Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Relevanta dokument
Riktlinjer för dataskydd

Personuppgiftsbiträdesavtal

Mall för den Personuppgiftsansvariges Instruktion för Behandling av Personuppgifter

Riktlinjer informationssäkerhetsklassning

Policy för personuppgiftsbehandling

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Informationsklassning och systemsäkerhetsanalys en guide

Anmälan av personuppgiftsincident

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Anmälan av personuppgiftsincident

Integritetspolicy för Judiska församlingen (JF) i Stockholm

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

GDPR- Seminarium 2017

Koncernkontoret Enheten för juridik

PERSONUPPGIFTSBITRÄDESAVTAL

VÄGLEDNING INFORMATIONSKLASSNING

INFORMATIONSSÄKERHET OCH DATASKYDD

Bilaga Personuppgiftsbiträdesavtal

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Bilaga - Personuppgiftsbiträdesavtal

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Personuppgiftsbiträdesavtal

BILAGA Personuppgiftsbiträdesavtal

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Personuppgiftsinformation för Svedala kommun

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Bilaga 7 P ersonuppgiftsbiträdesavtal

GDPR. Dataskyddsförordningen

Instruktion till mall för registerförteckning

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Lathund Dataskydd för krögare

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Personuppgiftspolicy

Riktlinjer för IT och informationssäkerhet - förvaltning

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Riktlinjer för behandling av personuppgifter

Personuppgiftsbiträdesavtal Fastighetsägarna Dokument

Personuppgiftsbiträdesavtal

EU:s nya dataskyddsförordning Lotta Wikman Öman

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

GDPR POLICY Behandling av personuppgifter

Personuppgiftsbehandling Dataskydd

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

PERSONUPPGIFTSBITRÄDESAVTAL

INTEGRITETSPOLICY FÖR BOSTADSRÄTTSFÖRENINGEN BOKLOK Eriksbergsbergsterrassen

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Integritetspolicy. Dokumentnamn: Integritetspolicy Version:

Policy för behandling av personuppgifter

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

PERSONUPPGIFTSBITRÄDESAVTAL

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Personuppgiftspolicy Signera Rekrytering AB

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

PERSONUPPGIFTER SOM BEHANDLAS

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

(5) Integritetspolicy - Kumla Bostäder AB

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

PERSONUPPGIFTSBITRÄDESAVTAL

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Regler för studenters behandling av personuppgifter vid Högskolan i Borås

Papperskopia av dokumentet endast giltigt med röd stämpel: Registrerad kopia.

Dataskyddsförordningen, GDPR

Lathund Personuppgiftslagen (PuL)

Personuppgiftsbiträdesavtal

InTime International AB (nedan kallat Personuppgiftsbiträdet ) med organisationsnummer och adress Varvsgatan 47, Luleå

Södertörns brandförsvarsförbund

PERSONUPPGIFTSBITRÄDESAVTAL Avtal enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/6791

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Bilaga 1a Personuppgiftsbiträdesavtal

BOSTADSRÄTTSFÖRENINGEN MAGNETENS PERSONUPPGIFTSPOLICY

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Svensk författningssamling

Information om dataskyddsförordningen

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Saknar du svar på någon fråga får du gärna hör av dig till oss. Information om hur du kontaktar oss finns under avsnitt 16 Kontaktuppgifter.

En personuppgift kan enklast beskrivas som en uppgift (information, data) som kan härledas till en enskild person. Syftet med hanteringen av personupp

Personuppgiftsbiträde

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Bilaga Personuppgiftsbiträdesavtal Innehållsförteckning

INTEGRITETSPOLICY FÖR RYHED IDROTT OCH REHAB AB

Metod för klassning av IT-system och E-tjänster

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Bilaga Personuppgiftsbiträdesavtal UPP 2016/235. Innehållsförteckning

Behandling av personuppgifter vid Göteborgs universitet

GDPR - Riktlinjer för hantering av personuppgifter

Transkript:

Generellt om information och dess säkerhet Alla är nog medvetna om att information kan vara av olika känslighet, dels från helt harmlös till information som är av stor betydelse för Sveriges säkerhet. Personuppgifter är också information. För att fastställa vad som gäller säkerhetsklassar man informationen med hjälp av någon vedertagen metod. Sveriges kommuner och landsting, SKL har ett webbaserat verktyg som är kostnadsfritt att använda. https://klassa-info.skl.se/ Roller Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg Informationsägare Informationsägare är den som äger och ansvarar för att informationen är riktig och tillförlitlig samt för det sätt informationen sprids. Informationsägaren är därmed riskägare för den information som ska hanteras i IT-systemet/lösningen. Systemägare Person eller enhet som har det övergripande ansvaret för ett IT-system/lösning. ITsystemet/lösningen hanterar alltid en eller flera informationsmängd(er). För att hantera risker bör systemägaren genomföra en riskanalys. Utifrån riskanalysen och informationsägarens krav på skydd är det systemägarens ansvar att tillse att adekvata skydd skapas. Systemförvaltare Systemförvaltaren är den som aktivt förvaltar IT-systemet på systemägarens uppdrag. Informationsförvaltare Informationsförvaltare är den som aktivt förvaltar informationen på informationsägarens uppdrag.

Beskrivning av konsekvensnivåerna i verktyget KLASSA där det finns 5 nivåer. Synnerligen allvarlig skada (4) Systemet behandlar information som omfattas av sekretess och rör Sveriges säkerhet (hemliga uppgifter) där röjande av information, felaktig information eller otillgänglig information kan ge oöverskådliga konsekvenser där t ex omfattande fara för liv och hälsa föreligger. Säkerhetsskyddet inriktar sig på skydd mot antagonistiska hot, vilket betyder att den ska förebygga spioneri, sabotage och andra brott som kan hota rikets säkerhet samt terroristbrott, även om brotten inte hotar rikets säkerhet. Allvarlig skada (3) Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen. Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt. Individers liv och hälsa äventyras. Betydande skada (2) Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Samhällsviktiga funktioner i egen eller annan organisation påverkas troligen inte. Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen. Måttlig skada (1) Inga märkbara större svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan. Försumbar skada (0) Inga svårigheter för verksamheten att nå målen. Ingen eller endast försumbar påverkan på samhällsviktiga funktioner vid egen eller annan organisation.

Personuppgifter finns i olika former. Enligt Dataskyddsförordningen ska den som är personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna i relation till dess skyddsvärde. Personuppgifter som kanske inte ses som integritetskänsliga såsom adress eller telefonnummer kan bli känsliga beroende på i vilket sammanhang de förekommer eller hur stor omfattning (antal registrerade) de behandlas. Integritetskänsliga personuppgifter är t.ex. uppgifter om ekonomisk hjälp eller insatser inom socialtjänsten och ska normalt hanteras på samma sätt som om de vore känsliga. Särskilda kategorier (tidigare benämns som känsliga personuppgifter) är: ras eller etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i fackförening hälsa eller sexualliv genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person Några punkter man kan ta in i arbetet med att klassificera informationen kan baseras bl.a. på: Finns uppgifter om personer med skyddade personuppgifter? Finns uppgifter som behandlar sociala eller ekonomiska förhållanden? Behandlas personuppgifter om många personer? Behandlas personnummer eller samordningsnummer? Behandlas en stor mängd personuppgifter om varje person? Ju fler av dessa frågor som man svarar Ja på, desto mer omfattande bör säkerhetsåtgärderna vara vilket ska leda till att klassificeringen ska bli högre. I Dataskyddsförordningen kommer fler krav att ställas vid behandling av personuppgifter, t.ex. införs begreppet personuppgiftsincident vilket betyder en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Det innebär att personuppgifter måste hanteras på ett korrekt sätt gällande alla säkerhetsaspekter, inte bara konfidentialitet, dvs. även aspekten tillgänglighet (läs: backup) måste vägas in, liksom riktighet. Med sannolikhet hamnar harmlösa personuppgifter i klassificeringen betydande för samtliga säkerhetsaspekter. I sammanhang där särskilda kategorier (känsliga personuppgifter) behandlas är klassificeringen allvarlig för säkerhetsaspekten konfidentialitet och i vissa fall även riktighet.

Personuppgiftsbiträdesavtal När ett pubavtal skall tecknas skall den personuppgiftsansvarige beskriva tydligt för biträdet hur personuppgifterna skall hanteras. Om mallen från SKL används så finns en instruktion för hantering av personuppgifter där möjligheten finns att förstärka och beskriva mer ingående hur biträdet skall hantera den personuppgiftsansvarigas personuppgifter. Nedan några exempel: Ange särskilda tekniska skyddsåtgärder vad gäller personuppgiftsbehandlingen som utförs av personuppgiftsbiträdet. Exempelvis att leverantören skall uppfylla de krav som framgår när en informationssäkerhetsklassning är gjord med KLASSA Leverantören skall också på begäran kunna redovisa status på uppfyllelse av dessa krav. Exempelvis att redovisa hur säkerhet kring behörigheter hanteras. Även hur behörigheter raderas när dessa inte längre behövs. Ange särskilda loggningskrav vad gäller personuppgiftsbehandlingen samt vilka som ska tillgång till dem. Exempel, loggning av vilka användare som varit inloggad och har haft tillgång till personuppgifter Exempel, loggning av ändring av åtkomstbehörigheter Exempel, historik över förändring av ett betyg för enskild elev samt vem som genomfört förändringen. Överföring av personuppgifter till tredje land Exempel, endast personuppgifter om personal, elever och vårdnadshavare relaterade till supportärenden i form av kontaktuppgifter (namn, telefonnummer och e-postadress) får föras över till Personuppbiträdets underleverantör (se bilaga B2). Övriga instruktioner angående personuppgiftshanteringen som utförs av personuppgiftsbiträdet Exempel, upprätta fjärråtkomst till den personuppgiftsansvariges system för att undersöka och åtgärda tekniska problem Exempel, personuppgiftsbiträdesavtalets punkt 7.3 är gäller inte för denna tjänst. Andra aspekter som kan vara relevanta och ställas som krav Systematisk informationssäkerhet Hur arbetar personuppgiftsbiträdet med informationssäkerhet. Arbetar man med någon systematik, finns policys, finns interna riktlinjer? Skalskydd Hur är skalskydden realiserade? Hur loggas åtkomstkontroll till lokaler där personuppgifter hanteras? Behörigheter. Finns beskriven anställningsprocess. Sker registerkontroll av personal. Hur realiseras behörigheter till systemen.

Skrivs sekretessavtal och tystnadsplikt? Spårbarhet på åtkomstloggar? Hur hanteras personal som slutar och hur sker återtagande av behörigheter.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss