Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Transkript

1 1(9) Antagen Dnr 2017/1035 av styrgruppen: Reviderad: Susanne Svanholm Jurist Juridikavdelningen Styrgruppen vid Uppsala universitet för anpassning inför EU:s dataskyddsförordning Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning Inventera, uppdatera och beskriva policyer, processer och annan dokumentation som är av intresse i behandlingen av personuppgifter Utsedd tillsynsmyndighet (Datainspektionen) kan när som helst begära ut policyer, styrdokument och processer gällande personlig information. Universitetet måste säkerställa att effektiva processer, tydlig dokumentation och interna riktlinjer för olika användare av information inom universitetet t.ex. avdelningsvis finns och är aktuella. Universitetet måste kunna visa och bevisa att dataskyddsförordningens krav om behandling av personuppgifter efterlevs. Tillsätta den framtida förvaltningsorganisationen. Tydliggöra roller, ansvar och ägandeskap för det löpande dataskyddsarbetet. Uppdrag från styrelse och ledning säkerställer regelefterlevnaden för registrerade, anställda och myndigheten. 30 april 2018 Organisationsnr:

2 2(9) Uppdatera avtal Allt arbete utanför egna organisationen tar längre tid. Det är viktigt att tidigt inleda kravställande gentemot underleverantörer. Uppdatera personuppgiftsbiträdesavtal och övriga avtal med leverantörer och andra intressenter för att säkerställa att alla krav i dataskyddsförordningen uppfylls. 31 december 2017 Fortsätta arbetet med att medvetandegöra efterlevnaden av dataskyddsförordningen Det finns en framtagen kommunikationsplan som följs och uppdateras vid behov. Det har upprättats en sida på medarbetarportalen med frågor och svar om dataskyddsförordningen som behöver spridas i organisationen. Det behövs olika kanaler och kontinuerliga kommunikationskanaler. Ett långsiktigt och tydligt informations- och utbildningsprogram behöver tas fram. Kommunikationsavdelningen 30 april 2018 Ta fram rutin för hantering av personuppgiftsincident och tydliggöra ansvar och roller I och med att kraven är strängare och sanktionerna hårdare är det viktigt att vara bra förberedd, att ha processerna på plats ifall en personuppgiftsincident sker. Det är med andra ord viktigt att uppdatera universitetets incidenthanteringsplan och säkerställa att man kan agera snabbt och på rätt sätt i enlighet med dataskyddsförordningen.

3 3(9) En incident ska enligt huvudregeln anmälas till Datainspektionen inom 72 timmar efter det att man fått vetskap om incidenten. Den personuppgiftsansvarige, dvs Uppsala universitet, ska genom utsedd ansvarig dokumentera alla personuppgiftsincidenter vilket innebär omständigheterna kring händelsen, dess effekter och vilka åtgärder som vidtas för att undvika incidenter i framtiden. Vid behov ska även den registrerade informeras. Om en personuppgiftsincident inträffar ska det finnas process/rutiner för att hantera incidenten. En incident kan leda till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas samt obehörig åtkomst till personuppgifter. IT-avdelningen 28 februari 2018 Den registrerades rättigheter att få tillgång till sina personuppgifter samt information till de registrerade Den registrerade har rätt att få information när hans eller hennes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas både när uppgifterna samlas in och när den registrerade annars begär det. Den enskilde har rätt till gratis elektronisk kopia av den information som finns lagrad i en lättillgänglig skriftlig form, på ett tydligt och enkelt språk. Informationen ska bland annat innehålla ändamålet med behandlingen, den rättsliga grunden för behandlingen samt kontaktuppgifter till den av personuppgiftsansvarige inom universitetet. Även information om den registrerades rättigheter och möjligheten att lämna klagomål till Datainspektionen om han eller hon anser att personuppgifterna har hanterats på ett felaktigt sätt. Skapa process/rutin för att möjliggöra att enskild person får ta del av de personuppgifter som finns lagrade på Uppsala

4 4(9) universitet, säkerställ att uppgifterna lämnas till behörig person och att informationsplikten uppfylls. 31 mars 2018 Hantering av samtycke Inventera om det finns en tydlig, klar och lättillgänglig information kring samtycke för de behandlingar som grundas på detta. Uppdatera eller skriva nya samtyckestexter. Upprätta systematiskt insamlande och bevarande av samtycken för de behandlingar som grundas på samtycke. Upprätta rutin för radering av information till följd av återkallat samtycke 28 februari 2018 Rätt att bli bortglömd Process/rutin för att hantera rätt till att information raderas om en registrerad person vid begäran samt begränsning av spridning av data och behandling av data hos tredje part. med hjälp av IT-avdelningen 28 februari 2018

5 5(9) Dataöverföring (portabilitet) Process/rutin för att få tillgång till personlig data i maskinläsbart format så att det går att vidarebefordra till annan aktör. IT-avdelningen 30 april 2018 Inbyggd integritet (privacy by design) Skapa processer/rutiner rörande data som är absolut nödvändig för arbetsuppgiften ska lagras och att tillgång till personuppgifter endast ges till den som behöver dessa för bearbetning. Ett övergripande regelverk för att inte samla in, lagra och hantera/behandla fler/mer personuppgifter än nödvändigt. IT-avdelningen med hjälp av Säkerhetsavdelningen 31 mars 2018 Upprätta registerförteckning avseende Uppsala universitets system och register som innehåller personuppgifter Universitetet måste kunna visa och bevisa att dataskyddsförordningens krav efterlevs enligt ovan. Kartläggning av personuppgifter avseende vilka personuppgifter som samlas in, varför och hur de behandlas i organisationen behöver göras. En registerförteckning utgör första steget mot att uppfylla denna skyldighet och bevisar efterlevnad av dataskyddsförordningen. Registerförteckningen är ett viktigt arbetsverktyg och kan även samordnas med ledningssystem för informationssäkerhet vid behov.

6 6(9) Ta fram process/rutin för och förvaltning av registerförteckning. Ta fram en teknisk lösning för registret. Utse ansvar och roller. Rutin för årlig uppföljning. 31 december 2017, delprojekt Utreda rättsligt stöd Dataskyddsförordningen innebär flera stora skillnader jämfört med dagens regelverk. Till skillnad från personuppgiftslagens regler omfattar dataskyddförordningen även s.k. ostrukturerade personuppgifter och den s.k. missbruksregeln 1 som används på många avdelningar försvinner. Alla behandlingar av personuppgifter måste ha lagligt stöd. Om och vilket stöd som föreligger enligt dataskyddsförordningen måste utredas. 31 januari 2018 Tillsätta Dataskyddsombud ett krav för myndighet Alla myndigheter måste utse ett dataskyddsombud som ansvarar för frågorna som rör dataskydd. Dataskyddsombudet är även kontaktpunkten för Datainspektionen (tillsynsmyndigheten) och kontaktuppgifter ska anmälas till inspektionen. Dataskyddsombudet har det övergripande ansvaret för att leda, planera, säkerställa och utveckla Uppsala universitets rutiner och efterlevnad av dataskyddsförordningen. 1 5a personuppgiftslagen.

7 7(9) I enlighet med dataskyddsförordningen ska Dataskyddsombudet bland annat: Informera och ge råd till myndigheten och dess anställda, som behandlar personuppgifter, om skyldigheter enligt dataskyddsförordningen och annan tillämplig dataskyddslagstiftning. Övervaka den interna efterlevnaden av dataskyddsförordningen och annan tillämplig dataskyddslagstiftning. Övervaka efterlevnaden av myndighetens strategi för skydd av personuppgifter vilket inbegriper ansvarstilldelning, information och utbildning av personal som deltar i behandling och tillhörande granskning. På myndighetens begäran ge råd i konsekvensbedömning av dataskydd och övervaka genomförandet av den. Samarbeta med Datainspektionen. Fungera som kontaktpunkt för Datainspektionen i frågor som rör behandling, inklusive förhandssamråd och vid behov samråda i alla andra frågor. 24 maj 2018 Identifiera system och andra ytor där personuppgifter behandlas För att Universitetet ska veta var personuppgifter hanteras i verksamheten, genomförs en inventering av alla institutioner för att dokumentera vilka personuppgifter de behandlar och i vilka system dessa hanteras. Inventeringen sker genom att en informationsklassning genomförs. I den klassningen identifieras vilka personuppgifter som hittas samt var, i vilka system, dessa personuppgifter hanteras. Inventeringen sker i två steg. I steg ett inventeras ett tiotal institutioner med diversifierad verksamhet. Detta för att fånga upp så många olika institutionstyper som möjligt. I steg två identifieras vilka andra institutioner som liknar någon av de först inventerade institutionerna. Dessa får, under en gemensam

8 8(9) genomgång, ta del av den tidigare gjorda informationsklassningen och därefter ta bort eller komplettera med de personuppgifter som tidigare klassning inte har med. De behöver inte börja från noll, utan förhoppningsvis är 50-75% desamma som den tidigare gjorde klassningen. Resultatet av dessa klassningar är en lista med system som innehåller personuppgifter. Identifiera system som hanterar personuppgifter Genomförs informationsklassningar på alla institutionerna. Identifiera samtliga system med personuppgifter. Säkerhetsavdelningen 1 november 2017, delprojekt Definiera best practise -skyddsåtgärder för system som behandlar personuppgifter Det finns inga färdiga listor med krav på tillräckligt starka säkerhetsåtgärder utan projektet utnyttjar att Universitetet genomfört ett flertal säkerhetsanalyser och genom nulägesanalyser skapat sina best practise -listor innehållande krav som är tillräckligt starka för att hantera information som är lika känslig som personuppgifter. Dessa krav-listor analyseras, justeras och kompletteras med nya krav som definieras för att uppfylla de nya lagkraven. Definiera tillräckligt starka säkerhetskrav för system som hanterar personuppgifter Analys av tidigare best practise -krav. Skapande av nya best practise -krav. Säkerhetsavdelningen 1 november 2017, delprojekt

9 9(9) Inventera och åtgärda brister i säkerhetsskyddet i de system som behandlar personuppgifter De system som behandlar personuppgifter inventeras för att analysera vilka av de ställda säkerhetskraven de inte lever upp till. Dessa brister (gap) i säkerhetsskyddet riskanalyseras för att skapa en åtgärdslista på saker som ska åtgärdas innan nya lagen träder i kraft 25 maj Till att börja med analyseras de 15 E-förvaltningarnas system. Parallellt med detta arbete genomförs insatser att analysera övriga system som de olika informationsklassningarna identifierat. Inventera brister i säkerhetsskyddet i system som hanterar personuppgifter. Skapa åtgärdslista och åtgärda brister. Säkerhetsavdelningen 25 maj 2018 Utvärdera och följa upp I skapad förvaltningsorganisation för efterlevnad av dataskyddsförordningen görs löpande uppföljning och dokumentation hur arbetet med hantering av personuppgifter genomförs på Uppsala universitet. Det krävs åtgärder såsom upprättande av tillsynsplan, löpande kvalitetsgranskning av det genomförda arbetet, stickprovskontroller och upprätthållande av uppdaterad registerförteckning. Ej fastställd 1 maj 2018