Hur angriper Solna stad GDPR-utmaningen? Lösningsarkitekt/IT-säkerhet Bo Jönsson Informationssäkerhetskonsult Peter Russo

Relevanta dokument
EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

EU:s allmänna dataskyddsförordning:

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Dataskyddsförordningen (GDPR)

EU:s dataskyddsförordning

Dataskyddsförordningen

GDPR Presentation Agenda

Riktlinjer för dataskydd

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Ett eller flera dataskyddsombud?

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Dataskyddsförordningen

GDPR- Seminarium 2017

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Dataskyddsförordningen GDPR - General Data Protection Regulation

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Dataskyddsförordningen

Instruktion till mall för registerförteckning

Välkomna till kurs i den nya dataskyddsförordningen

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Dataskyddsförordningen (DSF/GDPR)

Skolan och Dataskyddsförordningen

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Dataskyddsförordningen

Dataskyddsförordningen (GDPR)

EU:s dataskyddsförordning

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Handlingsplan för persondataskydd

GDPR. Dataskyddsförordningen

Lindesbergs kommuns arbete med dataskyddsförordningen

Dataskyddsförordningen och kvalitetsregister

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Dataskyddsförordningen

Dataskyddsförordningen

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Personuppgiftsbiträdesavtal

Dataskyddsförordningen

Dataskyddsförordningen

Riktlinjer för hantering av personuppgifter

Allmänna råd. Datainspektionen informerar. Nr 2/2016

GDPR NYA DATASKYDDSFÖRORDNINGEN

När en konsekvensbedömning ska genomföras

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

INFORMATIONSSÄKERHET OCH DATASKYDD

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Dataskyddsförordningen för prefekter och administrativa chefer

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Dataskydd och forskning i Europa och Sverige

Svensk författningssamling

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Information till personuppgiftsansvarig om dataskyddsombud

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Informationsskyldighet enligt dataskyddsförordningen Joachim Angermund, Charlotta Sandström, Ingela Alverfors februari 2017

SLUTRAPPORT PROJEKT GDPR

Information om dataskyddsförordningen

Dataskyddsförordningen - GDPR

Information om behandling av personuppgifter

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

PERSONUPPGIFTSBITRÄDESAVTAL

Status panik? GDPR-update! Disposition

GDPR och hantering av personuppgifter

GDPR- Vad är det? Frukostmöte hösten Advokatfirman VICI

Dataskyddsförordningen 2018

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Dataskyddsförordningen 2018

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Vården och reglerna om dataskydd

Ansökan om dispens från strandskydd

Personuppgiftsbiträdesavtal 1 Parter Detta avtal har dagen för undertecknanden ingåtts mellan parterna;

GDPR General data protection regulation Dataskyddsförordningen

PuL och GDPR en översiktlig genomgång

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Olingo Consulting & Advokatfirman Vinge

Policy för behandling av personuppgifter

Dataskyddsförordningen. GDPR (General Data Protection Regulation)

GDPR viktiga nyheter jämfört med PuL

Denna policy skapades av och för organisationens behandling av personuppgifter.

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

Riktlinjer för personuppgiftshantering

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Riktlinjer för hantering av personuppgifter

Rubrik. LIS + GDPR = Sant! Anne-Marie Eklund Löwinder, CISO Internetstiftelsen i

3 Tillsättning av dataskyddsombud för hälso- och sjukvårdsnämndens personuppgiftsbehandlin gar HSN

Att hantera personuppgifter

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Transkript:

Hur angriper Solna stad GDPR-utmaningen? Lösningsarkitekt/IT-säkerhet Bo Jönsson Informationssäkerhetskonsult Peter Russo Fakta: < 35 min Frågor& Svar : < 15 min

Vad var det vi gjorde? Syfte: Initiera arbetet med GDPR anpassning i Solna Stad med hjälp av en GAP-analys Mål: 1) Genomföra en GAP-analys av verksamhetens aktuella överenstämmelse med GDPR-förordningen 2) Att arbeta fram ett underlag för beslut och en plan för GDPR-anpassningen 3) Dela våra erfarenheter och reflektioner med andra intresserade verksamheter den 8:e november

Hur gjorde vi? "Informationssäkerhet" Metod; Intervjuer, workshops, skriften GDPR-förordningen, resonemang, antaganden, hjärnor, puls och temperatur i verksamheten

Vad fokuserade vi på? Artiklarna 1-39; Laglighet, Territoriell & Materiell Tillämplighet, Principer, Samtycke, Särskilda Kategorier, Krav på Information & Kommunikation, Den registrerades rättigheter, Personuppgiftsansvarig, Personuppgiftsombud, Dataskyddsombud, Personuppgiftsincidenter, Konsekvensbedömning, Insamling, Utlämning m.m. Artiklarna 44 49; Överföring av personuppgifter Kapitel 9, 85-89; Särskilda behandlingssituationer

Vilken åtgärdsstrategi satte vi upp? Fas1: Åtgärder som vi avser att göra omgående Fas 2: Åtgärder som vi tänker göra innan maj 2018 Fas 3: Åtgärder vi avvaktar med A) Avvakta resultatet (augusti 2017) av Datainspektionens arbetsgrupp. B) Avvakta övergången från PUL till GDPR anpassning efter maj 2018. Juridiska, operativa m.m.

Avgränsningar. Följande artiklar har vi inte beaktat då vi anser att de inte har en påverkan på vår verksamhet. Artikel 40-43; Uppförandekod och certifiering för tillsynsmyndigheten Kapitel 6, 50-59; Regler, Villkor, Behörighet, Uppgifter, Befogenheter, Rapportering för tillsynsmyndigheten Kapitel 7, 60-84; Samarbetet mellan tillsynsmyndigheterna, Tvistlösning, Utbyte av information, Styrelsens ansvar och uppgifter

Process Obefintlig - ej eisterande. Initial - odefinierad och ad hoc Upprepad - reaktiv och best effort Definierad - Proaktiv och genomförd Styrd - kontrollerad och förutsägbar Optimerad - kontinuerlig och affärsinriktad Hantera och behandla PU 0 0 0 0 Insamling 0 0 0 0 Utlämning 0 0 0 0 Kommunikation 0 0 0 0 0 Informera om PU 0 0 0 0 Invända emot PU 0 0 0 0 0 Samtycke Vuna 0 0 0 0 Process Samtycke Barn 0 0 0 0 Obefintlig - ej eisterande. Analys av rutiner och processer Initial - odefinierad och ad hoc Upprepad - reaktiv och best effort Definierad - Proaktiv och genomförd Styrd - kontrollerad och förutsägbar Optimerad - kontinuerlig och affärsinriktad Ändringshantering 0 0 0 0 0 Rätta PU (Artikel 16) 0 0 0 0 Radera PU (Artikel 17) 0 0 0 0 0 Portera PU (Artikel 20) 0 0 0 0 0 Begränsa PU (Artikel 18) 0 0 0 0 0

Vad blev resultatet? Kapitel Artikel Rubrik Sammanfattning Ja Nej Kommentar Omedveten Medveten 34 35 Information till den registrerade om en personuppgiftsincident Konsekvensbedömning avseende dataskydd 36 Förhandssamråd Konsekvensanalys vid upprättandet av ett personuppgiftsregister. Innehåll; systematisk och omfattande behandling av PU till grund för beslut med ev. rättsliga följder, stor behandlingav särskilda kategorier, stor och systematisk övervakning av allmän plats. Nytt krav som säger att samråd med tillsynsmyndighet ska göras innan etableringen av ett nytt personuppgiftsregister där hög risk föreligger. Påverkan 1. Genomgång av utvalda artiklars inverkan på verksamheten. Planerade åtgärder En del av Art. 33 ovan. 1. Påverkar processen för etablering av nya register 2. Påverkar förändring av teknikkomponenter Skärpning av PUAs mandat att gå förbi ledningen. Pågående åtgärder Överensstämmande 37 Utnämning av dataskyddsombudet 38 Dataskyddsombudets ställning Dataskyddsombud skall finnas på; myndigheter, vid regelbunden, krävande och omfattande behandling av personuppgifter och då behandling av särskilt krävande kategorier är stor enl. art. 9 och 10. Preciserar dataskyddsombudets ställning och relation till PUA och PUB.

Vad blev resultatet (forts)? 2. Bedömning av påverkan (åtgärder) inom 6 områden. Organisation Processer Teknik Dokumentation Information Kommunikation Samverkan mellan olika Förbättrade processer med verksamhetsfunktioner intensifieras utgångspunkt i kravet på och etablering av förbättrade konsekvensbedömning och dess processer är ett faktum. koppling till teknik. Säk/IT/Krishantering Förändrade krav på skyddsåtgärder påverkar "konsekvensprocessen" Den organisatoriska aspekten behöver värderas och hanteras internt. Ansvar och befogenheter behöver ses över och fastställas. Ny roll för "Dataskyddsombud" behöver implementeras. Övriga roller (PUL) behöver ses över. Resurser kan behöva kompletteras. Processen för samrådsförfarandet behöver ses över. styrande dokument, rollbeskrivningar, ansvar och befogenhetr styrande dokument, rollbeskrivningar, ansvar och befogenhetr Ingår som ett led i översynen enligt Art. 37 styrande dokument, rollbeskrivningar, ansvar och befogenhetr

Vad blev resultatet (forts)? 3. Långsiktig Åtgärdsplan 2016 2018 Fas 11 Fas 22 Fas 3 Omgående 2017-2018 Efter maj 2018

Eempel på åtgärder i faserna Fas 1 Fas 2 Fas 3 Se över lagligheten i hantering/behandling av personuppgifter internt. (Art. 6) En övergripande informationskartläggning av personuppgifter inom alla verksamhetsområden ska göras. Snarast göra en detaljerad analys av kraven på dataskydd och dess följder inom teknikområdet. (Art 25) Definiera rollen dataskyddsombud Se över processer i olika funktionsområden beträffande konsekvensbedömning vid uppförandet av nya eller omformade register ( IT/Säkerhet/Krishantering) Art. 35 Förbättra personuppgifternas aktualitet och lagringsminimering för att överensstämma med nya förordningen. Utreda och åtgärda konsekvenser beträffande krav på radering och begränsning av personuppgifter i verksamhetssystem och register. (Art. 17, 18 & 19) Utforma en prioriterad plan för att komplettera/implementera skyddsåtgärder på teknik nivå. ( Art. 25) Utforma och dokumentera rollbeskrivning för ett Dataskyddsombud. Detta inkluderar även resurssättning och eventuellt utbildning. (Art. 37-39) Skapa enhetlighet och samsyn beträffande konsekvensbedömningen. Etablera gemensamma processer, dokumentera dessa och kommunicera i verksamheten. (Art. 35) Processen för rapportering av personuppgiftsincidenter behöver ses över och justeras enligt kraven i förordningen. (Art. 33) Utvärdera relation och relevans till annan lagstiftning. T.e. Patientdatalagen, Socialtjänstlagen, Barnomsorgslagen (Art. 9) Bedöma konsekvensen av artikel 17, 18 och 19 t.e. arbetskopior av dokument som ligger inaktivt på lagringsmedia. Officedokument på olika fildelningsytor. Implementera åtgärder och även integrera den kontinuerliga utvärderingen av korrekt skydd i Informationssäkerhetsarbetet. (Art. 25) Implementera åtgärder och även integrera den kontinuerliga utvärderingen av korrekt skydd i Informationssäkerhetsarbetet. (Art. 25)

Vad har varit positivt? Analysarbetet har ökat medvetenheten i verksamheten Bättre insikt i och kunskap om förordningen och vad den kan innebära GDPR finns nu på ledningens karta Fler pågående lokala initiativ uppmärksammades i verksamheten (Skola, HR, Kansli) Flera olika diskussioner/initiativ i verksamheten har synkroniserats (Säkerhet/IT/Juridik/PUL-ansvar) Vi har minskat oron och börjat ta tag i frågan

Vad har varit komplicerat? Att tolka artiklarna så korrekt det går. Att bedöma vår aktuella status i förhållande till hur vi idag hanterar PUL Att hela tiden ha tillgång till rätt mi av resurser för att kunna bedöma och värdera påverkan korrekt. IT/Säkerhet/Juridik/ m.fl. Vissa artiklar i förordningen kommer att behöva förtydligas t.e. Artikel 15 Den registrerades rätt till tillgång. Undran: På förfrågan eller vid varje enskilt behandlingstillfälle?

Tack för ordet!

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss