Rubrik. LIS + GDPR = Sant! Anne-Marie Eklund Löwinder, CISO Internetstiftelsen i

Transkript

1 Rubrik Lorem ipsum dolor sit amet, consectetur adipiscing elit. Phasellus dictum laoreet mi, vel consectetur nisi ultricies sed. Vivamus viverra porttitor semper. iis.se LIS + GDPR = Sant! Anne-Marie Eklund Löwinder, CISO Internetstiftelsen i amel@iis.se

2 Kort om Internetstiftelsen Oberoende allmännyttig organisation som verkar för en positiv utveckling av internet Sköter administration och teknisk drift av.se och.nu Driver identitetsfederationer för vård och skola i Sverige Investerar i internetutvecklande projekt (år 2016 rörde det sig om cirka 50 miljoner kronor) Vision: Alla ska vilja, våga och kunna använda internet Bild 2

3 Rubrik Lorem ipsum dolor sit amet, consectetur adipiscing elit. Phasellus dictum laoreet mi, vel consectetur nisi ultricies sed. Vivamus viverra porttitor semper. iis.se iis.se

4 Informationssäkerhet Information är en tillgång vilken, liksom andra viktiga affärstillgångar, har ett värde för en verksamhet och därmed behöver ett passande skydd Informationssäkerhetsåtgärder syftar till att skydda information och informationssystem från oauktoriserad åtkomst, användning, röjande, avbrott, modifiering, granskning, avspelning eller förstöring Bild 4

5 Informationssäkerhet Sekretess Riktighet Tillgänglighet Spårbarhet Standarder Modeller Metoder Styrmedel System Tekniker Bild 5

6 iis.se

7 Bild 7

8 Bild 8

9 Bild 9

10 Dataskyddsförordningen Vad, hur och varför? Principer för behandling av personuppgifter Skyldigheter för aktörer Rättigheter för de registrerade Bild 10

11 Ett systematiskt informationssäkerhetsarbete är en förutsättning för att efterleva den nya dataskyddsförordningen. Frågorna är ändå många om hur dataskyddsförordningen förhåller sig till informationssäkerhet. Det här är min bild. Bild 11

12 Skillnader mellan PUL och GDPR En organisation som behandlar personuppgifter: Har ansvar för dataskyddsfrågor Måste informera om bearbetning Ska ha inbyggt skydd för personuppgifter i IT-system Är skyldig att informera om incidenter Bild 12

13 Skillnader mellan PUL och GDPR Stärkta rättigheter för individen Aktivt samtycke Enbart bearbetning som man samtyckt till Ökad insyn Rätten till dataportabilitet Lättare att klaga Rätten att bli glömd Bild 13

14 Integritet och konfidentialitet Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder Nyhet Säkerhet för personuppgifter upphöjs till princip (var tidigare bara en skyldighet) Bild 14

15 Ansvarsskyldighet Den personuppgiftsansvarige ska ansvara för och kunna visa att principerna efterlevs Tydligt ansvar! Inte bara följa förordningen utan också visa att förordningen följs Om man råkar göra rätt är det fel Bild 15

16 Bild 16

17 Särskilt spännande! Inbyggt dataskydd och dataskydd som standard Konsekvensbedömning avseende dataskydd (PIA) Anmälan av en personuppgiftsincident till tillsynsmyndigheten Säkerhet för personuppgifter Risk-based approach Bild 17

18 Vad innebär då GDPR för informationssäkerheten? På riktigt? Ingenting. Inget nytt under solen Inga nya krav, inga nya metoder, inga nya tekniker Åtgärd = åtgärd Lämpligt = lämpligt Innehåller däremot en hel del hjälpmedel för arbetet Förhoppningsvis blir det lättare att bedriva informationssäkerhetsarbete när tydligheten och incitamenten ökar Bild 18

19 Dataskyddslagen En utredning har lagt fram förslag på ny lag som ska komplettera Dataskyddsförordningen, kallad Dataskyddslagen. Lagförslaget har varit ute på remiss, IIS har lämnat remissvar. Utredningen föreslog bland annat: Att barn ska kunna samtycka från 13 års ålder Att administrativa sanktionsavgifter även ska gälla myndigheter Att dataskyddsombud ska ha tystnadsplikt Att ingen straffrättslig bestämmelse införs Bild 19

20 Dataskyddsförordningen Artikel 29-gruppen fortsätter arbeta efter sin actionplan. Vägledningar: Dataportabilitet Dataskyddsombud (DPO) Ansvarig tillsynsmyndighet (One Stop Shop) Konsekvensbedömningar (PIA) (utkast) Kommande vägledningar Profilering, Certifieringsmekanismer, Samtycke, Information till den registrerade, Personuppgiftsincidenter, Överföring till tredje land. Bild 20

21 Bild 21

22 IIS anpassning till GDPR Verksamhetsövergripande projekt Men också ett transformationsprojekt för hela stiftelsen Vill skapa en kultur inom stiftelsen där stiftelsen värnar om både sina anställdas och sina kunders integritet Dataskyddsarbetet ska vara ett levande och ständigt pågående arbete inom stiftelsen Bild 22

23 IIS anpassning till GDPR Registerförteckning över IIS personuppgiftsbehandling Jämförelse med DF krav Åtgärdslista Projektform Projektplan Implementation Utbildning Bild 23

24 Bild 24

25 Everything should be made as simple as possible, but not simpler Albert Einstein Bild 25

26 Bild 26

27 Framgångsfaktorer? Personuppgifter som en del i företagets totala informationssäkerhet på alla nivåer Skaffa en tydlig bild av all hantering av persondata inom organisationen Ha systematik i och mellan processer och genomarbetade rutiner för informationssäkerhet Tydliga roller och ansvar Bra verktygslådor för att leva upp till krav på förändringar, nya lagoch kundkrav och ständiga förbättringar Bild 27

28 Vad behövs i verksamheten? Organisation och roller Processer/rutiner Kommunikation med berörda Information till individ Information till Datainspektionen Personuppgiftsbiträden får större ansvar Bild 28

29 Förberedelser Kunskap och medvetande Inventera och dokumentera personuppgifter Information på förhand till registrerade Rutiner för att uppfylla registrerades ökade rättigheter Rutiner för att hantera incidenter kring personuppgifter Utse personuppgiftsombud Säkra att systemen svarar upp mot de nya kraven Bild 29

30 ISO Ledningssystem för informationssäkerhet Ger en bra grund Helhetsgrepp Personuppgifter = informationstillgångar Lagen anger kraven, standarden ger verktygen Med certifiering får ni ett par extra ögon Bild 30

31 Hur långt har ni kommit? Det är 192 dagar mellan och Minus lördagar och söndagar, jul, nyår, påsk, Valborg Bild 31

32 Bild 32

33 iis.se Bild 33 Källa: Governo

34 Strategi 2012 Med medborgaren i centrum Mål: En enklare vardag för medborgare Öppnare förvaltning som stödjer innovation och delaktighet Högre kvalitet och effektivitet i verksamheten Bild 34

35 Strategi 2017 Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter när myndigheter och förvaltningar går över till att skicka e-post istället för vanliga brev är det en samhällsuppgift att se till att alla kan ta emot e-posten. Peter Eriksson iis.se Bild 35

36 Delmål Bild 36

37 Använder internet Bild 37

38 Bild 38

39 Bild 39

40 Bild 40

41 Fem hinder 1. Bristande kunskap 2. Bristande förmåga 3. Bristande motivation 4. Bristande tillgång 5. Bristande tillit iis.se Bild 41

42 Tillgång till en lösning Så snabbt som möjligt Så billigt som möjligt Så bra som möjligt 42

43 Akta er för. 1. För mycket fokus på kostnader 2. För lite fokus på kvalitet och säkerhet 3. För otydliga krav 4. För lite dj-lar anamma Bild 43

44 Tack för uppmärksamheten! Anne-Marie Eklund Löwinder Säkerhetschef Internetstiftelsen i amel@iis.se iis.se Goto10.se Bild 44