Dataskydd och personuppgifter vid Linköpings universitet

Transkript

1 Dataskydd och vid Linköpings universitet Dataskyddsförordningen GDPR = General Data Protection Regulation EU-förordning gäller som svensk lag och tillämpas på samma sätt i alla EU:s medlemsstater Ersätter personuppgiftslagen (PuL) Syfte: Ett enhetligt regelverk som underlättar det fria flödet av person-uppgifter inom EU/EES och stärker den enskildes personliga integritet. 1

2 Kompletterande nationella regler Dataskyddslagen (2018:218) Utredningar som har lett till ändringar av nationella lagar, t.ex. Forskningsdatautredning Utbildningsdatautredning m.fl. Fler lagutredningar pågår Lagar som fortsättningsvis gäller Patientdatalagen Offentlighets- och sekretesslagen, arkivlagen m.fl. Vad omfattas av reglerna? All behandling av som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av som ingår i eller kommer att ingå i ett register. Det vill säga: I princip alla digitala handlingar och alla pappershandlingar som är sökbara. 2

3 Vad är en personuppgift? All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Till exempel: Namn Identifikationsnummer (t.ex. personnummer) E-postadress Postadress Foton och videofilmer, röst, online- identifierare (t.ex. lokaliseringsuppgifter via mobil) m.m. Avgörande är om en uppgift enskilt eller tillsammans med andra uppgifter går att koppla till en enskild person eller inte. Ibland kan en person identifieras genom flera till synes anonyma uppgifter Kvinna Adress + Ålder hyreshus + = Anna Andersson 3

4 Anonymisering vs. pseudonymisering Anonymisering Uppgifter är helt avidentifierade och kan inte längre kan härledas till en person Pseudonymisering Uppgifterna har avidentifierats genom att en identifierande del har avskilts från övriga uppgifter och försetts med en kodnyckel. Ej Personuppgifter så länge kodnyckel finns (oavsett var/hos vem) 9 Begrepp Personuppgiftsbehandling: Insamling, registrering, lagring, bearbetning, läsning, spridning, utplåning m.m. Personuppgiftsansvarig: Den som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av. LiU som organisation är personuppgiftsansvarig. 4

5 10 Begrepp Dataskyddsombud: funktion inom LiU som kontrollerar att personuppgiftsbehandling sker på korrekt sätt. Stöttar och reviderar verksamheten. Personuppgiftsbiträde: extern aktör som behandlar för LiU:s räkning. Registrerad: den vars behandlas. När får man behandla? - Om man följer de grundläggande principerna i dataskyddsförordningen. och - Det finns en rättslig grund för behandlingen. 5

6 Laglighet, korrekthet och öppenhet Uppgifterna ska behandlas lagligt, på ett korrekt sätt och öppet i förhållande till den registrerade Ändamålsenlighet Det ska finnas ett särskilt, uttryckligt och berättigat ändamål med behandlingen. Uppgifterna ska bara användas för det ändamål de är insamlade. Grundläggande principer Uppgiftsminimering Uppgifterna ska vara relevanta, adekvata och inte för omfattande i relation till ändamålet. Bara sådana uppgifter som behövs ska behandlas. Korrekthet Uppgifterna ska vara korrekta och om nödvändigt uppdaterade. Lagringsminimering Uppgifterna får inte förvaras längre än nödvändigt. Integritet och konfidentialitet Lämpliga tekniska och organisatoriska åtgärder ska vidtas för att säkerställa tillräckligt skydd för uppgifterna. Vanliga rättsliga grunder vid LiU Rättslig grund Innebär Exempel från verksamheten Samtycke Avtal Rättslig förpliktelse Uppgift av allmänt intresse Myndighetsutövning Frivilligt, Informerat Dokumenterat För att fullgöra avtal med den registrerade Att följa lagar och andra regler Uppdrag från riksdag och regering Nödvändigt som ett led i myndighetsutövning Forskning Samverkan Marknadsföring Anställningsavtal Samarbetsavtal Inköpsavtal LADOK-förordningen Arkivlagen Arbetsmiljölagen Utbildning Forskning Samverkan Examinering Disciplinärenden 13 6

7 14 Samtycke Ska vara frivilligt och individuellt Ska avse särskild specifik behandling med specifikt ändamål (undantag för forskning, bredare områden kan vara tillåtna) Ska ha lämnats genom en otvetydig eller uttrycklig viljeyttring Den informerade ska ha fått klar och tydlig information om syftet med behandlingen Den registrerade kan när som helt ta tillbaka sitt samtycke Man måste kunna visa att samtycke finns och har lämnats efter information (dokumentera) Känsliga 7

8 Vad är känsliga Ras, etniskt ursprung Politiska åsikter, religiös eller filosofisk övertygelse Medlemskap i fackförening Genetiska och biometriska uppgifter Hälsa eller sexualliv/sexuell läggning Huvudprincip är att känsliga inte får behandlas. Det finns dock undantag när den registrerade har samtyckt till behandlingen eller när behandlingen är tillåten enligt lag. När får känsliga behandlas? Uttryckligt samtycke eller Undantag i förordningen Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål och om uppgifterna skyddas med tekniska och organisatoriska skyddsåtgärder Etikprövning Pseudonymisering Organisatoriska lösningar Tekniska lösningar (kryptering, loggning m.m.) 8

9 Personnummer/samordningsnummer Får bara behandlas när samtycke finns, eller utan samtycke om det är klart motiverat med hänsyn till: ändamålet med behandlingen, vikten av en säker identifiering, eller av något annat beaktansvärt skäl. Personnummer ska alltid hanteras med försiktighet Överföring till tredje land Förbud mot överföring till tredje land (land utanför EU/EES) som inte har en adekvat skyddsnivå. Undantag, t.ex Samtycke Andra lämpliga skyddsåtgärder (t.ex. godkända uppförande koder, standardavtalsklausuler) Särskilda situationer och enstaka fall 9

10 Vilka rättigheter har en registrerad person? att få klar och tydlig information om personuppgiftsbehandlingen att få tillgång till sina uppgifter (registerutdrag) att få felaktiga rättade eller kompletterade att få raderade (under förutsättning att uppgifterna inte längre behövs för ändamålet eller att uppgifterna inte ska arkiveras enligt krav i annan lagstiftning) att kunna göra invändningar mot personuppgiftsbehandlingen att kunna flytta sina till annan (s.k. dataportabilitet) Information till den registrerade Information som lämnas till den registrerade om behandlingen av dennes ska vara kortfattad och lättbegriplig. Det ska bl.a. framgå vilka uppgifter som behandlas, för vilket ändamål behandlingen görs och med vilken rättslig grund, och om möjligt hur länge de ska behandlas om na överförs utanför EU/EES-området, och kontaktuppgifter till dataskyddsombudet. I vissa fall kan en hänvisning till LiU:s integritetspolicy göras. 10

11 När vi inte följer lagen Datainspektionen är tillsynsmyndighet Föreläggande, varning och reprimand Sanktionsavgifter Den registrerades möjligheter Lämna klagomål till Datainspektionen Begära skadestånd Renomméskada för LiU Forskning Vid forskningsstudier krävs normalt alltid patientens samtycke till deltagande. Enbart EPN kan väga samhällsintresset mot patientintegritet och efterge kravet på samtycke för patienten. Patienten har rätt att få ta del av vilka som finns registrerade om henne/honom i forskningsstudien. Patienten har även rätt att få felaktiga uppgifter rättade. En patient kan alltid ta tillbaka sitt samtycke. 11

12 Patientdatalagen, PDL Ger vårdgivare rätt och skyldighet att behandla för vissa ändamål T.ex. föra journal Tillåter elektronisk åtkomst för vård och behandling (inte för forskning). Övriga ändamål (endast inom enskild vårdgivare): Kvalitetssäkring Uppföljning/utvärdering/tillsyn Statistik LiU Personuppgift er ändamål forskning Utlämnande RÖ Ändamål vård och behandling U t l. Patientnär a forskning

13 Vilken hatt har du på dig? Personuppgiftsbiträdesavtal Den som är forskningshuvudman är skyldig att upprätta ett personuppgiftsbiträdesavtal om behandling av na sker av någon annan (t.ex. företag/universitet/rö). Biträdet ska hantera uppgifterna på det sätt den personuppgiftsansvarige anger i avtalet. Kontakta den personuppgiftsansvarige. 13

14 29 Säker hantering av Personuppgifter ska hanteras på ett säkert sätt så att de inte kan stjälas, raderas eller ändras. Tänk på att hålla dig uppdaterad kring LiU:s policy och riktlinjer enbart använda de verktyg som är godkända enligt LiU:s regler arbeta säkert genom att använda säkra lösenord, låsa eller logga ut från datorn när du lämnar den, inte lämna mobila enheter utan uppsikt och använda säkra kommunikationskanaler. Skydda uppgifterna genom behörighetsstyrning av mappar, IT-system o dyl. så att inte fler personer än nödvändigt kan ta del av dem. Incidentrapportering 14

15 Vad är en personuppgiftsincident? En personuppgiftsincident inträffar om : Blivit förstörda Gått förlorade på annat sätt eller Obehöriga fått tillgång till, t.ex. på grund av dataintrång Det spelar ingen roll om det skett oavsiktligt eller med avsikt. En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Rapporteringsplikt Personuppgiftsincidenter där det inte är osannolikt att incidenten medfört en risk för de registrerades fri- och rättigheter måste anmälas till Datainspektionen inom 72 timmar från det att de har upptäckts. Bedömning om en incident är rapporteringspliktig samt anmälan görs av dataskyddsombudet. 15

16 Praktiska råd om ITsäkerhet 33 Vanliga hot mot din och LiU:s IT-säkerhet Datavirus och annan skadlig kod Nätfiske Exempel på avancerad attacker (om vi hinner) 16

17 Skadlig kod Programvara som gör något oönskat, t.ex Tillåter obehöriga att avlyssna dig och fjärrstyra datorn. Gör bankärenden du inte har bett om. Låser alla dina dokument så du aldrig mer kan läsa dem. Skadlig kod sprids via Oönskad e-post ibland från ens egna kontakter. Webbplatser som har utsatts för intrång. USB-minnen som glöms på bussen eller delas ut på konferens. Reklambanners i legitima webbplatser. Direkta attacker mot datorer både PC och servrar. Exempel på skadlig kod 17

18 Riktlinjer för informationssäkerhet 40 Riktlinjer för informationssäkerhet Kapitel 3 Kontoadministration (länk i högermarginalen) Kapitel 1 Informationsklassning Kapitel 4 Systemadministratörer Kapitel 5 Riktlinjer för informationsägare Kapitel 2 Riktlinjer för anställda och uppdragstagare Kapitel 6 Riktlinjer för IT-system 18

19 Varför riktlinjer för informationssäkerhet? Skydda konfidentialitet, riktighet och tillgänglighet Dataskyddsförordningen Krav från lagstiftaren 19

20 Informationsklassning Kapitel 1 Riktlinjer för informationssäkerhet 50 20

21 21 Informationsklassning konfidentialitet konfidentialitet konfidentialitet konfidentialitet riktighet riktighet riktighet riktighet tillgänglighet tillgänglighet tillgänglighet tillgänglighet Känsliga Inga a Känsliga Inga a Hemlig uppgift Informationsklassning Klassningen pekar ut vilka riktlinjer som gäller för den klassade tillgången. konfidentialitet konfidentialitet konfidentialitet konfidentialitet riktighet riktighet riktighet riktighet tillgänglighet tillgänglighet tillgänglighet tillgänglighet Känsliga Inga a Känsliga Inga a

22 Informationsklassning (förenkling) Särskilt skyddsvärd information konfidentialitet eller riktighet eller tillgänglighet eller Känsliga konfidentialitet riktighet tillgänglighet konfidentialitet riktighet tillgänglighet Inga a Känsliga Molntjänster Massutskick Övervakning & regelbrott Riktlinjer för anställda m.fl. Kapitel 2 E-post Stöld & förlust Privat utrustning Användning av IT & information Användarkonton Grundläggande informationssäkerhet Avyttring 22

23 Riktlinjer för anställda m.fl. Anpassning till gällande lagstiftning Dataskyddsförordningen Offentlighet- och sekretesslag MSB:s föreskrifter Molntjänster Massutskick Övervakning & regelbrott Anpassning till förändrade hot och risker Riktade hot mot LiU Nätfiske och bedrägerier Kryptovirus och maskar Användning av IT & information E-post Användarkonton Grundläggande informationssäkerhet Stöld & förlust Avyttring Privat utrustning Sammanfattning Dela inte med dig av ditt användarkonto Använd LiU:s IT-resurser för arbetet (inte privata) Använd godkända molntjänster 23

24 Riktlinjer för kontoadministration Kapitel 3 Riktlinjer för prefekt eller motsvarande Riktlinjer för kontoadministratör Riktlinjer för systemadministratörer Kapitel 4 Särskilda rättigheter Befogenheter för LiU:s ITsäkerhetsgrupp Särskilda skyldigheter Objektägares ansvar att utse systemadministratör Allmänt 24

25 Informationssäkerhetsplan Riktlinjer för informationsägare Kapitel 5 Fysisk säkerhet Åtkomstkontroll Incidentrapportering och kontinuitet Förteckning av informationstillgångar Personuppgiftsbehandling Ansvar för medarbetare Anskaffning, upphandling och avyttring av IT-system Riktlinjer för informationsägare Informationsägare är den som har mandat att styra över eller besluta om att avveckla en viss informationstillgång. Exempel på informationsägare kan vara objektägare, ansvarig för ett forskningsprojekt eller examinator av ett exjobb. Fysisk säkerhet Åtkomstkontroll Informationssäkerhetsplan Incidentrapportering och kontinuitet Förteckning av informationstillgångar Personuppgiftsbehandling Ansvar för medarbetare Anskaffning, upphandling och avyttring av IT-system 25

26 Riskanalys och undantag Avsteg kan och bör göras där riktlinjerna inte är lämpliga Baseras inte på lag, förordning eller föreskrift För kostsamma i förhållande till riskreduktionen Omöjliga eller olämpliga att följa Informationsägaren har mandat att besluta om vissa avsteg Avsteg ska föregås av en riskanalys Avsteg ska dokumenteras och diarieföras Vissa avsteg kräver granskning och godkännande från informationssäkerhetssamordnaren Riktlinjer för informationsägare Informationstillgångar ska minst var tredje år inventeras, klassificeras, och förtecknas [.] Tillgång till hantering av en informationstillgång ska ges endast den som behöver tillgången [ ] Vid indikation på att inloggningsuppgifter röjts ska behörighet återkallas [ ] Behörigheter ska vara individuella. Opersonliga konton till IT-resurser ska undvikas Behörigheter till särskilt skyddsvärd informationstillgång ska granskas regelbundet. [ ] Behandling av ska anmälas till universitetets dataskyddsombud [ ] Informationsägare ska säkerställa att avvikelser [ ] rapporteras till LiU:s IT-säkgerhetsgrupp. [ ] Ändamålsenligt skydd ska användas vid fysisk transport av särskilt skyddsvärd informationstillgång. 26

27 Programvara Riktlinjer för IT-system Kapitel 6 Loggning Webbaserade system Säkerhetskopiering Krypto Krav på ITutrustning Grundläggande säkerhet Användarhantering och inloggning Serversäkerhet Systemförvaltning 27