JAKTEN PÅ DATA - I svallvågorna av Dataskyddsförordningens införande

Transkript

1 JAKTEN PÅ DATA - I svallvågorna av Dataskyddsförordningens införande Simon Gozzi Affärsområdesansvarig Quality Control by Formpipe, Sverige Simon.Gozzi@formpipe.com Gäst: Jacob Håkansson Dataskyddsombud Uppsala Universitet Jacob.Hakansson@uadm.uu.se 1

2 VARFÖR? VAD? HUR? 2

3 Formpipes produkt Quality Controls roll i lösningen: Introduktion - Organisationens databestånd och jakten på sökt information - Hur hittar man en nål i en höstack? - Hur fungerar Quality Control? Uppsala Universitets implementering av Dataskyddsförordningen: - Vad säger förordningen om registerutdrag? - Hur gör Uppsala Universitet för att tillmötesgå kraven? (organisation, process och verktyg) - Vad saknas? 3

4 VAD KAN DU TA MED DIG HEM? Förståelse för vilka förändringar Dataskyddsförordningens införande kan innebära Vikten av att kunna tillgodose ett komplett registerutdrag Inspiration och lärdom av hur Uppsala Universitet har implementerat dataskyddsförordningen och vad de ser framför sig som ett prioriterat nästa steg Handgripliga tips om hur din organisation kan få kontroll på en stor mängd ostrukturerad data som kan utsätta er risker En övergripande förståelse för hur en av Formpipes produkter kan nyttja stärkt integritet som en hävstång för höjd datakvalitet 4

5 IMPLEMENTATION AV DATASKYDDSFÖRORDNINGEN Dokumentation och organisation 10% Säkerhet 10% Hantering av data 80% Källa: SAS Institute personal-data-protection.html#identify 5

6 NÄR GRANSKAS VI? 6

7 Dataskyddsförordningen och registerutdrag Jacob Håkansson Dataskyddsombud Uppsala universitet 4 okt 2018

8 Registerutdrag egentligen inget nytt 10 datalagen (1973:289) om och vad som finns registrerat. 26 personuppgiftslagen (1998:204) om, vad, varifrån, ändamål och till vilka.

9 Registerutdrag enligt dataskyddsförordningen Artikel 15 i dataskyddsförordningen Rätt att få veta: - Om personen förekommer i behandling. - Vad som behandlas. - Varifrån uppgifterna inhämtats. - Ändamålet med behandlingen. - Med vem eller vilka uppgifterna kommuniceras.

10 Registerutdrag enligt dataskyddsförordningen Artikel 15 i dataskyddsförordningen Rätt att få veta: - Om personen förekommer i behandling. - Vad som behandlas. - Varifrån uppgifterna inhämtats. - Ändamålet med behandlingen. - Med vem eller vilka uppgifterna kommuniceras.

11 Registerutdragsproblemet i korta drag Vad gäller egentligen enligt dataskyddsförordningen? Det finns olika vägar att begära registerutdrag hur skall man sammanställa dem? De som begär registerutdrag har ofta kännedom om förekomst i register vid myndigheten men vad gör vi om inte vi har det? Hur hanterar vi ett ökande antal begäran om registerutdrag - just nu? Hur hittar vi personuppgifter på gemensamma diskar och i e-post?

12 Datainspektionen om registerutdrag Rätt att få bekräftelse på om personuppgifter behandlas och i så fall tillgång till uppgifterna, om det inte är uppenbart ogrundat/orimligt. Uppgifterna (om förekomst i vårt fall) skall lämnas lättillgängligt, skriftligt och i elektronisk form. Uppgifterna skall lämnas ut utan dröjsmål och senast en månad. Perioden kan förlängas med två månader vid en komplicerad begäran. Utdraget skall innehålla uppgifter om: förekomst, ändamål och om/hur uppgifterna kommuniceras.

13 men Registerutdraget behöver inte innehålla personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning och, uppgifterna i den löpande texten skall dock lämnas till den registrerade om de redan lämnats ut till tredje part eller enbart behandlas för arkivändamål av allmänt intresse eller statistiska ändamål, eller har behandlats under längre tid än ett år i en löpande text som inte fått sin slutgiltiga utformning men uppgifter som är hemliga för den registrerade skall inte heller lämnas ut och förresten inte heller sådana uppgifter som omfattas av särskilda registerförfattningar som förbjuder ett utlämnande.

14 Så hur gör vi då?

15 Kontroll över ingångarna till begäran Externa webben ( Medarbetarportalen Frågeformuläret direkt

16 Med en elektronisk blankett för begäran om registerutdrag Ett innehåll med en tanke. Publicerat innehållet som en e-blankett.

17 med en bekräftelse om att begäran

18 registrerats i ett ärende i diariet.

19 Sammanställ uppgifterna och expediera

20 Enkelt eller hur eller? Förekommer i: - Ett forskningsprojekt - Arvodesbanken och ekonomisystemet - Ett excelark med anmälningar på en institution - Diariet som ingivare - E-postsystemet

21

22 eller?

23 Målbilden för framtidens hantering av registerutdrag - Automatiserad återsökning av personuppgifter. - Automatiserad sammanställning av registerutdrag. - Självservice.

24 VAD FINNS I HÖSTACKEN?

25 GEMENE ORGANISATIONS DATA Strukturerad data 20% Platina W3D3 Long-Term Archive Ekonomisystem Personalsystem etc. Ostrukturerad data 80% Mailen Hemkataloger Lokal lagring på datorer Fillagring i molnet Källa: Gartner Market Guide for File Analysis Software 25

26 VARFÖR? Ostrukturerad data är medarbetarens vardag En maildialog med en medborgare angående det där numer sekretessklassade ärendet från 2015 En Skype-chatt med kontaktuppgifter till den där hantverkaren din kollega tipsat om över en kaffe En kompis CV på lokala datorn En maildialog med din läkare Det där Worddokumentet med mötesanteckningar från Närvarande var. Den där presentationen som var bilaga till ett mötesbokning från en presumtiv leverantör med en säljarens kontaktuppgifter från 2014 En mapp på hemkatalogen vid namn Privata grejer 26

27 MEN Ostrukturerad data undantas inte från regelverket och behöver också efterleva kraven Registerutdraget behöver även innefatta uppgifter i ostrukturerad form

28 NÅLEN <1% av organisationens data är uppgifter kopplat till regleringar, så som dataskyddsförordningen 28

29 HUR HITTAR VI NÅLEN?

30 MANUELLT? Lek med tanken att estimatet 1 minut per MB stämmer. Härlett tar det alltså 2 år att manuellt läsa igenom 1 TB ostrukturerad data. Jacob, har du resurser tillhanda att börja läsa redan nu? 36,5 TB.. Kan du tillhandahålla ett registerutdrag då om 70 år? 30

31 31

32 QUALITY CONTROL I KORTHET Första release kunder Nämnd som enda produkt från Europa i Gartners rapport Market Guide for File Analysis Software Unik GDPR-funktionalitet gör registerutdrag ur kopplade system QUALITY CONTROL VAR DET SJÄLVKLARA VERKTYGET FÖR ATT ÖKA DATAKVALITETEN TVÄRS ÖVER HELA ORGANISATIONEN. Kort tid till värde med standardadaptrar mot bl.a. Exchange och diskar

33 QUALITY CONTROL EN MODELLBILD Arbetslista distribuerad till informationsägare REGISTERUTDRAG Analys och visualisering av data för ledningen QUALITY CONTROL by Formpipe STANDARD- ADAPTRAR PROJEKT- ADAPTRAR 33

34 QUALITY CONTROL EN MODELLBILD Arbetslista distribuerad till informationsägare REGISTERUTDRAG Analys och visualisering av data för ledningen QUALITY CONTROL by Formpipe PLATINA W3D3 FILSYSTEM (DISKAR) EXCHANGE STANDARD- ADAPTRAR PROJEKT- ADAPTRAR 34

35 TEMPENKOLL PÅ UPPSALA UNIVERSITET

36 FÖRST EN TEMPENKOLL PÅ RUMMET Räck upp handen du som. Inte har full koll på de personuppgifter du har i din mail Inte har full koll på de personuppgifter du har lokalt på din dator/ din hemkatalog Börjar bli sugen på lunch Har ändrat ditt beteende med anledning av att dataskyddsförordningen trätt i kraft Kan tillgodose personuppgifter lagrade i din mail och dina filer vid inkommen begäran om registerutdrag 36

37 ETT STICKPROV FRÅN UPPSALA UNIVERSITET Jacobs ostrukturerade data Skanning efter personnummer i mailbox (3,8 GB) mail, 5300 bilagor, 500 kalenderbokningar, 273 st träffar Skanning efter vanliga personuppgifter i hemkatalog (5,5 GB) 4000 skannade filer 890 st träffar 37

38 RESULTAT Vi bekräftade att det finns en stor mängd dolda personuppgifter som idag saknar kontroll, dokumentation, spårbarhet och sökbarhet. Många nålar att hitta. Nålarnas existens står motsats till vad kraven från Dataskyddsförordningen anger och Uppsala Universitet saknar idag förmåga att ta med dessa uppgifter vid inkommen begäran om registerutdrag. 38

39 UPPSALAS FÖRUTSÄTTNINGAR IDAG SYSTEM 1 SYSTEM 2 SYSTEM 3 SYSTEM 4 Diskar Mailserver Centrala IT-system som möjliggör delregisterutdrag IT-system som inte möjliggör delregisterutdrag 39

40 STEG 1 KOMPLETT REGISTERUTDRAG SYSTEM 1 SYSTEM 2 SYSTEM 3 SYSTEM 4 Diskar Mailserver Centrala IT-system som möjliggör delregisterutdrag IT-system där Quality Control möjliggör delregisterutdrag 40

41 STEG 2 SAMLAT REGISTERUTDRAG SYSTEM 1 SYSTEM 2 SYSTEM 3 SYSTEM 4 Diskar Mailserver 41

42 LÅT OSS HITTA NÅLEN 42

43 VAD KAN DU TA MED DIG HEM? Förståelse för vilka förändringar Dataskyddsförordningens införande kan innebära Vikten av att kunna tillgodose ett komplett registerutdrag Inspiration och lärdom av hur Uppsala Universitet har implementerat dataskyddsförordningen och vad de ser framför sig som ett prioriterat nästa steg Handgripliga tips om hur din organisation kan få kontroll på en stor mängd ostrukturerad data som kan utsätta er risker En övergripande förståelse för hur en av Formpipes produkter kan nyttja stärkt integritet som en hävstång för höjd datakvalitet 43

44 JAKTEN PÅ DATA - I svallvågorna av Dataskyddsförordningens införande Simon Gozzi Affärsområdesansvarig Quality Control by Formpipe, Sverige Simon.Gozzi@formpipe.com Gäst: Jacob Håkansson Dataskyddsombud Uppsala Universitet Jacob.Hakansson@uadm.uu.se 44

45 APPENDIX 45

46 QUALITY CONTROL EXEMPEL PÅ REGLER Regeluppsättning och koppling mot valfritt system Regelmotor Regelträffar, åtgärder och analys Registreringspraxis Säkerhet GDPR Skanning av system i ostrukturerad och strukturerad data Öppna ärenden där inget ändrats på 2 månader Ärendebeskrivningar som är kortare än 50 tecken Olämplig namngivning av dokument Avslutade ärenden med inkommen handling men ingen utgående handling Avvikande klassificering mellan handling och ärende Öppna ärenden där ansvarig handläggare slutat 46

47 QUALITY CONTROL EXEMPEL PÅ REGLER Regeluppsättning och koppling mot valfritt system Regelmotor Regelträffar, åtgärder och analys Registreringspraxis Säkerhet GDPR Skanning av system i ostrukturerad och strukturerad data Handlingar som innehåller personnummer men inte har en personuppgiftsmarkering Filer på nätverksdisk som innehåller postadress Bilagor till mail på mailserver som innehåller telefonnummer Lokal kopia av handling med personuppgiftsmarkering Personnummer i en mailkonversation 47

48 QUALITY CONTROL EXEMPEL PÅ REGLER Regeluppsättning och koppling mot valfritt system Regelmotor Regelträffar, åtgärder och analys Registreringspraxis Säkerhet GDPR Skanning av system i ostrukturerad och strukturerad data Mail till extern part med lokal kopia av handling Filer på nätverksdisk som är lösenordskyddade Lokala kopior av sekretessklassade handlingar sparade på skrivbordet Mail till extern part innehållande ordet: budget Filer vars filformat är obsolet Filer som varit utcheckade i mer än 24 timmar 48

49 KONTINUERLIGT ARBETE MED DATAKVALITET 49

50 ITERATIV PROCESS INFORMATIONS- ÄGARE VIDTAR ÅTGÄRDER SKANNING AV DATA HÖJNING AV DATAKVALITETEN DISTRIBUTION AV REGELTRÄFFAR 50

51 QUALITY CONTROL FÖR MEDARBETAREN 51

52 QUALITY CONTROL FÖR MEDARBETAREN 52

53 QUALITY CONTROL FÖR MEDARBETAREN 53

54 QUALITY CONTROL FÖR MEDARBETAREN 54

55 REGISTERUTDRAG 55

56 REGISTERUTDRAGSMODULEN - FUNKTION 56

57 Här matas uppgifter in om den person som begär ett registerutdrag Dessa utgör kriterier i en regel som automatiskt bildas i Quality Control En skanning görs sedan av organisationens data som Quality Control har indexerat Detaljer om sökningen specificeras I detta fall ett registerutdrag som gjorts från filsystemet 57

58 Objekt som innehåller data som svarar mot angivna kriterier listas sedan i en tabell Här presenteras bl.a. objektets placering Hela mallen är konfigurerbar för att kunna svara mot kunds specifika behov på format, inkluderad information etc. 58