kunna fullgöra ett avtal, nödvändigt för att fullgöra en rättslig förpliktelse, nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller annan fysisk person nödvändig för att kunna utföra en uppgift av allmänt intresse eller myndighetsutövning om behandlingen är nödvändig för personuppgiftsansvarigs eller tredje parts berättigade intresse såvida den registrerades grundläggande rättigheter inte väger tyngre. Myndigheter kan inte stödja sig på sista punkten när de fullgör sina uppgifter, det vill säga en intresseavvägning mellan den personuppgiftsansvariges intresse framför den registrerades. På grund av den beroendeställning som föreligger i samband med myndighetsövning kan behandling i samband med sådan svårligen grundas på samtycke. Nedan, i , följer korta beskrivningar av huvuddragen i dataskyddsförordningen. Beskrivningarna gör inte anspråk på att vara heltäckande utan ska ge en fingervisning om innehållet. 3.2 Missbruksregeln försvinner I PuL finns ett undantag för behandling av personuppgifter i ostrukturerat material som löpande text i e-post, på webbsidor eller i enklare listor över till exempel studentgrupper. Undantaget benämns missbruksregeln. Missbruksregeln försvinner i och med att dataskyddsförordningen träder ikraft vilket innebär att samma regler som gäller generellt för behandling av personuppgifter även gäller för behandling av ostrukturerat material. Det kommer innebära krav på bland annat laglig grund, information till de registrerade och registerskyldighet. 3.3 Personuppgiftsansvariges ansvar Umeå universitet är personuppgiftsansvarig (PuA). Personuppgiftsansvarig ansvarar för och ska kunna visa att regelverket efterlevs. Dataskyddsförordningen stadgar att personuppgiftsansvarig ska kunna redogöra för vilka personuppgifter som behandlas inom verksamheten, syftet med personuppgiftsbehandlingen, på vilken laglig grund personuppgifterna behandlas och även vilka säkerhetsåtgärder som vidtagits för behandlingen. 3.4 Personuppgiftsombud ersätts av dataskyddsombud En myndighet ska ha ett dataskyddsombud. Dataskyddsombudet motsvarar personuppgiftsombudet i PuL och ersätter personuppgiftsombudet men har getts en starkare ställning i dataskyddsförordningen. Dataskyddsombudet:

8 Sid 8 (25) får inte ta emot instruktioner som gäller utförandet av dessa uppgifter får inte avsättas eller blir föremål för sanktioner ska involveras i god tid i alla frågor som rör skydd för personuppgifter ska rapportera direkt till högsta förvaltningsnivå och uppgifterna har utökats med att dataskyddsombudet ska: informera och ge råd till organisationen och medarbetarna. övervaka efterlevnaden av förordningen övervaka efterlevnaden av organisationens dataskyddsstrategier ge råd avseende konsekvensbedömningar informera och ge råd till de registrerade samarbeta med och fungera som kontaktpunkt för tillsynsmyndigheten (Datainspektionen) samt de registrerade. 3.5 Personuppgiftsbiträdets ansvar Personuppgiftsbiträden (PuB) får i dataskyddsförordningen ett utökat ansvar jämfört med tidigare. Ett personuppgiftsbiträde ska garantera att de genomför lämpliga tekniska och organisatoriska åtgärder för att säkerställa att registrerades rättigheter skyddas. Ett personuppgiftsbiträde får inte anlita underleverantörer (underbiträden) utan skriftligt tillstånd från personuppgiftsansvarig. Personuppgiftsansvarig har också rätt att invända mot ev. nya underleverantörer. Ett personuppgiftsbiträde ska föra ett register över alla kategorier av behandlingar som utförs för den personuppgiftsansvariges räkning. Se 3.6. I de fall en personuppgiftsansvarig anlitar ett personuppgiftsbiträde ska det alltid upprättas ett skriftligt personuppgiftsbiträdesavtal (PuBA) såvida det inte finns någon annan rättsakt (lag eller annan juridiskt bindande bestämmelse inom EU) att hänvisa till. Personuppgiftsbiträdesavtal ska bland annat omfatta: föremålet för behandlingen behandlingens varaktighet, art och ändamål typen av personuppgifter kategorier av registrerade personuppgiftsansvariges skyldigheter och rättigheter

9 Sid 9 (25) 3.6 Register över personuppgiftsbehandling Personuppgiftsansvariga ska föra register över vilka personuppgiftsbehandlingar som görs. Registret ska innehålla: namn och kontaktuppgifter till personuppgiftsansvarig och dataskyddsombud ändamålen med behandlingen beskrivning över kategorierna av registrerade beskrivning över kategorierna av personuppgifter mottagare till vilka personuppgifterna lämnas ut överföringar till tredjeland dokumentation av lämpliga skyddsåtgärder tidsfristerna för radering allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder 3.7 Inbyggt dataskydd och dataskydd som standard För att kunna efterleva dataskyddsförordningens bestämmelser om integritet och konfidentialitet ska den personuppgiftsansvarige se till att genomföra lämpliga tekniska och organisatoriska åtgärder för ett effektivt och tillräckligt dataskydd. I det ingår att integrera nödvändiga skyddsåtgärder i behandlingen. Den engelska benämningen privacy by design används ofta. Av samma anledning, att kunna efterleva bestämmelserna om integritet och konfidentialitet ska den personuppgiftsansvarige se till att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast nödvändiga personuppgifter behandlas och för rätt ändamål. Den engelska benämningen privacy by default används ofta. 3.8 Säkerhet i samband med behandlingen Utöver det som anges i artikel 25 om inbyggt dataskydd och dataskydd som standard finns också artiklar som adresserar säkerhet för personuppgifter. Både personuppgiftsansvarig och personuppgiftsbiträde ska säkerställa en säkerhetsnivå som är lämplig i förhållande till de risker som ev. finns i samband med personuppgiftsbehandlingen. Både personuppgiftsansvarig och personuppgiftsbiträde ska kunna visa förmåga att: säkerställa säkerheten i system och tjänster, återställa tillgängligheten inom en rimlig tid i samband med en incident, regelbundet testa och utvärdera både tekniska och organisatoriska åtgärder. Som exempel på skyddsåtgärder anges pseudonymisering (kodning) och kryptering av personuppgifter. 3.9 Rapportering av personuppgiftsincidenter Vid en säkerhetsincident hos personuppgiftsansvarig där det är troligt att personuppgifter påverkats ska incidenten anmälas till Datainspektionen. Påverkan kan betyda att personuppgifter förstörts eller förlorats oavsiktlig eller olagligt, att personuppgifter ändrats eller röjts till obehöriga.

10 Sid 10 (25) Anmälan till Datainspektionen ska ske utan onödigt dröjsmål dock inte senare än 72 timmar från det att incidenten upptäckts. En rapport över incidenten ska också lämnas till Datainspektionen. Om incidenten inträffar hos ett personuppgiftsbiträde måste personuppgiftsansvarig meddelas Konsekvensbedömning Om en typ av personuppgiftsbehandling sannolikt leder till en hög risk ska personuppgiftsansvarig före personuppgiftsbehandlingen utföra en konsekvensbedömning. Det kan till exempel vara nödvändigt då det gäller behandling av särskilda kategorier av personuppgifter eller uppgifter rörande personliga aspekter hos enskilda individer Sanktionsavgift Tillsynsmyndigheten i respektive medlemsstat inom EU kommer att kunna ta ut en så kallad administrativ sanktionsavgift av en personuppgiftsansvarig som bryter mot vissa av de regler som omfattas av dataskyddsförordningen. Det är upp till varje medlemsstat att utreda och bestämma om avgiften även ska omfatta offentlig verksamhet. I Dataskyddsutredningen (SOU 2017:39) föreslås att sanktionsavgifter ska gälla även offentlig verksamhet. Detta innebär att för mindre allvarliga överträdelser ska avgiften uppgå till högst kronor och för allvarligare överträdelser till högst kronor. Exempel på mindre allvarlig händelse är brister i registerförteckning, säkerhetsbrister, utebliven anmälan vid personuppgiftsincident. Exempel på allvarlig händelse är brister i efterlevnaden av de grundläggande principerna inklusive villkoren för samtycke.

11 Sid 11 (25) Förstudiens omfattning 4.1 Nuläge Den övervägande delen av reglerna avseende när personuppgiftsbehandling får ske i PuL och dataskyddsförordningen överensstämmer med varandra. Vissa krav har dock skärpts, vissa har tillkommit och viss behandling av personuppgifter som tidigare var undantagen reglering enligt PuL omfattas nu av dataskyddsförordningen. Mot bakgrund av de nya kraven i dataskyddsförordningen har projektgruppen valt att beskriva nuläget ur följande perspektiv: Organisation: inrättade roller/ funktioner/ arbetssätt vid Umeå universitet som har bäring på personuppgiftsbehandling. Dokumentation: styrande och stödjande dokument för personuppgiftsbehandling på Umeå universitet Förteckning över personuppgiftsbehandling: all personuppgiftsbehandling ska finnas i en central förteckning. Teknisk och organisatorisk säkerhet: säkerhet vid behandling av personuppgifter. Personuppgiftsbehandling i praktiken: hur ser verksamheten på personuppgiftsbehandling, vilka utmaningar och eventuella osäkerheter upplever de att de har då personuppgifter ska behandlas. Nuläget skulle sedan ställas mot ett beskrivet börläge det vill säga hur tillämpningen av dataskyddsförordningen bör se ut på Umeå universitet Organisation Utgångspunkten är att alla medarbetare behandlar personuppgifter på något vis inom ramen för sina arbetsuppgifter vid universitetet. På Umeå universitet finns ett personuppgiftsombud (PULO) utsett men omfattningen på uppdraget är inte definierat och arbetsuppgifterna utförs inom ramen för en annan anställning (universitetsjurist). PULO ska fungera som Datainspektionens förlängda arm, svara på frågor om personuppgiftsbehandling och bistå verksamheten med stöd i personuppgiftsfrågor i övrigt. Umeå universitets PULO hinner i praktiken inte med så mycket mer än att svara på inkommande frågor och nödtorftigt administrera en förteckning över behandlingar. PULO har fått prioritera frågor som rör personuppgiftsbehandling i forskningsprojekt och personuppgiftsbiträdesavtal. Det finns inte någon tid att avsätta för utbildningsinsatser eller uppsökande verksamhet, än mindre för översyn och granskning av lagligheten av den personuppgiftsbehandling som sker inom samtliga verksamheter vid Umeå universitet. Resurser har från och med 1 januari 2018 tillsatts för att rollen som dataskyddsombud ska kunna utföras inom ramen för motsvarande en heltidsanställning. PULOn har inte haft något stöd kring frågor med avseende på informationssäkerhet. Samarbete har istället i viss mån gjorts med IT-enheten inom ramen för deras befintliga resurser. Ej heller har verksamheten kunnat erbjudas systematiskt stöd och råd avseende hur en korrekt säkerhetsnivå uppnås vid aktuell personuppgiftsbehandling.

12 Sid 12 (25) Det finns inga resurser eller utpekade roller för att samordna och följa upp informationssäkerhetsarbetet på Umeå universitet förutom på mycket övergripande nivå. Det saknas även stöd till verksamheten vid genomförande av informationsklassning, risk- och sårbarhetsanalyser samt skyddsåtgärder. Umeå universitet kan idag inte visa på att den behandling av personuppgifter som utförs inom organisationen har lämplig säkerhetsnivå. Det finns beskrivna roller i Umeå universitets policy för informationssäkerhet. Dessa är inte anpassade efter dataskyddsförordningen och den nivå på informationssäkerhet som dataskyddsförordningen kräver. Ej heller finns utpekade kontaktpersoner på fakultets- och institutionsnivå som kan fungera som den nödvändiga kunskaps- och informationsbärande länken i kedjan mellan dataskyddsombud och informationsägare samt varje enskild medarbetare i egenskap av personuppgiftbehandlare. Universitet har idag inget tydligt regelverk och inga samordnade rutiner för personuppgiftbehandling. Det saknas också en tydlig beslutad ansvarskedja vid personuppgiftsbehandling inom Umeå universitet Dokumentation Befintliga dokument som reglerar och stödjer personuppgiftsbehandling på Umeå universitet är: Regler för behandling av personuppgifter Blanketter för anmälan och avanmälan av personuppgiftsbehandling Mall för personuppgiftsbiträdesavtal Viss information om personuppgiftsbehandling riktad till medarbetare på Umeå universitet som behandlar personuppgifter finns framförallt under Juridik på Aurora. Personuppgiftsbehandling finns också omnämnt i styrande och stödjande dokument på Aurora både på central nivå så som checklista för IT och informationssäkerhet, men även på fakultetsnivå Förteckning över personuppgiftsbehandling Det finns en registerförteckning över personuppgiftsbehandlingar vid Umeå universitet i form av en excel-fil i Aurora. Dock kräver listan en hel del manuellt arbete då medarbetaren rapporterar in behandlingen via en blankett som mailas in till PULO. PULO för manuellt över information i anmälan in i listan. Av tidsbrist ligger det idag också en mängd obehandlade ärenden i mail-lådan dit anmälan skickas. Bedömningen är att många anmälningar saknas. Ett problem som Umeå universitet delar med många andra lärosäten är att universitetet har en delvis decentraliserad IT-miljö. Universitetet bedriver även forskning där data inklusive personuppgifter behandlas gemensamt av olika huvudmän. Leverantörsavtal innefattar såväl de personuppgiftsbiträdesavtal där leverantören är personuppgiftsbiträde som de avtal där Umeå universitet innehar personuppgiftsbiträdesrollen i förhållande till avtalspart. Vid Umeå universitet är diarieföring decentraliserad. Något gemensamt diarium där personuppgiftsbiträdesavtal kan eftersökas saknas.

13 Sid 13 (25) För att få en grov och översiktlig bild av status avseende personuppgiftsbiträdesavtal gjordes en genomgång av de avtal som finns i det centrala diariet. Översikten gav indikationen att avtal finns för många personuppgiftsbiträden men att det troligen saknas för vissa. De avtal som finns är i viss mån sökbara i diariet, dock inte alla. Somliga ligger dolda tillsammans med andra avtal. Det kommer att krävas en fullständig genomgång av alla leverantörsavtal på såväl central som institutionsnivå för att identifiera vilka personuppgiftsbiträdesavtal som saknas och status avseende innehållet i de personuppgiftsbiträdesavtal som finns Teknisk och organisatorisk säkerhet Det som dataskyddsförordningen beskriver som teknisk och organisatorisk säkerhet handlar i grunden om ett systematiskt och riskbaserat arbete med informationssäkerhet. Att ha kontroll på sin information ur dataskyddsförordningens perspektiv med avseende på personuppgifter. Det finns idag övergripande styrande och stödjande dokument för it- och informationssäkerhet. Dock saknas ett systematiskt grepp, samordning och stöd samt uppföljning och kontroll som omfattar all information vid universitetet. Denna avsaknad på styrning och uppföljning omfattar även säkerhet i samband med behandling av personuppgifter. Det finns inga färdiga lösningar på vilka tekniska och organisatoriska system och rutiner som ska nyttjas beroende på vilken typ av information/personuppgifter som behandlas Personuppgiftsbehandling i praktiken Internrevisionen har i sin granskning av universitetets hantering av personuppgifter (Dnr: FS ) kartlagt de anmälda personuppgiftsbehandlingarna under 2016 och 2017 och även gjort stickprovskontroller på vissa institutioner. Den sammantagna bilden visar på att en stor del av personuppgiftshanteringen aldrig anmäls. Av fyra tillfrågade institutioner var det ingen som kände till kravet på anmälan av behandlingar av personuppgifter till den centrala förteckningen. Överlag fattas tydliga rutiner och gemensamma mallar för hur personuppgiftsbehandlingen ska hanteras. Det finns dock en hög medvetenhet om att forskning innehållande känsliga personuppgifter ska etikprövas och en utbredd medvetenhet om vikten av säker lagring av personuppgiftsdata, även om det saknas en likformighet och systematik i arbetet med att skydda känsliga data.

14 Sid 14 (25) 4.2 Börläge Börläget har fortsatt fokus på organisation, styrande och stödjande dokument, översyn av leverantörsavtal samt krav på teknisk och organisatorisk säkerhet. Nedan följer en mer detaljerad beskrivning av dataskyddsförordningens krav med hänvisningar till Datainspektionens webbsidor om dataskyddsförordningen Organisation Med organisation avses dels rollen dataskyddsombud och dels övriga roller, kompetenser samt den ansvarskedja som kommer att krävas inom Umeå universitet för att efterleva dataskyddsförordningen. De lösningsförslag som förstudien rekommenderar med avseende på förändringar och förtydliganden av roller och ansvar presenteras samlat i bilaga 1 Förslag till ledningssystem för personuppgiftsbehandling. Dataskyddsombud En myndighet måste ha ett dataskyddsombud enligt dataskyddsförordningen. Rollen dataskyddsombud ska innehas av en (1) medarbetare vid universitetet, arbetsuppgifterna kan dock fördelas på flera medarbetare för att minska sårbarheten. Dataskyddsombudets uppgifter har utökats i relation till PULO. Dataskyddsombudets utnämnande, ställning och uppgifter regleras i avsnitt 4, artikel i dataskyddsförordningen. Dataskyddsombud ersätter det nuvarande Personuppgiftsombudet. 4 Dataskyddsombudet ska ha tillräcklig kunskap om dataskydd och få det stöd och de befogenheter som krävs för att kunna utföra sitt uppdrag på ett effektivt och oberoende sätt. Dataskyddsombudet ska involveras i god tid i alla frågor som rör skydd för personuppgifter och ska ges nödvändiga resurser för att utföra sina arbetsuppgifter. Ombudet ska rapportera direkt till högsta förvaltningsledningen. Dataskyddsombudets uppgifter är bland annat att informera och ge råd inom den egna organisationen om vilka skyldigheter som gäller enligt såväl förordningen som nationella bestämmelser. Ombudet ska också bevaka att dessa regler följs och ge råd om den konsekvensbedömning avseende dataskydd som ska göras enligt förordningen. Dataskyddsombudet ska också vara kontaktperson för registrerade avseende alla frågor som rör behandlingen av den registrerades personuppgifter och utövandet av den registrerades rättigheter enligt förordningen. Ombudet ska fungera som kontaktpunkt för Datainspektionen och samarbeta med denna. 4

15 Sid 15 (25) Informationssäkerhetssamordnare All personuppgiftsbehandling som genomförs inom Umeå universitet ska ha ett lämpligt skydd, både organisatoriskt och tekniskt. Universitetet ska också kunna visa på att så är fallet. Detta kräver ett strukturerat och riskbaserat arbete som synkroniseras och samordnas med informationssäkerhetsarbetet och som omfattar hela myndigheten, både på central och lokal nivå. Ledningssystemet för informationssäkerhet behöver stärkas och bland annat kompletteras med de särskilda krav som personuppgiftsbehandling ställer. Ledningssystemet för informationssäkerhet ska innehålla en grundläggande modell för informationsklassning. Informationsklassning behöver genomföras och ett strukturerat arbete med riskklassning och skyddsåtgärder behöver utarbetas. En gemensam struktur och färdiga säkerhetslösningar som tillgodoser både kraven ur ett informationssäkerhetsperspektiv och de särskilda krav som dataskyddsförordningen ställer, måste kunna erbjudas verksamheten. De olika rollerna inom informationssäkerhetsarbetet, bland annat informationsägare och behandlare av personuppgifter behöver utvecklas och stödjas på alla nivåer. Behovet av samordning, vidareutveckling av modeller för styrning och uppföljning samt stöd till verksamheten med avseende på informationssäkerhet såväl som skydd av personuppgifter är ett arbete som måste utföras gemensamt av dataskyddsombudet och informationssäkerhetssamordnaren. Dataskyddsombudet behöver i stora delar av sitt arbetsområde samarbeta med informationssäkerhetssamordnaren. I dag saknar Umeå universitet en informationssäkerhetssamordnare. Det finns stort behov av att en säkerhetssamordnare utses, både utifrån universitets generella informationssäkerhetsarbete som utifrån dataskyddsombudets behov av en samarbetspart i arbetet med universitets behandling av personuppgifter. Förtydligande av ansvarskedjan och befintliga roller Umeå universitet behöver etablera en tydlig ansvarskedja i organisationen. För varje personuppgiftsbehandling ska det finnas en utsedd funktion som ansvarar för lagligheten i behandlingen. Vem som bär det yttersta ansvaret för en personuppgiftsbehandling ska framgå av registerförteckningen. Verksamhetsnära stödfunktioner Verksamhetsnära stödfunktioner behöver finnas på både fakultets och institutionsnivå anpassat till den behandling av personuppgifter som utförs. Det verksamhetsnära stödet ska ha mycket god kännedom om verksamheten och ha större kunskap i regelverket kring personuppgifter än medarbetaren i gemen. Registrerades rätt till information Korrekt information avseende behandling av personuppgifter måste lämnas till de registrerade både när personuppgifter samlas in och när den registrerade begär information om pågående behandlingar

16 Sid 16 (25) Incidentrapportering Personuppgiftsincidenter måste rapporteras och utredas inom de tidsfrister som finns. 6 Konsekvensbedömning Personuppgiftsbehandling som är förenad med integritetsrisker måste föregås av en konsekvensbedömning och eventuellt samråd med Datainspektionen Dokumentation Målet med all dokumentation kring personuppgiftsbehandling på Umeå universitet ska vara att hela organisationen är medveten om att en ny lagstiftning trätt i kraft och vad den innebär. Förutom att upprätta nya dokument måste andra delar av universitetets regelverk ses över så att de inte refererar till PuL och att de justeras för att möta de nya kraven. Dokument är också det som visar både utåt mot omvärlden och inåt mot medarbetarna att Umeå universitet arbetar med tillämpningen av dataskyddsförordningen och anpassningen till de nya kraven. Det är viktigt att ha det regelverket på plats så tidigt som möjligt. Jämte roller och kompetenser är det regelverket som ska styra och vägleda Umeå universitet fram till att efterleva dataskyddsförordningen Förteckning över personuppgiftsbehandling Kontroll över all behandling av personuppgifter Som personuppgiftsansvarig måste Umeå universitet ha kontroll över alla personuppgiftsbehandlingar som görs inom ramen för universitetets verksamhet. Ansvarsskyldigheten är en av grundprinciperna i dataskyddsförordningen. För att kunna leva upp till sitt ansvar måste universitetet känna till alla personuppgiftsbehandlingar som görs inom ramen för verksamheten även de som utförs av personuppgiftsbiträden. Kännedom om personuppgiftsbehandlingarna är också en förutsättning för att efterleva andra krav i dataskyddsförordningen. Dataskyddsförordningen ställer krav på att universitetet för en registerförteckning över alla personuppgiftsbehandlingar, samt personuppgiftsbiträdesavtal, vid universitetet med krav på vilka uppgifter en sådan förteckning ska innehålla. Systemstöd kommer att krävas för att en sådan förteckning ska kunna göras någorlunda enkel, tillgänglig och hållas aktuell omfattande samtliga uppgifter som dataskyddsförordningen ställer krav på. Större kunskapsnivå om anmälan och registersystemet hos vissa utvalda roller på fakultets- och institutionsnivå är också en förutsättning för att en komplett registerförteckning ska kunna uppnås

17 Sid 17 (25) Teknisk och organisatorisk säkerhet I dataskyddsförordningen har krav på integritet och konfidentialitet lyfts upp som en av de grundläggande principerna. När personuppgifter behandlas ska lämpliga tekniska och organisatoriska åtgärder vidtas för att uppfylla kraven i förordningen både när beslut fattas om hur behandlingen ska genomföras samt under hela den fortsatta behandlingen. 8 Universitetet måste även kunna visa på att detta görs. För att leva upp till dataskyddsförordningens krav på säkerhet och dataskydd behövs ett aktivt och systematiskt arbete med informationssäkerhet. Styrning och kontroll genom ett ledningssystem för informationssäkerhet (LIS) är nödvändigt för att kunna visa på att ansvarsprincipen efterlevs. Arbetet med informationssäkerhet ska vara samordnat och genomsyra hela verksamheten, både på central och på lokal nivå. För att detta ska vara genomförbart behövs en informationssäkerhetssamordnare Personuppgiftsbehandling i praktiken Laglig behandling av personuppgifter All behandling av personuppgifter måste ske på laglig grund. 9 Eftersom Umeå universitets verksamhet både är mångfacetterad och decentraliserad kommer arbetet med anpassningen till dataskyddsförordningen innebära att medarbetare inom hela Umeå universitet bör känna till regelverket som styr personuppgiftsbehandling. Där den enskilde inte kan förväntas ha nödvändig kunskap måste stöd finnas att tillgå både på lokal och central nivå. 4.3 Osäkerheter En osäkerhet då det gäller börläget är hur dataskyddsförordningen ska tillämpas i Sverige. Ett antal statliga utredningar har tillsatts i syfte att utreda den påverkan dataskyddsförordningen kommer att ha inom olika verksamheter och behovet av kompletterande lagstiftning. De utredningar som är intressanta för Umeå universitet är: SOU 2017:39 Dataskyddsutredningen. Utredningen har sett över vilka kompletterande bestämmelser som behövs på generell nivå till följd av dataskyddsförordningen. Utredarna har gett förslag till ny dataskyddslag som ska innehålla de kompletterande bestämmelserna. Ett förslag till ny dataskyddslag överlämnades till lagrådet på remiss en 17 december SOU 2017:50 Personuppgiftsbehandling för forskningsändamål. Utredningen har bland annat analyserat vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella reglering som dataskyddsutredningen föreslår. SOU 2017: 49 EU:s dataskyddsförordning och utbildningsområdet. Utredningen har bland annat undersökt vilken reglering av personuppgiftsbehandling inom utbildningsområdet som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen föreslår

18 Sid 18 (25) Ambitionsnivån för ett börläge ska naturligtvis vara att Umeå universitet ska följa dataskyddsförordningen då den träder ikraft nästa år. 4.4 Avgränsningar Förstudiens syfte har varit att ta fram nödvändigt underlag för att fatta beslut om vilka anpassningar som krävs, eller som bedöms lämpliga, för att Umeå universitet ska ha förutsättningarna för att efterleva kraven i dataskyddsförordningen. I förstudien har det inte ingått att se över vilka it-system eller tjänster som kommer att behöva förändras avseende funktionalitet för att uppfylla de nya kraven i dataskyddsförordningen. 4.5 Beroenden och samarbeten Förstudien har tagit hänsyn till externa pågående arbeten i form av de statliga utredningar som pågått. Förstudien har också varit aktiv när det gäller att ta del av andras pågående arbeten med anpassningen till dataskyddsförordningen framförallt Göteborgs universitet. Deltagare i förstudiegruppen tar också del av en e-postlista med IT-chefsnätverket samt PULO-listan där medlemmarna kan lyfta diverse frågor. Arbetet har inte varit beroende av information från andra men det har påverkat hur vi tolkat vissa krav i dataskyddsförordningen och därmed har det påverkat till exempel hur vi gjort prioriteringar. 4.6 Organisation Uppdragsgivare: Caroline Sjöberg, Universitetsdirektör Projektledare: Sara Vilhelmsson Arbetsgrupp: Chatarina Larson, universitetsjurist och Karoline Westerlund, IT-strateg

19 Sid 19 (25) Resultat 5.1 Leveranser Ledningssystem för personuppgiftsbehandling Förstudien har utarbetat ett förslag på ledningssystem för personuppgiftsbehandling. För att Umeå universitet ska kunna leva upp till dataskyddsförordningen behöver i första hand de nya rollerna dataskyddsombud och informationssäkerhetssamordnare tillsättas. Ansvaret för övriga roller behöver förtydligas och förankras i hela organisationen. Informationssäkerhetsarbetet och då särskilt med avseende på personuppgiftsbehandling måste stärkas och genomsyra hela organisationen för att säkerställa lämpligt skydd för alla behandlingar. Utöver detta behöver ett projekt tillsättas för att utarbeta styrande dokument och rutiner, utforma information och utbildningar, inrättande av ett system för anmälningar till register för personuppgiftsbehandlingar och incidentrapportering. Ett speciellt ledningssystem för personuppgiftsbehandling är svårt att få enkelt och begripligt då det är så beroende av ett ledningssystem för informationssäkerhet. Därför bör ledningssystemet för informationssäkerhet ses över så att behandling av personuppgifter kan ingå som en naturlig del. Nödvändiga beslut för genomförande av ledningssystemet: - beslut om fortsatt arbete med införande av ledningssystem för personuppgiftsbehandling. - beslut om utvidgning av roller och ansvar enligt förslag. - beslut om stödorganisation så som verksamhetsnära stöd, dataskyddsombud och informationssäkerhetssamordnare med nödvändiga resurser. - beslut om inrättande av projekt för att tillse att styrande dokument, handlingsplaner och rutiner kan uppfyllas System för hantering av register för behandling av personuppgifter En kravspecifikation för ett registersystem för personuppgiftsbehandling är framtaget under projektet. Projektet har tittat på ett antal olika system och kommit fram till att DraftIT är det system som uppfyller de krav som Umeå universitet har på ett register för personuppgiftsbehandling. DraftIT är ett registersystem anpassat för personuppgiftsbehandling och används även av ett antal andra universitet i Sverige. En anmälan om direktupphandling är upprättad samt tillhörande beslut om direktupphandling är taget. En riskanalys är genomförd och avtal för DraftIT är överenskommet.

20 Sid 20 (25) Förstudierapport En beskrivning av vad förstudien kommit fram till i syfte att ge ett underlag till ledningen att besluta om ett framtida implementationsprojekt. 5.2 Ekonomiskt utfall Kostnader 2017 Lön projektledare inkl. personalrelaterade kostnader (50% 5 månader) 175 tkr

21 Sid 21 (25) Lösningsförslag Förstudien rekommenderar att Umeå universitet inleder ett projekt i syfte att förbereda hela organisationen inför den nya dataskyddsförordningen. Projektet bör, liksom förstudien har gjort, fokusera på organisation (behov av kompetenser), styrande och stödjande dokument, förteckning över personuppgiftsbehandling samt teknisk och organisatorisk säkerhet. Se Bilaga 2. Förslag på projektplan Implementation - inför dataskyddsförordningen Nedan följer en mer detaljerad beskrivning med hänvisningar till Datainspektionens webbsidor om dataskyddsförordningen. 6.1 Dataskyddsombud Förstudien rekommenderar att ett dataskyddsombud 10 utses och tillsätts. Dataskyddsombudet ska vara på plats den 25 maj Förstudien föreslår att dataskyddsombudet tillsammans med en stödorganisation ansvarar för verksamhetsstöd, utbildning och uppföljning avseende dataskyddsförordningen. Beslut om att tillsätta dataskyddsombud samt erforderliga resurser för denna roll har fattas i och med beslut om universitetsförvaltningens budget Rekryteringsprocessen har inletts. 6.2 Roller och kompetenser Förstudien rekommenderar att informationssäkerhetsorganisationen stärks med en informationssäkerhetssamordnare. Informationssäkerhetssamordnaren ska ha ett nära samarbete med dataskyddsombudet och stötta organisationen i frågor gällande informationssäkerhet där tekniskt och organisatoriskt skydd vid behandling av personuppgifter ingår som en naturlig del. Informationssäkerhetssamordnaren bör även arbeta aktivt med samordning och uppföljning av informationssäkerhet och skydd av personuppgifter. Behovet uppskattas motsvara en heltid och inledningsvis kan kompetensen i viss utsträckning köpas internt. Förstudien rekommenderar att det utöver den centrala funktionen också på fakultet, institution, enhet eller motsvarande finns medarbetare som förutom kunskap om den verksamhet de verkar inom också ha en djupare insikt i frågor som rör personuppgiftsbehandling. Dessa medarbetare med kunskap om personuppgiftsbehandling kan fungera som en lokal support och ta hand om sådant som kan klassas som enklare frågor, hantera uppföljningen av personuppgiftsbehandling och förbättrande åtgärder. Dessa medarbetare ska ha fått en grundutbildning i dataskyddsförordningen och personuppgiftsbehandling. Förstudien rekommenderar att ansvarskedjan för personuppgiftsbehandling förtydligas. 10

22 Sid 22 (25) 6.3 Styrande och stödjande dokument Förstudien rekommenderar att inom ramen för projektet ta fram styrande och stödjande dokument för personuppgiftsbehandling. Med stödjande avses handledningar, checklistor, mallar och liknande, för att vägleda medarbetare i hur personuppgiftsbehandling ska utföras och hur nödvändig organisatorisk och teknisk säkerhetsnivå ska uppnås. Förstudien rekommenderar att inom ramen för projektet uppdatera Umeå universitets webb och andra informationskanaler med tydlig information och kontaktvägar för alla berörda personalgrupper till exempel medarbetare inom administration, utbildning, forskning samt studenter. Förstudien rekommenderar att redovisande dokumentation som t.ex. genomförd informationsklassning, risk- och sårbarhetsanalyser samt vidtagna åtgärder behöver struktureras för att myndigheten ska kunna visa på att förordningen efterlevs. 6.4 Laglig behandling av personuppgifter Förstudien rekommenderar att inom ramen för projektet informera alla medarbetare om grunderna i dataskyddsförordningen. Information sprids genom lämpliga kommunikationskanaler till exempel webb, riktad e-post till prefekter och administrativa chefer för spridning till medarbetare, medverkan från projektet på informationsmöten för administrativa chefer, informationsträffar m.m. Förstudien rekommenderar att inom projektet planera utbildningsinsatser för de grupper som har behov av särskild kompetens med avseende på behandling av personuppgifter. 6.5 Kontroll över all behandling av personuppgifter Förstudien rekommenderar att inom ramen för projektet initiera pilotprojekt avseende personuppgiftsbehandling där inventering av personuppgifter, klassning av uppgifterna, riskanalys på behandlingen och eventuell konsekvensbedömning görs. Förstudien rekommenderar att inom ramen för projektet: Ta fram en struktur för att förteckna de personuppgiftsbehandlingar som görs på Umeå universitet och påbörja registerförteckningen. 11 Genomföra en översyn av befintliga personuppgiftsbiträdesavtal. I de fall de måste korrigeras för att uppfylla kraven i dataskyddsförordningen ska detta göras och nya 11

23 Sid 23 (25) personuppgiftsbiträdesavtal ska upprättas i de fall det saknas. 12 Gäller även de personuppgiftsbiträdesavtal där Umeå universitet är personuppgiftsbiträde. Utforma mallar och rutiner för personuppgiftsbiträdesavtal och kommissionens standardavtalsklausuler på svenska och engelska. Såväl när universitetet är personuppgiftsansvarig som personuppgiftsbiträde. Utforma rutiner för att säkerställa efterlevnad och löpande förbättringar. Förstudien rekommenderar att intern granskning av personuppgiftsbehandling i framtiden ingår i interrevisionens årliga revisionsplanering. 6.6 Registrerades rättigheter Förstudien rekommenderar att inom ramen för projektet ta fram: Styrande dokument för information till registrerade och hur Umeå universitet tillgodoser de registrerades rättigheter. Rutin för att säkerställa att Umeå universitet informerar om laglig grund för behandling, hur länge uppgifterna sparas och hur den registrerade kan lämna klagomål till Datainspektionen i de fall personuppgifter behandlas på ett felaktigt sätt. Riktlinjer för hur samtycke ska hanteras. Riktlinjer för rätten till radering, dataportabilitet och rättelse. 12

24 Sid 24 (25) 6.7 Incidentrapportering Förstudien rekommenderar att inom ramen för projektet ta fram: Styrande dokument för hantering av personuppgiftsincidenter. Det ska vara tydligt var i organisationen ansvaret för att göra en sådan anmälan ligger så att anmälan kan göras i rätt tid (inom 72 timmar). Rutin för information till den registrerade i de fall incidenten kan leda till att den registrerade utsätts för allvarlig risk. 6.8 Konsekvensbedömning Förstudien rekommenderar att inom ramen för projektet ta fram styrande dokument för de fall då registring är förenad med särskilda risker för enskildas fri- och rättigheter. Exempel på detta kan vara storskaliga register som innehåller särskilda kategorier av personuppgifter. I vissa fall ska samråd ske med Datainspektionen innan behandlingen får påbörjas. 6.9 Teknisk och organisatorisk säkerhet Förstudien rekommenderar att inom ramen för projektet ta fram styrande dokument gällande krav på och utformning, utveckling, upphandling, anskaffning, förvaltning och avveckling av ITsystem och tjänster där personuppgiftsbehandling sker. Förstudien rekommenderar att inom ramen för projektet utforma rutiner och mallar för risk och sårbarhetsanalyser inkl. informationsklassningsmodell och standardiserade skyddsnivåer, såväl för egen personuppgiftsbehandling som vid nyttjande av personuppgiftsbiträde. Förstudien rekommenderar att lösningar på vilka tekniska och organisatoriska system och rutiner som ska nyttjas beroende på vilken typ av information/personuppgifter som behandlas utarbetas. Förstudien rekommenderar att inom ramen för projektet definiera krav före, under och efter anlitande av konsult som hanterar personuppgifter. Förstudien rekommenderar att ledningssystemet för informationssäkerhet ses över särskilt med avseende på styrning och kontroll för att kunna visa på att en god informationssäkerhet upprätthålls inom alla delar av universitetets verksamhet. Stödet till verksamheten med avseende på informationssäkerhet bör stärkas och säkerhet i personuppgiftsbehandling ingå som en naturlig del av informationssäkerhet. Förstudien rekommenderar att centralt godkända eller tillhandahållna lösningar används i så stor utsträckning som möjligt.

25 Sid 25 (25) Realisering i framtida projekt och förvaltning Se bilaga Förslag på projektplan Implementation - inför dataskyddsförordningen Bilagor Lista de bilagor som hör till projektrapporten Ref. Dokumentnamn, beteckning och namn Utgåva, datum 1 Förslag på ledningssystem för personuppgiftsbehandling 2 Förslag på projektplan Implementation - inför dataskyddsförordningen