Vad innebär EU nya Dataskyddsförordning som ersättare till PUL och Hur kan vi använda ISO/IEC 27001/29100/27018 i införandet? Rätt Säkerhet 2016-05-26 Hans Dahlquist
Min bakgrund: Affärsområdeschef Risk och Säkerhet på Rote Consulting sedan 2007 med inriktning på Integrerade säkerhetsledningssystem, Informationsstyrning och Personlig integritet (Privacy), senaste 4 åren Koncernsäkerhetschef (CSO) på Ericsson Överste på Militära Underrättelse och Säkerhetstjänsten MUST med ansvar för Försvarsmaktens Informations- och kommunikationssäkerhet
INNEHÅLL: 1. Bakgrund Privacy 2. EU GDPR (General Data Protection Regulation) Dataskyddsförordningen 3. GAP-analys 4. PIA (Privacy Impact Assessment) 5. Införande 6. Sammanfattning och slutsatser ISO 29100 - Privacy framework ISO 27018 - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
Varför EU GDPR?
1. Bakgrund Privacy Enorma läckor av personinformation Konsekvenser Bedrägerier Förtroende och varumärke Självreglering Ändrad lagstiftning Kostnader Informationssäkerhet (ISO/IEC 27001) Lagstiftning PuL (Personuppgiftslagen) som helt ersätts av EU General Data Protection Regulation (EU GDPR) eller EU nya Dataskyddsförordning Stora skillnader i lagstiftning utanför EU
Vad är PII (Personally Identifiable Information)? Name Home address Phone number E-mail Pictures Position Social security number Credit card data Bank account IP address Etc. according to ISO 29100 Or any personal information relating to an individual, whether it relates to his or her private, professional or public life dvs kunder, medborgare, anställda etc
2. Huvuddragen i nya Dataskyddsförordningen (General Data Protection Regulation, GDPR) Gäller alla (privat och offentlig sektor) utom polisen och straffrättsliga sektorn (EU-direktiv för dessa). Ersätter nuvarande dataskyddsdirektiv från 1995. Gäller som lag direkt på samma sätt i alla medlemsländer. (Svenska personuppgiftslagen PuL slutar att gälla). Vissa nationella särregler medges, arbete pågår med en särskild svensk myndighetslag. Ikraftträdande 2018-05-25 8 2016-05-26 Klassning: Publik Hans Dahlquist
Andra Privacy-krav och åtaganden, exempel:
Hur hanteras olika lagstiftning i internationella bolag? Policy nivål Krav på PII Self Regulation Legal Requirements Land: A B EU DPR C D
Vad ingår i en Privacy Policy? Självreglering 4. Undertecknade åtaganden (Global Reach Initiative, UN human rights etc.) 3. Kundperspektiv, varumärke och riskreducering 2. Kommande lagstiftning (EU GDPR) 1. Gällande legala och kontraktuella krav Privacy Policy
Vilka berörs av GDPR i er organisation? Förtroende o varumärke Juridik IT/IM Verksamheten Affären P R O C E S S E R 12 2016-05-26 Klassning: Publik Hans Dahlquist
Kostnader för Privacy Kr $ Dyrast är selektiv radering av informationsobjekt (purging), uppemot en MSEK/databas Nästan ingen databas är designad för att radera specifika informationsobjekt Inte ovanligt med 10-50 databaser eller mer med PII ( PII contamination ) Uppdaterad och väl dokumenterad informationshantering och styrning är första steget (Enterprise Information Management) Informationsarkitektur måste dokumenteras och förvaltas Privacy by design är ett måste för all kommande upphandling av IT Böter upp till mellan 2 och 4 % av global årlig omsättning om man inte uppfyller EU GDPR 2018 Beakta kostnaden för ett dataintrång eller dataförlust av PII med rapporteringsskyldighet till personen och DI
3. Hur bör man påbörja ett införande Genomför en GAP-analys! Mognad C (EU GDPR + självreglering) B (EU GDPR) A (PuL) 1. Nuvarande läge? Implementation 2. Önskat läge? Tid
Strategi för förändringsledning gör det i rätt ordning VISION 1. Klar och tydlig vision om syfte; varför göra detta och vad vill vi uppnå? STRATEGI 2. Hur når vi visionen (projekt eller linjeverksamhet eller? GOVERNANCE ORGANISATION 3. Vem är ansvarig, vilka ska var med och hur leder vi? PROCESSER 4. Vilka är huvudprocesserna? VERKTYG, KONTROLLER, GAP, PROJEKT och AKTIVITETER 5. Vilket stöd, rutiner, controller och aktiviteter behövs? 2016-05-26 Klassning: Publik Hans Dahlquist 15
Styrande och rådgivande dokument vad skall dokumenteras? Policy Privacy Policy Instruction Directives Privacy Instruction/Directive Security Instruction/Directive Guidelines, best practices, templates etc. Styrande (VAD) Rådgivande (HUR) Privacy Guidelines Privacy Governance process Security Guidelines (Classification, protection, access management, backup etc.) Dokumenterade och godkända lokala processer som baseras på Policy, instruktioner (Privacy Impact Assessment, PIA) För varje process, applikation och system med Personinformation (PII)
Utan dokumenterad informationsarkitektur - svårt med skydd och selektiv permanent radering System n EXPORT AV PII?? Backup
4. Ex: Privacy Impact Assessment (PIA) processen System/produkt/ service/process PII? Nej PIA Klar! Ja För-PIA Privacy Påverkan? Nej Ja Hel PIA Privacy Påverkan? No Godkänd PIA Report Yes Privacy införandet 18 2016-05-26 Klassning: Publik Hans Dahlquist
Informationens livscykel ett måste Radering Disposal Capture Ny kund Backup Storage Kryptering? Processing CRM Presentation Transmission VPN? Behörigheter Information lifecycle
5. Införande Ledningssystem för personinformation: 1. Styrande och rådgivande dokument Lagar, standarder, åtaganden, Policy, Direktiv, Instruktioner, beslut och arbetsordning 2. Processer: PIA Ständiga förbättringar (PLAN DO CHECK ACT) Kontroller, uppfyllnad, rapportering, KPI:er Ledningens genomgång och engagemang Utbildning Förvaltning Riskhantering etc. CSO 3. Organisation med tydliga rollbeskrivningar (Dataskyddsombud), CPO ansvar, befogenheter och kunnande i en operativ beskrivning L C I Policy Directive Guidelines etc.
6.Slutsatser och summering: Skapa och förankra en Privacy Policy och en förändringsstrategi från en vision om vad som skall uppnås Genomför en djup GAP-analys Använd ledningssystemmodellen för införande och förvaltning Dokumentera och riskhantera med PIA Integrera ledningssystemet för Privacy som en komponent i ISO 27001 (LIS) om det är infört Se till att Privacy by Design är infört och med i all upphandling av IT Ställ krav på underleverantörer samma krav kommer ställas på er Låt varumärke, kunder och anställda styra mer än bara lagstiftningen Priavcy är inte primärt en legal fråga Påbörja arbetet nu analys och införande tar tid