JAKTEN PÅ DATA - I svallvågorna av Dataskyddsförordningens införande

Relevanta dokument
DATAKVALITET AUTOMATISERAD. Vad händer med avvikelserna när mängden data växer exponentiellt?

Rutin för handläggning av begäran om registerutdrag avseende personuppgifter ( manuell hantering)

Säkerhetspolicy rev. 0.1

Informationsskyldighet enligt dataskyddsförordningen Joachim Angermund, Charlotta Sandström, Ingela Alverfors februari 2017

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

PERSONUPPGIFTSPOLICY - KUNDER & LEVERANTÖRER

Information om behandling av personuppgifter

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

Dataskyddsförordningen GDPR

Vi bryr oss om dina personuppgifter

Sekretesspolicy Åre 2019 AB

Integritetspolicy. Vad är personuppgifter och vad är en behandling av personuppgifter? Hur använder vi personuppgifter?

Personuppgifter får endast behandlas för specifika angivna syften och om det finns en laglig grund för behandlingen.

Integritetspolicy Torget Getupdated AB / Getupdated Sverige AB

Kategorier av personuppgifter och ändamål med behandlingar. Definitioner av begrepp:

Hur behandlar Filminstitutet mina personuppgifter?

Personuppgiftshantering - GDPR

Integritetspolicy Rinkaby Rör

UPPDATERAD

Nordic Waterproofings AB Integritetspolicy 1 Inledning Vilka personuppgifter samlar vi in om dig och varför?... 2

Axholmen:s Integritetspolicy

Information om dataskyddsförordningen

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

Version Integritetspolicy

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Tegehalls revisionsbyrå och dataskyddsförordningen

Integritetspolicy Wincent Marketing AB, rev

BERGHOLM FÖRSÄLJNING AB

Integritetspolicy leverantör

Integritetspolicy för personuppgiftshantering

Dataskyddspolicy för Rotsunda Utbildning AB

Så behandlar Överförmyndarnämnden dina personuppgifter

För att tillvarata medlemmarnas enskildas rättigheter

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

INTEGRITETSPOLICY SAMORDNINGSFÖRBUNDET CENTRALA ÖSTERGÖTLAND

Med "Personuppgifter" avses varje upplysning som är hänförlig till en identifierbar eller identifierad fysisk person.

Svensk Artistfaktura AB, , är personuppgiftsansvarig för företagets behandling av personuppgifter.

Integritetspolicy Ponto AB

Version INTEGRITETSPOLICY. gällande rekrytering av personal, volontärer och praktikanter Enligt Dataskyddsförordningen

Regler för behandling av personuppgifter vid Högskolan Dalarna

1. behandlingen är nödvändig för att vi ska kunna fullgöra vårt avtal med dig,

Integritetspolicy. 1 Vilka personuppgifter behandlar vi? 2 Vad används uppgifterna till?

Integritetspolicy för X organisation

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER VID REKRYTERING

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

PERSONUPPGIFTSSPOLICY FÖR SÖKANDE

GDPR Capticon AB integritetspolicy information om behandling av personuppgifter

Riktlinjer för att tillvarata enskildas rättigheter

EXTERN INTEGRITETSPOLICY

POLICY FÖR PERSONUPPGIFTSHANTERING uppdaterad:

Leverantörsuppgifter är sådana uppgifter som exempelvis namn, adress, e-postadress, telefonnummer.

Generell information Personuppgiftsansvarig Vilka personuppgifter samlar vi in? Varifrån har vi fått tillgång till uppgifterna?

Så här behandlar Hedemora Näringsliv AB dina personuppgifter

Instruktion för att tillvarata enskildas rättigheter

FÖRSÄKRINGSHANTERING LIV AB

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Personuppgifter hos SVEA Sverige Group AB

INTEGRITETSPOLICY 1 ALLMÄNT 2 PERSONUPPGIFTSANSVARIG 3 VILKA PERSONUPPGIFTER SAMLAS IN?

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

Dataskyddsförordningen

INTEGRITETSPOLICY 1 ALLMÄNT 2 PERSONUPPGIFTSANSVARIG 3 VILKA PERSONUPPGIFTER SAMLAS IN?

Får stärkta möjligheter att ta del av dina personuppgifter och att, under vissa förutsättningar, få dem rättade eller raderade

Så här behandlar V-Dala överförmyndarsamverkan dina personuppgifter

STINT Personuppgiftspolicy. 1 Om STINT

Integritetspolicy. AriVislanda AB

2. VILKA PERSONUPPGIFTER HANTERAR VI OM DIG OCH VARFÖR?

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

LRF Konsult AB, , är personuppgiftsansvarig för företagets behandling av personuppgifter.

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Anmälan/klagomål Flerbostadshus (hyresrätt/bostadsrätt) Obs! Läs igenom informationen på sidan 4 innan du skickar in anmälan!

När är det inte möjligt att utöva sin rätt till radering/att bli bortglömd?

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

Sammanfattning hur behandlar Box Office dina personuppgifter?

Integritetspolicy kunder

Integritetspolicy. Aktiva i Södermalmskyrkan

behandlingen För att bedriva forskning och utveckla läkemedel. Individuella data sparas för att verifiera forskningsresultat.

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

GDPR-SKOLAN, DEL 3 1/8 TOYOTA MATERIAL HANDLINGS. GDPR-skola

INTEGRITETSPOLICY FÖR REVISIONSTJÄNST FALKENBERG AB

Så behandlar vi dina personuppgifter

SL:s behandling av personuppgifter

Riktlinjer för dataskydd

Instruktion till mall för registerförteckning

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Integritetspolicy leverantör

Integritetspolicy. Anställda Q-linea har utarbetat en särskild integritetspolicy som tillämpas på bolagets anställda, konsulter och förtroendevalda.

Lathund Personuppgiftslagen (PuL)

RYDS GLAS INTEGRITETSPOLICY VI VÄRNAR OM DIN PERSONLIGA INTEGRITET

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

Denna integritetspolicy ( Integritetspolicyn ) har tre syften:

Personuppgiftslagen konsekvenser för mitt företag

Integritetspolicy vid SLU Holding AB

Jönköpings Länstrafiks personuppgiftspolicy

Hantering av personuppgifter i Ekobrottsmyndighetens verksamhet

Asitis personuppgiftspolicy. Asitis personuppgiftspolicy Syfte Ändamål Riktlinjer Asitis personuppgiftsbehandling...

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Kerstin Wardman, 25 april 2018

Transkript:

JAKTEN PÅ DATA - I svallvågorna av Dataskyddsförordningens införande Simon Gozzi Affärsområdesansvarig Quality Control by Formpipe, Sverige 073-020 71 72 Simon.Gozzi@formpipe.com Gäst: Jacob Håkansson Dataskyddsombud Uppsala Universitet 070-167 94 85 Jacob.Hakansson@uadm.uu.se 1

VARFÖR? VAD? HUR? 2

Formpipes produkt Quality Controls roll i lösningen: Introduktion - Organisationens databestånd och jakten på sökt information - Hur hittar man en nål i en höstack? - Hur fungerar Quality Control? Uppsala Universitets implementering av Dataskyddsförordningen: - Vad säger förordningen om registerutdrag? - Hur gör Uppsala Universitet för att tillmötesgå kraven? (organisation, process och verktyg) - Vad saknas? 3

VAD KAN DU TA MED DIG HEM? Förståelse för vilka förändringar Dataskyddsförordningens införande kan innebära Vikten av att kunna tillgodose ett komplett registerutdrag Inspiration och lärdom av hur Uppsala Universitet har implementerat dataskyddsförordningen och vad de ser framför sig som ett prioriterat nästa steg Handgripliga tips om hur din organisation kan få kontroll på en stor mängd ostrukturerad data som kan utsätta er risker En övergripande förståelse för hur en av Formpipes produkter kan nyttja stärkt integritet som en hävstång för höjd datakvalitet 4

IMPLEMENTATION AV DATASKYDDSFÖRORDNINGEN Dokumentation och organisation 10% Säkerhet 10% Hantering av data 80% Källa: SAS Institute https://www.sas.com/sv_se/solutions/ personal-data-protection.html#identify 5

NÄR GRANSKAS VI? 6

Dataskyddsförordningen och registerutdrag Jacob Håkansson Dataskyddsombud Uppsala universitet 4 okt 2018

Registerutdrag egentligen inget nytt 10 datalagen (1973:289) om och vad som finns registrerat. 26 personuppgiftslagen (1998:204) om, vad, varifrån, ändamål och till vilka.

Registerutdrag enligt dataskyddsförordningen Artikel 15 i dataskyddsförordningen Rätt att få veta: - Om personen förekommer i behandling. - Vad som behandlas. - Varifrån uppgifterna inhämtats. - Ändamålet med behandlingen. - Med vem eller vilka uppgifterna kommuniceras.

Registerutdrag enligt dataskyddsförordningen Artikel 15 i dataskyddsförordningen Rätt att få veta: - Om personen förekommer i behandling. - Vad som behandlas. - Varifrån uppgifterna inhämtats. - Ändamålet med behandlingen. - Med vem eller vilka uppgifterna kommuniceras.

Registerutdragsproblemet i korta drag Vad gäller egentligen enligt dataskyddsförordningen? Det finns olika vägar att begära registerutdrag hur skall man sammanställa dem? De som begär registerutdrag har ofta kännedom om förekomst i register vid myndigheten men vad gör vi om inte vi har det? Hur hanterar vi ett ökande antal begäran om registerutdrag - just nu? Hur hittar vi personuppgifter på gemensamma diskar och i e-post?

Datainspektionen om registerutdrag Rätt att få bekräftelse på om personuppgifter behandlas och i så fall tillgång till uppgifterna, om det inte är uppenbart ogrundat/orimligt. Uppgifterna (om förekomst i vårt fall) skall lämnas lättillgängligt, skriftligt och i elektronisk form. Uppgifterna skall lämnas ut utan dröjsmål och senast en månad. Perioden kan förlängas med två månader vid en komplicerad begäran. Utdraget skall innehålla uppgifter om: förekomst, ändamål och om/hur uppgifterna kommuniceras.

men Registerutdraget behöver inte innehålla personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning och, uppgifterna i den löpande texten skall dock lämnas till den registrerade om de redan lämnats ut till tredje part eller enbart behandlas för arkivändamål av allmänt intresse eller statistiska ändamål, eller har behandlats under längre tid än ett år i en löpande text som inte fått sin slutgiltiga utformning men uppgifter som är hemliga för den registrerade skall inte heller lämnas ut och förresten inte heller sådana uppgifter som omfattas av särskilda registerförfattningar som förbjuder ett utlämnande.

Så hur gör vi då?

Kontroll över ingångarna till begäran Externa webben (www.uu.se) Medarbetarportalen Frågeformuläret direkt

Med en elektronisk blankett för begäran om registerutdrag Ett innehåll med en tanke. Publicerat innehållet som en e-blankett.

med en bekräftelse om att begäran

registrerats i ett ärende i diariet.

Sammanställ uppgifterna och expediera

Enkelt eller hur eller? Förekommer i: - Ett forskningsprojekt - Arvodesbanken och ekonomisystemet - Ett excelark med anmälningar på en institution - Diariet som ingivare - E-postsystemet

eller?

Målbilden för framtidens hantering av registerutdrag - Automatiserad återsökning av personuppgifter. - Automatiserad sammanställning av registerutdrag. - Självservice.

VAD FINNS I HÖSTACKEN?

GEMENE ORGANISATIONS DATA Strukturerad data 20% Platina W3D3 Long-Term Archive Ekonomisystem Personalsystem etc. Ostrukturerad data 80% Mailen Hemkataloger Lokal lagring på datorer Fillagring i molnet Källa: Gartner Market Guide for File Analysis Software 25

VARFÖR? Ostrukturerad data är medarbetarens vardag En maildialog med en medborgare angående det där numer sekretessklassade ärendet från 2015 En Skype-chatt med kontaktuppgifter till den där hantverkaren din kollega tipsat om över en kaffe En kompis CV på lokala datorn En maildialog med din läkare Det där Worddokumentet med mötesanteckningar från 2011. Närvarande var. Den där presentationen som var bilaga till ett mötesbokning från en presumtiv leverantör med en säljarens kontaktuppgifter från 2014 En mapp på hemkatalogen vid namn Privata grejer 26

MEN Ostrukturerad data undantas inte från regelverket och behöver också efterleva kraven Registerutdraget behöver även innefatta uppgifter i ostrukturerad form https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/samma-regler-for-alla/ https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/samma-regler-foralla/hantera-personuppgifter-i-e-post/ https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/samma-regler-foralla/personuppgifter-i-anstalldas-datorer/ 27

NÅLEN <1% av organisationens data är uppgifter kopplat till regleringar, så som dataskyddsförordningen 28

HUR HITTAR VI NÅLEN?

MANUELLT? Lek med tanken att estimatet 1 minut per MB stämmer. Härlett tar det alltså 2 år att manuellt läsa igenom 1 TB ostrukturerad data. Jacob, har du resurser tillhanda att börja läsa redan nu? 36,5 TB.. Kan du tillhandahålla ett registerutdrag då om 70 år? 30

31

QUALITY CONTROL I KORTHET Första release 2016 35+ kunder Nämnd som enda produkt från Europa i Gartners rapport Market Guide for File Analysis Software Unik GDPR-funktionalitet gör registerutdrag ur kopplade system QUALITY CONTROL VAR DET SJÄLVKLARA VERKTYGET FÖR ATT ÖKA DATAKVALITETEN TVÄRS ÖVER HELA ORGANISATIONEN. Kort tid till värde med standardadaptrar mot bl.a. Exchange och diskar

QUALITY CONTROL EN MODELLBILD Arbetslista distribuerad till informationsägare REGISTERUTDRAG Analys och visualisering av data för ledningen QUALITY CONTROL by Formpipe STANDARD- ADAPTRAR PROJEKT- ADAPTRAR 33

QUALITY CONTROL EN MODELLBILD Arbetslista distribuerad till informationsägare REGISTERUTDRAG Analys och visualisering av data för ledningen QUALITY CONTROL by Formpipe PLATINA W3D3 FILSYSTEM (DISKAR) EXCHANGE STANDARD- ADAPTRAR PROJEKT- ADAPTRAR 34

TEMPENKOLL PÅ UPPSALA UNIVERSITET

FÖRST EN TEMPENKOLL PÅ RUMMET Räck upp handen du som. Inte har full koll på de personuppgifter du har i din mail Inte har full koll på de personuppgifter du har lokalt på din dator/ din hemkatalog Börjar bli sugen på lunch Har ändrat ditt beteende med anledning av att dataskyddsförordningen trätt i kraft Kan tillgodose personuppgifter lagrade i din mail och dina filer vid inkommen begäran om registerutdrag 36

ETT STICKPROV FRÅN UPPSALA UNIVERSITET Jacobs ostrukturerade data Skanning efter personnummer i mailbox (3,8 GB) 17000 mail, 5300 bilagor, 500 kalenderbokningar, 273 st träffar Skanning efter vanliga personuppgifter i hemkatalog (5,5 GB) 4000 skannade filer 890 st träffar 37

RESULTAT Vi bekräftade att det finns en stor mängd dolda personuppgifter som idag saknar kontroll, dokumentation, spårbarhet och sökbarhet. Många nålar att hitta. Nålarnas existens står motsats till vad kraven från Dataskyddsförordningen anger och Uppsala Universitet saknar idag förmåga att ta med dessa uppgifter vid inkommen begäran om registerutdrag. 38

UPPSALAS FÖRUTSÄTTNINGAR IDAG SYSTEM 1 SYSTEM 2 SYSTEM 3 SYSTEM 4 Diskar Mailserver Centrala IT-system som möjliggör delregisterutdrag IT-system som inte möjliggör delregisterutdrag 39

STEG 1 KOMPLETT REGISTERUTDRAG SYSTEM 1 SYSTEM 2 SYSTEM 3 SYSTEM 4 Diskar Mailserver Centrala IT-system som möjliggör delregisterutdrag IT-system där Quality Control möjliggör delregisterutdrag 40

STEG 2 SAMLAT REGISTERUTDRAG SYSTEM 1 SYSTEM 2 SYSTEM 3 SYSTEM 4 Diskar Mailserver 41

LÅT OSS HITTA NÅLEN 42

VAD KAN DU TA MED DIG HEM? Förståelse för vilka förändringar Dataskyddsförordningens införande kan innebära Vikten av att kunna tillgodose ett komplett registerutdrag Inspiration och lärdom av hur Uppsala Universitet har implementerat dataskyddsförordningen och vad de ser framför sig som ett prioriterat nästa steg Handgripliga tips om hur din organisation kan få kontroll på en stor mängd ostrukturerad data som kan utsätta er risker En övergripande förståelse för hur en av Formpipes produkter kan nyttja stärkt integritet som en hävstång för höjd datakvalitet 43

JAKTEN PÅ DATA - I svallvågorna av Dataskyddsförordningens införande Simon Gozzi Affärsområdesansvarig Quality Control by Formpipe, Sverige 073-020 71 72 Simon.Gozzi@formpipe.com Gäst: Jacob Håkansson Dataskyddsombud Uppsala Universitet 070-167 94 85 Jacob.Hakansson@uadm.uu.se 44

APPENDIX 45

QUALITY CONTROL EXEMPEL PÅ REGLER Regeluppsättning och koppling mot valfritt system Regelmotor Regelträffar, åtgärder och analys Registreringspraxis Säkerhet GDPR Skanning av system i ostrukturerad och strukturerad data Öppna ärenden där inget ändrats på 2 månader Ärendebeskrivningar som är kortare än 50 tecken Olämplig namngivning av dokument Avslutade ärenden med inkommen handling men ingen utgående handling Avvikande klassificering mellan handling och ärende Öppna ärenden där ansvarig handläggare slutat 46

QUALITY CONTROL EXEMPEL PÅ REGLER Regeluppsättning och koppling mot valfritt system Regelmotor Regelträffar, åtgärder och analys Registreringspraxis Säkerhet GDPR Skanning av system i ostrukturerad och strukturerad data Handlingar som innehåller personnummer men inte har en personuppgiftsmarkering Filer på nätverksdisk som innehåller postadress Bilagor till mail på mailserver som innehåller telefonnummer Lokal kopia av handling med personuppgiftsmarkering Personnummer i en mailkonversation 47

QUALITY CONTROL EXEMPEL PÅ REGLER Regeluppsättning och koppling mot valfritt system Regelmotor Regelträffar, åtgärder och analys Registreringspraxis Säkerhet GDPR Skanning av system i ostrukturerad och strukturerad data Mail till extern part med lokal kopia av handling Filer på nätverksdisk som är lösenordskyddade Lokala kopior av sekretessklassade handlingar sparade på skrivbordet Mail till extern part innehållande ordet: budget Filer vars filformat är obsolet Filer som varit utcheckade i mer än 24 timmar 48

KONTINUERLIGT ARBETE MED DATAKVALITET 49

ITERATIV PROCESS INFORMATIONS- ÄGARE VIDTAR ÅTGÄRDER SKANNING AV DATA HÖJNING AV DATAKVALITETEN DISTRIBUTION AV REGELTRÄFFAR 50

QUALITY CONTROL FÖR MEDARBETAREN 51

QUALITY CONTROL FÖR MEDARBETAREN 52

QUALITY CONTROL FÖR MEDARBETAREN 53

QUALITY CONTROL FÖR MEDARBETAREN 54

REGISTERUTDRAG 55

REGISTERUTDRAGSMODULEN - FUNKTION 56

Här matas uppgifter in om den person som begär ett registerutdrag Dessa utgör kriterier i en regel som automatiskt bildas i Quality Control En skanning görs sedan av organisationens data som Quality Control har indexerat Detaljer om sökningen specificeras I detta fall ett registerutdrag som gjorts från filsystemet 57

Objekt som innehåller data som svarar mot angivna kriterier listas sedan i en tabell Här presenteras bl.a. objektets placering Hela mallen är konfigurerbar för att kunna svara mot kunds specifika behov på format, inkluderad information etc. 58

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss