Dataskyddsförordningen. Jan Wennström Informationssäkerhetschef

Transkript

1 Dataskyddsförordningen Jan Wennström Informationssäkerhetschef

2 Ett varningens ord Alla svar finns inte ännu. Det viktiga i det här skedet att fundera på ramarna och hur de inverkar på den egna verksamheten

3 Frågor Vad innebär den nya lagstiftningen för Åbo Akademi? Hur får vi / borde vi hantera personuppgifter? Vad får vi ge ut åt vem och varför?

4 Fråga 1 Vad innebär den nya lagstiftningen? Ska funderas på inom varje enhet (fakulteter, ämnen, uniservice, delar av uniservice, fristående enheter...). Var och en måste kunna dra paralleller till den egna verksamheten och veta var och hur man hanterar personuppgifter i sin egna verksamhet. Det vet inte jag. Jag kan berätta vad lagstiftningen säger och hur den tolkas eller sannolikt kommer att tolkas. Däremot ska vi diskutera hur dessa två (den hantering som görs och lagstiftningen) går och kan fås att gå ihop

5 Fråga 2 Hur får vi / borde vi hantera personuppgifter? Se fråga

6 Fråga 3 Vad får vi ge ut åt vem och varför? Offentlighetslagen ändrar inte.det är den som specificerar vem som har rätt att se vilka uppgifter angående någon annan. Det som inte fåtts ges ut tidigare får inte ges ut nu heller. Det som behövs är beskrivningar angående syftet med ett register. Det är den beskrivningen (register över hantering) som definierar hur ett register används. Var och en som finns registrerad i ett register har rätt att se beskrivningen och dessutom kontrollera uppgifterna om sigi ifrågavarande register. En bärande tanke inom dataskyddsförordningen är uppgiftsminimering, vilket innebär att man inte får samla in mera personuppgifter om någon än nödvändigt. Definitionen av personuppgift en historia för sig. (artikel 4)

7 Dataskyddsförordningen 1/4 Allmänt Vad: Bindande lagstiftning inom EU Varför: Trygga personers kontroll över sina personuppgifter Vad registreras/hanteras/omständigheterna för hanteringen När: Övergångsperioden slut Vem: Berör alla inom ÅA (och oss alla som privatpersoner) Vad och hur: Dokumentation / Handledning / Utbildning /Avtal med smarbetsparter och leverantörer Missbruk bör rapporteras (i huvudsak inom 72 timmar) Sanktioner (böter)

8 Dataskyddsförordningen 2/4 Den registrerades rättigheter Framför allt den registrerades rättigheter att Ta del av det som registrerats och få korrigerat vid behov Flytta information från en leverantör till en annan Bli bortglömd/raderad ut registren finns begränsningar Informeras om dataintrång Vi får hantera personuppgifter endast om det finns en laglig orsak/motivering

9 Dataskyddsförordningen 3/4 Angående laglig hantering Behandlingen är laglig endast om: Den registrerade lämnat sitt samtycke för ett eller flera specifika ändamål Eller behandlingen är nödvändig: För att fullgöra ett avtaldär den registrerade är en part eller på begäranav den registrerade för att vidta åtgärder innan nämnda avtal ingås För att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige För att skydda grundläggande intressen för den registrerade eller någon annan person För att utföra en uppgift av allmänt intresse eller som en led i myndighetsutövning För ändamål som rör hanterarens eller tredje part berättigade intressen (ej offentliga myndigheters uppgifter). Nationella specificeringar, lagstiftningsarbetet pågår Vilket betyder: Det finns inte ännu svar på alla frågeställningar

10 Dataskyddsförordningen 4/4 Kraven på den personuppgiftsansvarige Principerna för hantering av personuppgifter: Laglighet, korrekthet och öppenhet För ett visst ändamål (som skall specificeras i förväg) Relevanta men inte för omfattande för ändamålet (uppgiftsminimering) Korrekta och uppdaterade Lagras identifierbart bara så länge som nödvändigt (Undantag för: arkivändamål, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål) Integritet och konfidentialitet Hanteraren (ÅA) måste kunna visa att ovanstående efterlevs

11 GDPR-förberedelser 1/4 Vad Mål Målgrupp Resursbehov Kartläggning Identifiera hantering av PU Hela verksamheten/personalen Utreda möjlig pseudonymisering Planering/modifiering av processer Skapamodeller för hur dataskyddet inkluderas i dagliga rutiner Lättarpå kraven angående hantering Lagenlig,dokumenterad hantering Kunna påvisa lagenlig hantering Hela verksamheten/personalen Processägarna(bör identifieras ifall de saknas) Samtliga enheter + koordinator Samtligaenheter + koordinator Samtliga enheter + koordinator Samtliga enheter Samtliga enheter+ LGIS + koordinator Personalutbildning Påvisat utbildad personal Hela personalen Hela verksamheten + koordinator Därtill: Ovanstående med processer där personuppgifter flyttas in till/ut från ÅA Arbetsgrupp för processerna kring utbildningen skapad. Behövs flera motsvarande?

12 GDPR-förberedelser 2/4 Håller i trådarna: Informationssäkerhetschefen Förstärkt ledningsgrupp för informationssäkerhet. Representanter från varje fakultet och funktion inom uniservice samt CLL, ÅAB och Tritonia. ( Jurist Därtill Ledningsgruppen för informationssäkerhet Arbetsgrupp(erna) Utbildningstillfällen Diskutera inom enheten/ämnet och ta kontakt

13 GDPR-förberedelser 3/4 Samarbete mellan universiteten för att ta fram mallar och best practices Ex. mallar för GDPR-kompatibla Register över hantering Register- och it-systembeskrivningar Utbildning (en säkerhetskontroll)

14 GDPR-förberedelser 4/4 Fundera igenom hur dataskyddsförordningen inverkar på den egna enheten, verksamheten och vilka risker den medför Hur hanterar vi personuppgifter (PU)? (eng. Personally Identifiable Information, PII) Vilka register använder vi? Vem hanterar personuppgifter? Var hanteras personuppgifter? Finns registerbeskrivningar? Är de tillgängliga för de registrerade? Inventering pågår! Registrera de personregister Du har samlat eller ansvarar för via: Då kan sedan korrigeringar göras och instrueras då tolkningar klarnar Terminologi och anvisningar: Lämna tomma fält/hänvisa till möjlig bilaga med fritext beskrivning ifall oklart

15 Diskussion Vilka tankar väcker ovanstående? Vilka är (de största) utmaningarna? Vad kunde underlätta och hjälpa? Förordningen kommer vi inte undan

16 Referenser Policies, regelverk och lagsamling: (bl.a. Lagrings- och hanteringsanvisningen) Guider och övrigt material inom ÅA: Informationssäkerhetsguide för personalen: _12-AA.pdf Övriga artiklar: Basmaterial kommer att samlas under: Börjar ta form i skrivande stund, kontrollera då du ser på detta i efterhand