"Personally Indentifiable Information (PII) och ISO/IEC Privacy framework

Relevanta dokument
Nytt regelverk för personuppgifter varför ska vi ta tag i det nu?

Vad innebär EU nya Dataskyddsförordning som ersättare till PUL och. Hur kan vi använda ISO/IEC 27001/29100/27018 i införandet?

Dataskyddsförordningen. GDPR (General Data Protection Regulation)

Privacy Notice Ålö Group. Customers Integritetspolicy Sverige Privacy Notice UK, North America and International

Immigration Bank. Bank - General. Bank - Opening a bank account. Can I withdraw money in [country] without paying fees?

Isolda Purchase - EDI

PwC Digital Trust Introduktion till GDPR. GRC-dagarna oktober 2017

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Förändrade förväntningar

JSL Socialstyrelsen. Migrationsverket. Information till dig som är gift med ett barn

KPMG Stockholm, 2 juni 2016

FÖRBERED UNDERLAG FÖR BEDÖMNING SÅ HÄR

Ready for Academic Vocabulary?

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

The Municipality of Ystad

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Enterprise App Store. Sammi Khayer. Igor Stevstedt. Konsultchef mobila lösningar. Teknisk Lead mobila lösningar

Registerforskning i internationellt perspektiv

Västervik Miljö & Energi AB. 18 augusti Torbjörn Bengtsson & Sofia Josefsson

UTLYSNING AV UTBYTESPLATSER VT12 inom universitetsövergripande avtal

Sectra Critical Security Services. Fel bild

Granskning av IT. Sunne kommun

Preschool Kindergarten

Information technology Open Document Format for Office Applications (OpenDocument) v1.0 (ISO/IEC 26300:2006, IDT) SWEDISH STANDARDS INSTITUTE

PORTSECURITY IN SÖLVESBORG

Protected areas in Sweden - a Barents perspective

Anvisning om ansvarsförsäkran för studenter

Granskning av integrationoch flykting-mottagande. Sunne kommun

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

GDPR. General Data Protection Regulation

GDPR Swe/Eng. Personuppgiftspolicy för Italienska Handelskammaren (an English version could also be find below)

Support Manual HoistLocatel Electronic Locks

Användning av Erasmus+ deltagarrapporter för uppföljning

BOENDEFORMENS BETYDELSE FÖR ASYLSÖKANDES INTEGRATION Lina Sandström

Immigration Bank. Bank - Allmänt. Bank - Öppna ett bankkonto

Immigration Bank. Bank - Allmänt. Bank - Öppna ett bankkonto. Can I withdraw money in [country] without paying fees?

KPMG Secure File Transfer Handledning

DSM-strategin och förslag till en Europeisk kommunikationslag

Privattandläkarna. Erbjudande till medlemmar Redovisningstjänster. För mer information kontakta

District Application for Partnership

Getswish Integritetspolicy

The cornerstone of Swedish disability policy is the principle that everyone is of equal value and has equal rights.

Application for exemption - Ansökan om dispens


1 (7) Privacy Policy v. 1.0

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Workplan Food. Spring term 2016 Year 7. Name:

EXPERT SURVEY OF THE NEWS MEDIA

KAPITEL12 LEDARSKAP. Jacobsen & Thorsvik

Acando Simplifying GDPR. ACANDO CAPABLE BUSINESS GDPR Från ord till handling

Integritetspolicy på svenska Integrity policy in English... 5

Skattejurist för en dag på Deloitte i Malmö! 26 april 2016

Sex månader med GDPR. 8 november 2018

Nya upphandlingsdirektiv och upphandling av livsmedel

Småprat Small talk (stressed vowels are underlined)

Schenker Privpak AB Telefon VAT Nr. SE Schenker ABs ansvarsbestämmelser, identiska med Box 905 Faxnr Säte: Borås

Health café. Self help groups. Learning café. Focus on support to people with chronic diseases and their families

Questionnaire for visa applicants Appendix A

Webbreg öppen: 26/ /

Getswish Integritetspolicy

Webbregistrering pa kurs och termin

Etik och säkerhetsfilosofi i praktiken

Din personlig cybersäkerhet

Stiftelsen Allmänna Barnhuset KARLSTADS UNIVERSITET

Nyheter i ISO och 14004

Love og regler i Sverige Richard Harlid Narkos- och Intensivvårdsläkare Aleris FysiologLab Stockholm

Svensk presentation Anita Lennerstad 1

Registrerade / Registered 14/05/2009. No Ordförande / The President. Wubbo de Boer REGISTRERINGSBEVIS CERTIFICATE OF REGISTRATION

The Academic Career Path - choices and chances ULRIKKE VOSS

Vilket mervärde ger certifiering dig?

Family appendix for applicants Appendix D

Swedish framework for qualification

Uppföljning av etiska krav

Riskhantering för informationssäkerhet med ISO Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB

Integritetsskydd - igår, idag, imorgon. Professor Cecilia Magnusson Sjöberg

FMV användning av ISO/IEC för ledningssystem implementering. Harold Bud Lawson Styrelsemedlem och Consulting Partner

Manhour analys EASA STI #17214

Ledningens informationssäkerhet

PORTSECURITY IN SÖLVESBORG

Not everything that counts can be counted, and not everything that can be counted counts. William Bruce Cameron

Företaget har cirka 110 anställda. Verksamhetskonsulter inom säkerhet och teknik. Boden, Göteborg och Kristianstad

Kursplan. EN1088 Engelsk språkdidaktik. 7,5 högskolepoäng, Grundnivå 1. English Language Learning and Teaching

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

A metadata registry for Japanese construction field

Digitalisering i välfärdens tjänst

I samband med att du söker arbete hos oss och lämnar personuppgifter till oss.

Provlektion Just Stuff B Textbook Just Stuff B Workbook

36. GDPR-sex månader kvar november 2017

ISO/IEC och Nyheter

WhatsApp finns för dessa plattformar:

Kvalitetsarbete I Landstinget i Kalmar län. 24 oktober 2007 Eva Arvidsson

Översikt av GDPR och förberedelser inför 25/5-2018

Art Projekt AB Integritetspolicy

Hur kan krav på spel- och lotterisäkerhet driva fram ISO certifieringar?

Ledningssystem för IT-tjänster

Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC eller konsten att införa LIS

Sveriges internationella överenskommelser

Transkript:

"Personally Indentifiable Information (PII) och ISO/IEC 29100 Privacy framework Säker hantering av personuppgifter med ny lagstiftning i dagens IT-miljö Hans Dahlquist 2013-05-21 1

2

Human Resources and Skills Development Canada (HRSDC) says it will start using "data loss technology" in response to the recent loss of a hard drive that contained the personal information of hundreds of thousands of Canada Student Loan borrowers the loss of an external hard drive that contained the personal information for 583,000 Canada Student Loan borrowers. The unencrypted hard drive was found to be missing on Nov. 5, but department security was not notified until Nov. 28 data, which included names, birthdays, and social insurance numbers... 3

Statistik Studien visade också att den stulna informationstypen ändras; 2011 var 95% Personal Identifiable Information mot 1% 2010. Allt fler spärrar personnummer efter ID-stöld Enligt säkerhetsföretaget mysafetys beräkningar genomfördes förra året uppskattningsvis 65 000 ID-stölder, vilket gör det till Sveriges absolut vanligaste enskilda form av bedrägeri. Ökningen av antalet ID-stölder har nu lett till att allt fler spärrar sina personnummer. Enligt statistik från mysafetys samarbetspartner UC, Sveriges största kreditupplysningsföretag, ökade under förra året antalet spärrade personnummer med 27 procent. I dag lever nästan 4 500 svenskar med en spärr på sitt personnummer. Från 2006 innebär det en ökning med 900 procent. 4

Slutsatser 1. Undermålig informationssäkerhet i alla länder och alla verksamheter 2. Oacceptabelt ur ett konsumentsäkerhetsperspektiv 3. Kränkande och mycket besvärligt för individen 4. Lagstiftning släpar efter 5

Hur går det till? 6

Omvänd brandväggsanalys Vilken information lämnar din dator? www.site.nn Rote genomförde 2012 en mätning av dataflöde vid uppkoppling mot en svensk hemsida för nyhetsförmedling. Totalt gjordes 13 st kopplingar till andra siter. Motsvarande sker vid - Mobil bredbandsuppkoppling - Webmail 7

VAD GÖRA? 8

Gällande och kommande lagstiftning PuL - Personuppgiftslagen LEK - Lagen om elektronisk kommunikation 18 under 5:e kapitlet: "Uppgifter får lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnenten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den. Detta hindrar inte sådan lagring eller åtkomst som behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller som är nödvändig för att tillhandahålla en tjänst som användaren eller abonnenten uttryckligen har begärt." COM(2012) 10 Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offenses or the execution of criminal penalties, and the free movement of such data. COM(2012) 11 Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data. (General Data Protection Regulation) 9

Viktiga förändringar I EU Regelverk 1. A right to be forgotten will help people better manage data-protection risks online. When they no longer want their data to be processed and there are no legitimate grounds for retaining it, the data will be deleted. (Radering av kunddata som inte behövs, ex. lämnat, avlidit etc. Kostsamt!) 2. Whenever consent is required for data processing, it will have to be given explicitly, rather than be assumed. (Allmänna villkor i kontrakt) 3. Companies and organizations will have to notify serious data breaches without undue delay, where feasible within 24 hours. (Incidenthantering till kund och myndigheter) 4. Companies will only have to deal with a single national data protection authority in the EU country where they have their main establishment. (Datainspektionen) 5. Increased responsibility and accountability for those processing personal data. (Skydd, tillgång, kryptering och klassificering av persondata) 6. National data protection authorities will be strengthened so they can better enforce the EU rules at home. 10

PII = Personal Identifiable Information Namn Addresser Telefonnummer Call data records (CDR) E-mail Bilder Position Personnummer Etc enligt ISO 29100 Or any personal information relating to an individual, whether it relates to his or her private, professional or public life 11

FRÅN lagefterlevnad till konkurrensfördel 1. Legala krav 2. Varumärke 3. Kundrelationer 1. Kundrelationer 2. Varumärke 3. Legala krav 12

Hur kommer man igång med ett införande? - Genomför en GAP-analys If you don't know where you are and where you want to go it is difficult to describe the way to your destination C Mognad B A Implementation Nuläge Önskat läge 13

Behovsstyrt förändringsarbete LEDNING VISION STRATEGI ORGANISATION PROCESSER 1. Tydlig och förankrad VISION i ledningen. Vad är syftet, varför gör vi detta och vad vill man uppnå? 2. Hur skall man nå målen i visionen? 3. Vem/vilka skall vara ansvariga och hur vill vi styra personlig data i organisationen 4. Vilka är verksamhetens huvudprocesser och hur påverkas de? VERKTYG, KONTROLLER, NULÄGE och AKTIVITETER 5. Vilket stöd, rutiner och kontroller behöver vi? 14

Standard för personinformation; ISO/IEC 29100 Privacy framework 1. Ramverk för hantering av PII 2. Ej certifierbart 3. Inget uttalat ledningssystem 4. Innehåller: Terminologi och definitioner Definition på roller för att hantera PII PII säkerhetskrav och riskhantering Referens till kända principer för PII 15

Ledningssystem som införandestrategi: 1. Ett samlat regelverk som ligger till grund för styrning av företaget/organisationen/myndigheten Lagar, standarder, normer, Policy, Anvisningar, Riktlinjer och beslut Policy Anvisning Riktlinje 2. Processer: Ständiga förbättringar (PLAN DO CHECK ACT) Kontrollmiljö, rapportering och KPI:er Ledningens engagemang och genomgång Utbildning och dokumentation Genomförande (beställning-leverans) och förvaltning Riskbaserad bedömning av exponeringen 3. Organisation med tydliga roller (Chief Privacy Officer, CPO), ansvar, befogenheter och kunskap i en operativ beskrivning 16

Information Life Cycle Management Radering (purging) Reg. av ny kund Backup Disposal Capture Inläsning Krypterad HD? Storage Processing CRM Behörigheter Presentation Transmission VPN? Information lifecycle 17

Sammanfattning införande: Börja med grundlig GAP-analys innan eventuellt införande som beaktar hela livscykeln för personinformation Använd verksamhetsledningssystem (LS) som införandestrategi där Privacy LS blir en integrerad komponent i hela organisationens LS Använd ISO 29100 som stöd och referens Ställ krav på Privacy by Design för all ny ICT som upphandlas och införs Grunda beslut om åtgärder på en riskbedömning för att reducera exponeringen 18

slutsatser Antalet informationsrelaterade bedrägerier och kriminalitet ökar kraftigt Dina personliga preferenser och beteenden på internet sprids och lagras utan din kännedom eller ditt medgivande De legala kraven på personinformation ökar i hela världen Men många länder saknar i dag helt lagkrav inom området Förlust av personinformation, som hanteras för att leverera varor och tjänster, skadar förtroende och varumärke för alla typer av organisationer 19

Frågor och kommentarer? hans.dahlquist@rote.se +46 733 687795 www.rote.se 20

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss