GDPR for testies med inslag av krav

Relevanta dokument
GDPR. Dataskyddsförordningen 27 april Emil Lechner

GDPR. Dataskyddsförordningen

GDPR NYA DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen GDPR

EU:s dataskyddsförordning

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

GDPR- Seminarium 2017

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Personuppgiftsinformation för Svedala kommun

Dataskyddsförordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Integritetspolicy Rinkaby Rör

Dataskyddsförordningen (GDPR)

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

GDPR UTBILDNINGSDAG SKKF

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

GDPR och hantering av personuppgifter

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Dataskyddsförordningen

Riktlinjer för dataskydd

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Dataskyddsförordningen

Dataskyddsförordningen

PuL och GDPR en översiktlig genomgång

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Integritetspolicy Monitor ERP System AB

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

En guide om GDPR och vad du behöver tänka på

EU:s dataskyddsförordning

Riktlinjer för hantering av personuppgifter

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

BOSTADSRÄTTSFÖRENINGEN MAGNETENS PERSONUPPGIFTSPOLICY

Översikt av GDPR och förberedelser inför 25/5-2018

EU:s nya dataskyddsförordning Lotta Wikman Öman

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen

Integritetspolicy Upplev Norrköping

Riktlinjer för behandling av personuppgifter i Årjängs kommun

PERSONUPPGIFTSBITRÄDESAVTAL

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Välkomna till kurs i den nya dataskyddsförordningen

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

GDPR. General Data Protection Regulation. dataskyddsförordningen

Dataskyddsförordningen

INTEGRITETSTSPOLICY AVSEENDE RESTAURANGGÄSTER MED FLERA

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Dataskyddsförordningen GDPR - General Data Protection Regulation

PUL OCH DATASKYDDSFÖRORDNINGEN

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Skolan och Dataskyddsförordningen

GDPR - Riktlinjer för hantering av personuppgifter

Tegehalls revisionsbyrå och dataskyddsförordningen

Dataskyddsförordningen

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen och kvalitetsregister

Personuppgiftsbiträdesavtal

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

PERSONUPPGIFTSBITRÄDESAVTAL

Lathund Dataskydd för krögare

Policy för behandling av personuppgifter

WHITE PAPER. Dataskyddsförordningen

Nya dataskyddsförordningen GDPR

Information om dataskyddsförordningen

GDPR General data protection regulation Dataskyddsförordningen

Samspelets behandling av personuppgifter

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Axholmen:s Integritetspolicy

GDPR ur verksamhetsperspektiv

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Vi bryr oss om dina personuppgifter

I de fall du är direkt kund hos NS är NS den personuppgiftsansvarige.

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

PERSONUPPGIFTSBITRÄDESAVTAL

Vi kan komma att göra förändringar i personuppgiftspolicyn. Den finns alltid aktuell under rubriken Om oss/organisation på vår webbplats.

Dataskyddsförordningen

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Top Fuel ABs integritetspolicy

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Behandling av personuppgifter vid Göteborgs universitet

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Transkript:

GDPR for testies med inslag av krav

15+ år 100+ anställda 3 regioner

REDEFINING QUALITY Vi skapar konkurrenskraft KONTEXT SAMSPEL ANSVAR

Vi skapar konkurrenskraft för våra kunder genom effektiv kravhantering och test UTBILDNING SPECIALIST- KONSULTING ÅTAGANDE

ENKLA PERSONLIGA ANSVARS- TAGANDE

PAUL DOMINIQUE 15 år sakförsäkring 5 år verksamhetsutveckling/krav

Vadårå? Syftet här är att definiera ramarna och introducera till GDPR ur ett testfokuserat kravperspektiv, till skillnad från det rent juridiska perspektivet. Ni som fyller i enkäten får tillgång till bilderna ;)

Vad har vi att jobba med idag? PUL (Personuppgiftslagen från 1998) När Brandy och Monica hade sin listetta på Billboard som vi ju alla minns. Reglerna i PUL har tillämpats olika i olika EU-länder och saknar sanktion kan man slarvigt säga. (Albumomslag till Brandy & Monica The Boy Is Mine från 1998, källa: Wikipedia, 24/7-2017, https://en.wikipedia.org/wiki/file:the_boy_is_mine_( Brandy_single)_coverart.jpg

Vart ska vi? 25 maj 2018 kan man hoppas att det är Foo fighters med Run. Det är definitivt General Data Protection Regulation med samma regler som Wendy och Brandy eller vad de nu hette men nu gäller alla regler likadant i hela EU och om de inte efterlevs finns kraftiga sanktioner att ta till från Datainspektionen som blir övervakande myndighet. (källa: http://www.ooyuz.com/, 24/7-2017, http://www.ooyuz.com/geturl?aid=15885229)

Ur konsumentens perspektiv (lite raljant): PUL 26: Svara när du har lust eller litet tid över GDPR: Ge komplett svar i princip på telefon samtidigt som frågan ställs

Nyheter med testing highlights Nya krav på personuppgiftsbiträdet Utökad informationsskyldighet Incidenthantering Privacy by design Konsekvensbedömning (för den enskilde) Dataskyddsombud Uppförandekoder och certifieringar (källa: http://www.ooyuz.com/, 24/7-2017, http://www.ooyuz.com/geturl?aid=15885229)

Biträdet Förtydligande eller utökning av dagens regler: Den personuppgiftsansvarige får endast anlita ett biträde som ger tillräckliga garantier för att de följer kraven i förordningen. Krav på avtal (personuppgiftsbiträdesavtal) mellan den ansvarige och biträdet som reglerar personuppgiftshanteringen. Biträdet måste säkerställa att denne har rätt att anlita underbiträden genom att detta framgår i avtalet med den personuppgiftsansvarige.

Definition personuppgifter Personuppgift: All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Bikupa: Personuppgiftsleken Ge exempel på detaljer i människors digitala avtryck som tillsammans skulle kunna bli en personuppgift. Diskutera! 2 minuter (John Cleese i Monty Pythons Flying Circus, S1, A3 'How to Recognise Different Types of Trees from Quite a Long Way Away', källa: moviedude.co.uk, 24/7-2017, http://moviedude.co.uk/[tv]%20john%20cleese%20 %27Monty%20Python%27s%20Flying%2 0Circus%27%20Season%201.htm)

Personuppgiftsleken Goda kakor på det här stället, mitt bästa lokala bageri Arvid 55, Yelp A.Håkansson, ingenjör, Solna - Kommentar Familjeliv Pappa Arvid är ingenjör - Skylt på förskola Boende på Tjillevippenvägen 10x xx, Solna, 55 årig man, delas med 84-årig kvinna - Eniro (John Cleese i A fish called Wanda, källa: IMDB, 24/7-2017, http://www.imdb.com/name/nm0000092/mediavie wer/rm4118185216)

Varför ska man hålla på med säkerhetsklassning? svt.se

Personuppgiftsincident ( Data Breach ) Art 4 Juridisk definition: En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats Trumps definition: Really, Really, bad. Really bad. Terribly bad. A disaster. (Donald Trump, källa: The Oddyssey Online, 24/7-2017 https://www.theodysseyonline.com/donald-trumps-hair)

Incidentrapportering Krav på rutiner och processer för att upptäcka, rapportera och utreda incidenter: Vid personuppgiftsincidenter ska den personuppgiftsansvarige inom 72 timmar anmäla upptäckt incident till tillsynsmyndigheten. Personuppgiftsbiträdet ska utan dröjsmål underrätta den personuppgiftsansvarige vid en personuppgiftsincident.

Bikupa: Svårigheter för testare med GDPR Vad tror ni är de största svårigheterna för testare post-gdpr? Diskutera! 2 minuter

Testdata Pågår projekt på banker vi arbetar med och de lär inte vara ensamma om att ha problem med testdata. Där fiktiv data skapas från grunden, vilket tar bort behovet av äkta data.

Privacy by design Inte samla in mer information än vad som behövs inte ha den kvar längre än man behöver och inte använda den till något annat än vad man samlade in den för informera om hur uppgifterna ska behandlas begära samtycke insyn i behandlingen

Privacy by design (Acceptanstest/Krav-perspektivet) Säkra att man begränsat sig till uppgifter som endast indirekt pekar ut en individ Säkra att man begränsat sig till uppgifter som är mindre känsliga Testa att ersätta namn och andra direkt identifierbara uppgifter (pseudonymisering) Uppmärksamma att inte rutinmässigt ha med personnummer som fält i databaser Exempel: Om ett ärendehanteringssystem kan göra mer med personuppgifter än vad som är tillåtet enligt ändamålet så ska man kunna begränsa och spärra de funktionerna för handläggare innan systemet tas i drift.

Skydda uppgifterna Funktioner för autentisering, minst lösenord, med tillhörande rutiner och funktioner för säker hantering och möjlighet att ansluta systemet till extern kontohantering. Säkra möjlighet att använda kryptering vid kommunikation över Internet, i databaser, på mobila enheter. Rutiner och tydlig information om säkerhet till systemets användare. Testa loggad användning för att kunna utreda felaktig åtkomst till personuppgifter. Säkra stöd för säkerhetskopiering. Testa säker utplåning, dvs. skydd mot att data läcker ut efter att hela eller delar av systemet tagits ur drift och skrotats. Metoder för radering och förstöring av lagringsmedia Risken för läckage minskar om hårddisk och usb krypterad

Skydda uppgifterna När uppgifterna inte längre behövs ska de tas bort, helst genom automatisk radering (gallring). Funktioner för att på begäran från enskilda individer enkelt kunna lämna registerutdrag (om möjligt gränssnitt för att låta den registrerade själv få insyn) Stöd för samtycke och återtagande av samtycke

Privacy by design - Sammanfattning Tekniska skydd på alla system som hanterar personuppgifter (skyddets nivå i förhållande till risken med behandlingen av uppgifterna) Grundläggande principer: inte samla in mer information än vad som behövs inte ha den kvar längre än man behöver och inte använda den till något annat än vad man samlade in den för. informera om hur uppgifterna ska behandlas, att begära samtycke och att tillåta insyn

Vad betyder det konkret och vad är viktigast för en organisation? GDPR-Spindel Bygg inte in grejor som inte behövs på riktigt Loggar

GDPR-Spindel Databas Databas Centralt register-gränssnitt GDPR-Databas Databas Databas Integrations motor 2) Databas 1)

Sanktioner 2-4 % av företagets totala omsättning i böter om den personuppgiftsansvariga inte följer dataskyddsförordningens hanteringsregler eller Datainspektionens beslut. Sanktionsnivån beror på hur allvarligt regelbrott man gör sig skyldig till. Den absolut högsta nivån är det högsta beloppet av 20 miljoner Euro eller 4% av företagets/organisationens globala omsättning. Drabbade personer har också rätt till ersättning för skador såsom upplevda kränkningar eller bedrägeri.

Frågor http://www.datainspektionen.se/dataskyddsreformen/forberedelser/forb eredelser-for-personuppgiftsansvariga https://konsultbolag1.se/bloggen/ar-du-gdpr-redo

Keep in touch www.konsultbolag1.se @Konsultbolag1 Förnamn Efternamn Mailadress Telefonnummer Konsultbolag1 AB Norrtullsgatan 15 113 29 Stockholm

GDPR som testare och kravare-informationskrav Väsentligt utökade krav på den information som ska lämnas till den registrerade, nu även: den rättsliga grunden för behandlingen vilka mottagare som ska ta del av personuppgifterna (underleverantörer, partners m.fl.) hur länge uppgifterna sparas utökade rättigheter för de registrerade behöver kommuniceras se nästa bild Allt detta måste in i en personuppgiftspolicy.

Rättigheter för den registrerade att bli informerad om Informera (typiskt sett i en personuppgiftspolicy) om: Rätten att kunna begära tillgång till och rättelse eller radering av personuppgifter rätten att begära begränsning av behandling som rör den registrerade rätten att invända mot behandling rätten till dataportabilitet om behandlingen grundar sig på samtycke, att den registrerade när som helst kan återkalla sitt samtycke rätten att inge klagomål till en tillsynsmyndighet (och ange vilken med kontaktinfo)

Samtycke frivilligt, specifikt, informerat och otvetydigt medgivande om att den registrerade godkänner behandling av personuppgifter som rör honom eller henne

Hur lämnas samtycke? Information, som gör det möjligt att bedöma för- och nackdelarna med behandlingen av personuppgifterna, måste ges Ett samtycke ska vara otvetydigt (t.ex. oifylld checkruta) Det får inte råda någon tvekan om att ett frivilligt samtycke verkligen föreligger (jfr anställd i beroendeställning) Måste vara specifikt, dvs måste gälla en viss behandling som rör den registrerade, som utförs av en viss registeransvarig och för vissa ändamål Ett samtycke får när som helst återkallas av den registrerade Riskfyllt att t.ex. bygga ett system baserat insamling av samtycke från samtliga registrerade eftersom det kan återkallas när som helst

Incidentrapportering-fördjupning Informationen till Datainspektionen ska innehålla uppgifter om: Vilken typ av incident det är fråga om, Vilka kategorier av personer som kan komma att beröras, Hur många personer det berör, Vilka konsekvenser incidenten kan få, samt Vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser.

Incidentrapportering-fördjupning För det fall att man har haft en incident så kommer Datainspektionen och ev. andra myndigheter att granska de åtgärder man hade på plats innan en incident. Storleken på en eventuell sanktionsavgift kommer att påverkas av de åtgärder man hade vidtagit innan incidenten.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss