GDPR for testies med inslag av krav

Transkript

1

2 GDPR for testies med inslag av krav

3 15+ år 100+ anställda 3 regioner

4 REDEFINING QUALITY Vi skapar konkurrenskraft KONTEXT SAMSPEL ANSVAR

5 Vi skapar konkurrenskraft för våra kunder genom effektiv kravhantering och test UTBILDNING SPECIALIST- KONSULTING ÅTAGANDE

6 ENKLA PERSONLIGA ANSVARS- TAGANDE

7 PAUL DOMINIQUE 15 år sakförsäkring 5 år verksamhetsutveckling/krav

8 Vadårå? Syftet här är att definiera ramarna och introducera till GDPR ur ett testfokuserat kravperspektiv, till skillnad från det rent juridiska perspektivet. Ni som fyller i enkäten får tillgång till bilderna ;)

9 Vad har vi att jobba med idag? PUL (Personuppgiftslagen från 1998) När Brandy och Monica hade sin listetta på Billboard som vi ju alla minns. Reglerna i PUL har tillämpats olika i olika EU-länder och saknar sanktion kan man slarvigt säga. (Albumomslag till Brandy & Monica The Boy Is Mine från 1998, källa: Wikipedia, 24/7-2017, Brandy_single)_coverart.jpg

10 Vart ska vi? 25 maj 2018 kan man hoppas att det är Foo fighters med Run. Det är definitivt General Data Protection Regulation med samma regler som Wendy och Brandy eller vad de nu hette men nu gäller alla regler likadant i hela EU och om de inte efterlevs finns kraftiga sanktioner att ta till från Datainspektionen som blir övervakande myndighet. (källa: 24/7-2017,

11 Ur konsumentens perspektiv (lite raljant): PUL 26: Svara när du har lust eller litet tid över GDPR: Ge komplett svar i princip på telefon samtidigt som frågan ställs

12 Nyheter med testing highlights Nya krav på personuppgiftsbiträdet Utökad informationsskyldighet Incidenthantering Privacy by design Konsekvensbedömning (för den enskilde) Dataskyddsombud Uppförandekoder och certifieringar (källa: 24/7-2017,

13 Biträdet Förtydligande eller utökning av dagens regler: Den personuppgiftsansvarige får endast anlita ett biträde som ger tillräckliga garantier för att de följer kraven i förordningen. Krav på avtal (personuppgiftsbiträdesavtal) mellan den ansvarige och biträdet som reglerar personuppgiftshanteringen. Biträdet måste säkerställa att denne har rätt att anlita underbiträden genom att detta framgår i avtalet med den personuppgiftsansvarige.

14 Definition personuppgifter Personuppgift: All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

15 Bikupa: Personuppgiftsleken Ge exempel på detaljer i människors digitala avtryck som tillsammans skulle kunna bli en personuppgift. Diskutera! 2 minuter (John Cleese i Monty Pythons Flying Circus, S1, A3 'How to Recognise Different Types of Trees from Quite a Long Way Away', källa: moviedude.co.uk, 24/7-2017, %27Monty%20Python%27s%20Flying%2 0Circus%27%20Season%201.htm)

16 Personuppgiftsleken Goda kakor på det här stället, mitt bästa lokala bageri Arvid 55, Yelp A.Håkansson, ingenjör, Solna - Kommentar Familjeliv Pappa Arvid är ingenjör - Skylt på förskola Boende på Tjillevippenvägen 10x xx, Solna, 55 årig man, delas med 84-årig kvinna - Eniro (John Cleese i A fish called Wanda, källa: IMDB, 24/7-2017, wer/rm )

17 Varför ska man hålla på med säkerhetsklassning? svt.se

18 Personuppgiftsincident ( Data Breach ) Art 4 Juridisk definition: En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats Trumps definition: Really, Really, bad. Really bad. Terribly bad. A disaster. (Donald Trump, källa: The Oddyssey Online, 24/

19 Incidentrapportering Krav på rutiner och processer för att upptäcka, rapportera och utreda incidenter: Vid personuppgiftsincidenter ska den personuppgiftsansvarige inom 72 timmar anmäla upptäckt incident till tillsynsmyndigheten. Personuppgiftsbiträdet ska utan dröjsmål underrätta den personuppgiftsansvarige vid en personuppgiftsincident.

20 Bikupa: Svårigheter för testare med GDPR Vad tror ni är de största svårigheterna för testare post-gdpr? Diskutera! 2 minuter

21 Testdata Pågår projekt på banker vi arbetar med och de lär inte vara ensamma om att ha problem med testdata. Där fiktiv data skapas från grunden, vilket tar bort behovet av äkta data.

22 Privacy by design Inte samla in mer information än vad som behövs inte ha den kvar längre än man behöver och inte använda den till något annat än vad man samlade in den för informera om hur uppgifterna ska behandlas begära samtycke insyn i behandlingen

23 Privacy by design (Acceptanstest/Krav-perspektivet) Säkra att man begränsat sig till uppgifter som endast indirekt pekar ut en individ Säkra att man begränsat sig till uppgifter som är mindre känsliga Testa att ersätta namn och andra direkt identifierbara uppgifter (pseudonymisering) Uppmärksamma att inte rutinmässigt ha med personnummer som fält i databaser Exempel: Om ett ärendehanteringssystem kan göra mer med personuppgifter än vad som är tillåtet enligt ändamålet så ska man kunna begränsa och spärra de funktionerna för handläggare innan systemet tas i drift.

24 Skydda uppgifterna Funktioner för autentisering, minst lösenord, med tillhörande rutiner och funktioner för säker hantering och möjlighet att ansluta systemet till extern kontohantering. Säkra möjlighet att använda kryptering vid kommunikation över Internet, i databaser, på mobila enheter. Rutiner och tydlig information om säkerhet till systemets användare. Testa loggad användning för att kunna utreda felaktig åtkomst till personuppgifter. Säkra stöd för säkerhetskopiering. Testa säker utplåning, dvs. skydd mot att data läcker ut efter att hela eller delar av systemet tagits ur drift och skrotats. Metoder för radering och förstöring av lagringsmedia Risken för läckage minskar om hårddisk och usb krypterad

25 Skydda uppgifterna När uppgifterna inte längre behövs ska de tas bort, helst genom automatisk radering (gallring). Funktioner för att på begäran från enskilda individer enkelt kunna lämna registerutdrag (om möjligt gränssnitt för att låta den registrerade själv få insyn) Stöd för samtycke och återtagande av samtycke

26 Privacy by design - Sammanfattning Tekniska skydd på alla system som hanterar personuppgifter (skyddets nivå i förhållande till risken med behandlingen av uppgifterna) Grundläggande principer: inte samla in mer information än vad som behövs inte ha den kvar längre än man behöver och inte använda den till något annat än vad man samlade in den för. informera om hur uppgifterna ska behandlas, att begära samtycke och att tillåta insyn

27 Vad betyder det konkret och vad är viktigast för en organisation? GDPR-Spindel Bygg inte in grejor som inte behövs på riktigt Loggar

28 GDPR-Spindel Databas Databas Centralt register-gränssnitt GDPR-Databas Databas Databas Integrations motor 2) Databas 1)

29 Sanktioner 2-4 % av företagets totala omsättning i böter om den personuppgiftsansvariga inte följer dataskyddsförordningens hanteringsregler eller Datainspektionens beslut. Sanktionsnivån beror på hur allvarligt regelbrott man gör sig skyldig till. Den absolut högsta nivån är det högsta beloppet av 20 miljoner Euro eller 4% av företagets/organisationens globala omsättning. Drabbade personer har också rätt till ersättning för skador såsom upplevda kränkningar eller bedrägeri.

30 Frågor eredelser-for-personuppgiftsansvariga

31 Keep in touch Förnamn Efternamn Mailadress Telefonnummer Konsultbolag1 AB Norrtullsgatan Stockholm

32

33 GDPR som testare och kravare-informationskrav Väsentligt utökade krav på den information som ska lämnas till den registrerade, nu även: den rättsliga grunden för behandlingen vilka mottagare som ska ta del av personuppgifterna (underleverantörer, partners m.fl.) hur länge uppgifterna sparas utökade rättigheter för de registrerade behöver kommuniceras se nästa bild Allt detta måste in i en personuppgiftspolicy.

34 Rättigheter för den registrerade att bli informerad om Informera (typiskt sett i en personuppgiftspolicy) om: Rätten att kunna begära tillgång till och rättelse eller radering av personuppgifter rätten att begära begränsning av behandling som rör den registrerade rätten att invända mot behandling rätten till dataportabilitet om behandlingen grundar sig på samtycke, att den registrerade när som helst kan återkalla sitt samtycke rätten att inge klagomål till en tillsynsmyndighet (och ange vilken med kontaktinfo)

35 Samtycke frivilligt, specifikt, informerat och otvetydigt medgivande om att den registrerade godkänner behandling av personuppgifter som rör honom eller henne

36 Hur lämnas samtycke? Information, som gör det möjligt att bedöma för- och nackdelarna med behandlingen av personuppgifterna, måste ges Ett samtycke ska vara otvetydigt (t.ex. oifylld checkruta) Det får inte råda någon tvekan om att ett frivilligt samtycke verkligen föreligger (jfr anställd i beroendeställning) Måste vara specifikt, dvs måste gälla en viss behandling som rör den registrerade, som utförs av en viss registeransvarig och för vissa ändamål Ett samtycke får när som helst återkallas av den registrerade Riskfyllt att t.ex. bygga ett system baserat insamling av samtycke från samtliga registrerade eftersom det kan återkallas när som helst

37 Incidentrapportering-fördjupning Informationen till Datainspektionen ska innehålla uppgifter om: Vilken typ av incident det är fråga om, Vilka kategorier av personer som kan komma att beröras, Hur många personer det berör, Vilka konsekvenser incidenten kan få, samt Vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser.

38 Incidentrapportering-fördjupning För det fall att man har haft en incident så kommer Datainspektionen och ev. andra myndigheter att granska de åtgärder man hade på plats innan en incident. Storleken på en eventuell sanktionsavgift kommer att påverkas av de åtgärder man hade vidtagit innan incidenten.