Vad innebär EU nya Dataskyddsförordning som ersättare till PUL och. Hur kan vi använda ISO/IEC 27001/29100/27018 i införandet?

(1)

Tfn: 08-474 49 00, Linnégatan 89E, Stockholm

Vad innebär EU nya Dataskyddsförordning som ersättare till PUL och

Hur kan vi använda ISO/IEC 27001/29100/27018 i införandet?

Rätt Säkerhet 2016-05-26

Hans Dahlquist

(2)

Min bakgrund:

• Affärsområdeschef Risk och Säkerhet på Rote Consulting sedan 2007 med inriktning på

– Integrerade säkerhetsledningssystem, – Informationsstyrning och

– Personlig integritet (Privacy) , senaste 4 åren

• Koncernsäkerhetschef (CSO) på Ericsson

• Överste på Militära Underrättelse och Säkerhetstjänsten MUST med ansvar för Försvarsmaktens Informations- och

kommunikationssäkerhet

(3)

INNEHÅLL:

1. Bakgrund Privacy

2. EU GDPR (General Data Protection Regulation)

“Dataskyddsförordningen”

3. GAP-analys

4. PIA (Privacy Impact Assessment) 5. Införande

6. Sammanfattning och slutsatser

ISO 29100 - Privacy framework

ISO 27018 - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

(4)

(5)

Varför EU GDPR?

(6)

1. Bakgrund Privacy

• Enorma läckor av personinformation

 Konsekvenser

– Bedrägerier

– Förtroende och varumärke – Självreglering

– Ändrad lagstiftning – Kostnader

 Informationssäkerhet (ISO/IEC 27001)

 Lagstiftning

– PuL (Personuppgiftslagen) som helt ersätts av

– EU General Data Protection Regulation (EU GDPR) eller EU nya Dataskyddsförordning

– Stora skillnader i lagstiftning utanför EU

(7)

Vad är PII (Personally Identifiable Information)?

• Name

• Home address

• Phone number

• E-mail

• Pictures

• Position

• Social security number

• Credit card data

• Bank account

• IP address

– Etc. according to ISO 29100

“Or any personal information relating to an individual, whether it relates to his or her private, professional or public life” dvs kunder, medborgare, anställda etc

(8)

2. Huvuddragen i nya Dataskyddsförordningen (General Data Protection Regulation, GDPR)

Gäller alla (privat och offentlig sektor) utom polisen och straffrättsliga sektorn (EU-direktiv för dessa).

Ersätter nuvarande dataskyddsdirektiv från 1995.

Gäller som lag direkt på samma sätt i alla medlemsländer.

(Svenska personuppgiftslagen PuL slutar att gälla).

Vissa nationella särregler medges, arbete pågår med en särskild svensk ”myndighetslag”.

Ikraftträdande 2018-05-25

8 2016-05-26 Klassning: Publik Hans Dahlquist

(9)

Andra Privacy-krav och åtaganden, exempel:

(10)

Hur hanteras olika lagstiftning i internationella bolag?

Land: A B EU DPR C D Krav på PII

Policy nivål

Self

Regulation

Legal

Require-

ments

(11)

Vad ingår i en Privacy Policy?

1. Gällande legala och kontraktuella krav

2. Kommande lagstiftning (EU GDPR)…

3. Kundperspektiv, varumärke och riskreducering

4. Undertecknade åtaganden

(Global Reach Initiative, UN human rights etc.)

Privacy Policy

Självreglering

(12)

Vilka berörs av GDPR i er organisation?

2016-05-26 Klassning: Publik Hans Dahlquist 12

Juridik

Förtroende o varumärke

Verksamheten

“Affären”

IT/IM

P

R

O

C

E

S

E

R

(13)

Kostnader för Privacy

• Dyrast är selektiv radering av informationsobjekt (purging), uppemot en MSEK/databas

• Nästan ingen databas är designad för att radera specifika informationsobjekt

• Inte ovanligt med 10-50 databaser eller mer med PII (“PII contamination”)

• Uppdaterad och väl dokumenterad informationshantering och styrning är första steget (Enterprise Information Management)

• Informationsarkitektur måste dokumenteras och förvaltas

• “Privacy by design”

är ett måste för all kommande upphandling av IT

• Böter upp till mellan 2 och 4 % av global årlig omsättning om man inte uppfyller EU GDPR 2018

• Beakta kostnaden för ett dataintrång eller dataförlust av PII med rapporteringsskyldighet till personen och DI

Kr £ $ €

(14)

3. Hur bör man påbörja ett införande–

Genomför en GAP-analys!

1. Nuvarande läge?

2. Önskat läge?

Implementation

A (PuL)

B (EU GDPR) C (EU GDPR + självreglering) Mognad

Tid

(15)

Strategi för förändringsledning – gör det i rätt ordning

1. Klar och tydlig vision om syfte; varför göra detta och vad vill vi uppnå?

2. Hur når vi visionen (projekt eller linjeverksamhet eller…?

3. Vem är ansvarig, vilka ska var med och hur leder vi?

4. Vilka är huvudprocesserna?

5. Vilket stöd, rutiner, controller och aktiviteter behövs?

VISION

STRATEGI

GOVERNANCE ORGANISATION

PROCESSER

VERKTYG, KONTROLLER, GAP, PROJEKT och AKTIVITETER

15 2016-05-26 Klassning: Publik Hans Dahlquist

(16)

Styrande och rådgivande dokument – vad skall dokumenteras?

Policy

Instruction Directives

Guidelines, best practices, templates etc.

• Privacy Policy

Rådgivande (HUR) Styrande (VAD)

• Privacy Instruction/Directive

• Security Instruction/Directive

• Privacy Guidelines

• Privacy Governance process

• Security Guidelines (Classification, protection, access management, backup etc.)

Dokumenterade och godkända lokala processer som baseras på Policy, instruktioner (Privacy Impact

Assessment, PIA)

För varje process, applikation och system med

Personinformation (PII)

(17)

Utan dokumenterad informationsarkitektur

- svårt med skydd och selektiv permanent radering

System n

Backup

EXPORT AV PII??

(18)

4. Ex: Privacy Impact Assessment (PIA) processen

2016-05-26 Klassning: Publik Hans Dahlquist 18

System/produkt/

service/process ^PII?

Ja

För-PIA

Privacy Påverkan?

Nej

Hel PIA Ja

Godkänd PIA Report No

Nej PIA

Klar!

Yes

Privacy införandet

(19)

Informationens livscykel – ett måste

Capture

Processing

Transmission Presentation

Storage Disposal

Information lifecycle

Ny kund

VPN?

CRM

Behörigheter Backup

Radering

Kryptering?

(20)

5. Införande

Ledningssystem för personinformation:

1. Styrande och rådgivande dokument

– Lagar, standarder, åtaganden, Policy, Direktiv, Instruktioner, beslut och arbetsordning

2. Processer:

– PIA

– Ständiga förbättringar (PLAN – DO – CHECK – ACT) – Kontroller, uppfyllnad, rapportering, KPI:er

– Ledningens genomgång och engagemang – Utbildning

– Förvaltning

– Riskhantering etc.

3. Organisation med tydliga rollbeskrivningar (Dataskyddsombud), ansvar, befogenheter och kunnande i en operativ beskrivning

Policy Directive

Guidelines etc.

CSO

L C I CPO

(21)

6.Slutsatser och summering:

• Skapa och förankra en Privacy Policy och en förändringsstrategi från en vision om vad som skall uppnås

• Genomför en djup GAP-analys

• Använd ledningssystemmodellen för införande och förvaltning

• Dokumentera och riskhantera med PIA

• Integrera ledningssystemet för Privacy som en komponent i ISO 27001 (LIS) om det är infört

• Se till att ”Privacy by Design” är infört och med i all upphandling av IT

• Ställ krav på underleverantörer – samma krav kommer ställas på er

• Låt varumärke, kunder och anställda styra mer än bara lagstiftningen – Priavcy är inte primärt en legal fråga

• Påbörja arbetet nu – analys och införande tar tid

(22)