• No results found

Nytt regelverk för personuppgifter varför ska vi ta tag i det nu?

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Nytt regelverk för personuppgifter varför ska vi ta tag i det nu?"

Copied!
18
0
0

Loading.... (view fulltext now)

Download now ( 18 Page )

Full text

(1)

Nytt regelverk för personuppgifter – varför ska vi ta tag i det nu?

eFörvaltningsdagarna 2016

Fredrik Rehnström, vVD, CISSP, CISM, CISA, CGEIT, CPP

(2)

1.

Den personliga integriteten

2.

Huvuddragen i nya dataskyddsförordningen

3.

GAP-analys

4.

Molntjänster

5.

Åtgärder och införande

6.

Slutsatser och summering

Agenda

(3)

1. Den personliga integriteten

Enorma läckor av personinformation

I allmänhet dålig kontroll

Förvånansvärt låg oro

Högt förtroende för hälso- och sjukvård, myndigheter och banker – men med facit i hand…

Vilka konsekvenser har vi sett?

– Bedrägerier

– Förtroende och varumärke – Självreglering

(4)

Vad är en personuppgift som behandlas?

Namn

Hemadress

Telefonnummer

E-mail

Bilder

Position

Personnummer

Kortnummer

Bankkontonummer

IP adress m.m.

“eller någon annan personlig information som kan sättas i relation till en individ, oavsett om det rör hens privata, professionella eller officiella sfär”, det vill säga era kunder, medborgare, patienter, anställda,

besökare, leverantörer, partners…

(5)

2. Huvuddragen i nya dataskyddsförordningen

(General Data Protection Regulation, GDPR)

Gäller alla utom polisen och straffrättsliga sektorn (EU- direktiv för dessa).

Ersätter nuvarande dataskyddsdirektiv från 1995.

Gäller som lag direkt på samma sätt i alla medlemsländer.

(Svenska personuppgiftslagen slutar att gälla).

Vissa nationella särregler medges, arbete pågår med en särskild svensk ”myndighetslag”.

Ikraftträdande maj 2018.

(6)

Huvuddragen i nya dataskyddsförordningen

Källa: Europeiska unionens råd

(7)

Huvuddragen i nya dataskyddsförordningen

Stärker den enskildes rättigheter

– Förenkad åtkomst till egna personuppgifter. (IP adress betraktas nu som personuppgift)

– Uttryckligt samtycke, ”Opt-In”

– Uppgiftsportabilitet – lättare att flytta sina uppgifter till annan tjänsteleverantör

– Rätt att bli bortglömd

– Rätt att få veta när uppgifter hackats – anmälningsplikt vid incidenter

(8)

Huvuddragen i nya dataskyddsförordningen

Modernare regler för företag

– En kontinent en lag, samma regler på Europeisk mark

– En kontaktpunkt – samverkan med tillsynsmyndighet förenklas – Riskbaserad – krav på konsekvensanalys vid riskfylld behandling – Innovationsanpassade regler – ”privacy by design”

– Anmälningsplikt vid incidenter inom 24h (tillsynsmyndighet och i vissa fall till även till registrerade)

Sanktioner, böter motsvarande 4% av global omsättning

EU-US Privacy Sheild ersätter Safe Harbour

(9)

1. Nuvarande läge? 2. Önskat läge?

Implementation

A (PuL)

B (EU GDPR) C (EU GDPR + självreglering) Mognad

Tid

3. GAP-analysen som startpunkt

(10)

Starta i rätt riktning

1. Klar och tydlig vision om syfte; varför göra detta och vad vill vi uppnå?

2. Hur når vi visionen (projekt eller linjeverksamhet eller…)?

3. Vem är ansvarig, vilka ska vara med och hur leder vi?

4. Vilka är huvudprocesserna?

5. Vilket stöd, rutiner, kontroller och aktiviteter behövs?

VISION

STRATEGI

STYRNING ORGANISATION

PROCESSER

VERKTYG, KONTROLLER, GAP, PROJEKT och AKTIVITETER

(11)

Skapa kontroll över informationsarkitekturen

- A & O för skydd och selektiv permanent radering

System n

Export av person- information??

(12)

4. Reaktioner på molntjänster – med rätt?

(13)

Finns en verksamhetsbaserad

Hur gör man då rätt?

Vad är det för moln- applikation som ska

användas?

För vilken verksamhet ska den användas och

vilka aktörer berörs?

Inverkar de avsedda och icke avsedda informationsflödena på

informationens rättsliga status?

Rör det sig t.ex. om allmänna handlingar eller förvaltningsbeslut?

Omfattas uppgifter av OSL, PUL, upphovsrätt eller andra avtalsrättsliga komplikationer?

OffentligRättslig

verksamhetsBestämning (eller laglighetskontroll)

(14)

Visdomsord på vägen

Skaffa BjörnKoll På Läget

Behov av informationen, vara Kunnig om hur den ska hanteras säkert, bedömas som Pålitlig och slutligen vara Lämplig att ta del av informationen just där och då…

Försöka finns inte

Antingen så har man säker informations- hantering i molnet, eller inga molntjänster alls…

(15)

5. Åtgärder och införande

1. Styrande och rådgivande dokument

Lagar, standarder, åtaganden, policy, föreskrifter,

instruktioner, beslut och arbets- och delegeringsordning 2. Processer:

PIA

Ständiga förbättringar (PLAN – DO – CHECK – ACT) Kontroller, uppfyllnad, rapportering, KPI:er

Ledningens genomgång och engagemang Utbildning

Förvaltning

Riskhantering etc.

3. Organisation med tydliga rollbeskrivningar (Dataskyddsombud),

Policy Regler Vägledning

(16)

• Skapa och förankra en ”Privacy Policy” och en förändringsstrategi från en vision om vad som ska uppnås

• Genomför en djup GAP-analys

• Använd ledningssystemmodellen för införande och förvaltning

• Dokumentera och riskhantera

• Lägg särskild vikt på analys av molntjänster

• Se till att ”Privacy by Design” är infört och med i all upphandling av IT

• Ställ krav på underleverantörer – samma krav kommer ställas på er

Låt anseende, kunder/medborgare och anställda styra mer än bara lagstiftningen – personlig integritet är inte primärt en legal fråga

• Påbörja arbetet nu – analys och införande tar tid

5. Slutsatser och summering

(17)

Frågor och svar

(18)

Din partner bland mörka moln (tjänster) och snåriga regelverk

www.rote.se

reception@rote.se

References

Download now ( PDF - 18 Page - 1.17 MB )

Related documents

Yttrande över promemoria Efterlevandestöd för barn som får vård eller boende bekostat av det allmänna, Ds 2020:27

Kommunen vill därmed framföra att det finns skäl att undersöka om en digital lösning, som innebär förenklad hantering och rättssäker handläggning, kan införas..

En konsultationsordning i frågor som rör det samiska folket (Ku2019/01308/RS)

Idag har vi dock en situation där möjligheten till inflytande för samer i alla frågor som berör oss, är begränsade och inte levs upp till, något som fått och fortfarande

Utkast till lagrådsremiss En konsultationsordning i frågor som rör det samiska folket

I den slutliga handläggningen har deltagit chefsjurist Elin Häggqvist och jurist Linda Welzien, föredragande..

Yttrande över Utkast till lagrådsremiss gällande En konsultationsordning i frågor som rör det samiska folket, ert dnr Ku2019/01308/RS

rennäringen, den samiska kulturen eller för samiska intressen i övrigt ska konsultationer ske med Sametinget enligt vad som närmare anges i en arbetsordning. Detta gäller dock inte

Bilaga, Luleå tekniska universitets yttrande på Utkast till lagrådsremiss: En konsultationsordning i frågor som rör det samiska folket

avseende möjligheter som står till buds för främst Sametinget och samebyar, när det gäller att få frågan prövad om konsultationer hållits med tillräcklig omfattning

Remiss: Utkast till lagrådsremiss En konsultationsordning i frågor som rör det samiska folket

Enligt remissen följer av förvaltningslagens bestämmelser att det normalt krävs en klargörande motivering, eftersom konsultationerna ska genomföras i ärenden som får

Yttrande över lagrådsremiss - En konsultationsordning i frågor som rör det samiska folket

Lycksele kommun ställer sig positiv till promemorians bedömning och välkomnar insatser för att stärka det samiska folkets inflytande och självbestämmande i frågor som berör

Yttrande gällande lagrådsremiss- En konsultationsordning i frågor som rör det samiska folket Ku2019/01308/RS

Länsstyrelsen i Dalarnas län samråder löpande med Idre nya sameby i frågor av särskild betydelse för samerna, främst inom.. Avdelningen för naturvård och Avdelningen för