Nytt regelverk för personuppgifter varför ska vi ta tag i det nu?

Relevanta dokument
Information om dataskyddsförordningen

Olingo Consulting & Advokatfirman Vinge

Vad innebär EU nya Dataskyddsförordning som ersättare till PUL och. Hur kan vi använda ISO/IEC 27001/29100/27018 i införandet?

GDPR. Dataskyddsförordningen 27 april Emil Lechner

GDPR UTBILDNINGSDAG SKKF

GDPR. General Data Protection Regulation. dataskyddsförordningen

Den nya dataskyddsförordningen - GDPR

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

GDPR och hantering av personuppgifter

GDPR ur verksamhetsperspektiv

8. Vad innebär den nya dataskyddsförordningen för er? Kunskapsdagen Malmö 21 november 2017

GDPR General data protection regulation Dataskyddsförordningen

Dataskyddsförordningen

GDPR NYA DATASKYDDSFÖRORDNINGEN

Integritetspolicy för Bernhold Ortodonti

WHITE PAPER. Dataskyddsförordningen

Handlingsplan för persondataskydd

IT-konsekvensanalys dataskyddsförordning

Ett eller flera dataskyddsombud?

Sex månader med GDPR. 8 november 2018

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Dataskyddsförordningen

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

GDPR. General Data Protection Regulation

När systemen inte får stanna

Översikt av GDPR och förberedelser inför 25/5-2018

Behandling av personuppgifter vid Göteborgs universitet

Dataskyddsförordningen. GDPR (General Data Protection Regulation)

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

GDPR Presentation Agenda

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Att hantera personuppgifter

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Acando Simplifying GDPR. ACANDO CAPABLE BUSINESS GDPR Från ord till handling

Ny dataskyddsförordning En vägledning genom processen

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR. Dataskyddsförordningen

GDPR-SKOLAN, DEL 3 1/8 TOYOTA MATERIAL HANDLINGS. GDPR-skola

Vad finns det för stöd kommunerna? Pål Resare, Förbundsjurist Sveriges Kommuner och Landsting

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Säkerhetspolicy rev. 0.1

Integritetspolicy för X organisation

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

En guide om GDPR och vad du behöver tänka på

GDPR Panik eller full koll på läget?

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Dataskyddsförordningen

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Integritetspolicy. Med anledning av ny lagstiftning den 25/ GDPR. General Data Protection Regulation

Lathund. IT-säkerhet, GDPR och NIS. Version 3.0

Gäller fr o m

PuL och GDPR en översiktlig genomgång

Om du har några frågor eller funderingar är du varmt välkommen att kontakta oss på

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Vi bryr oss om dina personuppgifter

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Företagets integritetspolicy avseende personuppgifter

Nya dataskyddsförordningen GDPR

NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG?

Integritetspolicy Torget Getupdated AB / Getupdated Sverige AB

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Dataskyddsförordningen

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

SÅ FÖRBEREDER NI ER INFÖR DATASKYDDSLAGEN (GDPR)

GDPR (General Data Protecting Regulation)

Behandling av personuppgifter deltagare

PwC Digital Trust Introduktion till GDPR. GRC-dagarna oktober 2017

AMF Fastigheters integritetspolicy

Så här behandlar vi dina personuppgifter

Sweden-Bangladesh Business Council (SBBC) - Integritetspolicy

Samspelets behandling av personuppgifter

Behandling av personuppgifter GDPR. Ny dataskyddsförordning

Dataskyddsförordningen - GDPR

Dataskyddsförordningen

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Så här behandlar vi dina personuppgifter

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

När en konsekvensbedömning ska genomföras

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Kerstin Wardman, 25 april 2018

Dataskyddsförordningen

Integritetspolicy Vilka personuppgifter behandlar vi? När behandlar vi personuppgifter? Vad använder vi personuppgifter till?

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Status panik? GDPR-update! Disposition

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

36. GDPR-sex månader kvar november 2017

Transkript:

Nytt regelverk för personuppgifter varför ska vi ta tag i det nu? eförvaltningsdagarna 2016 Fredrik Rehnström, vvd, CISSP, CISM, CISA, CGEIT, CPP

Agenda 1. Den personliga integriteten 2. Huvuddragen i nya dataskyddsförordningen 3. GAP-analys 4. Molntjänster 5. Åtgärder och införande 6. Slutsatser och summering

1. Den personliga integriteten Enorma läckor av personinformation I allmänhet dålig kontroll Förvånansvärt låg oro Högt förtroende för hälso- och sjukvård, myndigheter och banker men med facit i hand Vilka konsekvenser har vi sett? Bedrägerier Förtroende och varumärke Självreglering Ändrad lagstiftning Kostnader

Vad är en personuppgift som behandlas? Namn Hemadress Telefonnummer E-mail Bilder Position Personnummer Kortnummer Bankkontonummer IP adress m.m. eller någon annan personlig information som kan sättas i relation till en individ, oavsett om det rör hens privata, professionella eller officiella sfär, det vill säga era kunder, medborgare, patienter, anställda, besökare, leverantörer, partners

2. Huvuddragen i nya dataskyddsförordningen (General Data Protection Regulation, GDPR) Gäller alla utom polisen och straffrättsliga sektorn (EUdirektiv för dessa). Ersätter nuvarande dataskyddsdirektiv från 1995. Gäller som lag direkt på samma sätt i alla medlemsländer. (Svenska personuppgiftslagen slutar att gälla). Vissa nationella särregler medges, arbete pågår med en särskild svensk myndighetslag. Ikraftträdande maj 2018.

Huvuddragen i nya dataskyddsförordningen Källa: Europeiska unionens råd

Huvuddragen i nya dataskyddsförordningen Stärker den enskildes rättigheter Förenkad åtkomst till egna personuppgifter. (IP adress betraktas nu som personuppgift) Uttryckligt samtycke, Opt-In Uppgiftsportabilitet lättare att flytta sina uppgifter till annan tjänsteleverantör Rätt att bli bortglömd Rätt att få veta när uppgifter hackats anmälningsplikt vid incidenter

Huvuddragen i nya dataskyddsförordningen Modernare regler för företag En kontinent en lag, samma regler på Europeisk mark En kontaktpunkt samverkan med tillsynsmyndighet förenklas Riskbaserad krav på konsekvensanalys vid riskfylld behandling Innovationsanpassade regler privacy by design Anmälningsplikt vid incidenter inom 24h (tillsynsmyndighet och i vissa fall till även till registrerade) Sanktioner, böter motsvarande 4% av global omsättning EU-US Privacy Sheild ersätter Safe Harbour

3. GAP-analysen som startpunkt Mognad C (EU GDPR + självreglering) B (EU GDPR) A (PuL) Implementation 1. Nuvarande läge? 2. Önskat läge? Tid

Starta i rätt riktning VISION 1. Klar och tydlig vision om syfte; varför göra detta och vad vill vi uppnå? STRATEGI 2. Hur når vi visionen (projekt eller linjeverksamhet eller )? STYRNING ORGANISATION 3. Vem är ansvarig, vilka ska vara med och hur leder vi? PROCESSER 4. Vilka är huvudprocesserna? VERKTYG, KONTROLLER, GAP, PROJEKT och AKTIVITETER 5. Vilket stöd, rutiner, kontroller och aktiviteter behövs?

Skapa kontroll över informationsarkitekturen - A & O för skydd och selektiv permanent radering System n Export av personinformation?? Backup

4. Reaktioner på molntjänster med rätt?

Hur gör man då rätt? För vilken verksamhet ska den användas och vilka aktörer berörs? Inverkar de avsedda och icke avsedda informationsflödena på informationens rättsliga status? Vad är det för molnapplikation som ska användas? OffentligRättslig verksamhetsbestämning (eller laglighetskontroll) Rör det sig t.ex. om allmänna handlingar eller förvaltningsbeslut? Finns en verksamhetsbaserad dokumenthanteringsstrategi för att säkerställa en effektiv och lagenlig användning av molntjänster? Omfattas uppgifter av OSL, PUL, upphovsrätt eller andra avtalsrättsliga komplikationer?

Visdomsord på vägen Skaffa BjörnKoll På Läget Behov av informationen, vara Kunnig om hur den ska hanteras säkert, bedömas som Pålitlig och slutligen vara Lämplig att ta del av informationen just där och då Försöka finns inte Antingen så har man säker informationshantering i molnet, eller inga molntjänster alls

5. Åtgärder och införande Policy 1. Styrande och rådgivande dokument Lagar, standarder, åtaganden, policy, föreskrifter, instruktioner, beslut och arbets- och delegeringsordning 2. Processer: PIA Ständiga förbättringar (PLAN DO CHECK ACT) Kontroller, uppfyllnad, rapportering, KPI:er Ledningens genomgång och engagemang Utbildning Förvaltning Riskhantering etc. Regler Vägledning 3. Organisation med tydliga rollbeskrivningar (Dataskyddsombud), ansvar, befogenheter och kunnande i en operativ beskrivning

5. Slutsatser och summering Skapa och förankra en Privacy Policy och en förändringsstrategi från en vision om vad som ska uppnås Genomför en djup GAP-analys Använd ledningssystemmodellen för införande och förvaltning Dokumentera och riskhantera Lägg särskild vikt på analys av molntjänster Se till att Privacy by Design är infört och med i all upphandling av IT Ställ krav på underleverantörer samma krav kommer ställas på er Låt anseende, kunder/medborgare och anställda styra mer än bara lagstiftningen personlig integritet är inte primärt en legal fråga Påbörja arbetet nu analys och införande tar tid

Frågor och svar

Din partner bland mörka moln (tjänster) och snåriga regelverk www.rote.se reception@rote.se