Dataskyddsförordningen och Stadens styrsystem. Jan A Svensson Informationssäkerhetschef

Relevanta dokument
Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Riktlinjer för dataskydd

Dataskyddsförordningen

Utseende av dataskyddsombud

Förslag till ny kommungemensam intern tjänst - organisation för dataskyddsombud enligt EU:s dataskyddsförordning

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Information till personuppgiftsansvarig om dataskyddsombud

Dataskyddsförordningen (DSF/GDPR)

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Allmänna Råd. Datainspektionen informerar Nr 3/2017

GDPR Presentation Agenda

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Ett eller flera dataskyddsombud?

Dataskyddsombud (DSO) för kulturnämnden samt information om lokal organisation för hantering av personuppgifter i kulturförvaltningen

Dataskyddsförordningen och kvalitetsregister

Riktlinjer för personuppgiftshantering

EU:s dataskyddsförordning

Policy för informationssäkerhet och dataskydd 2018

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Dataskyddsförordningen

Information om dataskyddsförordningen

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Regler för behandling av personuppgifter vid Högskolan Dalarna

EU:s allmänna dataskyddsförordning:

Handlingsplan för persondataskydd

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Dataskyddsombud, organisation och finansiering

Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen

Riktlinjer för hantering av personuppgifter

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Policy för behandling av personuppgifter

Status panik? GDPR-update! Disposition

IT-konsekvensanalys dataskyddsförordning

GDPR NYA DATASKYDDSFÖRORDNINGEN

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Dataskyddsombud för miljö- och hälsoskyddsnämnden

Dataskyddsförordningen

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Utredning om förberedelser inför att dataskyddsförordningen träder i kraft maj 2018

BESKRIVNING AV PERSONUPPGIFTSHANTERING

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

DATASKYDD (GDPR) Del 1. Del 2. Dataskyddssamordnare. Del 4. Om dokumentet. Organisationens högsta ledning Kommunledning eller regionledning

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Dataskyddsförordningen

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Policy och instruktioner för regelefterlevnad

UMEÅREGIONEN PROTOKOLL 1 (31) Plats och tid Överförmyndarenheten, Götgatan 3, , kl

Instruktion för funktionen för regelefterlevnad

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Punkt 19 Riktlinje för regelefterlevnad

Acando Simplifying GDPR. ACANDO CAPABLE BUSINESS GDPR Från ord till handling

Varberg och Falkenbergs kommuner

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR)

INFORMATIONSSÄKERHET OCH DATASKYDD

Dataskyddsförordningen (GDPR)

GDPR. General Data Protection Regulation. dataskyddsförordningen

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Slutredovisning av GDPR-nätverkets arbetsutskott Tillförlitliga biträden

Information om behandling av personuppgifter

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Dataskyddsombud i kommuner, landsting och regioner

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

Mjölby Kommun PROTOKOLLSUTDRAG. 33 Dnr KS/2018:41. GDPR - utse ombud

Skolan och Dataskyddsförordningen

EU:s dataskyddsförordning

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

GDPR ur verksamhetsperspektiv

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Sammanträdesdatum Arbetsutskott (1) 73 Dnr KS/2018:41. Organisation med anledning av ny dataskyddsförordning

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

GDPR. Dataskyddsförordningen

Policy för integritet vid hantering av personuppgifter

REVISIONSPLAN FÖR ÅR 2012

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

SLUTRAPPORT PROJEKT GDPR

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

Sex månader med GDPR. 8 november 2018

Dataskyddsförordningen

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Översikt av GDPR och förberedelser inför 25/5-2018

Transkript:

Dataskyddsförordningen och Stadens styrsystem Jan A Svensson Informationssäkerhetschef

Agenda DSF visavi Stadens styrsystem Stadens förhållningssätt gällande - Dataskyddsombud - Konsekvensbedömning - Inbyggt dataskydd / Dataskydd som standard Stadens DSF-projekt 2

Göteborgs Stads styrsystem Analyseras -Juridisk analys -Informationssäkerhetsanalys -IT-analys Våra utgångspunkter Lagar och övriga författningar är det vi har att rätta oss efter inom alla områden. Den politiska viljan är de beslut och mål som tar form i kommunfullmäktige, nämnder och styrelser. Våra invånare, brukare och kunder som genom dagliga kontakter med vår organisation påverkar oss och vår verksamhet. Vår systematik Arbetsgången som styrningen ska följa: planering, genomförande, uppföljning och förbättring. Våra förutsättningar Konkretisering av utgångspunkterna i styrande dokument och förhållningssätt för vägledning. Vi organiserar oss för att förverkliga intentionerna i de styrande dokumenten. Vi tydliggör roller och fördelar ansvar samt tillsätter resurser för att nå mål och utföra uppdrag. Soluret symboliserar det ständigt pågående cykliska arbetet som drivs av utgångspunkterna samt understöds av förutsättningarna. 3

Analysresultat Grundprinciperna i DSF rörande informationssäkerhet är i stort i linje med Stadens befintliga styrsystem De delar som har tillkommit och även preciserats jämfört med PuL har Staden i stort redan täckt in Staden krav DSF krav Nya krav från DSF PuL krav 4 4

Stadens metod för säker informationshantering (del av styrsystemet) Policy Riktlinjer Regler verksamhet information krav Klassa Riskanalys Tydliggör skyddsåtg. Verifiera skyddsåtg. Följ upp Råd Råd Råd 5

Styr- och stöddokument (urval). Säkerhetspolicy Riktlinje för hantering av säkerhetsrisker Riktlinje för informationssäkerhet Ändringsbehov utifrån DSF-analyser! Riktlinjer för användning av informationsteknik Riktlinjer för intern kontroll Regler för kommungemensamma interna tjänster generellt Regler gällande informationssäkerhetsansvar för chefer Policy och riktlinjer för tillämpning av personuppgiftslagen. verksamhet information krav Klassa RA Tydliggör skyddsåtg. Verifiera skyddsåtg. Följ upp Råd Råd Råd 6

Ändringsbehov i Policy och riktlinjer för tillämpning av personuppgiftslagen Tydliggöra de grundläggande principerna för behandling av pu i Staden Tydliggöra krav på tillsättande av Dataskyddsombud Tydliggöra att Dataskyddsombudet ska rådfrågas och övervaka konsekvensbedömning (= riskanalys) Tydliggöra att det krävs samråd med tillsynsmyndigheten om man i sin riskhantering inte klarar av att minska en hög risk Tydliggöra att synpunkter från de registrerade ska inhämtas i samband med riskanalysen när det är lämpligt Tydliggöra att pseudonymisering eller kryptering är riskminimeringsåtgärder som bör användas (nivå 1) Tydliggöra krav gällande inbyggt dataskydd och dataskydd som standard Tydliggöra krav på att säkerställandet av personuppgiftshanteringen ska finnas med redan från den initiala planeringen och täcka såväl tekniska som organisatoriska åtgärder (riskanalys) Tydliggöra krav på att kunna visa, kontinuerligt testa, undersöka och utvärdera effektiviteten av införda säkerhetsåtgärder Tydliggöra krav på incidentanmälan till tillsynsmyndigheten Tydliggöra krav på spridning av incidentinformation till registrerade som drabbats Tydliggöra kraven som ställs på PUB-avtal Tydliggöra kraven på PUB att kunna visa att säkerhetskraven uppfylls, att det finns beskrivningar över hur kraven uppfylls och att säkerheten ska vara verifierad och verifieras regelbundet 7

Dataskyddsombud (DSO) 1 av 2 Huvudsaklig uppgift Vara kontaktpunkt för intressenter (tillsynsmyndighet, registrerade, medarbetare m fl) Informera och ge råd till PUA och medarbetare bl a om skydd och skyldigheter enligt DSF samt vid riskanalysen Övervaka efterlevnad av förordningen avseende fungerande rutiner och åtgärder, ansvarstilldelning, information, utbildning och granskning Samarbeta med tillsynsmyndigheten Kompetensområden Hög kompetens på DSF och dess praxis God kunskap i nationell lagstiftning som påverkar personuppgiftshantering God verksamhetskompetens, speciellt på de processer och organisationsdelar där behandling sker God förståelse för riskhantering, informations- och IT-säkerhet God kommunikationsförmåga God samarbetsförmåga Hög integritet Resurser/förutsättningar Ledningens stöd med rapportering direkt till PUA/högsta förvaltningsnivå Officiella och tydliga kontaktvägar för alla intressenter Tillräcklig tid att för utföra/uppfylla sina skyldigheter Tillgång till administrativt stöd, finansiella resurser, teknik, utrustning, personal etc. efter behov Ha rätt/möjlighet att samla information för att identifiera personuppgiftsbehandling Ha rätt/möjlighet att analysera och kontrollera efterlevnaden av behandlingen Ha rätt/möjlighet att informera, ge råd och utfärda rekommendationer till PUA, PUB och andra intressenter DSO får inte bli bli föremål för sanktioner eller avsättas på grund av utförande av uppdrag Ha rätt/möjlighet att upprätthålla sakkunskap Oberoende PUA /PUB får ej ge instruktioner till DSO angående sitt utövande DSO får ej riskera att hamna i intressekonflikt p.g.a. andra uppgifter och skyldigheter DSO kan ej bestämma ändamålen och medlen för pubehandlingen 8

Dataskyddsombud (DSO) 2 av 2 DSO för varje PUA (myndigheter och bolag) Olika behov för olika verksamheter samma krav på DSO Önskemål från verksamheten om en central samordning Inrättande av en ny kommungemensam funktion Ett antal DSO utgör en egen organisation Verksamheterna delas in i grupper med närliggande typer av pu och pu-behandlingar Varje grupp får en ansvarig DSO som tecknar uppdragsavtal med respektive verksamhet Främjar kostnadseffektivitet, kompetens, samarbete, effektivitet och utveckling samt DSO:ns integritet och självständighet gentemot PUA 9

Konsekvensbedömning (= Riskanalys) DSF använder begreppet konsekvensbedömning för det som i PuL beskrivs som beaktande av särskilda risker Vissa skrivningar i DSF ger uttryck för att denna typ av bedömning/analys ska genomföras om man misstänker en hög risk, andra skrivningar tydliggör att säkerhetsåtgärderna alltid ska sättas i relation till riskerna I praktiken innebär det att en riskanalys alltid behöver genomföras för att säkerställa pubehandlingen (i linje med Stadens styrsystem) Riskanalysen ska utgå från verksamhetsnivån (process) där pu hanteras (inte IT-system eller annan delmängd ). Inkluderar även registrerades perspektiv Dataskyddsombudet ska rådfrågas och övervaka analysen Det är PUA som ansvarar för att utföra analysen 10

Inbyggt dataskydd/dataskydd som standard Privacy by design / Privacy by default Stadens förhållningssätt (del av ny policy/riktlinje) Säkerheten (=dataskyddet) baseras på genomförda informationssäkerhetsklassningar och riskanalyser för att på så sätt finnas med redan från den initiala planeringen och täcka såväl tekniska som organisatoriska åtgärder Stadens grundsäkerhetsnivå för informationssäkerhet (nivå 1) gäller för pu-behandling generellt och nivå 2 för känsliga/särskild pu avseende konfidentialitet och riktighet Uppgiftsminimering, lagringsminimering, fritextfältsmimimering och åtkomstbegränsning är grundläggande krav för all pu-behandling Om möjligt alltid använda pseudonymisering, anonymisering eller kryptering även på nivå 1 11

Skapa följsamhet mot DSF verksamhet information krav Klassa RA Tydliggör skyddsåtg. Verifiera skyddsåtg. Följ upp Milstolpar i Stadens DSF-projekt Utse dataskyddsombud * Informationskartläggning Informationssäkerhetsklassa Riskanalys Kontroller och verifieringar Uppdatera Pu-registret * Planera för återkommande verifieringar Kvalitetssäkra ett kontinuerligt uppfyllande = Tillämpa Stadens styrsystem * enligt policy & riktlinje 12

Stadsövergripande DSF-projekt Projekt för att stödja och underlätta för Stadens verksamheter att anpassa sig till DSF Analysera och redovisa behovet av ändringar i Stadens styrsystem de nya krav som DSF kommer att medföra för verksamheten Utarbeta stadenövergripande beslutsunderlag Ta fram stadengemensamma stöddokument och checklistor Erbjuda informationsmöten och tillhandahålla utbildning till nyckelpersoner Ej genomförande respektive verksamhet ansvarar för genomförandet för att uppnå följsamhet mot DSF Styrgruppsrepresentanter från bolag, förvaltningar och stiftelser I respektive verksamhet finns det en utsedd Ansvarig genomförare för den operativa realiseringen (projektets primära målgrupp) > 500 operativa projektdeltagare utbildade till dags dato 13

Tack för visat intresse!

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss