www.pwc.se + Ekelöw = Sant 26
Vilka är vi? Göran Laxén Konsult hos i Stockholm, sedan oktober 2013. Arbetar med integritetsskydd och informationssäkerhet. Fyra års erfarenhet av integritetsfrågor: Leda och delta i integritetsprojekt, integritetslagar, integritetspolicies och orientering för företagsledningar. goran.laxen@se.pwc.com Tel. 0709-29 19 29 25 års erfarenhet inom informationssäkerhetsområdet i olika befattningar inom Teliasonerakoncernen, bl. a som konsult och som CISO. Initierade och ledde ett koncerngemensamt privacy program. Sofie Åberg Konsult hos, inom risk- och krishantering, informationssäkerhet och dataskydd. Uppdrag som rör integritesfrågor: o Dataskyddsregler för personuppgifter i molntjänster. o Projektledarstöd - anpassning till Dataskyddsförordningen. o Dataskyddskrav på ideella organisationer och deras IT-leverantör sofie.aberg@ekelow.se 076-637 61 35 4
Bakgrund varför behövdes det nya regler? Olika regler inom EU Minskade kostnader Teknisk utveckling Ny Dataskyddsförordning Privatpersoners integritet 5
Förslaget innehåller nya krav Syfte Tillämpning One-stop-shopping Dataskyddsombud Rapportering av Personuppgiftsincidenter De registrerades rättigheter skärps Regelbundna riskanalyser Inbyggt dataskydd Skärpta sanktioner Överföring Jag har rätt till skydd av mitt privatliv och min personliga integritet! 6
Vad behöver göras? Från kartläggning till incidenthantering Fokusera på att kunna demonstrera hur vi lever upp till kraven. Nyckelfrågor - projektorganisation -kostnadsdrivare -tidplan 1. Kartlägg Vilka personuppgifter hanterar vi, och varför? 3. Rådfråga Vilka intressenter behöver du rådfråga? 5. Dokumentera Hur ska vi bevisa att du uppfyller kraven? 7. Utmaning Hur ska vi hantera incidenter, problem och klagomål? 9. Sanktioner 2. Analysera Vilka är integritetsriskerna och vilken skada kan de orsaka? 4. Designa Hur ska vi bygga in integritetsskydd från början i våra processer? 6. Informera Vilken information ska vi ge till allmänheten och anställda samt när behövs samtycken? 8. Följ upp Hur ska vi säkerställa kunders och anställdas rättigheter och tillsyn? Hur ska vi klara de allvarligaste regulatoriska sanktionerna och skadeståndskrav? 7
IT- och informationssäkerhet Vilka konsekvenser får de nya kraven? Exempel på krav på IT-funktioner Tydlig information till de registrerade Konsekvenser Uppdatera webbinformation och avtal Aktivt samtycke, som lätt kan tas tillbaka Lagra mottagna bevis på samtycke och håll dem aktuella Rätten att bli bortglömd Skydd av personuppgifter och konsekvensbedömning Integritetsbrottsrapportering Se över och komplettera raderingsrutiner Se över säkerhetsklasser, behörigheter, backup m.m. Komplettera riskanalysprocess. Se över incident- och klagomålshantering, identifiering av integritetsrisker, intern kontroll m.m. 8
Var och hur börjar man? Förstudie och Planering Design & Genomförande Avslutning och överlämning till linjen Maj 2016 Maj 2018 Det är hög tid att sätta igång nu, två år går fort! 9
Hur kan vi hjälpa er? Orientering om de nya kraven för ledningen Gapanalys - identifiera vad som saknas Granskning av / framtagning av styrande dokument Projektstöd och/eller projektgranskning Dataskyddsombud uppdragsbeskrivning och stöd Stöd vid kravställning mot leverantörer 10
Länkar till mer information Mer information från om dataskyddsförordningen http://info.pwc.se/dataskyddsforordningen http://pwc.blogs.com/data_protection/ Personuppgiftslagen i sin helhet http://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/ personuppgiftslag-1998204_sfs-1998-204 Nya dataskyddsförordningen i sin helhet http://www.datainspektionen.se/lagar-och-regler/eus-dataskyddsreform/ 11
Tack! 12