Säkerhet enligt personuppgiftslagen

Transkript

1 Säkerhet enligt personuppgiftslagen

2 Huvudsakliga bestämmelser 30 Personuppgiftsbiträden och anställda 31 Krav på säkerhetsåtgärder 32 Befogenhet att besluta om säkerhetsåtgärder

3 30 PuL Personuppgiftsbiträden (PuB) och anställda får behandla personuppgifter enbart i enlighet med instruktioner från Personuppgiftsansvarig(PuA) Det ska finnas ett skriftligt avtal där detta framgår och att PuB är skyldig att vidta säkerhetsåtgärder enligt 31 PuL

4 31 PuL Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. [ ]

5 Lämpliga åtgärder Vad ska skyddas? Varför? Mot vad? Hur?

6 Lämpliga säkerhetsåtgärder Skydd mot Förstöring Olyckshändelse Otillåtna handlingar Förlust Ändring Otillåten spridning Otillåten tillgång (o)säker kommunikation Otillåten behandling Säkerhetsnivå

7 31 PuL [ ] Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av De tekniska möjligheter som finns, Vad det skulle kosta att genomföra åtgärderna, De särskilda risker som finns med behandlingen av personuppgifterna, och Hur pass känsliga de behandlade personuppgifterna är

8 Vad är lämplig säkerhetsnivå (1) Tillgänglig teknik Standardlösningar Man behöver inte uppfinna något helt nytt Kostnad Krävs sällan att skyddet ska kosta mer än det som ska skyddas

9 Vad är lämplig säkerhetsnivå (2) Särskilda risker Hur behandlas uppgifterna? Öppet nät? Många personuppgifter? Många registrerade? Många användare? Sannolikheter och konsekvenser Kan vara lämpligt att utgå ifrån risk- och sårbarhetsanalyser

10 Vad är lämplig säkerhetsnivå (3) Hur pass känsliga är uppgifterna Känsliga personuppgifter enligt 13 PuL? Uppgifter om lagöverträdelser? (Personnummer?) Särreglering? vad säger den? Tystnadsplikt eller sekretess? Skyddsvärde

11 Känsligt enligt PuL? Sekretess? Annan lag? Spridningsrisk och konsekvens Data om många? Lagöverträdelser? Uppgifternas känslighet Särskilda risker Tekniska möjligheter Kostnad Ekonomiska förhållanden? (o)rimliga kostnader? Gäller tystnadsplikt? Personliga förhållanden? Lämplighetsbedömning Säkerhetsnivå

12 Mer om att anlita ett biträde 31 andra stycket PuL När [PuA] anlitar ett [PuB], skall [PuA] förvissa sig om att [PuB] kan genomföra de säkerhetsåtgärder som måste vidtas och se till att [PuB] verkligen vidtar åtgärderna.

13 32 PuL Tillsynsmyndigheten får i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige skall vidta enligt 31. Beslutet kan förenas med vite

14 Integritetstrappan En modell för hanteringsreglerna i personuppgiftslagen Integritetstrappan Överföring till 3:e land Säkerhet Information Lagöverträdelser och personnummer Känsliga personuppgifter Tillåten behandling 10 Grundläggande krav och definitioner 3-9

15 Säkerhetsåtgärder enligt personuppgiftslagen

16 Allmänna råd Omfattar många typer av säkerhetsåtgärder Rekommendationer Inte rättsligt bindande bör Ligger till grund för Datainspektionens bedömningar

17 Tekniska och organisatoriska säkerhetsåtgärder

18 Säkerhetsarbete Strukturerat och kontinuerligt Säkerhetsanalys (hot, risker och konsekvenser) Åtgärdsplan Införande Uppföljning Modeller för strukturerat säkerhetsarbete T.ex. ISO/IEC serien (LIS) Men glöm inte skyddsobjekt och skyddssyfte

19 Organisatoriska åtgärder Informationssäkerhetspolicy Övergripande mål för säkerhetsarbete Säkerhetsstrategi för att nå målen Roller och ansvarsfördelning Rutiner och processer som bidrar till Att lämpliga åtgärder vidtas Att minimera mänskliga misstag

20 Organisatoriska åtgärder Instruktioner till användarna Checklistor Relevant utbildning för medarbetare som hanterar personuppgifter Skapa säkerhetsmedvetenhet berörda befattningshavare ska få del av relevant information Uppföljning av att rutiner och instruktioner följs

21 Organisatoriska åtgärder Kartläggning av säkerhetsrisker, t.ex. Nulägesanalyser, Riskanalyser, Sårbarhetsanalyser etc Kontinuitetsplaning Förebyggande åtgärder Incidenthantering Rapportering, åtgärder, uppföljning

22 Exempel

23 Sammanfattning Styrdokument Policy intention, roller, ansvar... Riktlinjer om, när, vad, hur... Anvisningar medel, metod... Instruktioner konkreta steg för steg...

24 Dnr

25

26 Exempel

27 Tekniska åtgärder

28 Fysisk säkerhet Tillträdeskontroll Skydd av utrustning Lås och inpasseringskontroll Galler och staket Larm och skydd för brand, vatten, inbrott Elförsörjning Kylning Osv.

29 Fysisk datasäkerhet Mobila enheter och flyttbara lagringsmedia Rutiner för hantering och förvaring Kryptera lagrade känsliga uppgifter

30 Autentisering Vem är X? Unik användaridentitet Lösenord, i den mån det är tillräckligt Personligt, hemligt, komplext asymmetrisk kryptering eller motsvarande Certifikat (e-legitimation) I datorn På smart kort med läsare I eller via smartphone Engångslösenord (Dosor, sms )

31 Stark autentisering? Enligt Datainspektionen följer av 31 personuppgiftslagen att om (integritets-) känsliga personuppgifter får lämnas ut över öppet nät, till exempel Internet, får det ske endast till identifierade användare vars identitet är säkerställd med en teknisk funktion såsom asymmetrisk kryptering (t.ex. e-legitimation), engångslösenord eller motsvarande.

32 Beslut

33 Behörighetsstyrning Vad får X göra? Styrning av åtkomstmöjligheter Inloggning följt av behörighetsstyrning Roll, grupp, nivå etc. Verksamhetsberoende Rutiner för tilldelning, borttagning, ändring och uppföljning Relevant för verksamheten Relevant för mina arbetsuppgifter

34 Behörighetsstyrning - frågor Hur har tilldelningen av åtkomsträttigheter beslutats (och av vem) Rutiner för tilldelning / borttagning / uppföljning av åtkomsträttigheter Finns det fler behörigheter än användare? Hur vida är behörigheterna? Leverantörs-, administrations, skräpkonton? Åtkomst utifrån?

35 Behandlingshistorik - loggar Dokumentation av åtkomst till personuppgifter Information till användarna Loggning innebär i sig personuppgiftsbehandling

36 Behandlingshistorik - frågor Går det att utreda vem som gjorde vad och när? Vilka loggar förs var och varför? Hur hanteras logguppgifterna? Hur länge sparas de? Varför? Används särskilda verktyg för logghantering? Används loggsystemen för automatiska beslut/larm eller andra åtgärder?

37 Logguppföljning På förekommen anledning Systematiskt och återkommande Vad man kan göra Glappet mellan kan och får Vem, vad, när och varför? Vad man får göra

38 Exempel

39 Datakommunikation Överföring av personuppgifter i nätverk öppna nät (t.ex. internet och sjunet) Kryptering av meddelande och/eller kommunikationslänk Säkerställda identiteter Skydd mot Internet (brandvägg m.m.)

40 Skydd mot skadlig kod Antivirusprogram Uppdatering av operativsystem och program

41 Säkerhetskopiering Åtgärder mot förlust av information Säkerhetskopior Bör finnas Bör skyddas Bör testas Artikel 17 skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling.

42 Säkerhetskopiering frågor Hur ofta tas säkerhetskopior? Hur många generationer sparas? Hur skyddas säkerhetskopiorna? När gallras säkerhetskopiorna? Hur förstörs säkerhetskopiorna? Testas återläsning regelbundet?

43 Utplåning, reparation och service Utplåning av personuppgifter Fasta lagringsmedia (interna hårddiskar) Löstagbara (t.ex. USB-minnen, SD-kort) Smartphones, surfplattor Radering eller förstöring? inte kan återskapas Avtal med extern part Instruktioner, förbindelser om tystnadsplikt, mm

44

45 Sammanfattning tekniska säkerhetsåtgärder Autentisering Behörighetsstyrning Åtkomstkontroll (loggar och logguppföljning) Kommunikationssäkerhet Skydd mot intrång och skadlig kod Säkerhetskopiering Utplåning

46 Praxis känsliga eller skyddsvärda personuppgifter Beslut om bland annat Loggning och uppföljning Kryptering över öppna nät Stark autentisering Kryptera mobilt/löstagbart YYYYMMDD-ABCD Personnummer?

47 Beslutet om ny dataskyddsförordning Ersätter dataskyddsdirektivet Blir direktverkande i medlemsländerna Modernisering reglerna bygger idag på ett EU-direktiv från 1995 Förstärkning av enskildas rättigheter och tydliggörande av skyldigheter för de som behandlar personuppgifter Harmonisering samma rättigheter och skyldigheter i EU/EES-området

48 Personuppgiftsansvariges skyldigheter Accountbility, dataskyddspolicy Privacy by design + Privacy by default Register över personuppgiftsbehandlingar Säkerhet Anmäla och informera om dataskyddsincidenter Data Protection Impact Assessment (DPIA) Personuppgiftsombud (PUO)

49 Anmälan av dataskyddsincidenter Dataskyddsincidenter som innebär risker för enskildas rättigheter och friheter ska anmälas till Datainspektionen inom 72 timmar PUB ska anmäla till PUA Anmälan ska innehålla en beskrivning av incidenten, konsekvenser, vidtagna åtgärder m.m. Alla dataskyddsincidenter ska dokumenteras EDPB kan utfärda riktlinjer Vid hög risk ska, i vissa fall, även registrerade informeras

50 Data Protection Impact Assessment (DPIA) Vid behandling som kan misstänkas innebära hög risk ska en konsekvensutredning genomföras, särskilt vid En systematisk och omfattande bedömning av fysiska personers personliga aspekter, inbegripet profilering Omfattande behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser Systematisk övervakning av allmän plats Om DPIA visar hög risk => samråd med Datainspektionen

51 Personuppgiftsbiträdens skyldigheter Utförliga bestämmelser om biträdesavtalets innehåll Krav på PUA:s godkännande för anlitande av underbiträden Egen förteckning av behandlingar Instruktioner till egen personal Eget ansvar för säkerhetsåtgärder Ska anmäla dataskyddsincidenter till PUA Kan bli beordrade av DPA att informera registrerade om en dataskyddsincident Ska utse ett PUO under samma förutsättningar som PUA Särskilt ansvar vid överföring till tredje land Skadeståndsansvar, i vissa fall solidariskt med PUA

52 Något om Molntjänster Molntjänster innebär att exempelvis processorkraft, lagring och funktioner tillhandahålls av leverantörer som tjänster över Internet.

53 Vilka är utmaningarna? Personuppgiftslagen en teknikneutral lagstiftning Transparens - har PuA tillräcklig insyn i hanteringen? Säkerhet Kan PuA lita på att personuppgifterna skyddas på det sätt som krävs? (T.ex. skydd mot otillåten tillgång till eller spridning av personuppgifter) Ansvarsskyldighet (accountability) kan vi lita på tjänsterna och avtalen? Den ansvarige ansvarar gentemot de registrerade, biträdet gentemot den ansvarige

54 Vem är personuppgiftsbiträde? Den som behandlar personuppgifter för den ansvariges räkning. e-tjänst-leverantören Molntjänstleverantören leverantörens underleverantörer

55 Tillsynserfarenheter Den som anlitar en molntjänstleverantör är personuppgiftsansvarig Leverantören och alla dennes underleverantörer är personuppgiftsbiträden Som alltid den personuppgiftsansvarige ansvarar för att personuppgiftslagen följs. Även sekretessbestämmelser måste följas. Problemet: Stor tillit för lite koll

56 Avtal lätt att hitta, lätt läsa? AGREEMENT MODEL CONTRACT CLAUSES ADDENDUM CODE OF CONDUCT POLICY WHITE PAPER STATEMENT

57 Kontroll av biträden Vad innebär det i praktiken? (31 2 st) Ju känsligare uppgifter desto högre krav på kontroll Svårigheten är beroende av känsligheten och molntjänstens utformning Måste veta vilka som behandlar för att kunna kontrollera Tredjepartsrevision?

58 Stopptecken? Analysens utfall, t.ex. avseende Avtal Ändamål Tredjeland Säkerhet

59 Slutsatser Den som vill använda en molntjänst: Analysera utifrån hela PuL, t.ex. ändamål, tillåtlighetsgrund, säkerhet och tredjeland, samt sekretess m.m. Pensionsmyndighetens vägledning

60 Slutsatser (forts) Personuppgiftsbiträdesavtal Binda alla leverantörer Urskiljbara Inte ensidigt förändras (Svensk) dataskyddslagstiftning Enligt instruktioner Utreda obehörig åtkomst Kontroll, kännedom om vilka Lämpliga säkerhetsåtgärder 31 PuL Avtalets upphörande Und: När biträdesavtal inte medför ngt mervärde för integritetsskyddet

61 Något mer om tredjelandsöverföring EU-domstolen upphävde Safe Harbouravtalet den 6 oktober Det innebär att överföringar till USA som görs med stöd av avtalet är olagliga. Sådana överföringar behöver annat rättsligt stöd.

62 Adekvat skyddsnivå Det är landet som ska ha en adekvat skyddsnivå, inte biträdet - t.ex. ett bolag. Bedöms efter samtliga omständigheter, särskilt uppgifternas art, ändamålet, hur länge uppgifterna ska behandlas i landet, ursprungslandet det slutliga bestämmelselandet och tredjelandets dataskyddsregler

63 Lämplig säkerhetsnivå Den nivå av skydd, i form av lämpliga tekniska och organisatoriska åtgärder, som personuppgifterna och behandlingen ska ånjuta.

64 Att tänka på alltså: Adekvat skyddsnivå handlar inte om god informationssäkerhet, det handlar om dataskydd som en mänsklig rättighet och att de registrerade ska kunna göra denna rätt gällande.

65 Tillfällig lösning Tillsvidare kan standardavtalsklausuler och Binding Corporate Rules (BCR) fortfarande användas. Andra lagliga grunder fortsätter analyseras av 29-gruppen.

66 Privacy Shield

67

68 Datainspektionens information (vardagar ) e-post: Fax Välkomna att kontakta oss!