Säkerhet enligt personuppgiftslagen
|
|
- Torbjörn Nyström
- för 7 år sedan
- Visningar:
Transkript
1 Säkerhet enligt personuppgiftslagen
2 Huvudsakliga bestämmelser 30 Personuppgiftsbiträden och anställda 31 Krav på säkerhetsåtgärder 32 Befogenhet att besluta om säkerhetsåtgärder
3 30 PuL Personuppgiftsbiträden (PuB) och anställda får behandla personuppgifter enbart i enlighet med instruktioner från Personuppgiftsansvarig(PuA) Det ska finnas ett skriftligt avtal där detta framgår och att PuB är skyldig att vidta säkerhetsåtgärder enligt 31 PuL
4 31 PuL Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. [ ]
5 Lämpliga åtgärder Vad ska skyddas? Varför? Mot vad? Hur?
6 Lämpliga säkerhetsåtgärder Skydd mot Förstöring Olyckshändelse Otillåtna handlingar Förlust Ändring Otillåten spridning Otillåten tillgång (o)säker kommunikation Otillåten behandling Säkerhetsnivå
7 31 PuL [ ] Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av De tekniska möjligheter som finns, Vad det skulle kosta att genomföra åtgärderna, De särskilda risker som finns med behandlingen av personuppgifterna, och Hur pass känsliga de behandlade personuppgifterna är
8 Vad är lämplig säkerhetsnivå (1) Tillgänglig teknik Standardlösningar Man behöver inte uppfinna något helt nytt Kostnad Krävs sällan att skyddet ska kosta mer än det som ska skyddas
9 Vad är lämplig säkerhetsnivå (2) Särskilda risker Hur behandlas uppgifterna? Öppet nät? Många personuppgifter? Många registrerade? Många användare? Sannolikheter och konsekvenser Kan vara lämpligt att utgå ifrån risk- och sårbarhetsanalyser
10 Vad är lämplig säkerhetsnivå (3) Hur pass känsliga är uppgifterna Känsliga personuppgifter enligt 13 PuL? Uppgifter om lagöverträdelser? (Personnummer?) Särreglering? vad säger den? Tystnadsplikt eller sekretess? Skyddsvärde
11 Känsligt enligt PuL? Sekretess? Annan lag? Spridningsrisk och konsekvens Data om många? Lagöverträdelser? Uppgifternas känslighet Särskilda risker Tekniska möjligheter Kostnad Ekonomiska förhållanden? (o)rimliga kostnader? Gäller tystnadsplikt? Personliga förhållanden? Lämplighetsbedömning Säkerhetsnivå
12 Mer om att anlita ett biträde 31 andra stycket PuL När [PuA] anlitar ett [PuB], skall [PuA] förvissa sig om att [PuB] kan genomföra de säkerhetsåtgärder som måste vidtas och se till att [PuB] verkligen vidtar åtgärderna.
13 32 PuL Tillsynsmyndigheten får i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige skall vidta enligt 31. Beslutet kan förenas med vite
14 Integritetstrappan En modell för hanteringsreglerna i personuppgiftslagen Integritetstrappan Överföring till 3:e land Säkerhet Information Lagöverträdelser och personnummer Känsliga personuppgifter Tillåten behandling 10 Grundläggande krav och definitioner 3-9
15 Säkerhetsåtgärder enligt personuppgiftslagen
16 Allmänna råd Omfattar många typer av säkerhetsåtgärder Rekommendationer Inte rättsligt bindande bör Ligger till grund för Datainspektionens bedömningar
17 Tekniska och organisatoriska säkerhetsåtgärder
18 Säkerhetsarbete Strukturerat och kontinuerligt Säkerhetsanalys (hot, risker och konsekvenser) Åtgärdsplan Införande Uppföljning Modeller för strukturerat säkerhetsarbete T.ex. ISO/IEC serien (LIS) Men glöm inte skyddsobjekt och skyddssyfte
19 Organisatoriska åtgärder Informationssäkerhetspolicy Övergripande mål för säkerhetsarbete Säkerhetsstrategi för att nå målen Roller och ansvarsfördelning Rutiner och processer som bidrar till Att lämpliga åtgärder vidtas Att minimera mänskliga misstag
20 Organisatoriska åtgärder Instruktioner till användarna Checklistor Relevant utbildning för medarbetare som hanterar personuppgifter Skapa säkerhetsmedvetenhet berörda befattningshavare ska få del av relevant information Uppföljning av att rutiner och instruktioner följs
21 Organisatoriska åtgärder Kartläggning av säkerhetsrisker, t.ex. Nulägesanalyser, Riskanalyser, Sårbarhetsanalyser etc Kontinuitetsplaning Förebyggande åtgärder Incidenthantering Rapportering, åtgärder, uppföljning
22 Exempel
23 Sammanfattning Styrdokument Policy intention, roller, ansvar... Riktlinjer om, när, vad, hur... Anvisningar medel, metod... Instruktioner konkreta steg för steg...
24 Dnr
25
26 Exempel
27 Tekniska åtgärder
28 Fysisk säkerhet Tillträdeskontroll Skydd av utrustning Lås och inpasseringskontroll Galler och staket Larm och skydd för brand, vatten, inbrott Elförsörjning Kylning Osv.
29 Fysisk datasäkerhet Mobila enheter och flyttbara lagringsmedia Rutiner för hantering och förvaring Kryptera lagrade känsliga uppgifter
30 Autentisering Vem är X? Unik användaridentitet Lösenord, i den mån det är tillräckligt Personligt, hemligt, komplext asymmetrisk kryptering eller motsvarande Certifikat (e-legitimation) I datorn På smart kort med läsare I eller via smartphone Engångslösenord (Dosor, sms )
31 Stark autentisering? Enligt Datainspektionen följer av 31 personuppgiftslagen att om (integritets-) känsliga personuppgifter får lämnas ut över öppet nät, till exempel Internet, får det ske endast till identifierade användare vars identitet är säkerställd med en teknisk funktion såsom asymmetrisk kryptering (t.ex. e-legitimation), engångslösenord eller motsvarande.
32 Beslut
33 Behörighetsstyrning Vad får X göra? Styrning av åtkomstmöjligheter Inloggning följt av behörighetsstyrning Roll, grupp, nivå etc. Verksamhetsberoende Rutiner för tilldelning, borttagning, ändring och uppföljning Relevant för verksamheten Relevant för mina arbetsuppgifter
34 Behörighetsstyrning - frågor Hur har tilldelningen av åtkomsträttigheter beslutats (och av vem) Rutiner för tilldelning / borttagning / uppföljning av åtkomsträttigheter Finns det fler behörigheter än användare? Hur vida är behörigheterna? Leverantörs-, administrations, skräpkonton? Åtkomst utifrån?
35 Behandlingshistorik - loggar Dokumentation av åtkomst till personuppgifter Information till användarna Loggning innebär i sig personuppgiftsbehandling
36 Behandlingshistorik - frågor Går det att utreda vem som gjorde vad och när? Vilka loggar förs var och varför? Hur hanteras logguppgifterna? Hur länge sparas de? Varför? Används särskilda verktyg för logghantering? Används loggsystemen för automatiska beslut/larm eller andra åtgärder?
37 Logguppföljning På förekommen anledning Systematiskt och återkommande Vad man kan göra Glappet mellan kan och får Vem, vad, när och varför? Vad man får göra
38 Exempel
39 Datakommunikation Överföring av personuppgifter i nätverk öppna nät (t.ex. internet och sjunet) Kryptering av meddelande och/eller kommunikationslänk Säkerställda identiteter Skydd mot Internet (brandvägg m.m.)
40 Skydd mot skadlig kod Antivirusprogram Uppdatering av operativsystem och program
41 Säkerhetskopiering Åtgärder mot förlust av information Säkerhetskopior Bör finnas Bör skyddas Bör testas Artikel 17 skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling.
42 Säkerhetskopiering frågor Hur ofta tas säkerhetskopior? Hur många generationer sparas? Hur skyddas säkerhetskopiorna? När gallras säkerhetskopiorna? Hur förstörs säkerhetskopiorna? Testas återläsning regelbundet?
43 Utplåning, reparation och service Utplåning av personuppgifter Fasta lagringsmedia (interna hårddiskar) Löstagbara (t.ex. USB-minnen, SD-kort) Smartphones, surfplattor Radering eller förstöring? inte kan återskapas Avtal med extern part Instruktioner, förbindelser om tystnadsplikt, mm
44
45 Sammanfattning tekniska säkerhetsåtgärder Autentisering Behörighetsstyrning Åtkomstkontroll (loggar och logguppföljning) Kommunikationssäkerhet Skydd mot intrång och skadlig kod Säkerhetskopiering Utplåning
46 Praxis känsliga eller skyddsvärda personuppgifter Beslut om bland annat Loggning och uppföljning Kryptering över öppna nät Stark autentisering Kryptera mobilt/löstagbart YYYYMMDD-ABCD Personnummer?
47 Beslutet om ny dataskyddsförordning Ersätter dataskyddsdirektivet Blir direktverkande i medlemsländerna Modernisering reglerna bygger idag på ett EU-direktiv från 1995 Förstärkning av enskildas rättigheter och tydliggörande av skyldigheter för de som behandlar personuppgifter Harmonisering samma rättigheter och skyldigheter i EU/EES-området
48 Personuppgiftsansvariges skyldigheter Accountbility, dataskyddspolicy Privacy by design + Privacy by default Register över personuppgiftsbehandlingar Säkerhet Anmäla och informera om dataskyddsincidenter Data Protection Impact Assessment (DPIA) Personuppgiftsombud (PUO)
49 Anmälan av dataskyddsincidenter Dataskyddsincidenter som innebär risker för enskildas rättigheter och friheter ska anmälas till Datainspektionen inom 72 timmar PUB ska anmäla till PUA Anmälan ska innehålla en beskrivning av incidenten, konsekvenser, vidtagna åtgärder m.m. Alla dataskyddsincidenter ska dokumenteras EDPB kan utfärda riktlinjer Vid hög risk ska, i vissa fall, även registrerade informeras
50 Data Protection Impact Assessment (DPIA) Vid behandling som kan misstänkas innebära hög risk ska en konsekvensutredning genomföras, särskilt vid En systematisk och omfattande bedömning av fysiska personers personliga aspekter, inbegripet profilering Omfattande behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser Systematisk övervakning av allmän plats Om DPIA visar hög risk => samråd med Datainspektionen
51 Personuppgiftsbiträdens skyldigheter Utförliga bestämmelser om biträdesavtalets innehåll Krav på PUA:s godkännande för anlitande av underbiträden Egen förteckning av behandlingar Instruktioner till egen personal Eget ansvar för säkerhetsåtgärder Ska anmäla dataskyddsincidenter till PUA Kan bli beordrade av DPA att informera registrerade om en dataskyddsincident Ska utse ett PUO under samma förutsättningar som PUA Särskilt ansvar vid överföring till tredje land Skadeståndsansvar, i vissa fall solidariskt med PUA
52 Något om Molntjänster Molntjänster innebär att exempelvis processorkraft, lagring och funktioner tillhandahålls av leverantörer som tjänster över Internet.
53 Vilka är utmaningarna? Personuppgiftslagen en teknikneutral lagstiftning Transparens - har PuA tillräcklig insyn i hanteringen? Säkerhet Kan PuA lita på att personuppgifterna skyddas på det sätt som krävs? (T.ex. skydd mot otillåten tillgång till eller spridning av personuppgifter) Ansvarsskyldighet (accountability) kan vi lita på tjänsterna och avtalen? Den ansvarige ansvarar gentemot de registrerade, biträdet gentemot den ansvarige
54 Vem är personuppgiftsbiträde? Den som behandlar personuppgifter för den ansvariges räkning. e-tjänst-leverantören Molntjänstleverantören leverantörens underleverantörer
55 Tillsynserfarenheter Den som anlitar en molntjänstleverantör är personuppgiftsansvarig Leverantören och alla dennes underleverantörer är personuppgiftsbiträden Som alltid den personuppgiftsansvarige ansvarar för att personuppgiftslagen följs. Även sekretessbestämmelser måste följas. Problemet: Stor tillit för lite koll
56 Avtal lätt att hitta, lätt läsa? AGREEMENT MODEL CONTRACT CLAUSES ADDENDUM CODE OF CONDUCT POLICY WHITE PAPER STATEMENT
57 Kontroll av biträden Vad innebär det i praktiken? (31 2 st) Ju känsligare uppgifter desto högre krav på kontroll Svårigheten är beroende av känsligheten och molntjänstens utformning Måste veta vilka som behandlar för att kunna kontrollera Tredjepartsrevision?
58 Stopptecken? Analysens utfall, t.ex. avseende Avtal Ändamål Tredjeland Säkerhet
59 Slutsatser Den som vill använda en molntjänst: Analysera utifrån hela PuL, t.ex. ändamål, tillåtlighetsgrund, säkerhet och tredjeland, samt sekretess m.m. Pensionsmyndighetens vägledning
60 Slutsatser (forts) Personuppgiftsbiträdesavtal Binda alla leverantörer Urskiljbara Inte ensidigt förändras (Svensk) dataskyddslagstiftning Enligt instruktioner Utreda obehörig åtkomst Kontroll, kännedom om vilka Lämpliga säkerhetsåtgärder 31 PuL Avtalets upphörande Und: När biträdesavtal inte medför ngt mervärde för integritetsskyddet
61 Något mer om tredjelandsöverföring EU-domstolen upphävde Safe Harbouravtalet den 6 oktober Det innebär att överföringar till USA som görs med stöd av avtalet är olagliga. Sådana överföringar behöver annat rättsligt stöd.
62 Adekvat skyddsnivå Det är landet som ska ha en adekvat skyddsnivå, inte biträdet - t.ex. ett bolag. Bedöms efter samtliga omständigheter, särskilt uppgifternas art, ändamålet, hur länge uppgifterna ska behandlas i landet, ursprungslandet det slutliga bestämmelselandet och tredjelandets dataskyddsregler
63 Lämplig säkerhetsnivå Den nivå av skydd, i form av lämpliga tekniska och organisatoriska åtgärder, som personuppgifterna och behandlingen ska ånjuta.
64 Att tänka på alltså: Adekvat skyddsnivå handlar inte om god informationssäkerhet, det handlar om dataskydd som en mänsklig rättighet och att de registrerade ska kunna göra denna rätt gällande.
65 Tillfällig lösning Tillsvidare kan standardavtalsklausuler och Binding Corporate Rules (BCR) fortfarande användas. Andra lagliga grunder fortsätter analyseras av 29-gruppen.
66 Privacy Shield
67
68 Datainspektionens information (vardagar ) e-post: Fax Välkomna att kontakta oss!
Säkerhet vid behandling av personuppgifter i forskning
Säkerhet vid behandling av personuppgifter i forskning Magnus Bergström IT-säkerhetsspecialist magnus.bergstrom@datainspektionen.se www.datainspektionen.se Först några ord om informationssäkerhet Organisationens
Läs merVälkomna till kurs i dataskyddsförordningen med fokus på informationssäkerhet
Välkomna till kurs i dataskyddsförordningen med fokus på informationssäkerhet Stockholm den 22 februari 2017 Magnus Bergström, Adolf Slama, Robin Lantz Stomilovic och Jonas Agnvall Datainspektionen Ca
Läs merPERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)
1 (6) Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS) Detta personuppgiftsbiträdesavtal reglerar Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges
Läs merUniversitetet och Datainspektionen i Molnet
15 och 16 april 2015 Universitetet och Datainspektionen i Molnet reflektioner över en gryende praxis Göteborgs universitet Definition från Wikipedia Datormoln molntjänster - är IT-tjänster som tillhandahålls
Läs merInformationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs
Informationssäkerhet Medicinteknisk säkerhetskurs 2018-03-14, Sanja Hebib Informationssäkerhet Information är en tillgång som, liksom andra viktiga tillgångar, har ett värde och som måste skyddas. Informationssäkerhet
Läs merEU:s dataskyddsförordning
EU:s dataskyddsförordning Länsstyrelsen den 8 november 2016 Elisabeth Jilderyd och Eva Maria Broberg Datainspektionen Datainspektionen Datainspektionen arbetar för att säkra den enskilda individens rätt
Läs merTillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter
Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens
Läs merGDPR. Dataskyddsförordningen
GDPR Dataskyddsförordningen torsdagen den 29 mars 2018 Innehåll» Inledning» Integritetskontroll?» Centrala begrepp» Grundläggande krav» Laglig grund» Den registrerades rättigheter» Känsliga personuppgifter»
Läs merGDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017
GDPR och molnet Konferens SUNET Inkubator den 16 maj 2017 GDPR - Dataskyddsförordningen EU:s allmänna dataskyddsförordning ska börja tillämpas den 25 maj 2018. GDPR kommer att kompletteras av en nationell
Läs merIntern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2
Intern åtkomst till känsliga personuppgifter hos försäkringsbolag Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Pris 53 kr, inklusive moms. Tryckt hos Intellecta infolog i Solna, oktober
Läs merRegelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.
Regelverk Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag Bilaga D Personuppgiftsbiträdesavtal Version: 2.0 Innehållsförteckning 1 Allmänt om personuppgiftsbiträdesavtal... 1
Läs merHandlingsplan för persondataskydd
Kommunledningskontoret Handlingsplan för persondataskydd Dokumentansvarig: Anders Lindqvist, Verksamhetsutvecklare Fastställd av: Kommunstyrelsen, Dnr KS 18/226 Omfattar: Koncernen Ånge kommun Fastställd
Läs merPERSONUPPGIFTS- BITRÄDESAVTAL
TIO PUNKTER ATT TÄNKA PÅ NÄR DU SKRIVER PERSONUPPGIFTS- BITRÄDESAVTAL n Den 25 maj 2018 började dataskyddsförordningen att gälla i alla EU:s medlemsländer. Dataskyddsförordningen kallas även för GDPR,
Läs merDataskyddsförordningen GDPR - General Data Protection Regulation
Dataskyddsförordningen GDPR - General Data Protection Regulation September 2017 Cecilia Frank Bakgrund Dataskyddsdirektivet (95/46) 1995 Digital utveckling Olikheter i nationell implementering Harmonisering
Läs merVälkomna till kurs i den nya dataskyddsförordningen
Välkomna till kurs i den nya dataskyddsförordningen Malmö den 6 oktober 2016 Eva Maria Broberg, Lisa Johansson, Jonas Agnvall och Martin Brinnen Disposition Introduktion rätten till privatliv, dataskyddsregleringen,
Läs merPersonuppgiftsbiträdesavtal
DNR 13-125/2325 SID 1 (9) Bilaga 9 Personuppgiftsbiträdesavtal Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm DNR 13-125/2325 SID 2 (9) INNEHÅLLSFÖRTECKNING
Läs merEU:s allmänna dataskyddsförordning:
EU:s allmänna dataskyddsförordning: Datainspektionens roll och befogenheter, dataskyddsombudet och anpassning av svensk lagstiftning Eva Maria Broberg och Lisa Johansson, jurister Enheten för myndigheter,
Läs merGDPR. Dataskyddsförordningen 27 april Emil Lechner
GDPR. Dataskyddsförordningen 27 april 2017 Emil Lechner Advokatfirman EdmarLaw Hjälper främst IT-bolag och teknikintensiva bolag. Specialistkompetens inom IT-rätt, avtalsrätt, immaterialrätt och e-handel.
Läs merMELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7
MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7 Detta avtal har dagen för undertecknanden ingåtts mellan parterna; 1) XXX ( XXX ), org. nr 123456-7890, (Personuppgiftsansvarig) och 2) [ ],
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL 1. 1.1 1.2 1.3 1.4 Allmänt Detta Personuppgiftsbiträdesavtal utgör en integrerad del av avtalet om Directory ( Avtalet ) mellan Leverantören och Kunden. Leverantören kommer
Läs merKoncernkontoret Enheten för juridik
Koncernkontoret Enheten för juridik Per Bergstrand Dataskyddsombud +46 44 309 32 56 E-post: per.bergstrand@skane.se Instruktion Datum 2018-06-20 Dnr 1800025 1 (9) Instruktion för s behandling av personuppgifter
Läs merStyrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med
Styrande dokument för dataskydd Fastställd av Kommunstyrelsen Senast reviderad av 2018-05-17 Gäller från och med 2018-05-25 Innehållsförteckning 1 Inledning 3 2 Omfattning 3 3 Bakgrund 3 4 Personuppgiftsansvar
Läs merGDPR NYA DATASKYDDSFÖRORDNINGEN
GDPR NYA DATASKYDDSFÖRORDNINGEN GDPR NYA DATASKYDDSFÖRORDNINGEN GENERAL DATA PROTECTION REGULATION De nya reglerna gäller från och med den 25 maj 2018 och ersätter PUL Syfte: Stärka integritetsskyddet
Läs merPERSONUPPGIFTSBITRÄ DESÄVTÄL
Dokumenttyp 1(11) PERSONUPPGIFTSBITRÄ DESÄVTÄL 1. Parter Personuppgiftsansvarig (PUA): Individ- och familjenämnden, Västerås stad Stadshuset 721 87 Västerås Org.nr. 21 20 00-2080 Personuppgiftsbiträde
Läs merPersonuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)
Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen) Parter: Personuppgiftsansvarig Personuppgiftsbiträde Vård- och omsorgsnämnden
Läs merRiktlinjer för dataskydd
1 Riktlinjer för dataskydd Inledning Följande riktlinje syftar till att konkretisera policyn för dataskydd samt ge vägledning och råd vid hantering av personuppgifter i X kommun. Riktlinjen, som grundar
Läs merPolicy och riktlinje för hantering av personuppgifter i Trosa kommun
Policy och riktlinje för hantering av personuppgifter i Trosa kommun Antagen av: Kommunfullmäktige 2018-04-25, 36, dnr KS 2018/65 Dokumentkategori: Styrdokument Dokumenttyp: Policy Kommunstyrelsen Policy
Läs merTillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter
Datum Diarienr 2013-05-08 643-2012 Socialnämnden Järfälla kommun 177 80 Järfälla Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens
Läs merDigitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman
Digitalisering och dataskydd Agnes Hammarstrand, IT-advokat och partner Advokatfirman Delphi @IT_advokaten Vilka regler gäller för digitalisering? Vad är Digital juridik? Regulatoriska frågor Compliance
Läs merMolntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER
Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER Avtalstypen Molntjänst - Funktionalitet online via Internet - Köp av/ abonnemang på en tjänst - Olika innehåll, olika nivåer SaaS,
Läs merAvtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE
Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE 1. Personuppgiftsbiträdesavtalets syfte Detta Personuppgiftsbiträdesavtal syftar till att uppfylla stadgandet i 30 personuppgiftslagen (PuL)
Läs merADDSECURES BEHANDLING AV PERSONUPPGIFTER
Avtalsförord ADDSECURES BEHANDLING AV PERSONUPPGIFTER För den behandling av personuppgifter som AddSecure utför för sina kunders räkning är AddSecure personuppgiftsbiträde åt kunden. Om du är kontaktperson
Läs merStyrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad
Styrande dokument Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad 2BDetta dokument gäller för Göteborgs Stads samtliga nämnder samt styrelser i sådana organisationer där Göteborgs
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
1 Microsoft AB ( Microsoft ), Box 27, 164 93 KISTA och ( Personuppgiftsbiträdet ) har denna dag träffat följande PERSONUPPGIFTSBITRÄDESAVTAL Bakgrund Personuppgiftslagen ställer krav på skriftligt avtal
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL DEFINITIONER Begrepp och definitioner i detta Avtal ska ha motsvarande betydelse som i Europaparlamentets och Rådets förordning (EU) 2016/679 (nedan kallad dataskyddsförordningen)
Läs merPersonuppgiftsbiträdesavtal
1 Personuppgiftsbiträdesavtal Parter Klubb Organisationsnummer Adress Postadress Nedan: ansvarig Bolag Organisationsnummer Adress Postadress Nedan: biträdet Kontaktperson: Telefonnummer: Mejladress: Kontaktperson:
Läs merDataskyddsförordningen (GDPR)
Dataskyddsförordningen (GDPR) Borlänge den 7 december 2016 Martin Brinnen Rätten till privatliv Rättighet EU grundläggande stadga Europakonventionen Regeringsformen EU-nivå Dataskyddsförordningen E-privacy
Läs merDATASKYDD (GDPR) Del 4: Kärnverksamheterna
DATASKYDD (GDPR) Del 4: Kärnverksamheterna Del 1 Organisationens högsta ledning Kommunledning eller regionledning Del 2 Förvaltningsledning Verksamhetsledning Del 3 Dataskyddssamordnare Dataskyddsredogörare
Läs merPRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN
1 (7) BEHANDLING AV PERSONUPPGIFTER (GDPR) SALA4000, v 2.0, 2012-08-27 N:\Informationsenheten\InformationSala\Projekt\GDPR\sakn-integritetspolicy-behandling av personuppgifter.docx Behandling av personuppgifter...
Läs merDen nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi
Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi Ny EU-lag för personuppgifter Nya dataskyddsförordningen ( GDPR ) Ersätter nuvarande
Läs merÖversikt av GDPR och förberedelser inför 25/5-2018
Översikt av GDPR och förberedelser inför 25/5-2018 EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016 http://www.datainspektionen.se/dataskyddsreformen Personuppgift All slags
Läs merUnion to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)
Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR) 2 Union to Unions policy om dataskyddsförordningen, General Data protection Regulation (GDPR) Innehåll 1. Inledning...
Läs merKOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige
KOMMUNAL FÖRFATTNINGSSAMLING 2018:1-003 Policy och riktlinjer för hantering av personuppgifter Antagen av kommunfullmäktige 2018-03-27 35 1 Att gälla från och med 2018-05-01 Policy för hantering av personuppgifter
Läs merDataskyddsförordningen
Dataskyddsförordningen Almega Express 26 april 2018 på Heléne Hellström Persson Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsförordningen - beslut i EU våren 2016 Förordning ikraft 25 maj 2018
Läs merBilaga 3 Personuppgiftsbiträdesavtal
Bilaga 3 Personuppgiftsbiträdesavtal Detta personuppgiftsbiträdesavtal ( Biträdesavtalet ) har ingåtts av Parterna för att garantera en säker, korrekt och laglig behandling av personuppgifter i samband
Läs merPersonuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal 1. Parter Personuppgiftsansvarig (PA) Namn: Organisationsnummer: Adressuppgifter: Telefonnummer: E-post: Personuppgiftsbiträde (PB) Namn: Digerati Sverige AB Organisationsnummer:
Läs merSäkerhetsåtgärder vid kameraövervakning
Säkerhetsåtgärder vid kameraövervakning Datainspektionen informerar Säkerhetsåtgärder vid kameraövervakning Kameraövervakningslagens syfte är att se till så att kameraövervakning kan användas där så behövs
Läs merDataskyddsförordningen
Dataskyddsförordningen Almega Express Sundsvall 22 maj 2018 på Kenneth Lidgren Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsförordningen - Beslut i EU våren 2016 Förordning ikraft 25 maj 2018
Läs merSvensk författningssamling
Svensk författningssamling Brottsdataförordning Utfärdad den 20 juni 2018 Publicerad den 27 juni 2018 Regeringen föreskriver 1 följande. 1 kap. Allmänna bestämmelser 1 I denna förordning finns kompletterande
Läs merTillsyn enligt personuppgiftslagen (1998:204) Enköpings kommunstyrelses användning av molntjänsten Dropbox
Datum Diarienr 2011-09-28 256-2011 Enköpings kommunstyrelse Kungsgatan 42 745 80 Enköping Tillsyn enligt personuppgiftslagen (1998:204) Enköpings kommunstyrelses användning av molntjänsten Dropbox Datainspektionens
Läs merRiktlinjer för behandling av personuppgifter i Årjängs kommun
Kommunfullmäktige Lina Johannesson, 0573-141 26 lina.johannesson@arjang.se RIKTLINJE Antagen av Kommunfullmäktige 1(12) Dnr KS 2018/210.00 Paragraf 2018-06-18 96 Riktlinjer för behandling av personuppgifter
Läs merDataskyddsförordningen
Stadsledningskontoret Juridiska avdelningen Sida 1 (6) 2017-04-25 kommer den 25 maj 2018 att ersätta personuppgiftslagen (PuL). Förordningen behöver kompletteras med nationella regler. För närvarande pågår
Läs merHantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.
Hantera nya dataskyddsförordningen ENKLA GRUNDER I DATASKYDD MAJ 25 2018 Den nya dataskyddsförordningen träder i kraft. Den nya dataskyddsförordningen GDPR träder i kraft 25 maj 2018 och ersätter då den
Läs merBilaga 1: Personuppgiftsbiträdesavtal 1/10
Bilaga 1: Personuppgiftsbiträdesavtal 1/10 2/10 Innehållsförteckning 1 Bakgrund och syfte... 3 2 Lagval och definitioner... 3 3 Behandling av personuppgifter... 3 4 Underbiträden... 4 5 Begränsningar i
Läs merPersonuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal mellan (nedan kallad Personuppgiftsansvarig eller Kund) och UniCarriers Europe AB, org.nr 556083-6461, 435 82 Mölnlycke (nedan kallad Personuppgiftsbiträde eller Leverantör)
Läs merGDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017
GDPR utmaningar och konsekvenser för dig som jobbar med lön Peter Nordbeck 9 november 2017 Agenda Introduktion De viktigaste att tänka på för dig som jobbar med lön Hur får du använda personuppgifterna?
Läs merPolicy för behandling av personuppgifter
Policy för behandling av personuppgifter Rättslig grund Dokumentägare Antagen datum Upprättad av Antagen av VD 2018-05-28 [Legal] Styrelsen Dokumenttyp Publiceras Ersätter Version Policy Intranätet 1.0
Läs merPersonuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal Personuppgiftsansvarig: Kunden finns inom EU ("Personuppgiftsansvarig") och Personuppgiftsbiträde: Europeisk representant Företag: ONE.COM (B-one FZ-LLC) One.com A/S Org.nr.:
Läs merInTime International AB (nedan kallat Personuppgiftsbiträdet ) med organisationsnummer och adress Varvsgatan 47, Luleå
1 PARTER Den som beställer och använder våra tjänster, och därmed bekräftar att de accepterar våra Allmänna villkor och detta därtill hörande Personuppgiftsbiträdesavtal, och därmed innehar personuppgiftsansvaret
Läs merBilaga Personuppgiftsbiträdesavtal UPP 2016/235. Innehållsförteckning
Bilaga Personuppgiftsbiträdesavtal 2016-12-21 UPP 2016/235 Innehållsförteckning 1 Avtalets syfte... 2 2 Parter... 3 3 Definitioner... 3 4 Allmänt om Avtalet... 5 5 Personuppgiftsbiträdets skyldigheter...
Läs merDe nya EU-reglernas krav på molnsäkerhet
De nya EU-reglernas krav på molnsäkerhet och en del annat Cloud confessions, 20 oktober 2016 David Frydlinger, Advokatfirman Lindahl Agenda 1. Allmänt om Dataskyddsförordningen 2. EU-stadgans skydd mot
Läs merGDPR. General Data Protection Regulation. dataskyddsförordningen
GDPR General Data Protection Regulation dataskyddsförordningen Förord Utskriftskopia Denna version är en sammanfattning versionen har inga figurer och är anpassad för utskrift Innehåll 1 GRUNDINFORMATION
Läs merPuL och GDPR en översiktlig genomgång
PuL och GDPR en översiktlig genomgång Innehåll: Allmänt om nuvarande PuL Definitioner Allmänna bestämmelser Grundläggande krav Roller Säkerhet GDPR Skillnader mot dagens bestämmelser Checklista Personuppgiftslagen
Läs merRiktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund
Syfte Riktlinjen har som syfte att göra policyn för behandling av personuppgifter konkret den ger vägledning i hur hantering av personuppgifter skall ske inom Sydnärkes kommunalförbund. Riktlinjen är antagen
Läs merTillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan
Datum Diarienr 2009-06-23 1764-2008 Försäkringskassan 103 51 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan Datainspektionens beslut Datainspektionen
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL TOB, Telia Sverige T3508-18, Rev 1.1 Innehåll 1 Parter... 2 2 Bakgrund... 2 3 Definitioner... 2 4 PuA:s åtaganden... 3 5 PuB:s åtaganden... 3 6 Underbiträden... 5 7 Ytterligare
Läs merMolntjänster och integritet vad gäller enligt PuL?
Molntjänster och integritet vad gäller enligt PuL? Juridik och IT i kommunerna, den 14 mars 2013 Ingela Alverfors, jurist Adolf Slama, IT-säkerhetsspecialist Dagens agenda Molntjänster Mobila enheter Sociala
Läs merInstruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern
1 (5) Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern Antagen av kommunfullmäktige den 23 september 2010, 193. Inledning Personuppgiftslagen (PuL) trädde i kraft 1998 och
Läs merBilaga Personuppgiftsbiträdesavtal Innehållsförteckning
Bilaga Personuppgiftsbiträdesavtal Datum. [Diarienummer] Innehållsförteckning 1 Avtalets syfte... 2 2 Parter... 3 3 Definitioner... 3 4 Allmänt om Avtalet... 5 5 Personuppgiftsbiträdets skyldigheter...
Läs merLOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)
LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR) 1 Innehåll 1. Inledning... 3 2. Behandling... 3 3. Personuppgift... 3 4. Principer för behandling av personuppgifter... 3
Läs merBilaga b, (Användaravtal Nyps) Personuppgiftsbiträdesavtal
Datum 2017-12-12 Upprättad av Magnus Lövgren Version 1.0 Diarienr/Projektnr Ä 2017-1470 Godkänd av Bilaga b, (Användaravtal Nyps) Personuppgiftsbiträdesavtal I detta personuppgiftsbiträdesavtal ( Biträdesavtalet
Läs merPOLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB
POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB 1. BAKGRUND Rätten till skydd av personuppgifter och den personliga integriteten tillkommer alla fysiska personer. Dessa rättigheter skyddas
Läs merRegler för behandling av personuppgifter vid Högskolan Dalarna
Regler för behandling av personuppgifter vid Högskolan Dalarna Beslut: 2018-08-22 Reviderad: - Dnr: HDa dnr 1.2-2018/1120 Ersätter: Regler för behandling av personuppgifter vid Högskolan Dalarna, DUC 2015/1924/10
Läs merPersonuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal mellan Sophiahemmet AB och Hyresgäst avseende personuppgiftsbehandling OKTOBER 2018 Detta personuppgiftsbiträdesavtal ( Biträdesavtalet ) är giltigt från och med elektronsik
Läs merRiktlinjer för personuppgiftshantering
Sida 1(6) Riktlinjer för personuppgiftshantering 1. Inledning Bakgrund Personuppgifter hanteras från och med den 25 maj 2018 enligt EU:s dataskyddsförordning (2016/679) och kompletterande nationell lagstiftning
Läs merDataskyddsförordningen
Dataskyddsförordningen - En översikt om de nya reglerna Observera att denna broschyr endast ger information om dataskyddsförordningen och ska inte uppfattas som juridisk rådgivning. Lindmark Welinder uppmanar
Läs merIntegritetsskydd - igår, idag, imorgon. Professor Cecilia Magnusson Sjöberg
Integritetsskydd - igår, idag, imorgon Professor Cecilia Magnusson Sjöberg Innehåll 1. Framväxten av integritetsskyddslagstiftningen 2. EU:s dataskyddsförordning 3. Grunderna i personuppgiftslagen Att
Läs merDataskyddsförordningen
Dataskyddsförordningen Almega Express den 7 december 2016 på Nils Bergh Heléne Hellström Persson Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsdirektivet från 1995 införlivades i Sverige genom
Läs merPolicy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa
KS18-410 003 Dataskyddspolicy För kommunstyrelse och nämnder Föreskrifter Plan Policy Program Reglemente Riktlinjer Strategi Taxa Innehåll Bakgrund... 3 Syfte... 3 Ansvar... 3 Styrelse och nämnder... 3
Läs merJuridik och informationssäkerhet
2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga
Läs merINTEGRITETSPOLICY för Webcap i Sverige AB
INTEGRITETSPOLICY för Webcap i Sverige AB 1. ALLMÄNT 1.1 Vi på Webcap tar din personliga integritet på stort allvar och en hög nivå av dataskydd är alltid prioriterad. Denna integritetspolicy förklarar
Läs merNya regler för behandling av personuppgifter GDPR EN CHECKLISTA
Sida 1 (6) Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA Vad är GDPR den nya dataskyddsförordningen? Dataskyddsförordningen (GDPR) är en ny EU-förordning som innehåller regler om hur
Läs merPersonuppgiftsbiträde
Personuppgiftsbiträdesavtal 1 PARTER Symbolbruket AB www.symbolbruket.se Detta Personuppgiftsbiträdesavtal gäller mellan Symbolbruket AB, org.nr. 559025-7316, Östra Harg Torpängen, 585 91 Linköping, info@symbolbruket.se
Läs merStatus panik? GDPR-update! Disposition
GDPR-update! Advokat Daniel Tornberg daniel.tornberg@marlaw.se Advokat Alexander Jute alexander.jute@marlaw.se 26 april 2018 Print Next Advokatfirman MarLaw AB Sveavägen 31 P.O. Box 3079 SE-103 61 Stockholm,
Läs merPersonuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)
Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt 30-31 Personuppgiftslagen (1998:204) Modellavtal 1 riktar sig till de vårdgivare som avser att direkt
Läs merAVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH
Personuppgiftsavtal AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Detta avtal har dagen för undertecknanden ingåtts mellan parterna; 1) (Personuppgiftsansvarig) Företagsnamn Organisationsnummer
Läs merPolicy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson
Policy för tekniska och organisatoriska åtgärder för 14 juni 2018 Peter Dickson Sida 2 av 6 Innehåll Inledning... 3 Organisation... 3 Allmänt om det tekniska säkerhetsarbetet... 4 Kontinuitetsplanering...
Läs merRIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)
1. BAKGRUND RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS) Rätten till skydd av personuppgifter och den personliga integriteten tillkommer alla fysiska personer.
Läs merDataskyddsförordningen GDPR
Dataskyddsförordningen GDPR 2017-12-14 1 När? Dataskyddsförordningen 25 maj 2018. Dataskyddslag - SOU 2017:39 En ny dataskyddslag kompletterande bestämmelser till EU:s dataskyddsförordning. 2 Vad är en
Läs merPolicy för hantering av personuppgifter
Policy för hantering av personuppgifter Dokumenttyp: Policy Beslutad av: Kommunstyrelsen Gäller för: Varbergs kommun Dokumentnamn: Policy för hantering av personuppgifter Beslutsdatum: 2013-10-15 Dokumentansvarig
Läs merDetta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande
Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal[ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande [**], reg. no. [**],med addressen [**] (i det följande Leverantören samt
Läs merInformationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation
Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg
Läs merDataskyddsförordningen
Dataskyddsförordningen Dataskyddsförordningen, DSF Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
1 PERSONUPPGIFTSBITRÄDESAVTAL PARTER Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts mellan: Kunden ( Personuppgiftsansvarig ), och Det bolag inom Hogia-koncernen som ingått Tjänsteavtalet,
Läs merDatainspektionen informerar
Datainspektionen informerar Nr 4/2018 Allmänna Råd Datainspektionen ger ut allmänna råd i syfte: 1) att öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt
Läs merDataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017
Dataskyddsförordningen vad innebär den för myndigheten Registrator 2017 Ability Partner 11 oktober 2017 1 Bakgrund och processen mot EU:s dataskyddsförordning Förordningen publicerades den 4 maj 2016 och
Läs merNy personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin
Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin Setterwalls i korthet Grundades av Nils Setterwall 1878 3 Kontor i Stockholm,
Läs merBeslut efter tillsyn enligt personuppgiftslagen (1998:204)
Beslut Dnr 2008-02-25 1161-2007 Apoteket AB 118 81Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionen konstaterar följande. Apoteket AB (Apoteket) saknar rutiner för systematiska
Läs merVägledning om molntjänster i skolan
2013-11-xx 1 E-samhället i praktiken Vägledning om molntjänster i skolan För att en skolnämnd i en kommun ska kunna bedöma om de molntjänster som man vill använda inom skolan stämmer överens med kraven
Läs merDATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018
DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION 25 maj 2018 DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION 20 meur 4% AV GLOBAL ÅRSOMSÄTTNING Personnummer Namn PERSONUPPGIFTER
Läs mer