INFORMATIONSSÄKERHET OCH DATASKYDD

Transkript

1 INFORMATIONSSÄKERHET OCH DATASKYDD

2 Sveriges säkerhet (rike) Säkerhetsskyddslag Samhällsviktiga & digitala tjänster NIS-direktivet Offentlig sektor Sektorsspecifika lagstiftningar Individens säkerhet Dataskyddsförordningen

3 Digitalisering

4

5

6 Säkerhetsåtgärder Digitalisering

7 DATASKYDDSFÖRORDNINGEN Skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter Karlstadsborna ska känna sig trygga över att vi värnar deras integritet Gäller i hela EU och ersatte PuL

8 VIKTIGA TERMER Personuppgift All information som kan knytas till en fysisk person som är i livet. Personnummer, namn, adress, foton, fingeravtryck. Behandling Allt vi gör med personuppgifterna: samla in, bearbeta, lagra eller radera. All behandling som sker digitalt omfattas. Känslig personuppgift Etnicitet, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa, sexualliv. Förbjudet, men undantag finns.

9 VIKTIGA ROLLER Personuppgiftsansvarig Den som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till. Nämnd, bolag eller samordningsförbund som behandlar personuppgifter i sin verksamhet. Dataskyddsombud Kontrollerar att dataskyddsförordningen följs och verkar för systematiskt förbättringsarbete. Genomför kontroller och informationsinsatser. Samarbetar med tillsynsmyndigheten. Personuppgiftsbiträde Behandlar personuppgifter för någon annans räkning. Externt eller internt Personuppgiftssamordnare Nämndens/bolagets egen kontaktpunkt

10 PERSONUPPGIFTSANSVARIGES ANSVAR Den personuppgiftsansvarige ansvarar för att personuppgifter behandlas i enlighet med dataskyddsförordningen (och andra relaterade lagar). I praktiken överlåts behandlingen av personuppgifter till personalen men personuppgiftsansvaret kan aldrig överlåtas. Följs inte förordningen kan Datainspektionen besluta om sanktionsavgifter: Upp till 20 miljoner euro, eller 4 procent av den globala årsomsättningen

11 PERSONUPPGIFTSANSVARIGES ANSVAR Konkreta exempel: Ansvarar för att lämpliga tekniska och organisatoriska åtgärder genomförs. Vi ska kunna visa att behandlingar utförs i enlighet med dataskyddsförordningen. Välförankrade styrdokument med lämpliga strategier för dataskydd. Uppförandekoder och certifieringar är ett sätt att visa att man uppfyller kraven. Tillse att tillräckliga resurser finns.

12 GRUNDLÄGGANDE PRINCIPER Laglighet, korrekthet och öppenhet För att få behandla personuppgifter måste vi följa de principer och bestämmelser som finns i bl.a. dataskyddsförordningen. Vi måste t.ex. ha en rättslig grund för den givna behandlingen.

13 GRUNDLÄGGANDE PRINCIPER Ändamålsbegränsning Vi får bara samla in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål.

14 GRUNDLÄGGANDE PRINCIPER Uppgiftsminimering Vi ska aldrig behandla fler personuppgifter än vad som behövs, och de personuppgifter som behandlas ska vara tydligt kopplade till sitt ändamål.

15 GRUNDLÄGGANDE PRINCIPER Riktighet Personuppgifter som behandlas ska vara riktiga och uppdaterade.

16 GRUNDLÄGGANDE PRINCIPER Lagringsminimering Vi får bara spara personuppgifter så länge som de behövs för ändamålet med personuppgiftsbehandlingen.

17 GRUNDLÄGGANDE PRINCIPER Integritet och konfidentialitet Alla personuppgifter vi behandlar måste skyddas så att obehöriga inte kommer åt dem, att de inte används på ett otillåtet sätt, förloras eller blir förstörda.

18 GRUNDLÄGGANDE PRINCIPER Ansvarsskyldighet Personuppgiftsansvarig ansvarar för att de grundläggande principerna följs. Vi måste också kunna visa att vi följer dem och på vilket sätt vi gör det.

19 GRUNDLÄGGANDE PRINCIPER Ansvarsskyldighet: hur kan vi visa att vi följer förordningen? Lämna tydlig information till de registrerade. Utse dataskyddsombud. Föra register över de personuppgiftsbehandlingar som pågår. Bygga in integritetsvänliga lösningar i våra system. Göra en konsekvensbedömning innan ni påbörjar personuppgiftsbehandling som innebär särskilda integritetsrisker. Ansluta oss till en godkänd uppförandekod eller certifieringsmekanism.

20 PERSONUPPGIFTSINCIDENTER Personuppgiftsincident: Händelse som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. Exempel: diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning finansiell förlust brott mot sekretess eller tystnadsplikt.

21 PERSONUPPGIFTSINCIDENTER Personuppgiftsincident (fortsättning): En personuppgiftsincident har till exempel inträffat om uppgifter om en registrerad person har blivit förstörda gått förlorade på annat sätt kommit i orätta händer Ska anmälas till DI inom 72 timmar Incidenthanteringen är en del i att visa att vi efterföljer förordningen

22 INCIDENTER UR ETT INFORMATIONS- SÄKERHETSPERSPEKTIV Kris Extraordinär händelse Höjd beredskap Personuppgiftsincident Informationssäkerhetsincident

23 Sveriges säkerhet (rike) Säkerhetsskyddslag Samhällsviktiga & digitala tjänster NIS-direktivet Offentlig sektor Sektorsspecifika lagstiftningar Individens säkerhet Dataskyddsförordningen

24