IT-konsekvensanalys dataskyddsförordning

Relevanta dokument
Riktlinjer för dataskydd

Lindesbergs kommuns arbete med dataskyddsförordningen

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

GDPR. Dataskyddsförordningen

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Information om dataskyddsförordningen

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Dataskyddsförordningen

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Dataskyddsförordningen GDPR - General Data Protection Regulation

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

SLUTRAPPORT PROJEKT GDPR

GDPR. Dataskyddsförordningen 27 april Emil Lechner

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

När en konsekvensbedömning ska genomföras

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Säkerhetspolicy rev. 0.1

EU:s dataskyddsförordning

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

En guide om GDPR och vad du behöver tänka på

Dataskyddsförordningen och Stadens styrsystem. Jan A Svensson Informationssäkerhetschef

DATASKYDD (GDPR) Del 1. Del 2. Dataskyddssamordnare. Del 4. Om dokumentet. Organisationens högsta ledning Kommunledning eller regionledning

Den nya dataskyddsförordningen - GDPR

GDPR. General Data Protection Regulation. dataskyddsförordningen

Allmänna råd. Datainspektionen informerar. Nr 2/2016

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen 2018

Dataskyddsförordningen

Dataskyddsförordningen 2018

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Översikt av GDPR och förberedelser inför 25/5-2018

GDPR General data protection regulation Dataskyddsförordningen

Policy för behandling av personuppgifter

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Denna policy skapades av och för organisationens behandling av personuppgifter.

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Dataskyddsförordningen

DATASKYDD (GDPR) Del 2: Förvaltningsledning

PuL och GDPR en översiktlig genomgång

Handlingsplan för persondataskydd

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

POLICY FÖR PERSONUPPGIFTSHANTERING uppdaterad:

GDPR och hantering av personuppgifter

Informationsblad om vissa juridiska aspekter på systematisk uppföljning i socialtjänsten och EU:s dataskyddsförordning

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Integritetspolicy Informationstext avseende personuppgiftsbehandling. Integritetspolicy

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

GDPR. General Data Protection Regulation

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Vad finns det för stöd kommunerna? Pål Resare, Förbundsjurist Sveriges Kommuner och Landsting

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR (General Data Protection Regulation) Dataskyddsförordningen

DSF (GDPR) Ny lag om personuppgifter

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

WHITE PAPER. Dataskyddsförordningen

Integritetspolicy. Vårt dataskyddsarbete

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Dataskyddsförordningen

FÖRBEREDELSER INFÖR GDPR

Dataskyddsförordningen (GDPR)

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

STOCKHOLMS FOTBOLLFÖRBUND

Behandling av personuppgifter vid Göteborgs universitet

GDPR Presentation Agenda

Dataskyddsförordningen

Policy för behandling av personuppgifter

SVERAK och Dataskyddsförordningen. 25 maj - GDPR - General Data Protection Regulation

GDPR ur verksamhetsperspektiv

Den nya dataskyddsförordningen

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

GDPR UTBILDNINGSDAG SKKF

Riktlinjer för personuppgiftshantering

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Behandling av personuppgifter GDPR. Ny dataskyddsförordning

När systemen inte får stanna

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Nytt regelverk för personuppgifter varför ska vi ta tag i det nu?

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

PuL. Inför nya PuL Allmän dataskyddsförordning, GDPR

Göteborgs Stad Intraservice går igenom samtliga inkomna synpunkter och väljer sedan om och hur synpunkterna ska beaktas.

Transkript:

, IT-governance Datum 2016-10-23 IT-konsekvensanalys dataskyddsförordning 2017-10-23

Bakgrund... 3 Syfte... 3 Omfattning och avgränsningar... 3 Konsekvensanalys IT ägare av system... 4 1.1 Riskanalys... 4 1.2 Säkerhetsåtgärder... 4 1.3 Inbyggt dataskydd/dataskydd som standard... 5 1.4 Personuppgiftsbiträden... 5 1.5 Övrigt... 5 Konsekvensanalys IT nyttjare av system... 6 2.1 Säkerhetsåtgärder... 6 2.2 Personuppgiftsbiträden... 6 2.3 Övrigt... 6 Slutsatser... 7 Bilaga... 7 Länkar... 7

Bakgrund EU beslutade i april 2016 om dataskyddsförordningen 1 (DSF), från ikraftträdandet direkt tillämplig i samtliga medlemsstater. DSF ersätter personuppgiftslagen (1998:204) och börjar gälla i slutet av maj 2018. IT-konsekvensanalysen är en första övergripande genomgång av DSF ur ett IT-perspektiv. Genomgång har gjorts av DSF artiklar och motiveringar samt av övriga relevanta källor såsom juridisk analys och informationssäkerhetsalys SOU2017:39). IT-konsekvensanalysen är uppdelad specifikt för ägare av system (den som köpt, upphandlat och har kontrollen över systemet) respektive nyttjare av system (den som använder ett system som någon annan köpt, upphandlat eller har kontrollen över). I vissa fall är åtgärder specificerade, då oftast avseende kommungemensamma tjänster. Totalt identifierades 33 punkter där vidare åtgärder måste vidtagas. ITkonsekvensanalysen är en sammanfattning av de identifierade punkterna. Inom flera områden krävs stöd från intraservice i olika omfattning, det kan exempelvis handla om teknisk implementering, framtagande av information eller kravställande och upphandling. Inom ett fåtal delar förekommer börkrav och inom något område är det fortfarande inte helt klarlagt vad som kommer att krävas utifrån DSF. Syfte IT-konsekvensanalysen syftar till att klargöra viktiga konsekvenser inom IT-området utifrån införandet av DSF. Vilka åtgärder kommer intraservice att genomföra ur ett IT-perspektiv och vilka åtgärder skall, eller bör, övrig verksamhet vidtaga utifrån roll (ägare av system, nyttjare av system). Omfattning och avgränsningar Analysen klargör endast konsekvenser utifrån IT-området och utgår om inte annat anges från perspektivet hela staden. Analysen tar inte upp åtgärder som måste vara på plats, men som inte ändrats från tidigare gällande lagstiftning. Avskrift av gällande lagstiftning sker inte i konsekvensanalysen, här hänvisas var och en till att söka upp och bedöma adekvat källmaterial. ar och förslag på källor finns dock. Artikel och/eller motivering som återfinns i dataskyddsförordningen anges under rubriken 1 General Data Protection Regulation (GDPR) 2016/679

hänvisning, respektive område. till juridisk analys görs vid ett tillfälle. Övriga källor anges ej. Föreslagna källor används efter eget omdöme. Konsekvensanalys IT ägare av system Tar upp konsekvenserna för ägare av system. Vissa konsekvenser för kommungemensamma system påpekas särskilt. 1.1 Riskanalys Juridisk analys 5.22 Konsekvens tar ansvaret för att tjänsteutveckla, upphandla och implementera en kommungemensam tjänst för risk-analys (Full DPIA (Data Protection Impact Analysis)) för att möjliggöra ett enhetligt arbetssätt avseende säker informationshantering. Behov och krav inhämtas från berörda verksamheter. 1.2 Säkerhetsåtgärder Dataskyddsförordningen, artikel 25, 32. Konsekvenser Ett kartläggning av system och beroenden där personuppgifter hanteras behöver genomföras. För kommungemensamma system kommer att ta fram underlag för arbetet. Ägare av system behöver implementera en säker autentiseringslösning samt krypterings- och granulerad logglösning för system och behandling av personuppgifter (klass 2). I samband med detta behöver även andra säkerhetshöjande åtgärder i system ses över. Staden har en lösning för stark autentisering, kryptering och granulerad loggning vid hantering av känsliga PU. Ägare av system skall införa ändamålsenligt tekniskt stöd för att verifiera och testa säkerheten samt tillräckliga organisatoriska resurser för detsamma, såsom penetrationstester, analysfunktion och standardiserade sårbarhetsanalyser. En lista med ska-krav för upphandlingar som avser IT-säkerhet inom klass 2 behöver tas fram. För kommungemensamma system kommer intraservice att ta fram ska-kraven och i samråd med förvaltningen för inköp och upphandling kommer rutiner för kvalitetssäkring av listan att tas fram.

1.3 Inbyggt dataskydd/dataskydd som standard Dataskyddsförordningen, artikel 25, motivering 78. Konsekvens Lösningar kan behövas för system avseende funktion för gallring och/eller avidentifiering av personuppgifter. Det avser bland annat teknikstöd för pseudonymisering och andra säkerhetsåtgärder, både vid tillkomsten av nya IT-system och vid förändrings-initiativ eller projekt, införanden. Tekniskt stöd för radering i databaser, exempelvis vid backup, måste finnas. Utbildningsinsatser bör ske. har en generell gemensam identitetshanteringslösning, som kan användas för system som kräver förstärkt autentisering, behörighetstilldelning och om möjligt vid elektronisk signering. 1.4 Personuppgiftsbiträden Dataskyddsförordningen, artikel 16-17. Konsekvens - Principer för behandling inför en ny tjänst för hantering av masterdata, med syfte att kunna bistå i arbetet med att säkra informationshanteringen. kommer även att genomföra utbildning i verktyget när detta är infört. Konsekvens - Register över behandling (PUL-databas) upphandlar ny PUL-databas. Databasen behöver kunna hantera länkningen mellan informationsbärare och behandlingar. 1.5 Övrigt Dataskyddsförordningen, artikel 1, 2, 5, 12, 21-22, 24, 39.1b, 91, Konsekvenser - Governance Policy och riktlinjer för användning av Informationsteknik skall uppdateras i enlighet med den nya dataskyddsförordningen och med hänsyn till stadens regelverk. Utifrån Råd för säkerhet i molntjänster bör snarast krav för upphandlingar formuleras. En behovsinventering inför kunskapshöjning och genomförande av tekniska utbildningsinsatser behöver ske. Detta gäller för dataskydd (hela livscykelperspektivet, hantering av system, teknik), legal prövning, för

personal som arbetar med behandling samt inom området säker radering. Det här är direkta lagkrav (artikeln 39.1.b). Incidenter kommer att genomföra en förstudie med syfte att skapa en kommungemensam tjänst för redovisning av PU-incidenter. Automatiserat individuellt beslutsfattande och profilering När och om en ägare av system väljer att nyttja möjligheten, Automatiserat individuellt beslutsfattande och profilering, vilket då görs autonomt av ett system, kommer detta att ställa höga krav på både tekniska och organisatoriska åtgärder. Detta för att säkerställa att systemet tar riktiga beslut och gör riktiga profileringar. Kontrollåtgärder måste implementeras och den tekniska säkerheten vara hög. Konsekvensanalys IT nyttjare av system Tar upp konsekvenserna för verksamheter som exempelvis enbart nyttjar kommungemensamma system inom området som berör DSF. 2.1 Säkerhetsåtgärder Dataskyddsförordningen, artikel 32. Konsekvenser - säkerhetsåtgärder I samtliga informationssystem med informationsklassning 2 skall det finnas en säker autentiserings-, krypterings- och granulerad logglösning. 2.2 Personuppgiftsbiträden Dataskyddsförordningen, artikel 17. Konsekvens - personuppgiftsbiträden På begäran och under vissa förutsättningar (andra lagar styr) skall en radering kunna ske, även på en teknisk nivå (kunna radera i olika säkerhetskopior). Rätten att bli glömd gäller dock bara om samtycke givits eller om avtal reglerar. 2.3 Övrigt Dataskyddsförordningen, artikel 12, 21-22.

Automatiserat individuellt beslutsfattande och profilering När och om en verksamhet väljer att nyttja möjligheten; Automatiserat individuellt beslutsfattande och profilering; kommer detta att ställa höga krav på både tekniska och organisatoriska åtgärder i den automatiska behandlingen. Detta för att säkerställa riktigheten i de uppgifter som tas fram på detta sätt. Kontrollåtgärder måste i så fall implementeras och den tekniska säkerheten måste vara hög. Slutsatser För del innebär införandet av den nya dataskyddsförordningen att stödet till verksamheterna måste förändras och utökas. Flera kommungemensamma tjänster och tekniska lösningar måste komma på plats för att säkerställa att vi följer lagen avseende kommungemensamma system. För alla ägare av system bör inventering av system samt verifiering och genomförande av säkerhetsåtgärder för dito vara prioriterade innan lagen träder i kraft, därefter förebyggande åtgärder. Kunskapsinventering och inhämtning av information behöver ske och därefter måste utbildningsinsatser genomföras inom flera områden. En genomgång av nuvarande formella dokument och kommungemensamma system behöver genomföras. Bilaga 1. Konsekvenser i punktform Länkar Till stöd för läsaren, används efter eget omdöme: Göteborgs officiella sida om DSF Juridisk analys (Göteborgs Stad) Informationssäkerhetsanalys (Göteborgs Stad) Dataskyddsförordningen (Datainspektionen)

Bilaga 1 Konsekvenser i punktform Ägare av system 1. tar ansvaret för att tjänsteutveckla en kommungemensam tjänst för riskanalys (DPIA). 2. Att kartlägga system och beroenden där personuppgifter hanteras. 3. Implementera en säker autentiserings- krypterings- och granulerad logglösning för klass 2. 4. Införa ändamålsenligt teknisk stöd och organisatoriska resurser för verifiering och test av säkerhet. 5. Att ta fram en lista med ska-krav som skall tas med vid upphandlingar som avser IT-säkerhet inom klass 2. 6. Lösningar kan behövas för system avseende funktion för gallring och/eller avidentifiering av personuppgifter. 7. införa en ny tjänst för hantering av masterdata (teknik). 8. upphandlar ny PUL-databas. 9. Ägare till policys och riktlinjer behöver tillse att dessa uppdateras i enlighet med den nya dataskyddsförordningen. 10. Att genomföra behovsinventering inför kunskapshöjning, tekniska utbildningsinsatser. 11. genomför förstudie avseende PU-incidenter. 12. Vara medveten om att valet: Automatiserat individuellt beslutsfattande och profilering; ställer krav. Nyttjare av system 1. Att tillse att det finns en säker autentiseringslösning för informationssystem som kräver informationsklassning 2. 2. Om behov uppstår, tillse att radering kan ske (rätten att bli bortglömd). 3. Vara medveten om att valet: Automatiserat individuellt beslutsfattande och profilering; ställer krav.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss