Säkerhet enligt personuppgiftslagen

Relevanta dokument
Säkerhet vid behandling av personuppgifter i forskning

Välkomna till kurs i dataskyddsförordningen med fokus på informationssäkerhet

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Universitetet och Datainspektionen i Molnet

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

EU:s dataskyddsförordning

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

GDPR. Dataskyddsförordningen

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Handlingsplan för persondataskydd

PERSONUPPGIFTS- BITRÄDESAVTAL

Dataskyddsförordningen GDPR - General Data Protection Regulation

Välkomna till kurs i den nya dataskyddsförordningen

Personuppgiftsbiträdesavtal

EU:s allmänna dataskyddsförordning:

GDPR. Dataskyddsförordningen 27 april Emil Lechner

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

PERSONUPPGIFTSBITRÄDESAVTAL

Koncernkontoret Enheten för juridik

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

GDPR NYA DATASKYDDSFÖRORDNINGEN

PERSONUPPGIFTSBITRÄ DESÄVTÄL

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Riktlinjer för dataskydd

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

Dataskyddsförordningen (GDPR)

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Översikt av GDPR och förberedelser inför 25/5-2018

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Dataskyddsförordningen

Bilaga 3 Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Säkerhetsåtgärder vid kameraövervakning

Dataskyddsförordningen

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) Enköpings kommunstyrelses användning av molntjänsten Dropbox

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Dataskyddsförordningen

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

Personuppgiftsbiträdesavtal

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Policy för behandling av personuppgifter

Personuppgiftsbiträdesavtal

InTime International AB (nedan kallat Personuppgiftsbiträdet ) med organisationsnummer och adress Varvsgatan 47, Luleå

Bilaga Personuppgiftsbiträdesavtal UPP 2016/235. Innehållsförteckning

De nya EU-reglernas krav på molnsäkerhet

GDPR. General Data Protection Regulation. dataskyddsförordningen

PuL och GDPR en översiktlig genomgång

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan

PERSONUPPGIFTSBITRÄDESAVTAL

Molntjänster och integritet vad gäller enligt PuL?

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Bilaga Personuppgiftsbiträdesavtal Innehållsförteckning

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Bilaga b, (Användaravtal Nyps) Personuppgiftsbiträdesavtal

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Regler för behandling av personuppgifter vid Högskolan Dalarna

Personuppgiftsbiträdesavtal

Riktlinjer för personuppgiftshantering

Dataskyddsförordningen

Integritetsskydd - igår, idag, imorgon. Professor Cecilia Magnusson Sjöberg

Dataskyddsförordningen

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Juridik och informationssäkerhet

INTEGRITETSPOLICY för Webcap i Sverige AB

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Personuppgiftsbiträde

Status panik? GDPR-update! Disposition

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Dataskyddsförordningen GDPR

Policy för hantering av personuppgifter

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Dataskyddsförordningen

PERSONUPPGIFTSBITRÄDESAVTAL

Datainspektionen informerar

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Vägledning om molntjänster i skolan

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Transkript:

Säkerhet enligt personuppgiftslagen

Huvudsakliga bestämmelser 30 Personuppgiftsbiträden och anställda 31 Krav på säkerhetsåtgärder 32 Befogenhet att besluta om säkerhetsåtgärder

30 PuL Personuppgiftsbiträden (PuB) och anställda får behandla personuppgifter enbart i enlighet med instruktioner från Personuppgiftsansvarig(PuA) Det ska finnas ett skriftligt avtal där detta framgår och att PuB är skyldig att vidta säkerhetsåtgärder enligt 31 PuL

31 PuL Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. [ ]

Lämpliga åtgärder Vad ska skyddas? Varför? Mot vad? Hur?

Lämpliga säkerhetsåtgärder Skydd mot Förstöring Olyckshändelse Otillåtna handlingar Förlust Ändring Otillåten spridning Otillåten tillgång (o)säker kommunikation Otillåten behandling Säkerhetsnivå

31 PuL [ ] Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av De tekniska möjligheter som finns, Vad det skulle kosta att genomföra åtgärderna, De särskilda risker som finns med behandlingen av personuppgifterna, och Hur pass känsliga de behandlade personuppgifterna är

Vad är lämplig säkerhetsnivå (1) Tillgänglig teknik Standardlösningar Man behöver inte uppfinna något helt nytt Kostnad Krävs sällan att skyddet ska kosta mer än det som ska skyddas

Vad är lämplig säkerhetsnivå (2) Särskilda risker Hur behandlas uppgifterna? Öppet nät? Många personuppgifter? Många registrerade? Många användare? Sannolikheter och konsekvenser Kan vara lämpligt att utgå ifrån risk- och sårbarhetsanalyser

Vad är lämplig säkerhetsnivå (3) Hur pass känsliga är uppgifterna Känsliga personuppgifter enligt 13 PuL? Uppgifter om lagöverträdelser? (Personnummer?) Särreglering? vad säger den? Tystnadsplikt eller sekretess? Skyddsvärde

Känsligt enligt PuL? Sekretess? Annan lag? Spridningsrisk och konsekvens Data om många? Lagöverträdelser? Uppgifternas känslighet Särskilda risker Tekniska möjligheter Kostnad Ekonomiska förhållanden? (o)rimliga kostnader? Gäller tystnadsplikt? Personliga förhållanden? Lämplighetsbedömning Säkerhetsnivå

Mer om att anlita ett biträde 31 andra stycket PuL När [PuA] anlitar ett [PuB], skall [PuA] förvissa sig om att [PuB] kan genomföra de säkerhetsåtgärder som måste vidtas och se till att [PuB] verkligen vidtar åtgärderna.

32 PuL Tillsynsmyndigheten får i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige skall vidta enligt 31. Beslutet kan förenas med vite

Integritetstrappan En modell för hanteringsreglerna i personuppgiftslagen Integritetstrappan Överföring till 3:e land 33-35 Säkerhet 30-32 Information 23-27 Lagöverträdelser och personnummer 21-22 Känsliga personuppgifter 13-20 Tillåten behandling 10 Grundläggande krav och definitioner 3-9

Säkerhetsåtgärder enligt personuppgiftslagen

Allmänna råd Omfattar många typer av säkerhetsåtgärder Rekommendationer Inte rättsligt bindande bör Ligger till grund för Datainspektionens bedömningar

Tekniska och organisatoriska säkerhetsåtgärder

Säkerhetsarbete Strukturerat och kontinuerligt Säkerhetsanalys (hot, risker och konsekvenser) Åtgärdsplan Införande Uppföljning Modeller för strukturerat säkerhetsarbete T.ex. ISO/IEC 27000-serien (LIS) Men glöm inte skyddsobjekt och skyddssyfte

Organisatoriska åtgärder Informationssäkerhetspolicy Övergripande mål för säkerhetsarbete Säkerhetsstrategi för att nå målen Roller och ansvarsfördelning Rutiner och processer som bidrar till Att lämpliga åtgärder vidtas Att minimera mänskliga misstag

Organisatoriska åtgärder Instruktioner till användarna Checklistor Relevant utbildning för medarbetare som hanterar personuppgifter Skapa säkerhetsmedvetenhet berörda befattningshavare ska få del av relevant information Uppföljning av att rutiner och instruktioner följs

Organisatoriska åtgärder Kartläggning av säkerhetsrisker, t.ex. Nulägesanalyser, Riskanalyser, Sårbarhetsanalyser etc Kontinuitetsplaning Förebyggande åtgärder Incidenthantering Rapportering, åtgärder, uppföljning

Exempel

Sammanfattning Styrdokument Policy intention, roller, ansvar... Riktlinjer om, när, vad, hur... Anvisningar medel, metod... Instruktioner konkreta steg för steg...

Dnr 505-2010

Exempel

Tekniska åtgärder

Fysisk säkerhet Tillträdeskontroll Skydd av utrustning Lås och inpasseringskontroll Galler och staket Larm och skydd för brand, vatten, inbrott Elförsörjning Kylning Osv.

Fysisk datasäkerhet Mobila enheter och flyttbara lagringsmedia Rutiner för hantering och förvaring Kryptera lagrade känsliga uppgifter

Autentisering Vem är X? Unik användaridentitet Lösenord, i den mån det är tillräckligt Personligt, hemligt, komplext asymmetrisk kryptering eller motsvarande Certifikat (e-legitimation) I datorn På smart kort med läsare I eller via smartphone Engångslösenord (Dosor, sms )

Stark autentisering? Enligt Datainspektionen följer av 31 personuppgiftslagen att om (integritets-) känsliga personuppgifter får lämnas ut över öppet nät, till exempel Internet, får det ske endast till identifierade användare vars identitet är säkerställd med en teknisk funktion såsom asymmetrisk kryptering (t.ex. e-legitimation), engångslösenord eller motsvarande.

Beslut 282-2010

Behörighetsstyrning Vad får X göra? Styrning av åtkomstmöjligheter Inloggning följt av behörighetsstyrning Roll, grupp, nivå etc. Verksamhetsberoende Rutiner för tilldelning, borttagning, ändring och uppföljning Relevant för verksamheten Relevant för mina arbetsuppgifter

Behörighetsstyrning - frågor Hur har tilldelningen av åtkomsträttigheter beslutats (och av vem) Rutiner för tilldelning / borttagning / uppföljning av åtkomsträttigheter Finns det fler behörigheter än användare? Hur vida är behörigheterna? Leverantörs-, administrations, skräpkonton? Åtkomst utifrån?

Behandlingshistorik - loggar Dokumentation av åtkomst till personuppgifter Information till användarna Loggning innebär i sig personuppgiftsbehandling

Behandlingshistorik - frågor Går det att utreda vem som gjorde vad och när? Vilka loggar förs var och varför? Hur hanteras logguppgifterna? Hur länge sparas de? Varför? Används särskilda verktyg för logghantering? Används loggsystemen för automatiska beslut/larm eller andra åtgärder?

Logguppföljning På förekommen anledning Systematiskt och återkommande Vad man kan göra Glappet mellan kan och får Vem, vad, när och varför? Vad man får göra

Exempel

Datakommunikation Överföring av personuppgifter i nätverk öppna nät (t.ex. internet och sjunet) Kryptering av meddelande och/eller kommunikationslänk Säkerställda identiteter Skydd mot Internet (brandvägg m.m.)

Skydd mot skadlig kod Antivirusprogram Uppdatering av operativsystem och program

Säkerhetskopiering Åtgärder mot förlust av information Säkerhetskopior Bör finnas Bör skyddas Bör testas Artikel 17 skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling.

Säkerhetskopiering frågor Hur ofta tas säkerhetskopior? Hur många generationer sparas? Hur skyddas säkerhetskopiorna? När gallras säkerhetskopiorna? Hur förstörs säkerhetskopiorna? Testas återläsning regelbundet?

Utplåning, reparation och service Utplåning av personuppgifter Fasta lagringsmedia (interna hårddiskar) Löstagbara (t.ex. USB-minnen, SD-kort) Smartphones, surfplattor Radering eller förstöring? inte kan återskapas Avtal med extern part Instruktioner, förbindelser om tystnadsplikt, mm

Sammanfattning tekniska säkerhetsåtgärder Autentisering Behörighetsstyrning Åtkomstkontroll (loggar och logguppföljning) Kommunikationssäkerhet Skydd mot intrång och skadlig kod Säkerhetskopiering Utplåning

Praxis känsliga eller skyddsvärda personuppgifter Beslut om bland annat Loggning och uppföljning Kryptering över öppna nät Stark autentisering Kryptera mobilt/löstagbart YYYYMMDD-ABCD Personnummer?

Beslutet om ny dataskyddsförordning Ersätter dataskyddsdirektivet Blir direktverkande i medlemsländerna Modernisering reglerna bygger idag på ett EU-direktiv från 1995 Förstärkning av enskildas rättigheter och tydliggörande av skyldigheter för de som behandlar personuppgifter Harmonisering samma rättigheter och skyldigheter i EU/EES-området

Personuppgiftsansvariges skyldigheter Accountbility, dataskyddspolicy Privacy by design + Privacy by default Register över personuppgiftsbehandlingar Säkerhet Anmäla och informera om dataskyddsincidenter Data Protection Impact Assessment (DPIA) Personuppgiftsombud (PUO)

Anmälan av dataskyddsincidenter Dataskyddsincidenter som innebär risker för enskildas rättigheter och friheter ska anmälas till Datainspektionen inom 72 timmar PUB ska anmäla till PUA Anmälan ska innehålla en beskrivning av incidenten, konsekvenser, vidtagna åtgärder m.m. Alla dataskyddsincidenter ska dokumenteras EDPB kan utfärda riktlinjer Vid hög risk ska, i vissa fall, även registrerade informeras

Data Protection Impact Assessment (DPIA) Vid behandling som kan misstänkas innebära hög risk ska en konsekvensutredning genomföras, särskilt vid En systematisk och omfattande bedömning av fysiska personers personliga aspekter, inbegripet profilering Omfattande behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser Systematisk övervakning av allmän plats Om DPIA visar hög risk => samråd med Datainspektionen

Personuppgiftsbiträdens skyldigheter Utförliga bestämmelser om biträdesavtalets innehåll Krav på PUA:s godkännande för anlitande av underbiträden Egen förteckning av behandlingar Instruktioner till egen personal Eget ansvar för säkerhetsåtgärder Ska anmäla dataskyddsincidenter till PUA Kan bli beordrade av DPA att informera registrerade om en dataskyddsincident Ska utse ett PUO under samma förutsättningar som PUA Särskilt ansvar vid överföring till tredje land Skadeståndsansvar, i vissa fall solidariskt med PUA

Något om Molntjänster Molntjänster innebär att exempelvis processorkraft, lagring och funktioner tillhandahålls av leverantörer som tjänster över Internet.

Vilka är utmaningarna? Personuppgiftslagen en teknikneutral lagstiftning Transparens - har PuA tillräcklig insyn i hanteringen? Säkerhet Kan PuA lita på att personuppgifterna skyddas på det sätt som krävs? (T.ex. skydd mot otillåten tillgång till eller spridning av personuppgifter) Ansvarsskyldighet (accountability) kan vi lita på tjänsterna och avtalen? Den ansvarige ansvarar gentemot de registrerade, biträdet gentemot den ansvarige

Vem är personuppgiftsbiträde? Den som behandlar personuppgifter för den ansvariges räkning. e-tjänst-leverantören Molntjänstleverantören leverantörens underleverantörer

Tillsynserfarenheter Den som anlitar en molntjänstleverantör är personuppgiftsansvarig Leverantören och alla dennes underleverantörer är personuppgiftsbiträden Som alltid den personuppgiftsansvarige ansvarar för att personuppgiftslagen följs. Även sekretessbestämmelser måste följas. Problemet: Stor tillit för lite koll

Avtal lätt att hitta, lätt läsa? AGREEMENT MODEL CONTRACT CLAUSES ADDENDUM CODE OF CONDUCT POLICY WHITE PAPER STATEMENT

Kontroll av biträden Vad innebär det i praktiken? (31 2 st) Ju känsligare uppgifter desto högre krav på kontroll Svårigheten är beroende av känsligheten och molntjänstens utformning Måste veta vilka som behandlar för att kunna kontrollera Tredjepartsrevision?

Stopptecken? Analysens utfall, t.ex. avseende Avtal Ändamål Tredjeland Säkerhet

Slutsatser Den som vill använda en molntjänst: Analysera utifrån hela PuL, t.ex. ändamål, tillåtlighetsgrund, säkerhet och tredjeland, samt sekretess m.m. Pensionsmyndighetens vägledning

Slutsatser (forts) Personuppgiftsbiträdesavtal Binda alla leverantörer Urskiljbara Inte ensidigt förändras (Svensk) dataskyddslagstiftning Enligt instruktioner Utreda obehörig åtkomst Kontroll, kännedom om vilka Lämpliga säkerhetsåtgärder 31 PuL Avtalets upphörande Und: När biträdesavtal inte medför ngt mervärde för integritetsskyddet

Något mer om tredjelandsöverföring EU-domstolen upphävde Safe Harbouravtalet den 6 oktober 2015. Det innebär att överföringar till USA som görs med stöd av avtalet är olagliga. Sådana överföringar behöver annat rättsligt stöd.

Adekvat skyddsnivå Det är landet som ska ha en adekvat skyddsnivå, inte biträdet - t.ex. ett bolag. Bedöms efter samtliga omständigheter, särskilt uppgifternas art, ändamålet, hur länge uppgifterna ska behandlas i landet, ursprungslandet det slutliga bestämmelselandet och tredjelandets dataskyddsregler

Lämplig säkerhetsnivå Den nivå av skydd, i form av lämpliga tekniska och organisatoriska åtgärder, som personuppgifterna och behandlingen ska ånjuta.

Att tänka på alltså: Adekvat skyddsnivå handlar inte om god informationssäkerhet, det handlar om dataskydd som en mänsklig rättighet och att de registrerade ska kunna göra denna rätt gällande.

Tillfällig lösning Tillsvidare kan standardavtalsklausuler och Binding Corporate Rules (BCR) fortfarande användas. Andra lagliga grunder fortsätter analyseras av 29-gruppen.

Privacy Shield

Datainspektionens information 08-657 61 00 (vardagar 09.00-11.00) e-post: datainspektionen@datainspektionen.se Fax 08-652 86 52 Välkomna att kontakta oss!

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss