Rubrik. LIS + GDPR = Sant! Anne-Marie Eklund Löwinder, CISO Internetstiftelsen i

Relevanta dokument
Vem äger informationen outsourcad IT och ändrade säkerhetspolitiska förutsättningar

Digitalisering först till vilket pris?

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

GDPR NYA DATASKYDDSFÖRORDNINGEN

INFORMATIONSSÄKERHET OCH DATASKYDD

Välkomna till kurs i den nya dataskyddsförordningen

Dataskyddsförordningen

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

EU:s dataskyddsförordning

GDPR- Seminarium 2017

EU:s dataskyddsförordning

Översikt av GDPR och förberedelser inför 25/5-2018

GDPR Presentation Agenda

Handlingsplan för persondataskydd

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen

Vården och reglerna om dataskydd

GDPR UTBILDNINGSDAG SKKF

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen (GDPR)

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

GDPR. Dataskyddsförordningen

Dataskyddsförordningen

DATASKYDD (GDPR) Del 1. Del 2. Dataskyddssamordnare. Del 4. Om dokumentet. Organisationens högsta ledning Kommunledning eller regionledning

Dataskyddsförordningen

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Riktlinjer för dataskydd

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Dataskyddsförordningen

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Dataskyddsförordningen GDPR

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Ett eller flera dataskyddsombud?

Lindesbergs kommuns arbete med dataskyddsförordningen

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Information till personuppgiftsansvarig om dataskyddsombud

Regler för behandling av personuppgifter vid Högskolan Dalarna

Dataskyddsförordningen (GDPR)

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

EU:s allmänna dataskyddsförordning:

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Dataskyddsreglerna (GDPR)

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Denna policy skapades av och för organisationens behandling av personuppgifter.

Policy för informations- säkerhet och personuppgiftshantering

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

Policy för behandling av personuppgifter

Personuppgiftsbehandling Dataskydd

Dataskyddsförordningen - GDPR

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Skolan och Dataskyddsförordningen

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Dataskyddsförordningen. GDPR (General Data Protection Regulation)

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

EU:s nya dataskyddsförordning Lotta Wikman Öman

Riktlinjer för hantering av personuppgifter

Välkomna till kurs i dataskyddsförordningen med fokus på informationssäkerhet

Dataskyddsförordningen

Informations säkerhet och integritet -

GDPR. Dataskyddsförordningen 27 april Emil Lechner

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Information om dataskyddsförordningen

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Dataskyddsförordningen GDPR - General Data Protection Regulation

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Datskyddsförordningen Gymnasieantagning

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

WHITE PAPER. Dataskyddsförordningen

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

Ledningens informationssäkerhet

Koncernkontoret Enheten för juridik

En guide om GDPR och vad du behöver tänka på

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Fastställelsedatum: Ansvarig: Dataskyddsombud. Revideras: Följas upp: Vart fjärde år

PERSONUPPGIFTSBITRÄDESAVTAL

Olingo Consulting & Advokatfirman Vinge

Dataskyddsförordningen och kvalitetsregister

GDPR - Riktlinjer för hantering av personuppgifter

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Transkript:

Rubrik Lorem ipsum dolor sit amet, consectetur adipiscing elit. Phasellus dictum laoreet mi, vel consectetur nisi ultricies sed. Vivamus viverra porttitor semper. iis.se LIS + GDPR = Sant! Anne-Marie Eklund Löwinder, CISO Internetstiftelsen i Sverige @amelsec amel@iis.se

Kort om Internetstiftelsen Oberoende allmännyttig organisation som verkar för en positiv utveckling av internet Sköter administration och teknisk drift av.se och.nu Driver identitetsfederationer för vård och skola i Sverige Investerar i internetutvecklande projekt (år 2016 rörde det sig om cirka 50 miljoner kronor) Vision: Alla ska vilja, våga och kunna använda internet Bild 2

Rubrik Lorem ipsum dolor sit amet, consectetur adipiscing elit. Phasellus dictum laoreet mi, vel consectetur nisi ultricies sed. Vivamus viverra porttitor semper. iis.se iis.se

Informationssäkerhet Information är en tillgång vilken, liksom andra viktiga affärstillgångar, har ett värde för en verksamhet och därmed behöver ett passande skydd Informationssäkerhetsåtgärder syftar till att skydda information och informationssystem från oauktoriserad åtkomst, användning, röjande, avbrott, modifiering, granskning, avspelning eller förstöring Bild 4

Informationssäkerhet Sekretess Riktighet Tillgänglighet Spårbarhet Standarder Modeller Metoder Styrmedel System Tekniker Bild 5

iis.se

Bild 7

Bild 8

Bild 9

Dataskyddsförordningen Vad, hur och varför? Principer för behandling av personuppgifter Skyldigheter för aktörer Rättigheter för de registrerade Bild 10

Ett systematiskt informationssäkerhetsarbete är en förutsättning för att efterleva den nya dataskyddsförordningen. Frågorna är ändå många om hur dataskyddsförordningen förhåller sig till informationssäkerhet. Det här är min bild. Bild 11

Skillnader mellan PUL och GDPR En organisation som behandlar personuppgifter: Har ansvar för dataskyddsfrågor Måste informera om bearbetning Ska ha inbyggt skydd för personuppgifter i IT-system Är skyldig att informera om incidenter Bild 12

Skillnader mellan PUL och GDPR Stärkta rättigheter för individen Aktivt samtycke Enbart bearbetning som man samtyckt till Ökad insyn Rätten till dataportabilitet Lättare att klaga Rätten att bli glömd Bild 13

Integritet och konfidentialitet Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder Nyhet Säkerhet för personuppgifter upphöjs till princip (var tidigare bara en skyldighet) Bild 14

Ansvarsskyldighet Den personuppgiftsansvarige ska ansvara för och kunna visa att principerna efterlevs Tydligt ansvar! Inte bara följa förordningen utan också visa att förordningen följs Om man råkar göra rätt är det fel Bild 15

Bild 16

Särskilt spännande! Inbyggt dataskydd och dataskydd som standard Konsekvensbedömning avseende dataskydd (PIA) Anmälan av en personuppgiftsincident till tillsynsmyndigheten Säkerhet för personuppgifter Risk-based approach Bild 17

Vad innebär då GDPR för informationssäkerheten? På riktigt? Ingenting. Inget nytt under solen Inga nya krav, inga nya metoder, inga nya tekniker Åtgärd = åtgärd Lämpligt = lämpligt Innehåller däremot en hel del hjälpmedel för arbetet Förhoppningsvis blir det lättare att bedriva informationssäkerhetsarbete när tydligheten och incitamenten ökar Bild 18

Dataskyddslagen En utredning har lagt fram förslag på ny lag som ska komplettera Dataskyddsförordningen, kallad Dataskyddslagen. Lagförslaget har varit ute på remiss, IIS har lämnat remissvar. Utredningen föreslog bland annat: Att barn ska kunna samtycka från 13 års ålder Att administrativa sanktionsavgifter även ska gälla myndigheter Att dataskyddsombud ska ha tystnadsplikt Att ingen straffrättslig bestämmelse införs Bild 19

Dataskyddsförordningen Artikel 29-gruppen fortsätter arbeta efter sin actionplan. Vägledningar: Dataportabilitet Dataskyddsombud (DPO) Ansvarig tillsynsmyndighet (One Stop Shop) Konsekvensbedömningar (PIA) (utkast) Kommande vägledningar Profilering, Certifieringsmekanismer, Samtycke, Information till den registrerade, Personuppgiftsincidenter, Överföring till tredje land. Bild 20

Bild 21

IIS anpassning till GDPR Verksamhetsövergripande projekt Men också ett transformationsprojekt för hela stiftelsen Vill skapa en kultur inom stiftelsen där stiftelsen värnar om både sina anställdas och sina kunders integritet Dataskyddsarbetet ska vara ett levande och ständigt pågående arbete inom stiftelsen Bild 22

IIS anpassning till GDPR Registerförteckning över IIS personuppgiftsbehandling Jämförelse med DF krav Åtgärdslista Projektform Projektplan Implementation Utbildning Bild 23

Bild 24

Everything should be made as simple as possible, but not simpler Albert Einstein Bild 25

Bild 26

Framgångsfaktorer? Personuppgifter som en del i företagets totala informationssäkerhet på alla nivåer Skaffa en tydlig bild av all hantering av persondata inom organisationen Ha systematik i och mellan processer och genomarbetade rutiner för informationssäkerhet Tydliga roller och ansvar Bra verktygslådor för att leva upp till krav på förändringar, nya lagoch kundkrav och ständiga förbättringar Bild 27

Vad behövs i verksamheten? Organisation och roller Processer/rutiner Kommunikation med berörda Information till individ Information till Datainspektionen Personuppgiftsbiträden får större ansvar Bild 28

Förberedelser Kunskap och medvetande Inventera och dokumentera personuppgifter Information på förhand till registrerade Rutiner för att uppfylla registrerades ökade rättigheter Rutiner för att hantera incidenter kring personuppgifter Utse personuppgiftsombud Säkra att systemen svarar upp mot de nya kraven Bild 29

ISO 27001 Ledningssystem för informationssäkerhet Ger en bra grund Helhetsgrepp Personuppgifter = informationstillgångar Lagen anger kraven, standarden ger verktygen Med certifiering får ni ett par extra ögon Bild 30

Hur långt har ni kommit? Det är 192 dagar mellan 2017-11-14 och 2018-05-25 Minus lördagar och söndagar, jul, nyår, påsk, Valborg Bild 31

Bild 32

iis.se Bild 33 Källa: Governo

Strategi 2012 Med medborgaren i centrum Mål: En enklare vardag för medborgare Öppnare förvaltning som stödjer innovation och delaktighet Högre kvalitet och effektivitet i verksamheten Bild 34

Strategi 2017 Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter när myndigheter och förvaltningar går över till att skicka e-post istället för vanliga brev är det en samhällsuppgift att se till att alla kan ta emot e-posten. Peter Eriksson iis.se Bild 35

Delmål Bild 36

Använder internet Bild 37

Bild 38

Bild 39

Bild 40

Fem hinder 1. Bristande kunskap 2. Bristande förmåga 3. Bristande motivation 4. Bristande tillgång 5. Bristande tillit iis.se Bild 41

Tillgång till en lösning Så snabbt som möjligt Så billigt som möjligt Så bra som möjligt 42

Akta er för. 1. För mycket fokus på kostnader 2. För lite fokus på kvalitet och säkerhet 3. För otydliga krav 4. För lite dj-lar anamma Bild 43

Tack för uppmärksamheten! Anne-Marie Eklund Löwinder Säkerhetschef Internetstiftelsen i Sverige @amelsec amel@iis.se https://www.iis.se iis.se Goto10.se Bild 44

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss