Välkomna till kurs i dataskyddsförordningen med fokus på informationssäkerhet

Transkript

1 Välkomna till kurs i dataskyddsförordningen med fokus på informationssäkerhet Stockholm den 22 februari 2017 Magnus Bergström, Adolf Slama, Robin Lantz Stomilovic och Jonas Agnvall

2 Datainspektionen Ca 55 anställda Tre operativa enheter Bedriver tillsyn Svarar på frågor och tar emot klagomål Ger råd och vägledning Remissinstans

3 Disposition Introduktion Informationssäkerhet och dataskydd Dataskyddsförordningens grunder rätten till privatliv, grundläggande begrepp, varför nya regler?, principer, rättigheter, skyldigheter, dataskyddsombudet och sanktioner Dataskyddsförordningen och informationssäkerhet Inbyggt dataskydd, konsekvensbedömningar, personuppgiftsincidenter, säkerhet vid behandling Lämpliga säkerhetsåtgärder Frågestund

4 Praktikaliteter Tider: Lunch Eftermiddagskaffe Bensträckare när det är lämpligt Faciliteter

5 Informationssäkerhet och dataskydd

6 Informationssäkerhet Säkerhet beträffande informationstillgångar rörande förmågan att upprätthålla konfidentialitet, riktighet och tillgänglighet (även ansvarighet och oavvislighet)

7 Informationssäkerhet

8 Strukturerat informationssäkerhetsarbete Administrativ säkerhet Policy & regelverk (riktlinjer, anvisningar, instruktioner) Rutiner Övervakning och kontroll Revision och uppföljning

9 Ledningssystem för informationssäkerhet SS-ISO/IEC serien MSBFS 2016:1 Statliga myndigheters informationssäkerhet

10 MSB:s webbplats informationssäkerhet.se

11 Skyddsobjekt för informationssäkerhet Organisationens mest värdefulla tillgång Informationstillgångarna Det överordnade syftet är ofta att säkra verksamhetens fortgående. Var kommer dataskyddet in i det sammanhanget?

12 Lagkrav som påverkar infosäk-åtgärder Från grundlag: TF/YGL OSL och arkivlag, god offentlighetsstruktur Från lagar som styr hur verksamheter ska/får bedrivas: FL/HSL/SOL/RB/Bank och finansieringsrörelse Från dataskyddslagstiftningen Idag PuL och alla registerförfattningar

13 Informationssäkerhet och lagstiftning TF/YGL/OSL Verksamhetsreglering Dataskydd

14 Infosäk-krav enligt dataskyddet TF/YGL/OSL Verksamhetsreglering Dataskydd

15 Rätten till privatliv

16 Rätten till privatliv Europakonventionen om de mänskliga rättigheterna EU:s rättighetsstadga Regeringsformen Personuppgiftslagen inkl. kompletterande regler Dataskyddsdirektivet/ Dataskyddsförordningen Annan lagstiftning t.ex. registerförfattningar

17 Anteckningssida

18 EU:s rättighetsstadga artikel 8 1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. 2. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. 3. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

19 Grundläggande begrepp

20 Grundläggande begrepp Personuppgifter inklusive känsliga personuppgifter Behandling Personuppgiftsansvariga Personuppgiftsbiträden

21 Varför nya regler?

22 Varför nya regler? Modernisering nu gällande regler bygger på ett direktiv från 1995 Förstärkning av enskildas rättigheter och tydliggörande av ansvar och skyldigheter för den som behandlar personuppgifter Harmonisering samma rättigheter och skyldigheter i hela EU/EES

23 Dataskyddsförordningen (GDPR)

24 Vad vi inte kommer att fördjupa oss i idag Tillämpningsområde (materiellt och territoriellt) Rättsliga grunder för behandlingen (samtycke mfl.) Regler för behandling av särskilda kategorier av personuppgifter (känsliga personuppgifter, uppgifter om lagöverträdelser, personnummer) Särskilda undantag (t.ex. privat behandling och reglerna för tryck- och yttrandefrihet) Reglerna om överföring till tredje land

25 Anteckningssida

26 Grundläggande principer för behandlingen

27 Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Den personuppgiftsansvarige ska ansvara för och kunna visa att punkterna efterlevs Ansvarsskyldighet Artikel 5, skäl 39, artikel 6.4, skäl 50

28 Anteckningssida

29 Anteckningssida

30 Anteckningssida

31 Laglighet, korrekthet och öppenhet Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade All information och kommunikation i samband med en personuppgiftsbehandling ska vara lättillgänglig och begriplig och ett klart och tydligt språk ska användas Artikel 5

32 Integritet och konfidentialitet Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder Nyhet Säkerhet för personuppgifter Artikel 5

33 Ansvarsskyldighet Den personuppgiftsansvarige ska ansvara för och kunna visa att principerna efterlevs Tydligt ansvar! Inte endast följa förordningen utan även visa att förordningen följs Artikel 5, 24, 30, 40-42

34 Vad innebär principerna i praktiken? Identifiera rättslig grund för behandlingen Informera de som uppgifterna avser Bestäm ändamålet med behandlingen Samla endast in uppgifter som behövs för ändamålet Samla inte in fler uppgifter än nödvändigt för ändamålet

35 Vad innebär principerna i praktiken (forts.)? Se till att uppgifterna är korrekta och uppdaterade Skydda insamlade uppgifter Radera uppgifterna när de inte längre behövs för ändamålet Se till att du kan visa att du gör rätt

36 Registrerades rättigheter

37 Registrerades rättigheter Information och registerutdrag Rättelse och radering Dataportabilitet Begränsning av behandling Invändning mot behandling Motsätta sig automatiserad behandling Personuppgiftsansvariga har en skyldighet att underlätta utövandet av rättigheterna Artiklarna 12-23

38 Information och registerutdrag Informationen är en väsentlig del av integritetsskyddet Skyldighet att ge klar och tydlig information Får kombineras med standardiserade symboler Kortare tidsfrister Kostnadsfritt Informationsskyldigheten är mer omfattande än tidigare Artikel 12, skäl 58-62

39 Anteckningssida

40 Rättelse Rätta felaktiga uppgifter Komplettera ofullständiga uppgifter Informera mottagare om rättelsen Artikel 16 och 19, skäl 65

41 Radering rätten att bli glömd Radera personuppgifter om den registrerade Informera, i vissa fall, andra personuppgiftsansvariga och mottagare Förutsättningar, bl.a. om uppgifter inte längre behövs för ändamålen återkallat samtycke Undantag, bl.a. Nödvändig för yttrande- och informationsfriheten Nödvändig för rättslig förpliktelse, allmänt intresse och myndighetsutövning, rättsliga anspråk Artikel 17 och 19, skäl 65-66

42 Anteckningssida

43 Dataportabilitet Rätt att få ut och överföra egna personuppgifter till annan personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format, om uppgifter har tillhandahållits av den registrerade, behandling sker med stöd av samtycke eller avtal, behandling sker automatiserat inte påverkar andra rättigheter och friheter Artikel 20, skäl 68

44 Skyldigheter för den som behandlar personuppgifter

45 Skyldigheter för personuppgiftsansvariga Ansvarsskyldighet Den personuppgiftsansvarige ska vidta åtgärder för att säkerställa att förordningen följs och för att kunna visa att förordningen följs Artikel 24

46 Skyldigheter för personuppgiftsansvariga (forts.) Inbyggt dataskydd och dataskydd som standard Register över behandlingar Säkerhet Anmälan av personuppgiftsincidenter Konsekvensbedömningar och förhandssamråd Utse dataskyddsombud Anlita personuppgiftsbiträde Artikel 25, 28, 30, och 37

47 Anteckningssida

48 Skyldigheter för personuppgiftsbiträden Lämna garantier för att förordningen följs Krav på biträdesavtalet Bistå den personuppgiftsansvarige Register över behandling Eget ansvar för säkerhet Anmälan av personuppgiftsincidenter till den personuppgiftsansvarige Utse dataskyddsombud Artikel 28, 30, 32 och 33

49 Anteckningssida

50 Dataskyddsombud

51 När ska ett dataskyddsombud utses? Skyldighet att utse om: Myndighet Kärnverksamhet som innebär Systematisk övervakning av personer i stor skala Behandling i stor skala av integritetskänsliga personuppgifter Även personuppgiftsbiträden ska utse ett personuppgiftsombud Inget hinder att utse ett dataskyddsombud även i andra fall Artikel 37, skäl 97

52 Dataskyddsombudets uppgifter Ska minst: Informera och ge råd Övervaka efterlevnaden Samarbeta med tillsynsmyndigheten Ge råd vid konsekvensbedömningar Artikel 39

53 Dataskyddsombudets ställning Yrkesmässiga kvalifikationer och sakkunskap om dataskydd Delta i god tid i alla frågor som rör skyddet av personuppgifter Fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt Ska inte kunna bestraffas för sitt uppdrag Ska rapportera till högsta förvaltningsnivå Tystnadsplikt Artikel 37, 38

54 Vad händer om ni bryter mot reglerna?

55 Vad händer om ni bryter mot reglerna? Datainspektionens verktyg Tillsyn och föreläggande Administrativa sanktionsavgifter Den registrerades egna möjligheter Lämna in klagomål till Datainspektionen Begära skadestånd Artikel 58, 77, 78, 82, 83, 84

56 Frågor?

57 Dataskydd och säkerhetsåtgärder

58 Inbyggt dataskydd Med beaktande av Artikel 25.1, skäl 78 den senaste utvecklingen, genomförandekostnader, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska den personuppgiftsansvarige, både vid fastställande av vilka medel behandlingen utförs med och vid själva behandlingen,

59 Anteckningssida

60 Inbyggt dataskydd (forts.) genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering, vilka är utformade för ett effektivt genomförande av dataskyddsprinciper, såsom uppgiftsminimering, och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades rättigheter skyddas. Artikel 25.1, skäl 78

61 och dataskydd som standard Den personuppgiftsansvarige ska genomföra [lämpliga åtgärder] för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade uppgifter, tiden för deras lagring och deras tillgänglighet. Artikel 25.2, skäl 78

62 och dataskydd som standard (forts.) Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer. Punkt 3: Certifieringsmekanism får användas för att visa att kraven följs Artikel 25.2,3, skäl 78

63 Konsekvensbedömning avseende dataskydd Ska göras vid hög risk Hög risk bedöms utifrån behandlingens art, omfattning, sammanhang, ändamål samt användning av ny teknik Ska vid behov ses över, åtminstone när risken förändras Artikel 35.1,2, skäl 84, 89-94

64 Konsekvensbedömning (forts.) Hög risk även vid: Systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, Behandling i stor omfattning av känsliga personuppgifter eller av personuppgifter som rör fällande domar i brottmål och överträdelser. Systematisk övervakning av en allmän plats i stor omfattning. Artikel 35.3, skäl 84, 89-94

65 Konsekvensbedömning (forts.) Ska innehålla åtminstone Beskrivning av den planerade behandlingen och behandlingens syfte, om lämpligt det berättigade ändamålet En bedömning av behovet och proportionaliteten hos behandlingen i förhållande till syftena En bedömning av riskerna för de registrerades frioch rättigheter De åtgärder som planeras för att hantera riskerna, skyddsåtgärder, säkerhetsåtgärder Artikel 35.7, skäl 84, 89-94

66 Konsekvensbedömning (forts.) Mer vägledning kommer! Datainspektionen ska komma med en lista på behandlingar som kräver konsekvensbedömning Datainspektionen får ge ut en lista på behandlingar som inte kräver konsekvensbedömningar Artikel 29-gruppen arbetar på en vägledning Artikel 35.4 och 5, skäl 84, 89-94

67 Personuppgiftsincident En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. (def. i art 4.12) Ska anmälas till Datainspektionen om det inte är osannolikt att incidenten medför risk Artikel 33, skäl 85-88

68 Personuppgiftsincident (forts.) Om personuppgiftsincidenten sannolikt leder till hög risk ska den registrerade informeras om incidenten Informationen ska vara tydlig och klar Det krävs inte information om lämpliga åtgärder genomförts [för att minska risken], om ytterligare åtgärder [som sänker risken tillräckligt] vidtagits eller när det skulle utgöra en oproportionell ansträngning [i så fall kan allmänheten informeras istället]. Artikel 34, skäl 85-88

69 Säkerhet i samband med behandlingen Med beaktande av den senaste utvecklingen, genomförandekostnader, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska den personuppgiftsansvarige lämpliga tekniska och organisatoriska åtgärder för att säkerställa Artikel 32, skäl 83

70 Säkerhet (forts.) En säkerhetsnivå som är lämplig i förhållande till risken t.ex. pseudonymisering (kodning) och kryptering kontinuitetsplanering incidenthantering testa, undersöka, utvärdera åtgärderna Särskild hänsyn ska tas till risken för förstöring, förlust eller ändring obehörigt röjande eller obehörig åtkomst Artikel 32, skäl 83

71 Att tolka säkerhetskraven Art. 32 Dataskyddsförordningen (skäl 83) på alla språk man behärskar Art Dataskyddsdirektivet (skäl 46) 31 Personuppgiftslagen ( samma innebörd ) beslutspraxis Tolkas utifrån syftet med bestämmelsen Begreppsjurisprudens omöjlig Lämpligt 18 maj 2018 = Lämpligt 25 maj 2018

72 Lämpliga säkerhetsåtgärder

73 Allmänna råd Omfattar många typer av säkerhetsåtgärder Rekommendationer Inte rättsligt bindande bör Ligger till grund för Datainspektionens bedömningar

74 Informationsbroschyr Sammanfattning av de allmänna råden

75 Tekniska och organisatoriska säkerhetsåtgärder

76 Informationssäkerhetsarbete Strukturerat och kontinuerligt Säkerhetsanalys (hot, risker och konsekvenser) Åtgärdsplan Införande Uppföljning Modeller för strukturerat säkerhetsarbete T.ex. ISO/IEC serien (LIS)

77 Organisatoriska åtgärder Informationssäkerhetspolicy Övergripande mål för säkerhetsarbete Säkerhetsstrategi för att nå målen Roller och ansvarsfördelning Upprätta rutiner och processer som bidrar till Att lämpliga åtgärder vidtas Att minimera mänskliga misstag

78 Organisatoriska åtgärder (forts.) Skapa anvisningar och instruktioner för personalen Som är konkreta Lätt att förstå Höja säkerhetsmedvetenheten genom Regelbunden relevant utbildning Regelbunden kontroll att anvisningar och rutiner följs

79 Organisatoriska åtgärder (forts.) Behörighetsstyrning Rutiner och instruktioner för incidenthantering

80 Sammanfattning styrdokument Policy intention, roller, ansvar... Riktlinjer om, när, vad, hur... Anvisningar medel, metod... Instruktioner konkreta steg för steg...

81 Exempel

82 Dnr

83

84 Exempel

85 Tekniska åtgärder

86 Fysisk säkerhet Tillträdeskontroll Skydd av utrustning Lås och inpasseringskontroll Galler och staket Larm och skydd för brand, vatten, inbrott Elförsörjning Kylning Osv.

87 Fysisk datasäkerhet Mobila enheter och flyttbara lagringsmedia Rutiner för hantering och förvaring Kryptera lagrade känsliga personuppgifter

88 Autentisering Vem är X? Unik användaridentitet Lösenord, i den mån det är tillräckligt personligt, hemligt, komplext asymmetrisk kryptering eller motsvarande Certifikat (e-legitimation) I datorn På smart kort med läsare I eller via smartphone Engångslösenord (dosor, sms )

89 Stark autentisering? Enligt Datainspektionen följer av 31 personuppgiftslagen att om (integritets-) känsliga personuppgifter lämnas ut över öppet nät, till exempel Internet, får det endast ske till användare vars identitet är säkerställd med en teknisk funktion såsom asymmetrisk kryptering (t.ex. e-legitimation), engångslösenord eller motsvarande.

90 Beslut

91 Behörighetsstyrning Vad får X göra? Styrning av åtkomstmöjligheter Inloggning följt av behörighetsstyrning Roll, grupp, nivå etc. Verksamhetsberoende Rutiner för tilldelning, borttagning, ändring och uppföljning Relevant för verksamheten Relevant för mina arbetsuppgifter

92 Behörighetsstyrning - frågor Hur har tilldelningen av åtkomsträttigheter beslutats (och av vem)? Rutiner för tilldelning / borttagning / uppföljning av åtkomsträttigheter? Finns det fler behörigheter än användare? Hur vida är behörigheterna? Leverantörs-, administrations, skräpkonton? Åtkomst utifrån?

93 Behandlingshistorik - loggar Dokumentation av åtkomst till personuppgifter Information till användarna Loggning innebär i sig personuppgiftsbehandling

94 Behandlingshistorik - frågor Går det att utreda vem som gjorde vad och när? Vilka loggar förs var och varför? Hur hanteras logguppgifterna? Hur länge sparas de? Varför? Används särskilda verktyg för logghantering? Används loggsystemen för automatiska beslut/larm eller andra åtgärder?

95 Logguppföljning På förekommen anledning Systematiskt och återkommande Glappet mellan kan och får Vad man kan göra Vem, vad, när och varför? Vad man får göra

96 Datakommunikation Överföring av personuppgifter i nätverk öppna nät (t.ex. internet och sjunet) Kryptering av meddelande och/eller kommunikationslänk Säkerställda identiteter Skydd mot Internet (brandvägg m.m.)

97 Skydd mot skadlig kod Antivirusprogram Uppdatering av operativsystem och program

98

99 Säkerhetskopiering Åtgärder mot förlust av information Säkerhetskopior Bör finnas Bör skyddas Bör testas

100 Säkerhetskopiering frågor Hur ofta tas säkerhetskopior? Hur många generationer sparas? Hur skyddas säkerhetskopiorna? När gallras säkerhetskopiorna? Hur förstörs säkerhetskopiorna? Testas återläsning regelbundet?

101 Utplåning, reparation och service Utplåning av personuppgifter Fasta lagringsmedia (interna hårddiskar) Löstagbara (t.ex. USB-minnen, SD-kort) Smartphones, surfplattor Radering eller förstöring? inte kan återskapas Avtal med extern part Instruktioner, förbindelser om tystnadsplikt, mm

102

103 Sammanfattning tekniska säkerhetsåtgärder Autentisering Behörighetsstyrning Åtkomstkontroll (loggar och logguppföljning) Kommunikationssäkerhet Skydd mot intrång och skadlig kod Säkerhetskopiering Utplåning

104 Praxis integritetskänsliga personuppgifter Beslut om bland annat Loggning och uppföljning Kryptering över öppna nät Stark autentisering Kryptera mobilt/löstagbart YYYYMMDD-ABCD Personnummer?

105

106

107

108 Datainspektionens information (vardagar ) e-post: Fax

109 [MALL] Rubrik Text