GDPR post 25:e Maj en praktisk lösning

Relevanta dokument
Tack till våra sponsorer!

Acando Simplifying GDPR. ACANDO CAPABLE BUSINESS GDPR Från ord till handling

När systemen inte får stanna

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Dataskyddsförordningen

Dataskyddsförordningen GDPR - General Data Protection Regulation

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

PwC Digital Trust Introduktion till GDPR. GRC-dagarna oktober 2017

Informationsblad om vissa juridiska aspekter på systematisk uppföljning i socialtjänsten och EU:s dataskyddsförordning

Dataskyddsförordningen. GDPR (General Data Protection Regulation)

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

EU:s dataskyddsförordning

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

GDPR. Dataskyddsförordningen

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Policy för behandling av personuppgifter

Hur kan krav på spel- och lotterisäkerhet driva fram ISO certifieringar?

När en konsekvensbedömning ska genomföras

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

CIO MÖTE OSLO 17/11 INFORMATION // INTELLIGENCE // ADVICE. Radar Ecosystem Specialists

Ledningens informationssäkerhet

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

36. GDPR-sex månader kvar november 2017

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

GDPR Presentation Agenda

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Ledningssystem för IT-tjänster

Nya krav på systematiskt informationssäkerhets arbete

BESKRIVNING AV PERSONUPPGIFTSHANTERING

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Riskhantering. med exempel från Siemens

Myndigheten för samhällsskydd och beredskaps författningssamling

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Dataskyddsförordningen (GDPR)

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

ISO/IEC och Nyheter

Informationssäkerhetspolicy inom Stockholms läns landsting

Serotonin Gåshud Kittlar i magen Skratt Uppskattad

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Rubrik. LIS + GDPR = Sant! Anne-Marie Eklund Löwinder, CISO Internetstiftelsen i

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

GDPR UTBILDNINGSDAG SKKF

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

FMV användning av ISO/IEC för ledningssystem implementering. Harold Bud Lawson Styrelsemedlem och Consulting Partner

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Den nya dataskyddsförordningen - GDPR

Administrativ säkerhet

De nya EU-reglernas krav på molnsäkerhet

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

INFORMATIONSSÄKERHET OCH DATASKYDD

Strukturerat informationssäkerhetsarbete

GDPR. General Data Protection Regulation. dataskyddsförordningen

Dataskyddsförordningen och kvalitetsregister

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Ett eller flera dataskyddsombud?

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Rätt säkerhet Outsourcing

Riskhantering för informationssäkerhet med ISO Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Policy för informationssäkerhet

Risk Management Riskhantering i flygföretag

Välkomna till kurs i den nya dataskyddsförordningen

Myndigheten för samhällsskydd och beredskaps författningssamling

Dataskyddsförordningen och Stadens styrsystem. Jan A Svensson Informationssäkerhetschef

Sex månader med GDPR. 8 november 2018

Översikt av GDPR och förberedelser inför 25/5-2018

INTEGRITETSPOLICY för Webcap i Sverige AB

Riktlinjer för dataskydd

Utvärdering av Ledningsprocesser. Fredrik Kjellberg Mannheimer

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

GDPR ur verksamhetsperspektiv

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Styr och utveckla ditt IT-stöd utifrån internationella standarder

GDPR- Seminarium 2017

Dataskyddsförordningen

GDPR - ARBETSRÄTT. Presentation för AFS den 25 september Advokat Emelie Svensäter Jerntorp

Dataskyddsförordningen 2018

ISO/IEC 20000, marknaden och framtiden

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Dataskyddsförordningen 2018

PuL och GDPR en översiktlig genomgång

Informationssäkerhetspolicy KS/2018:260

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Integritetspolicy. Vårt dataskyddsarbete

Design för användbarhet

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Policy för informations- säkerhet och personuppgiftshantering

Transkript:

GDPR post 25:e Maj en praktisk lösning Robert Singh 2018-10-23

Om mig! Informationssäkerhetsspecialist på ICA Sverige, funktionsansvarig för informationssäkerhet. M.Sc. i systemvetenskap med inriktning mot informationssäkerhet. B.Sc. i företagsekonomi. Erfarenhet av projektledning och informationssäkerhetsarbete i flera branscher och länder. Har bland annat jobbat med Ericsson Maersk Oil & Gas Handelshögskolan Länsförsäkringar OKQ8 NEVS 2

Agenda 1. Lite om ICA 2. Systemlösning för hantering av registrerades rättigheter 3. Ledningssystem för informationssäkerhet och GDPR compliance 4. DPIA & Privacy By Design 3

18-10-30 4 Lite om ICA

ICA 5

Stora teknologiska framsteg görs snabbt Digital interfaces Big data and computing power Advanced analytics/ AI/Machine Learning Robotics IoT (Internet of Things) More time spent on digital interfaces (e.g. mobile) New digital interfaces evolving (e.g. voice and AR/ VR) Enables more data collection Data captured and stored at a massive scale Sufficient processing power available for advanced analyses Mathematical/ statistical analytics and algorithms AI = programmed to be smart ; Machine learning = Learns to be smart Enabled by new technology/tools, data, computing power Physical robots move and interact with the environment Software robots perform tasks (e.g. RPA: robotic process automation) Sensors which collect data Added to everything Creating even more data 6 ICA Gruppen CMD 2017 2017-12-14

Konsekvenser av bristfälligt informationssäkerhet PCI DSS Regler kring korthantering - Konsekvens -> Varje transaktion blir X kr dyrare, rating för banken blir.. Personuppgifter I ett vitt perspektiv Hanteringskostnader, sanktioner, skadestånd och varumärkespåverkan Börsinformation Otillbörligt avslöjande, Legal påverkan och sanktioner Bristfälliga beslut Vi inte känner till våra risker. Avtalsbrott Vi kan inte hålla våra avtal om leveranser. Ineffektivitet Vi får inte ut lösningar i tid Vår interna hanteringskostnad i allmänhet blir större Varumärkespåverkan Vårt starka varumärke påverkas Legala krav Följa lagstiftning Skadestånd, rättspåverkan, Samhällspåverkan inte kunna förse våra kunder med livsmedel 7

Introduktion till informationssäkerhet på ICA Sverige vårt beroende ICA Sverige har ett starkt beroende till informationsbehandling och IT, och genom GDPR har vi skapat ett nytt ekosystem 8

Kopplingen mellan GDPR och informationssäkerhet Informationssäkerhet och skydd av personlig integritet kan synas vara två helt skilda saker men det finns mer gemensamma nämnare är olikheter. Informationssäkerhet går ut på att säkra informationstillgångars konfidentialitet, integritet och tillgänglighet. Skydd av personlig integritet innehåller legala rättigheter för registrerade, efterlevnad och risk. Informationssäkerhet Skydd av personlig integritet 9

Ledningssystemet för informationssäkerhet (LIS) på hög nivå Förväntat resultat av LIS är en integrerad och effektiv process för informationssäkerhetsarbetet som skapar enkelhet, relevant nivå och ansvarstagande, i linje med ICAs värderingar INPUT: OUTPUT: Krav och förväntningar från organisationen. Intern och extern påverkan, i form av risker och händelser. Ha koll/förstå Styra och samordna Skydda (Göra) Hantera händelser Verksamheten kan utföras utan allvarliga störningar. Allvarliga störningar kan hanteras 10

Systemlösning för hantering av registrerades rättigheter 18-10-30 11

Vi har en systemlösning för hantering av GDPR både för kunder och medarbetare 12

Läget just nu Registerutdrag Portabiltet Ärenden Från Butik Ärenden Till DPO 500+ 150+ Ca 20 tal om dagen Ca 10 tal om dagen 100 Antal inkomna e-mail till MBX- GDPR Ica Sverige I snitt ca 5/dag Tjänst för att hantera portabilitet med fullmakt från registrerad 80 60 40 20 0 Antal Total April Maj Juni 13 18-10-30

Ledningssystem för informationssäkerhet Vad är det och hur kan det användas 14

LIS 18-10-30 15

Vad är Ledningssystem för informationssäkerhet (LIS)? Ledningssystem uppbyggd struktur för att styra vårt informationssäkerhetsarbete. Mer konkret innebär detta mål och krav, metoder, rutiner, processer m.m. för hantering av informationssäkerheten. Vi arbetar Styrt, riskbaserat, systematiskt, ledningen är medveten och engagerad, med ständig förbättring. Systematiskt är att man arbetar planenligt, ordnat som följer en plan 16

Exempel på mål-karta för informationssäkerhet Vision: Informationssäkerhet möjliggör, skyddar och stödjer ICAs affär i alla lägen. Effektmål: Verksamheten ska inte drabbas av någon allvarlig störning och gör den det så ska den kunna hanteras. Strategiskt mål: Informationen skyddas utifrån externa och interna krav på konfidentialitet, riktighet och tillgänglighet. Mål: Styrande dokument enligt ISO 27001/27002 är upprättade och aktuella. Målen enligt 27002 är uppfyllda. Informationsskyddet är riskbaserat. Process för informationssäkerhetsarbetet är upprättad och införd

Information System Management System and Cloud/GDPR ISO/IEC 27002:2013 Riktlinjer för informationssäkerhetsåtgärder Risk Management ISO/IEC 27005: Information security risk management ISO/IEC 29134: Privacy impact assessment GDPR och infosäk ISO/IEC 29151: Code of practice for personally identifiable information protection ISO/IEC 27018: Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processor ISO/IEC 29101: Privacy architecture framework IISO/IEC 29190: Privacy capability assessment model Security measures ISO/IEC 27550 Privacy engineering ISO/IEC 29184: Online privacy notices and consent ISO/IEC 27001:2013 ISMS Requirements ISO/IEC 27552: Enhancement to ISO/IEC 27001 for privacy management Requirements ISO/IEC 29100: Privacy framework ISMS

Förväntat resultat av LIS är en integrerad och effektiv process för informationssäkerhetsarbetet som skapar enkelhet, relevant nivå och ansvarstagande, i linje med ICAs värderingar. Skapa säkerhetskultur i linje med ICAs värderingar som täcker Linjeverksamhet / Projekt & Utveckling / Förvaltning & Drift INPUT: Ha koll/förstå Styra och samordna Skydda Hantera händelser OUTPUT: Krav och förväntningar från organisationen. Intern och extern påverkan, i form av risker och händelser. Identifiera risker Omvärldsanalys Samverkan internt/externt Dimensionerande hotbild Infosäkerhetsanalys Gemensam lägesbild av behov och risker Riskhantering Planering/budget Resurssäkring Uppföljning Granskningar/ kontroller Mätning Utbildningsplanering Ledningens genomgång Kompetensanalys Kommunikation Ärendehantering Metodutveckling Upprätta handlingsplan Framtagande av regler Framtagande och införande av säkerhetsåtgärder Kontroll av nivån Operativ övervakning/ mätning Stöd/rådgivning Information/utbildning Avvikelsehantering Säkra upphandlingar Kontinuitetsplanering Livscykelhantering Incidenthantering Kris- och kontinuitetshantering Verksamheten kan utföras utan allvarliga störningar. Allvarliga störningar kan hanteras 19

Sambanden mellan strategin, ledningssystem och regelstyrning Ett övergripande mål är att varje aktivitet i verksamheten har koppling till visionen VAD VI STYR MOT STRATEGI VAD VI STYR MED L E D N I N G S S Y S T E M Visionen 1 2 3 4 Värderingar 1 2 3 4 5 Långsiktiga mål 1 2 3 4 5 6 7 Kortsiktiga mål A B C D Risk Policy Riktlinjer Instruk- tioner Rutiner R E G E L V E R K HUR VI REALISERAR Underlättas av rätt organisation, kompetens, processer, resurser och aktiviteter. Genomförs via planer, metoder, funktioner, modeller, ramverk och systemstöd. 20

Relationer mellan funktioner och roller 21

Information Security & Privacy activities ICAs projektmodell DP0 DP1 DP2 DP3 DP4 DP5 DP6 Project model phases Project Idea Prestudy Start-up Execution Roll-out & Handover Conclusion Benefit realization Information & IT Security & Privacy Activities 1. Understand the purpose of solution and establish overall context to discover information & Privacy Protection needs (DP1) Information Classification High-level Risk & Impact assessment High-level security & privacy objectives Project staffing needs 2. Define solution security & privacy requirements based on agreed protection needs (DP2) Threat Analysis & mitigation plan Security & Privacy Architecture Analysis Define detailed Security & Privacy objectives and requirements 3. Design, Develop and implement detailed security & privacy controls, based on security & privacy objectives and requirements (DP3) Define & design security & privacy controls; Develop security & privacy controls; Implement security & privacy controls in accordance 4. Validate the effectiveness of security & privacy controls (DP4) Develop test & evaluation plan for verification & validation of security & privacy controls Conduct security & privacy testing and evaluation on target solution Obtain solution approval, from an security & privacy perspective 5. Safe transition is ensured and the project provides support for as long as necessary until the operation is stable from an Security & Privacy perspective 6. The hand-over checklist is reviewed and closed. Unresolved issues are passed to the core maintenance organization

DPIA & Privacy by Design (i korthet) 18-10-30 23

Artikel 25 - Inbyggt dataskydd och dataskydd som standard 1. Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder såsom pseudonymisering vilka är utformade för ett effektivt genomförande av dataskyddsprinciper såsom uppgiftsminimering och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades rättigheter skyddas. 2. Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer. 3. En godkänd certifieringsmekanism i enlighet med artikel 42 får användas för att visa att kraven i punkterna 1 och 2 i den här artikeln följs. 24

Inbyggt Dataskydd på ICA Med andra ord Inbyggt dataskydd och dataskydd som standard på ICA innebär att de se till att de registrerade kan utöva sina rättigheter samtidigt som vi inte behandlar mer personuppgifter än nödvändigt för ändamålen, och att vi skyddar informationen på ett lämpligt sätt. Detta ska utföras med hänsyn till tillgänglig teknologi och best practice, kostnaden, behandlingens natur, omfattning, kontext och ändamål, såväl som riskerna för de registrerade. 25

Basfunktionalitet vid personuppgiftsbehandling En applikation eller system måste stödja möjliggörandet av de registrerades rättigheter. Funktionalitet måste finnas för: På begäran kunna ge den registrerade information om vilka personuppgifter som behandlas, såväl som hur och varför, ett s.k. registerutdrag. Begränsning av personuppgiftsbehandling för en registrerad, på begäran. Dock finns undantag Radering och anonymisering. 26

Personuppgiftbehandlingens livscykel och inbyggt dataskydd Processing Transfer Storage Collection Erasure/ Destruction/ Anonymization 27

Det kompletta skyddet för den registrerades integritet Det finns inget universellt recept för inbyggt dataskydd. Det är hoten, integritetsriskerna, behandlingens syfte och natur tillsammans med tillgänglig teknologi och kostnad som definierar vilka dataskyddskontroller som är nödvändiga. Basic Information Security requirements ICA Policies and control standards Business requirements Special processes? GDPR PII being processed? Data Protection Impact Assessment Additional req Privacy risk mitigations? Additional requirements from Business Intelligence. External risks? Slutgiltiga krav 28

ICA DPIA Process Business change event No need? Identify the need for DPIA Information flow mapping Identify privacy and related risks Identify and evaluate privacy solutions Sign-off and record DPIA outcomes Integrate DPIA outcomes back into project/business 29

1. Identifiera behov av konsekvensbedömning Behovet av en konsekvensbedömning kan identifieras som en del av organisationens ordinarie projektledningsmodell, eller triggas av förändringar i linjen. Rättfärdigandet av en konsekvensanalys ska: Förklara vad projektet eller verksamheten ska uppnå, vilka fördelar som aktiviteten har för organisationen, individer eller andra intressenter. Summera varför behovet av en konsekvensanalys identifierades (frågeformulär används med fördel) Behövs konsultation, antingen intern eller extern? Av experter eller de registrerade? Tumregel kan vara att de registrerades åsikter är extra viktiga om man gör avsteg från branschorganisationers etiska riktlinjer (ex. SWEDMA) DPO:n ska konsulteras om integritetsriskerna är höga. 30

2. Informationsflödesanalys Beskriv aktivitetens informationsflöden. Förklara vilken information som används, varför, vart den kommer ifrån och vart den tar vägen, vem som har åtkomst och annan nödvändig information. Beskriv personuppgiftsflödena och mer specifikt: Hur personuppgifter samlas in och från var Vem är ansvarig inom organisationen avseende personuppgiftsbehandling? Till vilket syfte behandlas personuppgifterna? Hur behandlas personuppgifter? Behållnings- och gallringspolicy för personuppgifterna Hur kommer personuppgifter hanteras? Hur kommer personuppgifterna skyddas? Identifiera om personuppgifter kommer överföras till jurisdiktioner med sämre dataskydd (vid överföring till tredje land) 31

3. Identifiera integritetsrisker Identifiera risker tillsammans med lämpliga representanter från verksamheten, IT, HR etc. Viktigt med olika perspektiv! Riskworkshop Samla riskerna i en risklogg Bestäm dimensionerna som risk bedöms i. 32

4. Identifiera och utvärdera åtgärder Förklara hur riskera kommer att hanteras; mitigera, acceptera, undvika, flytta. Dokumentera ägarskap! Utvärdera kostnad och fördelar med olika lösningar. Tänk över vilka resurser som finns och vad som är rimligt utifrån kostnad och state of the art. 33

5. Dokumentera konsekvensbedömning, åtgärdsplan och ägarskap Säkerställ att risker och åtgärder fått rätt förankring på lämplig nivå. Konsekvensbedömningsrapporten ska summera processen/metoden vilka steg som tagits för att minska integritetsriskerna. Den ska också innehålla beslut för hur riskerna ska hanteras. Fatta beslut tillsammans med DPO om en rapport eller annan information om konsekvensrapporten ska publiceras. Att publicera information om konsekvensbedömningar kommer öka transparens och ökar individernas förståelse om hur deras data används. Om riskerna trots konsekvensbedömning och åtgärder fortfarande är stora skall Datainspektionen kontaktas för förhandssamråd. 34

6. Integrera utkomsterna från konsekvensbedömningen i projekt och linjeaktiviteter Konsekvensbedömningens fynd och åtgärder ska integreras i projektplan eller verksamhetsplanering. Ibland är det nödvändigt att återbesöka konsekvensbedömningen i olika skeden. Större projekt gynnas troligen av en mer formell uppföljningsprocess. En konsekvensanalys genererar troligen åtgärder som kommer fortgå efter bedömningen genomförts, se till att uppföljning sker! Genomför Lessons Learned och förbättra framtida konsekvensbedömningar. 35

Lärdomar från ICA Bra behovsanalyser är viktigt! Representation i riskworkshop från flera perspektiv och områden skapar bättre förutsättningar för en effektiv riskidentifiering. Blanda högt och lågt, smalt och brett. Tidig förankring i team och management viktigt för framgång efter konsekvensbedömningen är gjord. Folk tänker väldigt lätt utifrån verksamhetens perspektiv, konsekvensbedömningen kräver ett integritetsperspektiv. Preppa deltagare i konsekvensbedömningen så att de förstår integritetsbegreppen. Uppmana dem att tänka utifrån sin egen situation! 36

18-10-30 37