Välkomna till kurs i dataskyddsförordningen med fokus på informationssäkerhet

Relevanta dokument
Välkomna till kurs i den nya dataskyddsförordningen

EU:s dataskyddsförordning

GDPR- Seminarium 2017

Säkerhet vid behandling av personuppgifter i forskning

Säkerhet enligt personuppgiftslagen

Dataskyddsförordningen (GDPR)

Vården och reglerna om dataskydd

EU:s dataskyddsförordning

GDPR. Dataskyddsförordningen

Policy för behandling av personuppgifter

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Dataskyddsförordningen

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Dataskyddsförordningen, privat sektor Välkomna Dataskyddsförordningen med fokus på den privata sektorn. Datainspektionen 1.

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Välkomna Dataskyddsförordningen med fokus på den offentliga sektorn

Dataskyddsförordningen

Dataskyddsförordningen

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

GDPR NYA DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Dataskyddsförordningen

Riktlinjer för dataskydd

Disposition. Stockholm den 31 maj 2017 Lisa Johansson, Salli Fanaei, Tove Fors och Mattias Sandström

PuL och GDPR en översiktlig genomgång

Dataskyddsförordningen GDPR - General Data Protection Regulation

Dataskyddsförordningen GDPR

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Dataskyddsförordningen

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

EU:s allmänna dataskyddsförordning:

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

GDPR Presentation Agenda

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

PERSONUPPGIFTSBITRÄDESAVTAL

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Personuppgiftsbiträdesavtal

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

LANDAHL ADVOKATBYRÅS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Dataskyddsförordningen

Regler för behandling av personuppgifter vid Högskolan Dalarna

Personuppgiftsbehandling Dataskydd

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Koncernkontoret Enheten för juridik

Svensk författningssamling

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

1. INLEDNING 2. PERSONUPPGIFTSANSVARIG 3. INSAMLING OCH ÄNDAMÅL

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Personuppgiftsinformation för Svedala kommun

Axholmen:s Integritetspolicy

PERSONUPPGIFTSBITRÄ DESÄVTÄL

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Dataskyddsförordningen och kvalitetsregister

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Behandling av personuppgifter vid Göteborgs universitet

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Dataskyddsförordningen

Riktlinjer för att tillvarata enskildas rättigheter

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Allmänna Råd. Datainspektionen informerar Nr 3/2017

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

INTEGRITETSPOLICY för Webcap i Sverige AB

Policy för behandling av personuppgifter

För att tillvarata medlemmarnas enskildas rättigheter

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

GDPR - Riktlinjer för hantering av personuppgifter

Information om behandling av personuppgifter

Transkript:

Välkomna till kurs i dataskyddsförordningen med fokus på informationssäkerhet Stockholm den 22 februari 2017 Magnus Bergström, Adolf Slama, Robin Lantz Stomilovic och Jonas Agnvall

Datainspektionen Ca 55 anställda Tre operativa enheter Bedriver tillsyn Svarar på frågor och tar emot klagomål Ger råd och vägledning Remissinstans

Disposition Introduktion Informationssäkerhet och dataskydd Dataskyddsförordningens grunder rätten till privatliv, grundläggande begrepp, varför nya regler?, principer, rättigheter, skyldigheter, dataskyddsombudet och sanktioner Dataskyddsförordningen och informationssäkerhet Inbyggt dataskydd, konsekvensbedömningar, personuppgiftsincidenter, säkerhet vid behandling Lämpliga säkerhetsåtgärder Frågestund

Praktikaliteter Tider: Lunch 11.30-12.30 Eftermiddagskaffe 13.45 Bensträckare när det är lämpligt Faciliteter

Informationssäkerhet och dataskydd

Informationssäkerhet Säkerhet beträffande informationstillgångar rörande förmågan att upprätthålla konfidentialitet, riktighet och tillgänglighet (även ansvarighet och oavvislighet)

Informationssäkerhet

Strukturerat informationssäkerhetsarbete Administrativ säkerhet Policy & regelverk (riktlinjer, anvisningar, instruktioner) Rutiner Övervakning och kontroll Revision och uppföljning

Ledningssystem för informationssäkerhet SS-ISO/IEC 27000-serien MSBFS 2016:1 Statliga myndigheters informationssäkerhet

MSB:s webbplats informationssäkerhet.se

Skyddsobjekt för informationssäkerhet Organisationens mest värdefulla tillgång Informationstillgångarna Det överordnade syftet är ofta att säkra verksamhetens fortgående. Var kommer dataskyddet in i det sammanhanget?

Lagkrav som påverkar infosäk-åtgärder Från grundlag: TF/YGL OSL och arkivlag, god offentlighetsstruktur Från lagar som styr hur verksamheter ska/får bedrivas: FL/HSL/SOL/RB/Bank och finansieringsrörelse Från dataskyddslagstiftningen Idag PuL och alla registerförfattningar

Informationssäkerhet och lagstiftning TF/YGL/OSL Verksamhetsreglering Dataskydd

Infosäk-krav enligt dataskyddet TF/YGL/OSL Verksamhetsreglering Dataskydd

Rätten till privatliv

Rätten till privatliv Europakonventionen om de mänskliga rättigheterna EU:s rättighetsstadga Regeringsformen Personuppgiftslagen inkl. kompletterande regler Dataskyddsdirektivet/ Dataskyddsförordningen Annan lagstiftning t.ex. registerförfattningar

Anteckningssida

EU:s rättighetsstadga artikel 8 1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. 2. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. 3. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

Grundläggande begrepp

Grundläggande begrepp Personuppgifter inklusive känsliga personuppgifter Behandling Personuppgiftsansvariga Personuppgiftsbiträden

Varför nya regler?

Varför nya regler? Modernisering nu gällande regler bygger på ett direktiv från 1995 Förstärkning av enskildas rättigheter och tydliggörande av ansvar och skyldigheter för den som behandlar personuppgifter Harmonisering samma rättigheter och skyldigheter i hela EU/EES

Dataskyddsförordningen (GDPR)

Vad vi inte kommer att fördjupa oss i idag Tillämpningsområde (materiellt och territoriellt) Rättsliga grunder för behandlingen (samtycke mfl.) Regler för behandling av särskilda kategorier av personuppgifter (känsliga personuppgifter, uppgifter om lagöverträdelser, personnummer) Särskilda undantag (t.ex. privat behandling och reglerna för tryck- och yttrandefrihet) Reglerna om överföring till tredje land

Anteckningssida

Grundläggande principer för behandlingen

Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Den personuppgiftsansvarige ska ansvara för och kunna visa att punkterna efterlevs Ansvarsskyldighet Artikel 5, skäl 39, artikel 6.4, skäl 50

Anteckningssida

Anteckningssida

Anteckningssida

Laglighet, korrekthet och öppenhet Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade All information och kommunikation i samband med en personuppgiftsbehandling ska vara lättillgänglig och begriplig och ett klart och tydligt språk ska användas Artikel 5

Integritet och konfidentialitet Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder Nyhet Säkerhet för personuppgifter Artikel 5

Ansvarsskyldighet Den personuppgiftsansvarige ska ansvara för och kunna visa att principerna efterlevs Tydligt ansvar! Inte endast följa förordningen utan även visa att förordningen följs Artikel 5, 24, 30, 40-42

Vad innebär principerna i praktiken? Identifiera rättslig grund för behandlingen Informera de som uppgifterna avser Bestäm ändamålet med behandlingen Samla endast in uppgifter som behövs för ändamålet Samla inte in fler uppgifter än nödvändigt för ändamålet

Vad innebär principerna i praktiken (forts.)? Se till att uppgifterna är korrekta och uppdaterade Skydda insamlade uppgifter Radera uppgifterna när de inte längre behövs för ändamålet Se till att du kan visa att du gör rätt

Registrerades rättigheter

Registrerades rättigheter Information och registerutdrag Rättelse och radering Dataportabilitet Begränsning av behandling Invändning mot behandling Motsätta sig automatiserad behandling Personuppgiftsansvariga har en skyldighet att underlätta utövandet av rättigheterna Artiklarna 12-23

Information och registerutdrag Informationen är en väsentlig del av integritetsskyddet Skyldighet att ge klar och tydlig information Får kombineras med standardiserade symboler Kortare tidsfrister Kostnadsfritt Informationsskyldigheten är mer omfattande än tidigare Artikel 12, skäl 58-62

Anteckningssida

Rättelse Rätta felaktiga uppgifter Komplettera ofullständiga uppgifter Informera mottagare om rättelsen Artikel 16 och 19, skäl 65

Radering rätten att bli glömd Radera personuppgifter om den registrerade Informera, i vissa fall, andra personuppgiftsansvariga och mottagare Förutsättningar, bl.a. om uppgifter inte längre behövs för ändamålen återkallat samtycke Undantag, bl.a. Nödvändig för yttrande- och informationsfriheten Nödvändig för rättslig förpliktelse, allmänt intresse och myndighetsutövning, rättsliga anspråk Artikel 17 och 19, skäl 65-66

Anteckningssida

Dataportabilitet Rätt att få ut och överföra egna personuppgifter till annan personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format, om uppgifter har tillhandahållits av den registrerade, behandling sker med stöd av samtycke eller avtal, behandling sker automatiserat inte påverkar andra rättigheter och friheter Artikel 20, skäl 68

Skyldigheter för den som behandlar personuppgifter

Skyldigheter för personuppgiftsansvariga Ansvarsskyldighet Den personuppgiftsansvarige ska vidta åtgärder för att säkerställa att förordningen följs och för att kunna visa att förordningen följs Artikel 24

Skyldigheter för personuppgiftsansvariga (forts.) Inbyggt dataskydd och dataskydd som standard Register över behandlingar Säkerhet Anmälan av personuppgiftsincidenter Konsekvensbedömningar och förhandssamråd Utse dataskyddsombud Anlita personuppgiftsbiträde Artikel 25, 28, 30, 32-35 och 37

Anteckningssida

Skyldigheter för personuppgiftsbiträden Lämna garantier för att förordningen följs Krav på biträdesavtalet Bistå den personuppgiftsansvarige Register över behandling Eget ansvar för säkerhet Anmälan av personuppgiftsincidenter till den personuppgiftsansvarige Utse dataskyddsombud Artikel 28, 30, 32 och 33

Anteckningssida

Dataskyddsombud

När ska ett dataskyddsombud utses? Skyldighet att utse om: Myndighet Kärnverksamhet som innebär Systematisk övervakning av personer i stor skala Behandling i stor skala av integritetskänsliga personuppgifter Även personuppgiftsbiträden ska utse ett personuppgiftsombud Inget hinder att utse ett dataskyddsombud även i andra fall Artikel 37, skäl 97

Dataskyddsombudets uppgifter Ska minst: Informera och ge råd Övervaka efterlevnaden Samarbeta med tillsynsmyndigheten Ge råd vid konsekvensbedömningar Artikel 39

Dataskyddsombudets ställning Yrkesmässiga kvalifikationer och sakkunskap om dataskydd Delta i god tid i alla frågor som rör skyddet av personuppgifter Fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt Ska inte kunna bestraffas för sitt uppdrag Ska rapportera till högsta förvaltningsnivå Tystnadsplikt Artikel 37, 38

Vad händer om ni bryter mot reglerna?

Vad händer om ni bryter mot reglerna? Datainspektionens verktyg Tillsyn och föreläggande Administrativa sanktionsavgifter Den registrerades egna möjligheter Lämna in klagomål till Datainspektionen Begära skadestånd Artikel 58, 77, 78, 82, 83, 84

Frågor?

Dataskydd och säkerhetsåtgärder

Inbyggt dataskydd Med beaktande av Artikel 25.1, skäl 78 den senaste utvecklingen, genomförandekostnader, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska den personuppgiftsansvarige, både vid fastställande av vilka medel behandlingen utförs med och vid själva behandlingen,

Anteckningssida

Inbyggt dataskydd (forts.) genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering, vilka är utformade för ett effektivt genomförande av dataskyddsprinciper, såsom uppgiftsminimering, och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades rättigheter skyddas. Artikel 25.1, skäl 78

och dataskydd som standard Den personuppgiftsansvarige ska genomföra [lämpliga åtgärder] för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade uppgifter, tiden för deras lagring och deras tillgänglighet. Artikel 25.2, skäl 78

och dataskydd som standard (forts.) Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer. Punkt 3: Certifieringsmekanism får användas för att visa att kraven följs Artikel 25.2,3, skäl 78

Konsekvensbedömning avseende dataskydd Ska göras vid hög risk Hög risk bedöms utifrån behandlingens art, omfattning, sammanhang, ändamål samt användning av ny teknik Ska vid behov ses över, åtminstone när risken förändras Artikel 35.1,2, skäl 84, 89-94

Konsekvensbedömning (forts.) Hög risk även vid: Systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, Behandling i stor omfattning av känsliga personuppgifter eller av personuppgifter som rör fällande domar i brottmål och överträdelser. Systematisk övervakning av en allmän plats i stor omfattning. Artikel 35.3, skäl 84, 89-94

Konsekvensbedömning (forts.) Ska innehålla åtminstone Beskrivning av den planerade behandlingen och behandlingens syfte, om lämpligt det berättigade ändamålet En bedömning av behovet och proportionaliteten hos behandlingen i förhållande till syftena En bedömning av riskerna för de registrerades frioch rättigheter De åtgärder som planeras för att hantera riskerna, skyddsåtgärder, säkerhetsåtgärder Artikel 35.7, skäl 84, 89-94

Konsekvensbedömning (forts.) Mer vägledning kommer! Datainspektionen ska komma med en lista på behandlingar som kräver konsekvensbedömning Datainspektionen får ge ut en lista på behandlingar som inte kräver konsekvensbedömningar Artikel 29-gruppen arbetar på en vägledning Artikel 35.4 och 5, skäl 84, 89-94

Personuppgiftsincident En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. (def. i art 4.12) Ska anmälas till Datainspektionen om det inte är osannolikt att incidenten medför risk Artikel 33, skäl 85-88

Personuppgiftsincident (forts.) Om personuppgiftsincidenten sannolikt leder till hög risk ska den registrerade informeras om incidenten Informationen ska vara tydlig och klar Det krävs inte information om lämpliga åtgärder genomförts [för att minska risken], om ytterligare åtgärder [som sänker risken tillräckligt] vidtagits eller när det skulle utgöra en oproportionell ansträngning [i så fall kan allmänheten informeras istället]. Artikel 34, skäl 85-88

Säkerhet i samband med behandlingen Med beaktande av den senaste utvecklingen, genomförandekostnader, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska den personuppgiftsansvarige lämpliga tekniska och organisatoriska åtgärder för att säkerställa Artikel 32, skäl 83

Säkerhet (forts.) En säkerhetsnivå som är lämplig i förhållande till risken t.ex. pseudonymisering (kodning) och kryptering kontinuitetsplanering incidenthantering testa, undersöka, utvärdera åtgärderna Särskild hänsyn ska tas till risken för förstöring, förlust eller ändring obehörigt röjande eller obehörig åtkomst Artikel 32, skäl 83

Att tolka säkerhetskraven Art. 32 Dataskyddsförordningen (skäl 83) på alla språk man behärskar Art. 17.1 Dataskyddsdirektivet (skäl 46) 31 Personuppgiftslagen ( samma innebörd ) beslutspraxis Tolkas utifrån syftet med bestämmelsen Begreppsjurisprudens omöjlig Lämpligt 18 maj 2018 = Lämpligt 25 maj 2018

Lämpliga säkerhetsåtgärder

Allmänna råd Omfattar många typer av säkerhetsåtgärder Rekommendationer Inte rättsligt bindande bör Ligger till grund för Datainspektionens bedömningar

Informationsbroschyr Sammanfattning av de allmänna råden

Tekniska och organisatoriska säkerhetsåtgärder

Informationssäkerhetsarbete Strukturerat och kontinuerligt Säkerhetsanalys (hot, risker och konsekvenser) Åtgärdsplan Införande Uppföljning Modeller för strukturerat säkerhetsarbete T.ex. ISO/IEC 27000-serien (LIS)

Organisatoriska åtgärder Informationssäkerhetspolicy Övergripande mål för säkerhetsarbete Säkerhetsstrategi för att nå målen Roller och ansvarsfördelning Upprätta rutiner och processer som bidrar till Att lämpliga åtgärder vidtas Att minimera mänskliga misstag

Organisatoriska åtgärder (forts.) Skapa anvisningar och instruktioner för personalen Som är konkreta Lätt att förstå Höja säkerhetsmedvetenheten genom Regelbunden relevant utbildning Regelbunden kontroll att anvisningar och rutiner följs

Organisatoriska åtgärder (forts.) Behörighetsstyrning Rutiner och instruktioner för incidenthantering

Sammanfattning styrdokument Policy intention, roller, ansvar... Riktlinjer om, när, vad, hur... Anvisningar medel, metod... Instruktioner konkreta steg för steg...

Exempel

Dnr 505-2010

Exempel

Tekniska åtgärder

Fysisk säkerhet Tillträdeskontroll Skydd av utrustning Lås och inpasseringskontroll Galler och staket Larm och skydd för brand, vatten, inbrott Elförsörjning Kylning Osv.

Fysisk datasäkerhet Mobila enheter och flyttbara lagringsmedia Rutiner för hantering och förvaring Kryptera lagrade känsliga personuppgifter

Autentisering Vem är X? Unik användaridentitet Lösenord, i den mån det är tillräckligt personligt, hemligt, komplext asymmetrisk kryptering eller motsvarande Certifikat (e-legitimation) I datorn På smart kort med läsare I eller via smartphone Engångslösenord (dosor, sms )

Stark autentisering? Enligt Datainspektionen följer av 31 personuppgiftslagen att om (integritets-) känsliga personuppgifter lämnas ut över öppet nät, till exempel Internet, får det endast ske till användare vars identitet är säkerställd med en teknisk funktion såsom asymmetrisk kryptering (t.ex. e-legitimation), engångslösenord eller motsvarande.

Beslut 282-2010

Behörighetsstyrning Vad får X göra? Styrning av åtkomstmöjligheter Inloggning följt av behörighetsstyrning Roll, grupp, nivå etc. Verksamhetsberoende Rutiner för tilldelning, borttagning, ändring och uppföljning Relevant för verksamheten Relevant för mina arbetsuppgifter

Behörighetsstyrning - frågor Hur har tilldelningen av åtkomsträttigheter beslutats (och av vem)? Rutiner för tilldelning / borttagning / uppföljning av åtkomsträttigheter? Finns det fler behörigheter än användare? Hur vida är behörigheterna? Leverantörs-, administrations, skräpkonton? Åtkomst utifrån?

Behandlingshistorik - loggar Dokumentation av åtkomst till personuppgifter Information till användarna Loggning innebär i sig personuppgiftsbehandling

Behandlingshistorik - frågor Går det att utreda vem som gjorde vad och när? Vilka loggar förs var och varför? Hur hanteras logguppgifterna? Hur länge sparas de? Varför? Används särskilda verktyg för logghantering? Används loggsystemen för automatiska beslut/larm eller andra åtgärder?

Logguppföljning På förekommen anledning Systematiskt och återkommande Glappet mellan kan och får Vad man kan göra Vem, vad, när och varför? Vad man får göra

Datakommunikation Överföring av personuppgifter i nätverk öppna nät (t.ex. internet och sjunet) Kryptering av meddelande och/eller kommunikationslänk Säkerställda identiteter Skydd mot Internet (brandvägg m.m.)

Skydd mot skadlig kod Antivirusprogram Uppdatering av operativsystem och program

Säkerhetskopiering Åtgärder mot förlust av information Säkerhetskopior Bör finnas Bör skyddas Bör testas

Säkerhetskopiering frågor Hur ofta tas säkerhetskopior? Hur många generationer sparas? Hur skyddas säkerhetskopiorna? När gallras säkerhetskopiorna? Hur förstörs säkerhetskopiorna? Testas återläsning regelbundet?

Utplåning, reparation och service Utplåning av personuppgifter Fasta lagringsmedia (interna hårddiskar) Löstagbara (t.ex. USB-minnen, SD-kort) Smartphones, surfplattor Radering eller förstöring? inte kan återskapas Avtal med extern part Instruktioner, förbindelser om tystnadsplikt, mm

Sammanfattning tekniska säkerhetsåtgärder Autentisering Behörighetsstyrning Åtkomstkontroll (loggar och logguppföljning) Kommunikationssäkerhet Skydd mot intrång och skadlig kod Säkerhetskopiering Utplåning

Praxis integritetskänsliga personuppgifter Beslut om bland annat Loggning och uppföljning Kryptering över öppna nät Stark autentisering Kryptera mobilt/löstagbart YYYYMMDD-ABCD Personnummer?

http://www.datainspektionen.se/dataskyddsreformen/

Datainspektionens information 08-657 61 00 (vardagar 09.00-11.00) e-post: datainspektionen@datainspektionen.se Fax 08-652 86 52

[MALL] Rubrik Text

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss