Vad innebär EU nya Dataskyddsförordning som ersättare till PUL och. Hur kan vi använda ISO/IEC 27001/29100/27018 i införandet?

Transkript

1 Vad innebär EU nya Dataskyddsförordning som ersättare till PUL och Hur kan vi använda ISO/IEC 27001/29100/27018 i införandet? Rätt Säkerhet Hans Dahlquist

2 Min bakgrund: Affärsområdeschef Risk och Säkerhet på Rote Consulting sedan 2007 med inriktning på Integrerade säkerhetsledningssystem, Informationsstyrning och Personlig integritet (Privacy), senaste 4 åren Koncernsäkerhetschef (CSO) på Ericsson Överste på Militära Underrättelse och Säkerhetstjänsten MUST med ansvar för Försvarsmaktens Informations- och kommunikationssäkerhet

3 INNEHÅLL: 1. Bakgrund Privacy 2. EU GDPR (General Data Protection Regulation) Dataskyddsförordningen 3. GAP-analys 4. PIA (Privacy Impact Assessment) 5. Införande 6. Sammanfattning och slutsatser ISO Privacy framework ISO Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

4

5 Varför EU GDPR?

6 1. Bakgrund Privacy Enorma läckor av personinformation Konsekvenser Bedrägerier Förtroende och varumärke Självreglering Ändrad lagstiftning Kostnader Informationssäkerhet (ISO/IEC 27001) Lagstiftning PuL (Personuppgiftslagen) som helt ersätts av EU General Data Protection Regulation (EU GDPR) eller EU nya Dataskyddsförordning Stora skillnader i lagstiftning utanför EU

7 Vad är PII (Personally Identifiable Information)? Name Home address Phone number Pictures Position Social security number Credit card data Bank account IP address Etc. according to ISO Or any personal information relating to an individual, whether it relates to his or her private, professional or public life dvs kunder, medborgare, anställda etc

8 2. Huvuddragen i nya Dataskyddsförordningen (General Data Protection Regulation, GDPR) Gäller alla (privat och offentlig sektor) utom polisen och straffrättsliga sektorn (EU-direktiv för dessa). Ersätter nuvarande dataskyddsdirektiv från Gäller som lag direkt på samma sätt i alla medlemsländer. (Svenska personuppgiftslagen PuL slutar att gälla). Vissa nationella särregler medges, arbete pågår med en särskild svensk myndighetslag. Ikraftträdande Klassning: Publik Hans Dahlquist

9 Andra Privacy-krav och åtaganden, exempel:

10 Hur hanteras olika lagstiftning i internationella bolag? Policy nivål Krav på PII Self Regulation Legal Requirements Land: A B EU DPR C D

11 Vad ingår i en Privacy Policy? Självreglering 4. Undertecknade åtaganden (Global Reach Initiative, UN human rights etc.) 3. Kundperspektiv, varumärke och riskreducering 2. Kommande lagstiftning (EU GDPR) 1. Gällande legala och kontraktuella krav Privacy Policy

12 Vilka berörs av GDPR i er organisation? Förtroende o varumärke Juridik IT/IM Verksamheten Affären P R O C E S S E R Klassning: Publik Hans Dahlquist

13 Kostnader för Privacy Kr $ Dyrast är selektiv radering av informationsobjekt (purging), uppemot en MSEK/databas Nästan ingen databas är designad för att radera specifika informationsobjekt Inte ovanligt med databaser eller mer med PII ( PII contamination ) Uppdaterad och väl dokumenterad informationshantering och styrning är första steget (Enterprise Information Management) Informationsarkitektur måste dokumenteras och förvaltas Privacy by design är ett måste för all kommande upphandling av IT Böter upp till mellan 2 och 4 % av global årlig omsättning om man inte uppfyller EU GDPR 2018 Beakta kostnaden för ett dataintrång eller dataförlust av PII med rapporteringsskyldighet till personen och DI

14 3. Hur bör man påbörja ett införande Genomför en GAP-analys! Mognad C (EU GDPR + självreglering) B (EU GDPR) A (PuL) 1. Nuvarande läge? Implementation 2. Önskat läge? Tid

15 Strategi för förändringsledning gör det i rätt ordning VISION 1. Klar och tydlig vision om syfte; varför göra detta och vad vill vi uppnå? STRATEGI 2. Hur når vi visionen (projekt eller linjeverksamhet eller? GOVERNANCE ORGANISATION 3. Vem är ansvarig, vilka ska var med och hur leder vi? PROCESSER 4. Vilka är huvudprocesserna? VERKTYG, KONTROLLER, GAP, PROJEKT och AKTIVITETER 5. Vilket stöd, rutiner, controller och aktiviteter behövs? Klassning: Publik Hans Dahlquist 15

16 Styrande och rådgivande dokument vad skall dokumenteras? Policy Privacy Policy Instruction Directives Privacy Instruction/Directive Security Instruction/Directive Guidelines, best practices, templates etc. Styrande (VAD) Rådgivande (HUR) Privacy Guidelines Privacy Governance process Security Guidelines (Classification, protection, access management, backup etc.) Dokumenterade och godkända lokala processer som baseras på Policy, instruktioner (Privacy Impact Assessment, PIA) För varje process, applikation och system med Personinformation (PII)

17 Utan dokumenterad informationsarkitektur - svårt med skydd och selektiv permanent radering System n EXPORT AV PII?? Backup

18 4. Ex: Privacy Impact Assessment (PIA) processen System/produkt/ service/process PII? Nej PIA Klar! Ja För-PIA Privacy Påverkan? Nej Ja Hel PIA Privacy Påverkan? No Godkänd PIA Report Yes Privacy införandet Klassning: Publik Hans Dahlquist

19 Informationens livscykel ett måste Radering Disposal Capture Ny kund Backup Storage Kryptering? Processing CRM Presentation Transmission VPN? Behörigheter Information lifecycle

20 5. Införande Ledningssystem för personinformation: 1. Styrande och rådgivande dokument Lagar, standarder, åtaganden, Policy, Direktiv, Instruktioner, beslut och arbetsordning 2. Processer: PIA Ständiga förbättringar (PLAN DO CHECK ACT) Kontroller, uppfyllnad, rapportering, KPI:er Ledningens genomgång och engagemang Utbildning Förvaltning Riskhantering etc. CSO 3. Organisation med tydliga rollbeskrivningar (Dataskyddsombud), CPO ansvar, befogenheter och kunnande i en operativ beskrivning L C I Policy Directive Guidelines etc.

21 6.Slutsatser och summering: Skapa och förankra en Privacy Policy och en förändringsstrategi från en vision om vad som skall uppnås Genomför en djup GAP-analys Använd ledningssystemmodellen för införande och förvaltning Dokumentera och riskhantera med PIA Integrera ledningssystemet för Privacy som en komponent i ISO (LIS) om det är infört Se till att Privacy by Design är infört och med i all upphandling av IT Ställ krav på underleverantörer samma krav kommer ställas på er Låt varumärke, kunder och anställda styra mer än bara lagstiftningen Priavcy är inte primärt en legal fråga Påbörja arbetet nu analys och införande tar tid

22