, IT-governance Datum 2016-10-23 IT-konsekvensanalys dataskyddsförordning 2017-10-23
Bakgrund... 3 Syfte... 3 Omfattning och avgränsningar... 3 Konsekvensanalys IT ägare av system... 4 1.1 Riskanalys... 4 1.2 Säkerhetsåtgärder... 4 1.3 Inbyggt dataskydd/dataskydd som standard... 5 1.4 Personuppgiftsbiträden... 5 1.5 Övrigt... 5 Konsekvensanalys IT nyttjare av system... 6 2.1 Säkerhetsåtgärder... 6 2.2 Personuppgiftsbiträden... 6 2.3 Övrigt... 6 Slutsatser... 7 Bilaga... 7 Länkar... 7
Bakgrund EU beslutade i april 2016 om dataskyddsförordningen 1 (DSF), från ikraftträdandet direkt tillämplig i samtliga medlemsstater. DSF ersätter personuppgiftslagen (1998:204) och börjar gälla i slutet av maj 2018. IT-konsekvensanalysen är en första övergripande genomgång av DSF ur ett IT-perspektiv. Genomgång har gjorts av DSF artiklar och motiveringar samt av övriga relevanta källor såsom juridisk analys och informationssäkerhetsalys SOU2017:39). IT-konsekvensanalysen är uppdelad specifikt för ägare av system (den som köpt, upphandlat och har kontrollen över systemet) respektive nyttjare av system (den som använder ett system som någon annan köpt, upphandlat eller har kontrollen över). I vissa fall är åtgärder specificerade, då oftast avseende kommungemensamma tjänster. Totalt identifierades 33 punkter där vidare åtgärder måste vidtagas. ITkonsekvensanalysen är en sammanfattning av de identifierade punkterna. Inom flera områden krävs stöd från intraservice i olika omfattning, det kan exempelvis handla om teknisk implementering, framtagande av information eller kravställande och upphandling. Inom ett fåtal delar förekommer börkrav och inom något område är det fortfarande inte helt klarlagt vad som kommer att krävas utifrån DSF. Syfte IT-konsekvensanalysen syftar till att klargöra viktiga konsekvenser inom IT-området utifrån införandet av DSF. Vilka åtgärder kommer intraservice att genomföra ur ett IT-perspektiv och vilka åtgärder skall, eller bör, övrig verksamhet vidtaga utifrån roll (ägare av system, nyttjare av system). Omfattning och avgränsningar Analysen klargör endast konsekvenser utifrån IT-området och utgår om inte annat anges från perspektivet hela staden. Analysen tar inte upp åtgärder som måste vara på plats, men som inte ändrats från tidigare gällande lagstiftning. Avskrift av gällande lagstiftning sker inte i konsekvensanalysen, här hänvisas var och en till att söka upp och bedöma adekvat källmaterial. ar och förslag på källor finns dock. Artikel och/eller motivering som återfinns i dataskyddsförordningen anges under rubriken 1 General Data Protection Regulation (GDPR) 2016/679
hänvisning, respektive område. till juridisk analys görs vid ett tillfälle. Övriga källor anges ej. Föreslagna källor används efter eget omdöme. Konsekvensanalys IT ägare av system Tar upp konsekvenserna för ägare av system. Vissa konsekvenser för kommungemensamma system påpekas särskilt. 1.1 Riskanalys Juridisk analys 5.22 Konsekvens tar ansvaret för att tjänsteutveckla, upphandla och implementera en kommungemensam tjänst för risk-analys (Full DPIA (Data Protection Impact Analysis)) för att möjliggöra ett enhetligt arbetssätt avseende säker informationshantering. Behov och krav inhämtas från berörda verksamheter. 1.2 Säkerhetsåtgärder Dataskyddsförordningen, artikel 25, 32. Konsekvenser Ett kartläggning av system och beroenden där personuppgifter hanteras behöver genomföras. För kommungemensamma system kommer att ta fram underlag för arbetet. Ägare av system behöver implementera en säker autentiseringslösning samt krypterings- och granulerad logglösning för system och behandling av personuppgifter (klass 2). I samband med detta behöver även andra säkerhetshöjande åtgärder i system ses över. Staden har en lösning för stark autentisering, kryptering och granulerad loggning vid hantering av känsliga PU. Ägare av system skall införa ändamålsenligt tekniskt stöd för att verifiera och testa säkerheten samt tillräckliga organisatoriska resurser för detsamma, såsom penetrationstester, analysfunktion och standardiserade sårbarhetsanalyser. En lista med ska-krav för upphandlingar som avser IT-säkerhet inom klass 2 behöver tas fram. För kommungemensamma system kommer intraservice att ta fram ska-kraven och i samråd med förvaltningen för inköp och upphandling kommer rutiner för kvalitetssäkring av listan att tas fram.
1.3 Inbyggt dataskydd/dataskydd som standard Dataskyddsförordningen, artikel 25, motivering 78. Konsekvens Lösningar kan behövas för system avseende funktion för gallring och/eller avidentifiering av personuppgifter. Det avser bland annat teknikstöd för pseudonymisering och andra säkerhetsåtgärder, både vid tillkomsten av nya IT-system och vid förändrings-initiativ eller projekt, införanden. Tekniskt stöd för radering i databaser, exempelvis vid backup, måste finnas. Utbildningsinsatser bör ske. har en generell gemensam identitetshanteringslösning, som kan användas för system som kräver förstärkt autentisering, behörighetstilldelning och om möjligt vid elektronisk signering. 1.4 Personuppgiftsbiträden Dataskyddsförordningen, artikel 16-17. Konsekvens - Principer för behandling inför en ny tjänst för hantering av masterdata, med syfte att kunna bistå i arbetet med att säkra informationshanteringen. kommer även att genomföra utbildning i verktyget när detta är infört. Konsekvens - Register över behandling (PUL-databas) upphandlar ny PUL-databas. Databasen behöver kunna hantera länkningen mellan informationsbärare och behandlingar. 1.5 Övrigt Dataskyddsförordningen, artikel 1, 2, 5, 12, 21-22, 24, 39.1b, 91, Konsekvenser - Governance Policy och riktlinjer för användning av Informationsteknik skall uppdateras i enlighet med den nya dataskyddsförordningen och med hänsyn till stadens regelverk. Utifrån Råd för säkerhet i molntjänster bör snarast krav för upphandlingar formuleras. En behovsinventering inför kunskapshöjning och genomförande av tekniska utbildningsinsatser behöver ske. Detta gäller för dataskydd (hela livscykelperspektivet, hantering av system, teknik), legal prövning, för
personal som arbetar med behandling samt inom området säker radering. Det här är direkta lagkrav (artikeln 39.1.b). Incidenter kommer att genomföra en förstudie med syfte att skapa en kommungemensam tjänst för redovisning av PU-incidenter. Automatiserat individuellt beslutsfattande och profilering När och om en ägare av system väljer att nyttja möjligheten, Automatiserat individuellt beslutsfattande och profilering, vilket då görs autonomt av ett system, kommer detta att ställa höga krav på både tekniska och organisatoriska åtgärder. Detta för att säkerställa att systemet tar riktiga beslut och gör riktiga profileringar. Kontrollåtgärder måste implementeras och den tekniska säkerheten vara hög. Konsekvensanalys IT nyttjare av system Tar upp konsekvenserna för verksamheter som exempelvis enbart nyttjar kommungemensamma system inom området som berör DSF. 2.1 Säkerhetsåtgärder Dataskyddsförordningen, artikel 32. Konsekvenser - säkerhetsåtgärder I samtliga informationssystem med informationsklassning 2 skall det finnas en säker autentiserings-, krypterings- och granulerad logglösning. 2.2 Personuppgiftsbiträden Dataskyddsförordningen, artikel 17. Konsekvens - personuppgiftsbiträden På begäran och under vissa förutsättningar (andra lagar styr) skall en radering kunna ske, även på en teknisk nivå (kunna radera i olika säkerhetskopior). Rätten att bli glömd gäller dock bara om samtycke givits eller om avtal reglerar. 2.3 Övrigt Dataskyddsförordningen, artikel 12, 21-22.
Automatiserat individuellt beslutsfattande och profilering När och om en verksamhet väljer att nyttja möjligheten; Automatiserat individuellt beslutsfattande och profilering; kommer detta att ställa höga krav på både tekniska och organisatoriska åtgärder i den automatiska behandlingen. Detta för att säkerställa riktigheten i de uppgifter som tas fram på detta sätt. Kontrollåtgärder måste i så fall implementeras och den tekniska säkerheten måste vara hög. Slutsatser För del innebär införandet av den nya dataskyddsförordningen att stödet till verksamheterna måste förändras och utökas. Flera kommungemensamma tjänster och tekniska lösningar måste komma på plats för att säkerställa att vi följer lagen avseende kommungemensamma system. För alla ägare av system bör inventering av system samt verifiering och genomförande av säkerhetsåtgärder för dito vara prioriterade innan lagen träder i kraft, därefter förebyggande åtgärder. Kunskapsinventering och inhämtning av information behöver ske och därefter måste utbildningsinsatser genomföras inom flera områden. En genomgång av nuvarande formella dokument och kommungemensamma system behöver genomföras. Bilaga 1. Konsekvenser i punktform Länkar Till stöd för läsaren, används efter eget omdöme: Göteborgs officiella sida om DSF Juridisk analys (Göteborgs Stad) Informationssäkerhetsanalys (Göteborgs Stad) Dataskyddsförordningen (Datainspektionen)
Bilaga 1 Konsekvenser i punktform Ägare av system 1. tar ansvaret för att tjänsteutveckla en kommungemensam tjänst för riskanalys (DPIA). 2. Att kartlägga system och beroenden där personuppgifter hanteras. 3. Implementera en säker autentiserings- krypterings- och granulerad logglösning för klass 2. 4. Införa ändamålsenligt teknisk stöd och organisatoriska resurser för verifiering och test av säkerhet. 5. Att ta fram en lista med ska-krav som skall tas med vid upphandlingar som avser IT-säkerhet inom klass 2. 6. Lösningar kan behövas för system avseende funktion för gallring och/eller avidentifiering av personuppgifter. 7. införa en ny tjänst för hantering av masterdata (teknik). 8. upphandlar ny PUL-databas. 9. Ägare till policys och riktlinjer behöver tillse att dessa uppdateras i enlighet med den nya dataskyddsförordningen. 10. Att genomföra behovsinventering inför kunskapshöjning, tekniska utbildningsinsatser. 11. genomför förstudie avseende PU-incidenter. 12. Vara medveten om att valet: Automatiserat individuellt beslutsfattande och profilering; ställer krav. Nyttjare av system 1. Att tillse att det finns en säker autentiseringslösning för informationssystem som kräver informationsklassning 2. 2. Om behov uppstår, tillse att radering kan ske (rätten att bli bortglömd). 3. Vara medveten om att valet: Automatiserat individuellt beslutsfattande och profilering; ställer krav.