Nytt regelverk för personuppgifter varför ska vi ta tag i det nu? eförvaltningsdagarna 2016 Fredrik Rehnström, vvd, CISSP, CISM, CISA, CGEIT, CPP
Agenda 1. Den personliga integriteten 2. Huvuddragen i nya dataskyddsförordningen 3. GAP-analys 4. Molntjänster 5. Åtgärder och införande 6. Slutsatser och summering
1. Den personliga integriteten Enorma läckor av personinformation I allmänhet dålig kontroll Förvånansvärt låg oro Högt förtroende för hälso- och sjukvård, myndigheter och banker men med facit i hand Vilka konsekvenser har vi sett? Bedrägerier Förtroende och varumärke Självreglering Ändrad lagstiftning Kostnader
Vad är en personuppgift som behandlas? Namn Hemadress Telefonnummer E-mail Bilder Position Personnummer Kortnummer Bankkontonummer IP adress m.m. eller någon annan personlig information som kan sättas i relation till en individ, oavsett om det rör hens privata, professionella eller officiella sfär, det vill säga era kunder, medborgare, patienter, anställda, besökare, leverantörer, partners
2. Huvuddragen i nya dataskyddsförordningen (General Data Protection Regulation, GDPR) Gäller alla utom polisen och straffrättsliga sektorn (EUdirektiv för dessa). Ersätter nuvarande dataskyddsdirektiv från 1995. Gäller som lag direkt på samma sätt i alla medlemsländer. (Svenska personuppgiftslagen slutar att gälla). Vissa nationella särregler medges, arbete pågår med en särskild svensk myndighetslag. Ikraftträdande maj 2018.
Huvuddragen i nya dataskyddsförordningen Källa: Europeiska unionens råd
Huvuddragen i nya dataskyddsförordningen Stärker den enskildes rättigheter Förenkad åtkomst till egna personuppgifter. (IP adress betraktas nu som personuppgift) Uttryckligt samtycke, Opt-In Uppgiftsportabilitet lättare att flytta sina uppgifter till annan tjänsteleverantör Rätt att bli bortglömd Rätt att få veta när uppgifter hackats anmälningsplikt vid incidenter
Huvuddragen i nya dataskyddsförordningen Modernare regler för företag En kontinent en lag, samma regler på Europeisk mark En kontaktpunkt samverkan med tillsynsmyndighet förenklas Riskbaserad krav på konsekvensanalys vid riskfylld behandling Innovationsanpassade regler privacy by design Anmälningsplikt vid incidenter inom 24h (tillsynsmyndighet och i vissa fall till även till registrerade) Sanktioner, böter motsvarande 4% av global omsättning EU-US Privacy Sheild ersätter Safe Harbour
3. GAP-analysen som startpunkt Mognad C (EU GDPR + självreglering) B (EU GDPR) A (PuL) Implementation 1. Nuvarande läge? 2. Önskat läge? Tid
Starta i rätt riktning VISION 1. Klar och tydlig vision om syfte; varför göra detta och vad vill vi uppnå? STRATEGI 2. Hur når vi visionen (projekt eller linjeverksamhet eller )? STYRNING ORGANISATION 3. Vem är ansvarig, vilka ska vara med och hur leder vi? PROCESSER 4. Vilka är huvudprocesserna? VERKTYG, KONTROLLER, GAP, PROJEKT och AKTIVITETER 5. Vilket stöd, rutiner, kontroller och aktiviteter behövs?
Skapa kontroll över informationsarkitekturen - A & O för skydd och selektiv permanent radering System n Export av personinformation?? Backup
4. Reaktioner på molntjänster med rätt?
Hur gör man då rätt? För vilken verksamhet ska den användas och vilka aktörer berörs? Inverkar de avsedda och icke avsedda informationsflödena på informationens rättsliga status? Vad är det för molnapplikation som ska användas? OffentligRättslig verksamhetsbestämning (eller laglighetskontroll) Rör det sig t.ex. om allmänna handlingar eller förvaltningsbeslut? Finns en verksamhetsbaserad dokumenthanteringsstrategi för att säkerställa en effektiv och lagenlig användning av molntjänster? Omfattas uppgifter av OSL, PUL, upphovsrätt eller andra avtalsrättsliga komplikationer?
Visdomsord på vägen Skaffa BjörnKoll På Läget Behov av informationen, vara Kunnig om hur den ska hanteras säkert, bedömas som Pålitlig och slutligen vara Lämplig att ta del av informationen just där och då Försöka finns inte Antingen så har man säker informationshantering i molnet, eller inga molntjänster alls
5. Åtgärder och införande Policy 1. Styrande och rådgivande dokument Lagar, standarder, åtaganden, policy, föreskrifter, instruktioner, beslut och arbets- och delegeringsordning 2. Processer: PIA Ständiga förbättringar (PLAN DO CHECK ACT) Kontroller, uppfyllnad, rapportering, KPI:er Ledningens genomgång och engagemang Utbildning Förvaltning Riskhantering etc. Regler Vägledning 3. Organisation med tydliga rollbeskrivningar (Dataskyddsombud), ansvar, befogenheter och kunnande i en operativ beskrivning
5. Slutsatser och summering Skapa och förankra en Privacy Policy och en förändringsstrategi från en vision om vad som ska uppnås Genomför en djup GAP-analys Använd ledningssystemmodellen för införande och förvaltning Dokumentera och riskhantera Lägg särskild vikt på analys av molntjänster Se till att Privacy by Design är infört och med i all upphandling av IT Ställ krav på underleverantörer samma krav kommer ställas på er Låt anseende, kunder/medborgare och anställda styra mer än bara lagstiftningen personlig integritet är inte primärt en legal fråga Påbörja arbetet nu analys och införande tar tid
Frågor och svar
Din partner bland mörka moln (tjänster) och snåriga regelverk www.rote.se reception@rote.se