Översikt av GDPR och förberedelser inför 25/5-2018
EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016 http://www.datainspektionen.se/dataskyddsreformen
Personuppgift All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
Allmänt Dataskyddsförordningen eller GDPR (General Data Protection Regulation) Börjar gälla från 25 maj 2018 och ersätter då PUL Samma regler, definitioner och tillämpning i alla EU:s medlemsländer
Grov sammanfattning vad innebär det? Jag som individ får ett antal rättigheter, t.ex: Mina personuppgifter får mer skydd: att veta vilka personuppgifter du har om mig, vad de ska användas till och om andra företag får tillgång till dessa att bli glömd om vår relation upphör att själv välja att jag inte vill vara kvar i register även om jag tidigare gett mitt samtycke företag/organisationer ska säkerställa att de vet vem/vilka som har tillgång till vad och att uppgifterna inte nås av obehöriga
Så vad måste vi göra? 1 Identifiera 2 Kontrollera 3 Skydda [Efterlevnad] Kartlägg och dokumentera vilka personuppgifter du har och var ni lagrar/behandlar dessa (gäller även ostrukturerad data ). Hantera användning av och åtkomst till personuppgifter. Se över var ni behöver personuppgiftsbiträdesavtal med era leverantörer. Gå igenom säkerhet, inför adekvata tekniska skydd för att förebygga och motverka sårbarheter och dataintrång.
Kartläggning Dokumentera: Var, Varför (ändåmål), Vad, Hur länge Rättslig grund (Artikel 6) Krav på IT-system Skydd Inte ett engångsarbete utan löpande
Varför är kartläggningen viktig? Efterlevnad (det som gäller from 25/5 2018 ) Informera individer (personuppgiftspolicy) Rätten att inom 30 dagar få ut min information Rätten att bli glömd Säkerställa lämpliga säkerhetsåtgärder
Åtgärder efter kartläggning Behövs uppgifterna? Har vi rättslig grund? Hur ser det ut med behörigheter, åtkomst och skydd? Var, Varför (ändåmål), Vad, Hur länge Rättslig grund (Artikel 6) Krav på IT-system Skydd
Rättslig grund (Artikel 6, 1) a) samtycke b) nödvändigt för att fullgöra ett avtal f) personuppgiftsansvariges berättigade intressen (läs även inledande skäl 47)
Samtycke Om du baserar på samtycke ska du kunna visa samtycket Du ska informera om vad, var och hur uppgifterna används Exempel: Om du arbetar med formulär för tex. seminarieanmälningar, nedladdning av innehåll eller nyhetsbrev så behöver du informera vad som händer om de fyller i formuläret. Till exempel om du avser spara informationen och senare använda den i marknadsföringssyfte.
Roller Personuppgiftsansvarig Den (företaget, organisationen) som bestämmer ändamålen och medlen för behandling av personuppgifter Personuppgiftsbiträde Den (företag) som behandlar personuppgifter för den personuppgiftsansvariges räkning Dataskyddsombud Ett ombud (individ) som måste ha tillräcklig kunskap om dataskydd. Krav för vissa organisationer.
Dataskyddsombud (DPO) Nytt krav på att vissa typer av organisationer måste tillsätta ett dataskyddsombud: offentliga verksamheter, företag vars kärnverksamhet består i att hantera stora mängder personuppgifter företag som hanterar större mängder av känsliga personuppgifter Rekommenderas (finns dock vissa krav)
Privacy by design Inbyggda mekanismer för skydd av den personliga integriteten Ska påverka hela livscykeln av en produkt eller tjänst från förstudie och kravställning, via design och utveckling till användning och avveckling. Grundtanken är att minimera antalet personuppgifter samt att tillgodose alla rättigheter från start.
Tänk dessutom på Personuppgiftsincidenter Skyldighet att rapportera till Datainspektionen Sanktioner Datainspektionen kan utdöma: - böter till företag - ersättning till den drabbade Planera! Juridik Organisation Rutiner IT och informationssäkerhet
Läs mer: datainspektionen.se/dataskyddsreformen Vägledning, förberedelser (för personuppgiftsansvariga) Dataskyddsförordningen
3 Skydda IT-SÄKERHET & INFORMATIONSSÄKERHET
Inledande skäl 39) Personuppgifter bör behandlas på ett sätt som säkerställer lämplig säkerhet och konfidentialitet för personuppgifterna samt förhindrar obehörigt tillträde till och obehörig användning av personuppgifter och den utrustning som används för behandlingen.
Artikel 5, 1 f) De [personuppgifterna] ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).
Sammanfattning [säkerhet] Några av grunderna är att: "bara de som ska ha tillgång till personuppgifter faktiskt har tillgång till dessa personuppgifter ska ha lämpligt skydd vidta säkerhetsåtgärder som är kostnadsmässigt rimliga, risk vs kost. Dataskyddsförordningen omfattar även ostrukturerad data Min dator / min mobiltelefon / min privata ipad / vår e-post
Säkerhet < > Artikel 1 f. Skydd på internet Threat intelligence, skydd mot skadliga sajter Skydda e-post Sandboxing av bifogade filer/länkar (MS ATP), Kryptering Skydda data Backup, Kryptering, Informationsskydd (MS AIP) Åtkomst (brandvägg) Centralt/lokalt/moln (MS Azure AD Conditional Access) Skydda enheter Kryptering (MS Bitlocker), MDM/MAM (MS Intune, ex. Pin-kod) Skydda identitet Unika konton, komplexa lösenord, 2-faktor för webbaccess Utbildning och regler Interna rutiner, regler kring hantering av personuppgifter
Våra grundläggande tips Informationssäkerhet Behörigheter Inga gemensamma användarkonton med tillgång till personuppgifter Se över behörighetsstruktur Stärk säkerheten kring identitet Komplexa lösenord, inte samma som dina privata lösenord! Lösenordspolicy (intvervall, x antal icke repetitiva ) Kryptera hårddisk på datorer Överväg tvåfaktorautentisering vid webbaccess Utbilda Utbilda användare i informationssäkerhet Se till att du har lämpliga skydd Backup Virusskydd Skydd mot skadlig kod Brandväggar, åtkomst Grundläggande säkerhetstips #1 Uppdatera. Allt. Hela tiden.
Summering 1 Identifiera Inventera: var, vad, varför 2 Kontrollera Hantera: rättslig grund, åtkomst/behörighet 3 Skydda Säkerhet: förebygg, motverka sedan kommer efterlevnad