PULSENDAGARNA GDPR. EU:s dataskyddsförordning ÅRETS MÖTESPLATS FÖR INSPIRATION & INNOVATION

Relevanta dokument
Dataskyddsförordningen

GDPR. Dataskyddsförordningen 27 april Emil Lechner

EU:s dataskyddsförordning

Acando Simplifying GDPR. ACANDO CAPABLE BUSINESS GDPR Från ord till handling

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Dataskyddsförordningen

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Dataskyddsförordningen

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Dataskyddsförordningen

Översikt av GDPR och förberedelser inför 25/5-2018

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Dataskyddsförordningen

PuL och GDPR en översiktlig genomgång

Dataskyddsförordningen (GDPR)

Information om dataskyddsförordningen

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

WHITE PAPER. Dataskyddsförordningen

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Riktlinjer för hantering av personuppgifter

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Dataskyddsförordningen GDPR

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

Att hantera personuppgifter

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

GDPR Presentation Agenda

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Den nya dataskyddsförordningen - GDPR

Lindesbergs kommuns arbete med dataskyddsförordningen

EU:s dataskyddsförordning

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

GDPR- Seminarium 2017

Handlingsplan för persondataskydd

Policy för integritet vid hantering av personuppgifter

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

NYA DATASKYDDSFÖRORDNINGEN

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Policy för behandling av personuppgifter

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

GDPR NYA DATASKYDDSFÖRORDNINGEN

Riktlinjer för dataskydd

EU:s allmänna dataskyddsförordning:

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Allmänna råd. Datainspektionen informerar. Nr 2/2016

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

GDPR. General Data Protection Regulation. dataskyddsförordningen

Kerstin Wardman, 25 april 2018

INFORMATIONSSÄKERHET OCH DATASKYDD

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

En guide om GDPR och vad du behöver tänka på

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

GDPR UTBILDNINGSDAG SKKF

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Information om behandling av personuppgifter

GDPR. General Data Protection Regulation

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Integritetspolicy Upplev Norrköping

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG?

Riktlinjer för behandling av personuppgifter i Årjängs kommun

GDPR och hantering av personuppgifter

STOCKHOLMS FOTBOLLFÖRBUND

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

INTEGRITETSPOLICY Tikkurila Sverige AB

Olingo Consulting & Advokatfirman Vinge

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Dataskyddsförordningen

Skolan och Dataskyddsförordningen

Dataskyddsförordningen 2018

GDPR. Dataskyddsförordningen

GDPR General data protection regulation Dataskyddsförordningen

Nya dataskyddsförordningen GDPR

Dataskyddsförordningen 2018

Dina rättigheter. Begära rättelse. Personuppgiftsansvarig är Novo Sweden Dental AB org.nr

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Samspelets behandling av personuppgifter

Dataskyddsförordningen GDPR - General Data Protection Regulation

Integritetspolicy för Bernhold Ortodonti

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

GDPR ur verksamhetsperspektiv

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Riktlinjer för personuppgiftshantering

Välkomna till kurs i den nya dataskyddsförordningen

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Svensk författningssamling

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Transkript:

PULSENDAGARNA ÅRETS MÖTESPLATS FÖR INSPIRATION & INNOVATION GDPR EU:s dataskyddsförordning Johan Kronander, Affärsområdeschef, Pulsen Identity & Access Management

Reform EU:s dataskyddsregler Kommissionen presenterade den 25 januari 2012 ett förslag till en ny förordning om dataskydd som ersätter dataskyddsdirektivet Direkt tillämplig i samtliga medlemsstater Begränsat utrymme för nationella avvikelser Politisk överenskommelse i december 2015. Förordningen trädde i krav 24 maj 2016 Den 25 maj 2018 ska EU:s nya dataskyddsförordning börja tillämpas som direkt lagstiftning i Sverige och ersätter då vår nuvarande lagstiftning om personuppgifter, PUL

Syftet med reformen Att skapa en enhetlig tillämpning av reglerna inom EU för att underlätta handeln på den interna marknaden. Ett ökat fokus på integritetsskydd och kontroll över personuppgifter Tillsynsmyndigheten (Datainspektionen) kommer genom dataskyddsförordningen ges möjlighet att i vissa fall döma ut en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av organisationens globala omsättning

Vad menas med personuppgift? Information som går att koppla till en individ Uppenbar information som exempelvis ett namn information som i kombination med andra uppgifter gör det möjligt att identifiera en person Exempel på information som kan bedömas som personinformation: ett namn en postadress en e-postadress platsinformation bankuppgifter ett foto en uppdatering i sociala medier medicinsk information en dators IP-adress

Grundläggande principer för personuppgiftsbehandling Endast adekvata, relevanta och nödvändiga uppgifter får behandlas Samtycke eller stöd i förordningen krävs för insamling Incidentrapportering inom 72h Rätt till att få sina uppgifter borttagna Tidsbegränsat Skall skyddas mot obehörig åtkomst Personuppgiftsansvarig ska ansvara för och visa att principerna uppfylls Rätt till att få sina uppgifter flyttade från en organisation till en annan Skall behandlas för ett bestämt ändamål

Hur väljer man att agera? 2 år är lång tid Lyft upp frågan om dataskydd som en ledningsfråga Avsätt tid och budgetmedel under 2016 och 2017 Ta extern hjälp tidigt i processen

Hur kan man skapa skyddsåtgärder? Begränsa behörigheter Ett system där man manuellt eller automatiserat försöker sätta detaljerade behörigheter genom grupper, roller, attribut, katalogtjänster och databaser Reglera och övervaka Reglera och övervaka med ett regelverk som säger vad du får och inte får göra och då följa en användares handlingar genom övervakning Hög kontroll på vilken information/data en person haft tillgång till Upptäcka mönster och avvikande beteende genom att kontrollera tidpunkt, aktivitet, vilken sorts data Proaktivt förhindra åtkomst och larma om avvikelser LOGGNING

Informationskrav, rättsligt stöd för behandling och samtycke Informationskrav och rättligt stöd till den registrerade Informationen ska innehålla tydlig angivelse av: Den rättsliga grunden för behandlingen Ändamålet för behandlingen Hur länge uppgifterna kommer att sparas Information om var den registrerade kan vända sig med klagomål Samtycke Skall vara frivilligt, informerat och otvetydligt Skriftligt eller digitalt (signerat) samtycke Bevisbördan ligger på ansvarig Det skall vara möjligt att lokalisera vart informationen finns lagrad

Krav på anmälan och information vid personuppgiftsincident (data intrång) Organisationen måste anmäla händelsen till tillsynsmyndigheten inom 72 timmar. I vissa fall, om incidenten innebär allvarliga risker för den registrerade, krävs även att varje individ informeras. Anmälningskravet innebär att organisationen måste skapa goda och effektiva rutiner vid personuppgiftsincidenter samt öka säkerhetskraven för att undvika att incidenter inträffar. Det måste säkerställas att organisationens ITsystem stödjer sådana funktioner som dels gör det möjligt att snabbt uppmärksamma om en incident har skett, dels möjliggör en snabb överblick över de registrerade och deras uppgifter för att organisationen ska kunna fullgöra sin anmälningsplikt.

Organisationens drivkrafter Dataskyddsförordningen driver säkerhet En organisation har två olika drivkrafter; Säkerhet Risker, IT-risker, Behörigheter Ekonomi Effektivisering, Nyttoeffekter, Minskade kostnader För att stå som vinnare krävs en balansgång med att lyckas med åtgärder som ger bättre ekonomi/nytta samtidigt som det skapar en högre säkerhet Metod: strategier, projekt, förbättringar och justeringar

IAM Pulsen Integration erbjuder kompletta lösningar inom Identity & Access Management Teknisk rådgivning Förstudier, kravställning och projektering av IAM lösningar Implementation Licensiering Avancerad Support (Pulsen Technical Assistant Center) Inom IAM arbetar vi i med fyra huvudområden Identity Management Access Management Behörighetsuppföljning Loggning LOGGNING BEHÖRIGHETS- UPPFÖLJNING IDENTITY MANAGEMENT ACCESS MANAGEMENT

Identity Management Bygg in säkerhet i system och processer från start För att uppfylla säker åtkomst till känsliga personuppgifter i interna/externa system Livcykelhantera interna/externa identiteter och attribut med en Identity Management lösning och tidsbegränsa lagring av personinformation för att uppfylla Rätten att bli glömd och Privacy By Design Lagra inte mer än nödvändigt. Insamling av personuppgifter skall begränsas till det som är nödvändigt för det som uppgifterna skall användas till IDENTITY MANAGEMENT

Identity Management Integrera fler system (minska antalet isolerade öar) till identitetslösningen, för att säkerställa uppgiftskvalitet och att personinformation kan adderas och tas bort i fler system samtidigt. Totalintegration krävs inte, utan uppgifter i system kan hanteras genom ett revisionsverktyg Använd information på identiteterna för att styra intelligent åtkomst till säkerkritiska system, vilka innehåller personinformation Fokusera Vilken information är nödvändig? Minimera bra att ha information Tänk på säkerhet i alla led IDENTITY MANAGEMENT

Access Management Tillse att tillgång till system med personinformation styrs med hög säkerhet Genomför en riskbedömning och klassificering av system detta styr på vilket sätt som ni behöver skydda er och eventuell skada som databrott kan innebära Inför stark autentisering för administratörer och priviligierade användare Endast användarid + lösenord innebär stor säkerhetsrisk Tänk nödvändig åtkomst till <information> vid <tidpunkt> för att utföra <uppgift> Tidsbegränsad åtkomst Gör er av med unika lösenord och inför SSO till säkerhetskritiska system (och andra system), men även möjlighet till step-up autentisering när det behövs Fokusera på mobilitet och tillgänglighet för slutanvändarna som innebär högre säkerhet vid åtkomst/borttag av access så väl som enkel tillgång till system ACCESS MANAGEMENT

Access Management Bygg in situationsbaserad inloggning som utgår ifrån säkerhetsklassning på systemet, inloggningsmetod, plats, IP-adress, historik, enhet, profil etc. Inför federation för att underlätta samverkan på ett säkert sätt mellan två eller flera organisationer där man är överens om en level-of-trust. Automatisera skapande/borttag av åtkomst genom underliggande identitets- och behörighetshantering ACCESS MANAGEMENT

Behörighetsuppföljning / Access Governance Upprätta förteckning av vilka system som innehåller personuppgifter med tillhörande risk- & konsekvensanalys Implementera lösning för livscykelhantering av behörigheter (Access Governance) för kontrollerad åtkomst till skyddad personinformation för leva upp till dataskyddsförordningen Inför behörighetsgranskning, där ansvarig får en användaröversikt och nödvändig info för att enkelt avgöra om åtkomst skall tilldelas eller tas bort till Hantera behörigheter genom automation, beställning och självservice BEHÖRIGHETS- UPPFÖLJNING

Behörighetsuppföljning / Access Governance Fokusera på säkerhetsklassning på information och antalet användare vid prioritering av vilka system som skall hanteras först och vilka ni ansluter senare Minska risken för otillbörlig åtkomst genom inbyggt skydd där åtkomst automatiskt tas bort vid förändrad tjänst, arbetsuppgift, avslut eller händelse Minska den manuella granskningen och ansluta fler system till ett revisionsverktyg Säkerställ att ni kan påvisa regeluppfyllnad över tid BEHÖRIGHETS- UPPFÖLJNING

Loggning Loggning av vem som har loggat in <när>, <varifrån> och från <vad> och <vilken data> som användaren har haft åtkomst till Påvisa spårbarhet till händelser Proaktivt reagera på avvikelser och hindra åtkomst Skapa stöd för att upptäcka och rapportera avvikelser till Datainspektionen Upptäcka avvikelser för att kunna starta en analys Uppföljning med logg påvisa en korrekt kravuppfyllnad Loggning kan även vara ett underlag för att bedöma om en person skall re-certifieras för en behörighet till ett visst system. Ex har man inte använt systemet på en längre kan det vara skäl för borttag av access LOGGNING

LOGGNING En bra plan med beredskap och handling Utforma en strategi och handlingsplan för hur verksamheten arbetar med dataskydd IDENTITY MANAGEMENT Kartlägg alla behandlingar av personuppgifter, kontrollera laglighet och sammanställ ett register över behandlingarna (registerför) Utgå från nuvarande situation, genomför en riskanalys, inventera data och säkerhetsrutiner vad saknas? Vad behöver kompletteras? Utse ett personuppgiftsombud (dataskyddsombud) och tillse att denne har nödvändiga resurser för att kunna utföra sitt arbete ACCESS MANAGEMENT När det gäller Myndigheter (kommuner/landsting) så kommer det mer information om hur dessa skall förhålla sig till GDPR, utifrån krock med andra lagstiftningar, krav på att hålla vis information om medborgare men det är en annan fråga gällande hur en organisation skall hantera information om anställda Implementera IT-stöd och rutiner som stödjer förordningen, som effektiverar för er verksamhet och hjälper er att uppfylla GDPR

PULSENDAGARNA ÅRETS MÖTESPLATS FÖR INSPIRATION & INNOVATION TACK FÖR ATT NI LYSSNAT! Johan Kronander, Affärsområdeschef, Pulsen Identity & Access Management

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss