Dataskydd och personuppgifter vid Linköpings universitet

Relevanta dokument
Behandling av personuppgifter vid Göteborgs universitet

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

GDPR- Seminarium 2017

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Personuppgiftsinformation för Svedala kommun

Dataskyddsförordningen för prefekter och administrativa chefer

Dataskyddsförordningen i utbildningsverksamhet

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Kerstin Wardman, 25 april 2018

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Den nya Dataskyddsförordningen

GDPR. Ulrika Harnesk 17 oktober 2018

Personuppgiftsbehandling Dataskydd

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Koncernkontoret Enheten för juridik

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som jobbar med utbildning och administration

Dataskyddsförordningen GDPR

Dataskyddsförordningen 2018

Regler för behandling av personuppgifter vid Högskolan Dalarna

Dataskyddsförordningen

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Dataskyddsförordningen 2018

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Vården och reglerna om dataskydd

Policy för behandling av personuppgifter

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Riktlinjer för behandling av personuppgifter

Information om dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Dataskyddsförordningen

Dataskyddsförordningen

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Information om behandling av personuppgifter

PuL och GDPR en översiktlig genomgång

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Dataskyddsförordningen

GDPR NYA DATASKYDDSFÖRORDNINGEN

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

GDPR General data protection regulation Dataskyddsförordningen

PUL OCH DATASKYDDSFÖRORDNINGEN

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som jobbar med utbildning och administration

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Dataskyddsförordningen (GDPR)

EU:s dataskyddsförordning

EU:s dataskyddsförordning

Dataskyddsförordningen GDPR - General Data Protection Regulation

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

INFORMATIONSSÄKERHET OCH DATASKYDD

BEHANDLING AV PERSONUPPGIFTER VID UPPSATSARBETEN. En handledning för lärare och studenter

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Pass 6 Forskningsjuridik

GDPR. Dataskyddsförordningen

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Policy för personuppgiftsbehandling

Lindesbergs kommuns arbete med dataskyddsförordningen

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Så behandlar vi dina personuppgifter

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som är forskare

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

GDPR UTBILDNINGSDAG SKKF

GDPR - Riktlinjer för hantering av personuppgifter

Den nya dataskyddsförordningen

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Dataskyddsförordningen, GDPR

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Policy för behandling av personuppgifter

Nya dataskyddsförordningen GDPR

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Riktlinjer för dataskydd

GDPR definition och hur utbildningen berör(t)s av förordningen

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

LANDAHL ADVOKATBYRÅS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

EU:s nya dataskyddsförordning Lotta Wikman Öman

Transkript:

Dataskydd och vid Linköpings universitet Dataskyddsförordningen GDPR = General Data Protection Regulation EU-förordning gäller som svensk lag och tillämpas på samma sätt i alla EU:s medlemsstater Ersätter personuppgiftslagen (PuL) Syfte: Ett enhetligt regelverk som underlättar det fria flödet av person-uppgifter inom EU/EES och stärker den enskildes personliga integritet. 1

Kompletterande nationella regler Dataskyddslagen (2018:218) Utredningar som har lett till ändringar av nationella lagar, t.ex. Forskningsdatautredning Utbildningsdatautredning m.fl. Fler lagutredningar pågår Lagar som fortsättningsvis gäller Patientdatalagen Offentlighets- och sekretesslagen, arkivlagen m.fl. Vad omfattas av reglerna? All behandling av som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av som ingår i eller kommer att ingå i ett register. Det vill säga: I princip alla digitala handlingar och alla pappershandlingar som är sökbara. 2

Vad är en personuppgift? All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Till exempel: Namn Identifikationsnummer (t.ex. personnummer) E-postadress Postadress Foton och videofilmer, röst, online- identifierare (t.ex. lokaliseringsuppgifter via mobil) m.m. Avgörande är om en uppgift enskilt eller tillsammans med andra uppgifter går att koppla till en enskild person eller inte. Ibland kan en person identifieras genom flera till synes anonyma uppgifter Kvinna Adress + Ålder hyreshus + = Anna Andersson 3

Anonymisering vs. pseudonymisering Anonymisering Uppgifter är helt avidentifierade och kan inte längre kan härledas till en person Pseudonymisering Uppgifterna har avidentifierats genom att en identifierande del har avskilts från övriga uppgifter och försetts med en kodnyckel. Ej Personuppgifter så länge kodnyckel finns (oavsett var/hos vem) 9 Begrepp Personuppgiftsbehandling: Insamling, registrering, lagring, bearbetning, läsning, spridning, utplåning m.m. Personuppgiftsansvarig: Den som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av. LiU som organisation är personuppgiftsansvarig. 4

10 Begrepp Dataskyddsombud: funktion inom LiU som kontrollerar att personuppgiftsbehandling sker på korrekt sätt. Stöttar och reviderar verksamheten. Personuppgiftsbiträde: extern aktör som behandlar för LiU:s räkning. Registrerad: den vars behandlas. När får man behandla? - Om man följer de grundläggande principerna i dataskyddsförordningen. och - Det finns en rättslig grund för behandlingen. 5

Laglighet, korrekthet och öppenhet Uppgifterna ska behandlas lagligt, på ett korrekt sätt och öppet i förhållande till den registrerade Ändamålsenlighet Det ska finnas ett särskilt, uttryckligt och berättigat ändamål med behandlingen. Uppgifterna ska bara användas för det ändamål de är insamlade. Grundläggande principer Uppgiftsminimering Uppgifterna ska vara relevanta, adekvata och inte för omfattande i relation till ändamålet. Bara sådana uppgifter som behövs ska behandlas. Korrekthet Uppgifterna ska vara korrekta och om nödvändigt uppdaterade. Lagringsminimering Uppgifterna får inte förvaras längre än nödvändigt. Integritet och konfidentialitet Lämpliga tekniska och organisatoriska åtgärder ska vidtas för att säkerställa tillräckligt skydd för uppgifterna. Vanliga rättsliga grunder vid LiU Rättslig grund Innebär Exempel från verksamheten Samtycke Avtal Rättslig förpliktelse Uppgift av allmänt intresse Myndighetsutövning Frivilligt, Informerat Dokumenterat För att fullgöra avtal med den registrerade Att följa lagar och andra regler Uppdrag från riksdag och regering Nödvändigt som ett led i myndighetsutövning Forskning Samverkan Marknadsföring Anställningsavtal Samarbetsavtal Inköpsavtal LADOK-förordningen Arkivlagen Arbetsmiljölagen Utbildning Forskning Samverkan Examinering Disciplinärenden 13 6

14 Samtycke Ska vara frivilligt och individuellt Ska avse särskild specifik behandling med specifikt ändamål (undantag för forskning, bredare områden kan vara tillåtna) Ska ha lämnats genom en otvetydig eller uttrycklig viljeyttring Den informerade ska ha fått klar och tydlig information om syftet med behandlingen Den registrerade kan när som helt ta tillbaka sitt samtycke Man måste kunna visa att samtycke finns och har lämnats efter information (dokumentera) Känsliga 7

Vad är känsliga Ras, etniskt ursprung Politiska åsikter, religiös eller filosofisk övertygelse Medlemskap i fackförening Genetiska och biometriska uppgifter Hälsa eller sexualliv/sexuell läggning Huvudprincip är att känsliga inte får behandlas. Det finns dock undantag när den registrerade har samtyckt till behandlingen eller när behandlingen är tillåten enligt lag. När får känsliga behandlas? Uttryckligt samtycke eller Undantag i förordningen Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål och om uppgifterna skyddas med tekniska och organisatoriska skyddsåtgärder Etikprövning Pseudonymisering Organisatoriska lösningar Tekniska lösningar (kryptering, loggning m.m.) 8

Personnummer/samordningsnummer Får bara behandlas när samtycke finns, eller utan samtycke om det är klart motiverat med hänsyn till: ändamålet med behandlingen, vikten av en säker identifiering, eller av något annat beaktansvärt skäl. Personnummer ska alltid hanteras med försiktighet Överföring till tredje land Förbud mot överföring till tredje land (land utanför EU/EES) som inte har en adekvat skyddsnivå. Undantag, t.ex Samtycke Andra lämpliga skyddsåtgärder (t.ex. godkända uppförande koder, standardavtalsklausuler) Särskilda situationer och enstaka fall 9

Vilka rättigheter har en registrerad person? att få klar och tydlig information om personuppgiftsbehandlingen att få tillgång till sina uppgifter (registerutdrag) att få felaktiga rättade eller kompletterade att få raderade (under förutsättning att uppgifterna inte längre behövs för ändamålet eller att uppgifterna inte ska arkiveras enligt krav i annan lagstiftning) att kunna göra invändningar mot personuppgiftsbehandlingen att kunna flytta sina till annan (s.k. dataportabilitet) 20 21 Information till den registrerade Information som lämnas till den registrerade om behandlingen av dennes ska vara kortfattad och lättbegriplig. Det ska bl.a. framgå vilka uppgifter som behandlas, för vilket ändamål behandlingen görs och med vilken rättslig grund, och om möjligt hur länge de ska behandlas om na överförs utanför EU/EES-området, och kontaktuppgifter till dataskyddsombudet. I vissa fall kan en hänvisning till LiU:s integritetspolicy göras. 10

När vi inte följer lagen Datainspektionen är tillsynsmyndighet Föreläggande, varning och reprimand Sanktionsavgifter Den registrerades möjligheter Lämna klagomål till Datainspektionen Begära skadestånd Renomméskada för LiU Forskning Vid forskningsstudier krävs normalt alltid patientens samtycke till deltagande. Enbart EPN kan väga samhällsintresset mot patientintegritet och efterge kravet på samtycke för patienten. Patienten har rätt att få ta del av vilka som finns registrerade om henne/honom i forskningsstudien. Patienten har även rätt att få felaktiga uppgifter rättade. En patient kan alltid ta tillbaka sitt samtycke. 11

Patientdatalagen, PDL Ger vårdgivare rätt och skyldighet att behandla för vissa ändamål T.ex. föra journal Tillåter elektronisk åtkomst för vård och behandling (inte för forskning). Övriga ändamål (endast inom enskild vårdgivare): Kvalitetssäkring Uppföljning/utvärdering/tillsyn Statistik LiU Personuppgift er ändamål forskning Utlämnande RÖ Ändamål vård och behandling U t l. Patientnär a forskning 2018 11 15 25 12

Vilken hatt har du på dig? Personuppgiftsbiträdesavtal Den som är forskningshuvudman är skyldig att upprätta ett personuppgiftsbiträdesavtal om behandling av na sker av någon annan (t.ex. företag/universitet/rö). Biträdet ska hantera uppgifterna på det sätt den personuppgiftsansvarige anger i avtalet. Kontakta den personuppgiftsansvarige. 13

29 Säker hantering av Personuppgifter ska hanteras på ett säkert sätt så att de inte kan stjälas, raderas eller ändras. Tänk på att hålla dig uppdaterad kring LiU:s policy och riktlinjer enbart använda de verktyg som är godkända enligt LiU:s regler arbeta säkert genom att använda säkra lösenord, låsa eller logga ut från datorn när du lämnar den, inte lämna mobila enheter utan uppsikt och använda säkra kommunikationskanaler. Skydda uppgifterna genom behörighetsstyrning av mappar, IT-system o dyl. så att inte fler personer än nödvändigt kan ta del av dem. Incidentrapportering 14

Vad är en personuppgiftsincident? En personuppgiftsincident inträffar om : Blivit förstörda Gått förlorade på annat sätt eller Obehöriga fått tillgång till, t.ex. på grund av dataintrång Det spelar ingen roll om det skett oavsiktligt eller med avsikt. En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Rapporteringsplikt Personuppgiftsincidenter där det inte är osannolikt att incidenten medfört en risk för de registrerades fri- och rättigheter måste anmälas till Datainspektionen inom 72 timmar från det att de har upptäckts. Bedömning om en incident är rapporteringspliktig samt anmälan görs av dataskyddsombudet. 15

Praktiska råd om ITsäkerhet 33 Vanliga hot mot din och LiU:s IT-säkerhet Datavirus och annan skadlig kod Nätfiske Exempel på avancerad attacker (om vi hinner) 16

Skadlig kod Programvara som gör något oönskat, t.ex Tillåter obehöriga att avlyssna dig och fjärrstyra datorn. Gör bankärenden du inte har bett om. Låser alla dina dokument så du aldrig mer kan läsa dem. Skadlig kod sprids via Oönskad e-post ibland från ens egna kontakter. Webbplatser som har utsatts för intrång. USB-minnen som glöms på bussen eller delas ut på konferens. Reklambanners i legitima webbplatser. Direkta attacker mot datorer både PC och servrar. Exempel på skadlig kod 17

Riktlinjer för informationssäkerhet 40 Riktlinjer för informationssäkerhet https://insidan.liu.se/informationssakerhet Kapitel 3 Kontoadministration (länk i högermarginalen) Kapitel 1 Informationsklassning Kapitel 4 Systemadministratörer Kapitel 5 Riktlinjer för informationsägare Kapitel 2 Riktlinjer för anställda och uppdragstagare Kapitel 6 Riktlinjer för IT-system 18

Varför riktlinjer för informationssäkerhet? Skydda konfidentialitet, riktighet och tillgänglighet Dataskyddsförordningen Krav från lagstiftaren 19

Informationsklassning Kapitel 1 Riktlinjer för informationssäkerhet 50 20

21 Informationsklassning konfidentialitet konfidentialitet konfidentialitet konfidentialitet riktighet riktighet riktighet riktighet tillgänglighet tillgänglighet tillgänglighet tillgänglighet Känsliga Inga a Känsliga Inga a Hemlig uppgift Informationsklassning Klassningen pekar ut vilka riktlinjer som gäller för den klassade tillgången. konfidentialitet konfidentialitet konfidentialitet konfidentialitet riktighet riktighet riktighet riktighet tillgänglighet tillgänglighet tillgänglighet tillgänglighet Känsliga Inga a Känsliga Inga a

Informationsklassning (förenkling) Särskilt skyddsvärd information konfidentialitet eller riktighet eller tillgänglighet eller Känsliga konfidentialitet riktighet tillgänglighet konfidentialitet riktighet tillgänglighet Inga a Känsliga Molntjänster Massutskick Övervakning & regelbrott Riktlinjer för anställda m.fl. Kapitel 2 E-post Stöld & förlust Privat utrustning Användning av IT & information Användarkonton Grundläggande informationssäkerhet Avyttring 22

Riktlinjer för anställda m.fl. Anpassning till gällande lagstiftning Dataskyddsförordningen Offentlighet- och sekretesslag MSB:s föreskrifter Molntjänster Massutskick Övervakning & regelbrott Anpassning till förändrade hot och risker Riktade hot mot LiU Nätfiske och bedrägerier Kryptovirus och maskar Användning av IT & information E-post Användarkonton Grundläggande informationssäkerhet Stöld & förlust Avyttring Privat utrustning Sammanfattning Dela inte med dig av ditt användarkonto Använd LiU:s IT-resurser för arbetet (inte privata) Använd godkända molntjänster 23

Riktlinjer för kontoadministration Kapitel 3 Riktlinjer för prefekt eller motsvarande Riktlinjer för kontoadministratör Riktlinjer för systemadministratörer Kapitel 4 Särskilda rättigheter Befogenheter för LiU:s ITsäkerhetsgrupp Särskilda skyldigheter Objektägares ansvar att utse systemadministratör Allmänt 24

Informationssäkerhetsplan Riktlinjer för informationsägare Kapitel 5 Fysisk säkerhet Åtkomstkontroll Incidentrapportering och kontinuitet Förteckning av informationstillgångar Personuppgiftsbehandling Ansvar för medarbetare Anskaffning, upphandling och avyttring av IT-system Riktlinjer för informationsägare Informationsägare är den som har mandat att styra över eller besluta om att avveckla en viss informationstillgång. Exempel på informationsägare kan vara objektägare, ansvarig för ett forskningsprojekt eller examinator av ett exjobb. Fysisk säkerhet Åtkomstkontroll Informationssäkerhetsplan Incidentrapportering och kontinuitet Förteckning av informationstillgångar Personuppgiftsbehandling Ansvar för medarbetare Anskaffning, upphandling och avyttring av IT-system 25

Riskanalys och undantag Avsteg kan och bör göras där riktlinjerna inte är lämpliga Baseras inte på lag, förordning eller föreskrift För kostsamma i förhållande till riskreduktionen Omöjliga eller olämpliga att följa Informationsägaren har mandat att besluta om vissa avsteg Avsteg ska föregås av en riskanalys Avsteg ska dokumenteras och diarieföras Vissa avsteg kräver granskning och godkännande från informationssäkerhetssamordnaren Riktlinjer för informationsägare 5.1.1 Informationstillgångar ska minst var tredje år inventeras, klassificeras, och förtecknas [.] 5.3.1 Tillgång till hantering av en informationstillgång ska ges endast den som behöver tillgången [ ] 5.3.2 Vid indikation på att inloggningsuppgifter röjts ska behörighet återkallas [ ] 5.3.3 Behörigheter ska vara individuella. Opersonliga konton till IT-resurser ska undvikas. 5.3.5 Behörigheter till särskilt skyddsvärd informationstillgång ska granskas regelbundet. [ ] 5.4.1 Behandling av ska anmälas till universitetets dataskyddsombud [ ]. 5.5.1 Informationsägare ska säkerställa att avvikelser [ ] rapporteras till LiU:s IT-säkgerhetsgrupp. [ ] 5.8.3 Ändamålsenligt skydd ska användas vid fysisk transport av särskilt skyddsvärd informationstillgång. 26

Programvara Riktlinjer för IT-system Kapitel 6 Loggning Webbaserade system Säkerhetskopiering Krypto Krav på ITutrustning Grundläggande säkerhet Användarhantering och inloggning Serversäkerhet Systemförvaltning 27

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss