Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
Vad innebär EU nya Dataskyddsförordning som ersättare till PUL och
Hur kan vi använda ISO/IEC 27001/29100/27018 i införandet?
Rätt Säkerhet 2016-05-26
Hans Dahlquist
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
Min bakgrund:
• Affärsområdeschef Risk och Säkerhet på Rote Consulting sedan 2007 med inriktning på
– Integrerade säkerhetsledningssystem, – Informationsstyrning och
– Personlig integritet (Privacy) , senaste 4 åren
• Koncernsäkerhetschef (CSO) på Ericsson
• Överste på Militära Underrättelse och Säkerhetstjänsten MUST med ansvar för Försvarsmaktens Informations- och
kommunikationssäkerhet
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
INNEHÅLL:
1. Bakgrund Privacy
2. EU GDPR (General Data Protection Regulation)
“Dataskyddsförordningen”
3. GAP-analys
4. PIA (Privacy Impact Assessment) 5. Införande
6. Sammanfattning och slutsatser
ISO 29100 - Privacy framework
ISO 27018 - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
Varför EU GDPR?
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
1. Bakgrund Privacy
• Enorma läckor av personinformation
Konsekvenser
– Bedrägerier
– Förtroende och varumärke – Självreglering
– Ändrad lagstiftning – Kostnader
Informationssäkerhet (ISO/IEC 27001)
Lagstiftning
– PuL (Personuppgiftslagen) som helt ersätts av
– EU General Data Protection Regulation (EU GDPR) eller EU nya Dataskyddsförordning
– Stora skillnader i lagstiftning utanför EU
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
Vad är PII (Personally Identifiable Information)?
• Name
• Home address
• Phone number
• Pictures
• Position
• Social security number
• Credit card data
• Bank account
• IP address
– Etc. according to ISO 29100
“Or any personal information relating to an individual, whether it relates to his or her private, professional or public life” dvs kunder, medborgare, anställda etc
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
2. Huvuddragen i nya Dataskyddsförordningen (General Data Protection Regulation, GDPR)
Gäller alla (privat och offentlig sektor) utom polisen och straffrättsliga sektorn (EU-direktiv för dessa).
Ersätter nuvarande dataskyddsdirektiv från 1995.
Gäller som lag direkt på samma sätt i alla medlemsländer.
(Svenska personuppgiftslagen PuL slutar att gälla).
Vissa nationella särregler medges, arbete pågår med en särskild svensk ”myndighetslag”.
Ikraftträdande 2018-05-25
8 2016-05-26 Klassning: Publik Hans Dahlquist
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
Andra Privacy-krav och åtaganden, exempel:
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
Hur hanteras olika lagstiftning i internationella bolag?
Land: A B EU DPR C D Krav på PII
Policy nivål
Self
Regulation
Legal
Require-
ments
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
Vad ingår i en Privacy Policy?
1. Gällande legala och kontraktuella krav
2. Kommande lagstiftning (EU GDPR)…
3. Kundperspektiv, varumärke och riskreducering
4. Undertecknade åtaganden
(Global Reach Initiative, UN human rights etc.)
Privacy Policy
Självreglering
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
Vilka berörs av GDPR i er organisation?
2016-05-26 Klassning: Publik Hans Dahlquist 12
Juridik
Förtroende o varumärke
Verksamheten
“Affären”
IT/IM
P
R
O
C
E
S
S
E
R
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
Kostnader för Privacy
• Dyrast är selektiv radering av informationsobjekt (purging), uppemot en MSEK/databas
• Nästan ingen databas är designad för att radera specifika informationsobjekt
• Inte ovanligt med 10-50 databaser eller mer med PII (“PII contamination”)
• Uppdaterad och väl dokumenterad informationshantering och styrning är första steget (Enterprise Information Management)
• Informationsarkitektur måste dokumenteras och förvaltas
• “Privacy by design”
är ett måste för all kommande upphandling av IT• Böter upp till mellan 2 och 4 % av global årlig omsättning om man inte uppfyller EU GDPR 2018
• Beakta kostnaden för ett dataintrång eller dataförlust av PII med rapporteringsskyldighet till personen och DI
Kr £ $ €
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
3. Hur bör man påbörja ett införande–
Genomför en GAP-analys!
1. Nuvarande läge?
2. Önskat läge?
Implementation
A (PuL)
B (EU GDPR) C (EU GDPR + självreglering) Mognad
Tid
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
Strategi för förändringsledning – gör det i rätt ordning
1. Klar och tydlig vision om syfte; varför göra detta och vad vill vi uppnå?
2. Hur når vi visionen (projekt eller linjeverksamhet eller…?
3. Vem är ansvarig, vilka ska var med och hur leder vi?
4. Vilka är huvudprocesserna?
5. Vilket stöd, rutiner, controller och aktiviteter behövs?
VISION
STRATEGI
GOVERNANCE ORGANISATION
PROCESSER
VERKTYG, KONTROLLER, GAP, PROJEKT och AKTIVITETER
15 2016-05-26 Klassning: Publik Hans Dahlquist
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
Styrande och rådgivande dokument – vad skall dokumenteras?
Policy
Instruction Directives
Guidelines, best practices, templates etc.
• Privacy Policy
Rådgivande (HUR) Styrande (VAD)
• Privacy Instruction/Directive
• Security Instruction/Directive
• Privacy Guidelines
• Privacy Governance process
• Security Guidelines (Classification, protection, access management, backup etc.)
Dokumenterade och godkända lokala processer som baseras på Policy, instruktioner (Privacy Impact
Assessment, PIA)
För varje process, applikation och system med
Personinformation (PII)
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
Utan dokumenterad informationsarkitektur
- svårt med skydd och selektiv permanent radering
System n
Backup
EXPORT AV PII??
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
4. Ex: Privacy Impact Assessment (PIA) processen
2016-05-26 Klassning: Publik Hans Dahlquist 18
System/produkt/
service/process PII?
Ja
För-PIA
Privacy Påverkan?
Privacy Påverkan?
Nej
Hel PIA Ja
Godkänd PIA Report No
Nej PIA
Klar!
Yes
Privacy införandet
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
Informationens livscykel – ett måste
Capture
Processing
Transmission Presentation
Storage Disposal
Information lifecycle
Ny kund
VPN?
CRM
Behörigheter Backup
Radering
Kryptering?
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
5. Införande
Ledningssystem för personinformation:
1. Styrande och rådgivande dokument
– Lagar, standarder, åtaganden, Policy, Direktiv, Instruktioner, beslut och arbetsordning
2. Processer:
– PIA
– Ständiga förbättringar (PLAN – DO – CHECK – ACT) – Kontroller, uppfyllnad, rapportering, KPI:er
– Ledningens genomgång och engagemang – Utbildning
– Förvaltning
– Riskhantering etc.
3. Organisation med tydliga rollbeskrivningar (Dataskyddsombud), ansvar, befogenheter och kunnande i en operativ beskrivning
Policy Directive
Guidelines etc.
CSO
L C I CPO
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm
6.Slutsatser och summering:
• Skapa och förankra en Privacy Policy och en förändringsstrategi från en vision om vad som skall uppnås
• Genomför en djup GAP-analys
• Använd ledningssystemmodellen för införande och förvaltning
• Dokumentera och riskhantera med PIA
• Integrera ledningssystemet för Privacy som en komponent i ISO 27001 (LIS) om det är infört
• Se till att ”Privacy by Design” är infört och med i all upphandling av IT
• Ställ krav på underleverantörer – samma krav kommer ställas på er
• Låt varumärke, kunder och anställda styra mer än bara lagstiftningen – Priavcy är inte primärt en legal fråga
• Påbörja arbetet nu – analys och införande tar tid
Tfn: 08-474 49 00, Linnégatan 89E, Stockholm