Nytt regelverk för personuppgifter – varför ska vi ta tag i det nu?
eFörvaltningsdagarna 2016
Fredrik Rehnström, vVD, CISSP, CISM, CISA, CGEIT, CPP
1.
Den personliga integriteten
2.
Huvuddragen i nya dataskyddsförordningen
3.GAP-analys
4.
Molntjänster
5.
Åtgärder och införande
6.Slutsatser och summering
Agenda
1. Den personliga integriteten
•
Enorma läckor av personinformation
•
I allmänhet dålig kontroll
•
Förvånansvärt låg oro
•
Högt förtroende för hälso- och sjukvård, myndigheter och banker – men med facit i hand…
•
Vilka konsekvenser har vi sett?
– Bedrägerier
– Förtroende och varumärke – Självreglering
Vad är en personuppgift som behandlas?
• Namn
• Hemadress
• Telefonnummer
• Bilder
• Position
• Personnummer
• Kortnummer
• Bankkontonummer
• IP adress m.m.
“eller någon annan personlig information som kan sättas i relation till en individ, oavsett om det rör hens privata, professionella eller officiella sfär”, det vill säga era kunder, medborgare, patienter, anställda,
besökare, leverantörer, partners…
2. Huvuddragen i nya dataskyddsförordningen
(General Data Protection Regulation, GDPR)
Gäller alla utom polisen och straffrättsliga sektorn (EU- direktiv för dessa).
Ersätter nuvarande dataskyddsdirektiv från 1995.
Gäller som lag direkt på samma sätt i alla medlemsländer.
(Svenska personuppgiftslagen slutar att gälla).
Vissa nationella särregler medges, arbete pågår med en särskild svensk ”myndighetslag”.
Ikraftträdande maj 2018.
Huvuddragen i nya dataskyddsförordningen
Källa: Europeiska unionens råd
Huvuddragen i nya dataskyddsförordningen
Stärker den enskildes rättigheter
– Förenkad åtkomst till egna personuppgifter. (IP adress betraktas nu som personuppgift)
– Uttryckligt samtycke, ”Opt-In”
– Uppgiftsportabilitet – lättare att flytta sina uppgifter till annan tjänsteleverantör
– Rätt att bli bortglömd
– Rätt att få veta när uppgifter hackats – anmälningsplikt vid incidenter
Huvuddragen i nya dataskyddsförordningen
Modernare regler för företag
– En kontinent en lag, samma regler på Europeisk mark
– En kontaktpunkt – samverkan med tillsynsmyndighet förenklas – Riskbaserad – krav på konsekvensanalys vid riskfylld behandling – Innovationsanpassade regler – ”privacy by design”
– Anmälningsplikt vid incidenter inom 24h (tillsynsmyndighet och i vissa fall till även till registrerade)
Sanktioner, böter motsvarande 4% av global omsättning
EU-US Privacy Sheild ersätter Safe Harbour
1. Nuvarande läge? 2. Önskat läge?
Implementation
A (PuL)
B (EU GDPR) C (EU GDPR + självreglering) Mognad
Tid
3. GAP-analysen som startpunkt
Starta i rätt riktning
1. Klar och tydlig vision om syfte; varför göra detta och vad vill vi uppnå?
2. Hur når vi visionen (projekt eller linjeverksamhet eller…)?
3. Vem är ansvarig, vilka ska vara med och hur leder vi?
4. Vilka är huvudprocesserna?
5. Vilket stöd, rutiner, kontroller och aktiviteter behövs?
VISION
STRATEGI
STYRNING ORGANISATION
PROCESSER
VERKTYG, KONTROLLER, GAP, PROJEKT och AKTIVITETER
Skapa kontroll över informationsarkitekturen
- A & O för skydd och selektiv permanent radering
System n
Export av person- information??4. Reaktioner på molntjänster – med rätt?
Finns en verksamhetsbaserad
Hur gör man då rätt?
Vad är det för moln- applikation som ska
användas?
För vilken verksamhet ska den användas och
vilka aktörer berörs?
Inverkar de avsedda och icke avsedda informationsflödena på
informationens rättsliga status?
Rör det sig t.ex. om allmänna handlingar eller förvaltningsbeslut?
Omfattas uppgifter av OSL, PUL, upphovsrätt eller andra avtalsrättsliga komplikationer?
OffentligRättslig
verksamhetsBestämning (eller laglighetskontroll)
Visdomsord på vägen
Skaffa BjörnKoll På Läget
Behov av informationen, vara Kunnig om hur den ska hanteras säkert, bedömas som Pålitlig och slutligen vara Lämplig att ta del av informationen just där och då…
Försöka finns inte
Antingen så har man säker informations- hantering i molnet, eller inga molntjänster alls…
5. Åtgärder och införande
1. Styrande och rådgivande dokument
– Lagar, standarder, åtaganden, policy, föreskrifter,
instruktioner, beslut och arbets- och delegeringsordning 2. Processer:
– PIA
– Ständiga förbättringar (PLAN – DO – CHECK – ACT) – Kontroller, uppfyllnad, rapportering, KPI:er
– Ledningens genomgång och engagemang – Utbildning
– Förvaltning
– Riskhantering etc.
3. Organisation med tydliga rollbeskrivningar (Dataskyddsombud),
Policy Regler Vägledning
• Skapa och förankra en ”Privacy Policy” och en förändringsstrategi från en vision om vad som ska uppnås
• Genomför en djup GAP-analys
• Använd ledningssystemmodellen för införande och förvaltning
• Dokumentera och riskhantera
• Lägg särskild vikt på analys av molntjänster
• Se till att ”Privacy by Design” är infört och med i all upphandling av IT
• Ställ krav på underleverantörer – samma krav kommer ställas på er
• Låt anseende, kunder/medborgare och anställda styra mer än bara lagstiftningen – personlig integritet är inte primärt en legal fråga
• Påbörja arbetet nu – analys och införande tar tid