GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Relevanta dokument
GDPR. Dataskyddsförordningen 27 april Emil Lechner

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Översikt av GDPR och förberedelser inför 25/5-2018

SÅ FÖRBEREDER NI ER INFÖR DATASKYDDSLAGEN (GDPR)

MED ISO KAN TEAMENGINE MÖTA ÖKADE KUNDKRAV OCH EFTERLEVA GDPR

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Bilaga - Personuppgiftsbiträdesavtal

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

GDPR NYA DATASKYDDSFÖRORDNINGEN

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

GDPR och hantering av personuppgifter

EU:s dataskyddsförordning

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

SENTORS 3-FASMETODIK HJÄLPER INSPLANET ATT EFTERLEVA GDPR

PERSONUPPGIFTS- BITRÄDESAVTAL

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Policy för behandling av personuppgifter

GDPR POLICY Behandling av personuppgifter

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

GDPR. General Data Protection Regulation

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Dataskyddsförordningen GDPR

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

INFORMATIONSSÄKERHET OCH DATASKYDD

vid Geritrim vård- och rehabiliteringsenhet

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Personuppgiftsbiträdesavtal

GDPR UTBILDNINGSDAG SKKF

Information till personuppgiftsansvarig om dataskyddsombud

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

PERSONUPPGIFTSBITRÄDESAVTAL

Ett eller flera dataskyddsombud?

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

PERSONUPPGIFTSBITRÄDESAVTAL

Riktlinjer för dataskydd

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

FÖRBEREDELSER INFÖR GDPR

GDPR. Dataskyddsförordningen

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Axholmen:s Integritetspolicy

Bilaga 1a Personuppgiftsbiträdesavtal

De nya EU-reglernas krav på molnsäkerhet

INTEGRITET OCH SÄKERHET. Brunskoggruppen AB, Org. Nr

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Riktlinjer för personuppgiftshantering

Tillägg om Zervants behandling av personuppgifter

Denna integritetspolicy ( Integritetspolicyn ) har tre syften:

Dataskyddsförordningen

I samband med att du söker arbete hos oss och lämnar personuppgifter till oss.

Olingo Consulting & Advokatfirman Vinge

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Så här behandlar vi dina personuppgifter

Svensk författningssamling

Personuppgiftsbiträdesavtal

BOSTADSRÄTTSFÖRENINGEN MAGNETENS PERSONUPPGIFTSPOLICY

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Så här behandlar vi dina personuppgifter

GDPR- Seminarium 2017

Dataskyddsförordningen

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

GDPR. General Data Protection Regulation. dataskyddsförordningen

En guide om GDPR och vad du behöver tänka på

IT-konsekvensanalys dataskyddsförordning

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

WHITE PAPER. Dataskyddsförordningen

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Tegehalls revisionsbyrå och dataskyddsförordningen

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Dataskyddsförordningen (GDPR)

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Personuppgiftsbiträdesavtal

Policy för behandling av personuppgifter

BESKRIVNING AV PERSONUPPGIFTSHANTERING

Dataskyddsförordningen

Integritetspolicy för Helsingborgs Stängsel AB

Dataskyddsförordningen

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Lathund Dataskydd för krögare

Den nya dataskyddsförordningen - GDPR

Handlingsplan för persondataskydd

PRIVACY POLICY PARTNER

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Efterlevnadsförberedelse

INTEGRITETSPOLICY Tikkurila Sverige AB

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Integritetspolicy. Behandling av personuppgifter. Senast reviderad den 22 Maj Syfte. Bakgrund. Mer information om GDPR:

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Du kan alltid kontakta oss vid frågor om integritets- och dataskydd genom att skicka ett e-postmeddelande till

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

Transkript:

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

GDPR och outsourcing vem bär ansvaret? Vi har under de senaste åren kunnat följa en utveckling där allt fler företag och myndigheter väljer att lägga ut delar av verksamheten på externa aktörer, så kallad outsourcing. Men vad händer egentligen när den nya dataskyddsförordningen, GDPR, träder i kraft, och vem står som ansvarig om något händer med din outsourcade data? Vi har tittat närmare på vad lagen säger och vad du bör tänka på när du kravställer mot din leverantör. Från och med den 25 maj 2018 kommer den nya Dataskyddsförordningen ställa ökade krav på företag och myndigheter som behandlar personuppgifter. Förutom att den registrerade har rätt till åtkomst av sina uppgifter kan den även när som helst återkalla sitt samtycke och kräva att uppgifterna ska raderas. Vid intrång och läckt data är det drabbade företaget även skyldiga att incidentrapportera till Datainspektionen inom 72 timmar och eventuellt berörda parter. Överträdelse mot lagen kan dels leda till böter på upp till 4 % av den globala omsättningen, men även till andra indirekta kostnader. Sentors årliga undersökning om IT-säkerhet visar bland annat att 96 % av de tillfrågade skulle avstå från att samarbeta med en organisation som har läckt eller missbrukat känslig data. Allt fler företag väljer att lägga ut drift och förvaltning av sina IT-lösningar hos externa parter. Anledningarna bakom outsourcing är ofta ekonomiska eller för att tillgodose kompetensbehov. Men baksidan av outsourcing är att du kan förlora kontrollen över din data, vilket utgör en kritisk aspekt när GDPR träder i kraft. Som personuppgiftsansvarig kan du nämligen bara outsourca driften men aldrig risken. Det gör det än viktigare att ställa bra och tydliga krav på din leverantör för att garantera att informationssäkerheten blir integrerad i avtalet. Vi har sammanställt en checklista på vad du som personuppgiftsansvarig bör tänka när du granskar ett befintligt eller ska teckna ett nytt outsourcingavtal. Inventera dina personuppgifter För att kunna avgöra vilka funktioner av verksamheten som är mål för outsourcing eller ännu viktigare, inte lämpar sig för outsourcing måste du först och främst identifiera vilken information, och specifikt vilka personuppgifter, organisationen hanterar. Kartlägg alla system, integrationspunkter, samarbetspartners och leverantörer som är inblandade i datahanteringen. När all information är identifierad klassificerar du den ur ett säkerhetsperspektiv i överensstämmelse med GDPR:s stadgar. Vilken information är direkt verksamhetskritisk och vilken ligger i gråzonen? Ha i åtanke att även enskilda personuppgifter, såsom namn eller kön som kan betraktas harmlösa var för sig, i kombination kan bli känslig data (Artikel 9). Ett namn ur ett dagligvarubutiks databas kanske inte är känslig data i sig, men tillsammans med information om köpvanor blir den desto känsligare. Gör sedan en objektiv bedömning huruvida den interna IT-avdelningen besitter tillräcklig kompetens för att hantera olika nivåer av känslig information. I många fall saknar den egna organisationen kompetens, resurser och verktyg för att hantera olika typer av känslig information. I de fallen är en kvalificerad outsourcingpartner ett bra val ur ett integritetsperspektiv förutsatt att det sker under kontrollerade former, vilket vi kommer titta närmare på i kommande punkter. Oavsett om driften ligger internt eller externt ska väldigt känslig information alltid hanteras med rigorösa kontroller på plats. Vid hemlig information finns andra direktiv såsom säkerhetsskyddslagen som beskriver kraven. Om detta

inte är möjligt, måste verksamheten kunna bevisa att den känsligaste informationen faktisk skyddas i den omfattning som krävs. Ett steg som ofta glöms bort är årliga revisioner av leverantören där bevis för att skyddet uppfyller de krav som förhandlats fram ska presenteras. Ställ rätt krav med hjälp av rätt kompetens När outsourcingavtal ska formuleras är det traditionellt sett inte IT-avdelningen som håller i taktpinnen. Men när GDPR träder i kraft kommer en helt ny dimension av informationssäkerhet in i bilden som också kräver rätt kompetens vid avtalsbordet. Genom att involvera experter i kravställningen kan du i högre grad säkerställa att avtalet tillgodoser de krav på konfidentialitet, tillgänglighet och spårbarhet som GDPR ställer. Rent praktiskt kan det till exempel handla om att verifiera att leverantörens lagringslösningar, backup-rutiner och loggning motsvarar verksamhetens behov och uppfyller säkerhetskraven. Låt de med rätt kompetens utforma en långsiktig plan för incidenthantering, revision och policys; Vad händer när en incident inträffar, hur ska den hanteras och vad har leverantören för skyldigheter gentemot dig? Hur ofta ska avtalet följas upp, och vad händer om leverantören har brutit mot det? Vilka ska ha behörighet till informationen och varför? Alla aspekter bör behandlas, och det görs både bäst och enklast av de som är väl insatta. Hur ser leverantörens egen IT-säkerhet ut? När du står inför valet av leverantör är det viktigt att välja en leverantör som tar IT-säkerheten på lika stort allvar som dig. Låt inte ekonomin avgöra vilken leverantör som ror hem avtalet innan du har säkerställt att samtliga aktörer i urvalsgruppen lever upp till säkerhetskraven. Undersök om leverantören använder några preventiva åtgärder för att skydda sig mot incidenter. Privacy by design, eller inbyggd integritet, är till exempel ett effektivt sätt att undvika fallgropar genom att se till att säkerhetsmekanismer är inbyggda i IT-systemen från början. Att kryptera känslig information och göra den oanvändbar om den skulle hamna i fel händer är ett annat sätt att skydda sig. Vidare kan aktiviteter som penetrationstest testa hur motståndskraftig säkerheten är och vad som eventuellt bör åtgärdas. Se även till att inkludera en klausul i kontraktet som fastställer att leverantörens IT-säkerhet ska få analyseras på regelbunden basis. Vem är leverantör åt din leverantör? Som personuppgiftsansvarig är det din uppgift att se till att dina personuppgiftsbiträden (leverantörer) efterlever GDPR. Men det är även ditt ansvar att potentiella underleverantörer till dina leverantörer också uppfyller säkerhetskraven. Outsourcar din leverantör vidare din data till ett ytterligare led står du fortfarande som personuppgiftsansvarig, men det kan bli desto svårare för dig att kvalitetssäkra hanteringen av informationen. Ett exempel är personuppgiftsincidenter som ska anmälas till Datainspektionen och berörda parter inom 72 timmar. Hanteras informationen av flera parter och det saknas en effektiv och systematisk metod att hitta och hantera uppgifterna kan ledtiderna bli kritiskt långa. Kartlägg leverantörskedjan. Vart lagras och hanteras all data slutligen, och hur transporteras den mellan leden? Kravställ även att din leverantör står som ansvarig om dess underleverantör överträder lagen. Be gärna om leverantörens egen leverantörshistorisk. Har din leverantör bytt underleverantör flera gånger kan det vara en god idé att avtala om att personuppgiftsbiträdet ska informera vid ett sådant byte.

Är ett tredje land inblandat? Tack vare att GDPR säkerställer att EU:s medlemsländer har ett likvärdigt dataskydd kan personuppgifter överföras fritt mellan landsgränserna. Däremot kräver GDPR starka kontroller vid överföring av personuppgifter utanför EU och EES, till ett så kallat tredje land. Det finns dock ett antal undantag som gör det möjligt för företag utanför EU att behandla personuppgifter. Ett företag från ett tredje land kan till exempel ingå ett avtal som säkerställer att det lever upp till den standard EU-kommissionen har utfärdad. Ett annat undantag är det så kallade Privacy Shieldprogrammet som tillåter registrerade amerikanska företag att behandla personuppgifter inom EU. Hur många kunder har din leverantör? Hotbilden mot tjänsteleverantörer ökar. Tidigare i år utsattes företag världen över, inklusive i Sverige, för cyberattacken Cloud Hopper. Angreppet var riktat mot tjänsteleverantörer för att på så sätt komma åt känslig information om deras kunder. I Sverige delar ett fåtal aktörer på hela marknaden, vilket gör dem till ett tacksamt mål för den som vill komma åt mycket information eller åsamka så stor skada som möjligt. Desto fler kunder din leverantör har, desto större mål blir den för intrång. Delar du dessutom leverantör med högriskkunder, såsom myndigheter och banker, ökar hotbilden ytterligare. Hur separerar leverantören informationen? Din leverantör behandlar sannolikt en stor mängd information från en stor mängd kunder. Som personuppgiftsansvarig bör du se till att dina leverantörer har tillräckliga säkerhetskontroller på plats som skyddar kundernas specifika domäner från externa hot, men även förhindrar dataläckage emellan kundernas domäner/miljöer. Hur flexibel är din leverantör? Säkerställ att det är relativt enkelt att byta leverantör om de inte lever upp till kraven. Om avtalet sägs upp är det även oerhört viktigt att leverantören inte får behålla någon information, men det är lättare sagt än gjort. En förutsättning för att kunna ta bort all data är att veta var den finns. Informationen ligger kanske inte enbart lagrad i en databas, den kan även finnas i säkerhetskopior eller gamla register. Kravställ att få veta var all information lagras så att du på ett smidigt sätt kan ta bort den om du lämnar leverantören. Säkerställ även att metoderna för borttagning av data är så pass goda att kundernas data inte kan återskapas. Har ni frågor om GDPR och outsourcing? Sentor hjälper såväl stora som små bolag att efterleva rådande personlagstiftning. Har ni frågor kopplade till GDPR och outsourcing är det bara att kontakta oss. Skicka ett mail till eller ring oss på.

Huvudkontoret Regionkontor Syd Sentor MSS AB Björn Trädgårdsgränd 1 116 21 Stockholm +46 (0)8 545 333 00 Sentor MSS AB Adelgatan 21 211 22 Malmö +46 (0)8 545 333 00

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss