Hur angriper Solna stad GDPR-utmaningen? Lösningsarkitekt/IT-säkerhet Bo Jönsson Informationssäkerhetskonsult Peter Russo

Transkript

1 Hur angriper Solna stad GDPR-utmaningen? Lösningsarkitekt/IT-säkerhet Bo Jönsson Informationssäkerhetskonsult Peter Russo Fakta: < 35 min Frågor& Svar : < 15 min

2 Vad var det vi gjorde? Syfte: Initiera arbetet med GDPR anpassning i Solna Stad med hjälp av en GAP-analys Mål: 1) Genomföra en GAP-analys av verksamhetens aktuella överenstämmelse med GDPR-förordningen 2) Att arbeta fram ett underlag för beslut och en plan för GDPR-anpassningen 3) Dela våra erfarenheter och reflektioner med andra intresserade verksamheter den 8:e november

3 Hur gjorde vi? "Informationssäkerhet" Metod; Intervjuer, workshops, skriften GDPR-förordningen, resonemang, antaganden, hjärnor, puls och temperatur i verksamheten

4 Vad fokuserade vi på? Artiklarna 1-39; Laglighet, Territoriell & Materiell Tillämplighet, Principer, Samtycke, Särskilda Kategorier, Krav på Information & Kommunikation, Den registrerades rättigheter, Personuppgiftsansvarig, Personuppgiftsombud, Dataskyddsombud, Personuppgiftsincidenter, Konsekvensbedömning, Insamling, Utlämning m.m. Artiklarna 44 49; Överföring av personuppgifter Kapitel 9, 85-89; Särskilda behandlingssituationer

5 Vilken åtgärdsstrategi satte vi upp? Fas1: Åtgärder som vi avser att göra omgående Fas 2: Åtgärder som vi tänker göra innan maj 2018 Fas 3: Åtgärder vi avvaktar med A) Avvakta resultatet (augusti 2017) av Datainspektionens arbetsgrupp. B) Avvakta övergången från PUL till GDPR anpassning efter maj Juridiska, operativa m.m.

6 Avgränsningar. Följande artiklar har vi inte beaktat då vi anser att de inte har en påverkan på vår verksamhet. Artikel 40-43; Uppförandekod och certifiering för tillsynsmyndigheten Kapitel 6, 50-59; Regler, Villkor, Behörighet, Uppgifter, Befogenheter, Rapportering för tillsynsmyndigheten Kapitel 7, 60-84; Samarbetet mellan tillsynsmyndigheterna, Tvistlösning, Utbyte av information, Styrelsens ansvar och uppgifter

7 Process Obefintlig - ej eisterande. Initial - odefinierad och ad hoc Upprepad - reaktiv och best effort Definierad - Proaktiv och genomförd Styrd - kontrollerad och förutsägbar Optimerad - kontinuerlig och affärsinriktad Hantera och behandla PU Insamling Utlämning Kommunikation Informera om PU Invända emot PU Samtycke Vuna Process Samtycke Barn Obefintlig - ej eisterande. Analys av rutiner och processer Initial - odefinierad och ad hoc Upprepad - reaktiv och best effort Definierad - Proaktiv och genomförd Styrd - kontrollerad och förutsägbar Optimerad - kontinuerlig och affärsinriktad Ändringshantering Rätta PU (Artikel 16) Radera PU (Artikel 17) Portera PU (Artikel 20) Begränsa PU (Artikel 18)

8 Vad blev resultatet? Kapitel Artikel Rubrik Sammanfattning Ja Nej Kommentar Omedveten Medveten Information till den registrerade om en personuppgiftsincident Konsekvensbedömning avseende dataskydd 36 Förhandssamråd Konsekvensanalys vid upprättandet av ett personuppgiftsregister. Innehåll; systematisk och omfattande behandling av PU till grund för beslut med ev. rättsliga följder, stor behandlingav särskilda kategorier, stor och systematisk övervakning av allmän plats. Nytt krav som säger att samråd med tillsynsmyndighet ska göras innan etableringen av ett nytt personuppgiftsregister där hög risk föreligger. Påverkan 1. Genomgång av utvalda artiklars inverkan på verksamheten. Planerade åtgärder En del av Art. 33 ovan. 1. Påverkar processen för etablering av nya register 2. Påverkar förändring av teknikkomponenter Skärpning av PUAs mandat att gå förbi ledningen. Pågående åtgärder Överensstämmande 37 Utnämning av dataskyddsombudet 38 Dataskyddsombudets ställning Dataskyddsombud skall finnas på; myndigheter, vid regelbunden, krävande och omfattande behandling av personuppgifter och då behandling av särskilt krävande kategorier är stor enl. art. 9 och 10. Preciserar dataskyddsombudets ställning och relation till PUA och PUB.

9 Vad blev resultatet (forts)? 2. Bedömning av påverkan (åtgärder) inom 6 områden. Organisation Processer Teknik Dokumentation Information Kommunikation Samverkan mellan olika Förbättrade processer med verksamhetsfunktioner intensifieras utgångspunkt i kravet på och etablering av förbättrade konsekvensbedömning och dess processer är ett faktum. koppling till teknik. Säk/IT/Krishantering Förändrade krav på skyddsåtgärder påverkar "konsekvensprocessen" Den organisatoriska aspekten behöver värderas och hanteras internt. Ansvar och befogenheter behöver ses över och fastställas. Ny roll för "Dataskyddsombud" behöver implementeras. Övriga roller (PUL) behöver ses över. Resurser kan behöva kompletteras. Processen för samrådsförfarandet behöver ses över. styrande dokument, rollbeskrivningar, ansvar och befogenhetr styrande dokument, rollbeskrivningar, ansvar och befogenhetr Ingår som ett led i översynen enligt Art. 37 styrande dokument, rollbeskrivningar, ansvar och befogenhetr

10 Vad blev resultatet (forts)? 3. Långsiktig Åtgärdsplan Fas 11 Fas 22 Fas 3 Omgående Efter maj 2018

11 Eempel på åtgärder i faserna Fas 1 Fas 2 Fas 3 Se över lagligheten i hantering/behandling av personuppgifter internt. (Art. 6) En övergripande informationskartläggning av personuppgifter inom alla verksamhetsområden ska göras. Snarast göra en detaljerad analys av kraven på dataskydd och dess följder inom teknikområdet. (Art 25) Definiera rollen dataskyddsombud Se över processer i olika funktionsområden beträffande konsekvensbedömning vid uppförandet av nya eller omformade register ( IT/Säkerhet/Krishantering) Art. 35 Förbättra personuppgifternas aktualitet och lagringsminimering för att överensstämma med nya förordningen. Utreda och åtgärda konsekvenser beträffande krav på radering och begränsning av personuppgifter i verksamhetssystem och register. (Art. 17, 18 & 19) Utforma en prioriterad plan för att komplettera/implementera skyddsåtgärder på teknik nivå. ( Art. 25) Utforma och dokumentera rollbeskrivning för ett Dataskyddsombud. Detta inkluderar även resurssättning och eventuellt utbildning. (Art ) Skapa enhetlighet och samsyn beträffande konsekvensbedömningen. Etablera gemensamma processer, dokumentera dessa och kommunicera i verksamheten. (Art. 35) Processen för rapportering av personuppgiftsincidenter behöver ses över och justeras enligt kraven i förordningen. (Art. 33) Utvärdera relation och relevans till annan lagstiftning. T.e. Patientdatalagen, Socialtjänstlagen, Barnomsorgslagen (Art. 9) Bedöma konsekvensen av artikel 17, 18 och 19 t.e. arbetskopior av dokument som ligger inaktivt på lagringsmedia. Officedokument på olika fildelningsytor. Implementera åtgärder och även integrera den kontinuerliga utvärderingen av korrekt skydd i Informationssäkerhetsarbetet. (Art. 25) Implementera åtgärder och även integrera den kontinuerliga utvärderingen av korrekt skydd i Informationssäkerhetsarbetet. (Art. 25)

12 Vad har varit positivt? Analysarbetet har ökat medvetenheten i verksamheten Bättre insikt i och kunskap om förordningen och vad den kan innebära GDPR finns nu på ledningens karta Fler pågående lokala initiativ uppmärksammades i verksamheten (Skola, HR, Kansli) Flera olika diskussioner/initiativ i verksamheten har synkroniserats (Säkerhet/IT/Juridik/PUL-ansvar) Vi har minskat oron och börjat ta tag i frågan

13 Vad har varit komplicerat? Att tolka artiklarna så korrekt det går. Att bedöma vår aktuella status i förhållande till hur vi idag hanterar PUL Att hela tiden ha tillgång till rätt mi av resurser för att kunna bedöma och värdera påverkan korrekt. IT/Säkerhet/Juridik/ m.fl. Vissa artiklar i förordningen kommer att behöva förtydligas t.e. Artikel 15 Den registrerades rätt till tillgång. Undran: På förfrågan eller vid varje enskilt behandlingstillfälle?

14 Tack för ordet!