VälkommenAtea
Hur påverkas min organisation av den nya dataskyddsförordningen (GDPR)?
Föreläsare:
Alf Holmberg, IT-arkitekt, Atea
Innehåll
• Bakgrund – Varför kom lagen till
• Böter, publicitet och ID stöld
• Om lagen
• Nästa steg
Safe Harbor
MonsterMind
'Sniff It All, Collect It All, Know It All,
Process It All, Exploit It All'
Varför en ny dataskyddsförordning?
• Stärka integritetsskydd för individer
• Underlätta handel samt överföring av information mellan EU-stater
• Samma personuppgiftslag inom hela EU (28 stater)
• Fanns ingen anmälningsplikt under PUL
• Tidigare oklart ägarskap av personuppgifter
• Svårt att föra process mot ID stöld under PUL (Åklagare)
Dataskyddsförordningen (GDPR) - Sammanfattning
• Fokus på att skydda information
– Du måste veta var din information finns
– Du måste kunna bedöma risken avseende denna information
• Gäller information om EU-medborgare
– Oavsett var bearbetande organisation har sitt säter
– både informationsägare (du) och informationshanterare (t.ex. Microsoft)
• Risker med GDPR
– 4% böter (max 20 M€) – Offentlig förvaltning ej undantagen
– Brott blir publicerade – Naming and shaming
• Flyttar risken: Säkerhetsrisk Verksamhetsrisk
Tidslinje
2016 2017 2018
Atea Bootcamp
GDPR träder i kraft
(PUL slutar gälla)
JuniMaj
Safe Harbour
slutade att
gälla
GDPR
godkänd
AprilApril
Vårt tillgängliga tidsfönster
Böter, Publicitet och ID stöld
4%
Göteborgs Stad – 1,3 Miljarder konor
Volvo Cars – 3,0 Miljarder kronor
Sundsvalls Kommun – 232 Miljoner kr
Getinge AB – 1,0 Miljarder kr
Sölvesborgs Kommun – 40 Miljoner kr
Surtehammar KommunAllvarligt Dataintrång
Datainspektionen meddelar att
kommunen blivit utsatt av ett intrång i
IT-miljön.
En sofistikerad attack, troligen från en
maffialiga baserad i Vitryssland, har
lett till att alla Socialtjänstens journaler
har stulits. Förövarna kan även ha
kommit över information från andra
system.
Intrånget är anmält till SÄPO men
både kommunen och SÄPO är mycket
förtegna om eventuella hot eller
utpressningsförsök har genomförts.
Hotbilden utvecklas snabbt
Säkerhet
Cirka 60 000
människor ID
kapade 2015 till ett
värde av 2,7 MDR
(30% ökning/år)
Cirka 6 nya typer
av hot per
sekund 24/7
(2015/16)
”Enkla”
sofistikerade
intrångsverktyg.
Datastölder är en
affärsidé!
Antalet
Phishingsiter som
stjäl personlig data
(Crimeware) ökar
under Q4 2015
Stulna personuppgifter har ett kommersiellt värde
Om lagen
GDPR: Lagens huvudpunkter:
• Breach notification (Intrång) – Skyldighet att anmäla stöld av personuppgifter (max 72h)
• Consent (Samtycke) – Medgivande av lagring av personuppgifter
• Data Portability (Flyttbarhet) – Rätt att flytta personuppgifter
• Information Responsibility – Informationsskyldighet till ägare
• Right to be forgotten (Rätt att bli bortglömd) – Rätt att få sina personuppgifter borttagna
– Gäller ej Brottsregister, skatteregister, PDL information, folkbokföringsuppgifter etc…
• Utse ”Data Protection Officer” (Personuppgiftsansvarig)
GDPR talar om
Vad är ”State of
the art”
Är kostnaderna
rimliga i
förhållande till
riskbedömningen
Har du analyserat
riskerna
Vilken industri
arbetar du i, vilken
omfattning bearbetas
personuppgifter
Om vi får ett intrång så har vi:
• Värderat teknologin, kostnaden, risken och
sammanhanget och har formulerat en åsikt om dessa
• Är beredda att låta detta bli prövat i rätten
Anmälningsskyldighet?
• Vid förlust av personliga uppgifter är man skyldig att anmäla detta
inom 72 timmar från det att dataförlusten upptäcktes.
• Man skall anmäla till den/de personer vars uppgifter man blivit av
med.
• I allvarligare fall av förlust (som kan innebära stor eller avsevärd
skada för personen) skall detta även anmälas till datainspektionen.
GDPR specifierar
• Bara 3 av 91 artiklar berör säkerhetsteknologier
– Pseudonymisering och kryptering
– Säkerhetspelarna: Konfidentialitet, integritet, tillgängliget
– Backup och restore
– Testa, bedöma och utvärdera effektiviteten i säkerhetskontrollerna
• Resten fokuserar på skydd av informationstillgångar. Kartlägg dina
informationstillgångar. Identifiera dina risker. Etablera dina processer.
Skydda den information som verkligen är viktig.
Vad är en personuppgift?
• En personuppgift är all data som kan länkas till en person som är i livet:
– Personnummer
– Adress
– Kommunikationsuppgifter (Email, telefon, Skype etc…)
– IP nummer, Cookies
– Bilder
– Försäkringsnummer
– Kontokortsnummer
– Etc.
– Känsliga personuppgifter, ras, politsk åsikt, hälsa, sexuell läggning får inte
registreras alls.
Var finns personuppgifter
• HR/Lön
– Agda PS
– Heroma (HR-system)
– Hogia Personal
– HRM Software
– Peoplesoft
– SAP HCM
– Oracle Fusion HCM
– Svensk HR
– Visma
– Workday HCMA
– Agresso (lönesystem)
– Navision
– Raindance
– Personec P
• Omsorg
– WM-Omsorg
– Melior
– Cosmic
– Take Care
– Systeam Cross
– VAS
– PMO/J3
– Infomedix
– Elvis
– Medidoc
– Profdoc
• Utbildning
– Skola24
– edWise
– Fronter
– Lifecare
– Procapita
• Produktivitet:
– O365
– Outlook
– Notes
– Delve
– Skype/Lync
– Sametime
– Jabber
– SharePoint
Åtgärder
Vad är viktigt för att bli compliant?
• Att veta vilken typ av information mitt företag/organisation hanterar
som omfattas av lagen!
Informationsklassning och utbildning
• Att veta när man blir av med personuppgifter och vilka
personuppgifter som läckt ut (Data breach)!
Loggar och övervakning
• Ha en fungerande intern process om vilka som skall informeras då
man misstänker förlust av personuppgifter (Data Responsibility)!
Policy, process och incidenthantering
Vad är viktigt för att bli compliant?
• Att kunna ge ut Er lagrade information till kunder som efterfrågar
detta (Right to information)!
• Att ha spårbarhet på att Era kunder gett Er tillåtelse att spara
personliga uppgifter (Consent)!
• Att ha en fungerande intern process så att Ni kan ta bort, alternativt
flytta lagrade personliga uppgifter (Right to be forgotten & data
Portability)!
Policy
Ansvarig DPO
• NNN nnn
Handhavande
• xxx
• xxx
Vad behöver jag göra
• 2016 (hösten)
– Lyfta frågan till ledningen, beskriva riskera
– Skapa
– Planera och budgetera 2017
• 2017 (våren)
– Identifiera skyddsvärda system/informationsmängder
(informationsklassificering)
– Genomföra risk- och sårbarhetsanalyser
– Ta fram interna policys och regelverk
• 2017 (hösten)
– Implementera tekniska skyddsmekanismer
– Utbilda användare
Logg
Person-
info
PLAN - 2017
Aktiviteter
• xxx
• xxx
Deltagare
• Säk.ansv
• Jurist
• IT-chef
• mfl.
Budget
• Arbete: NNN kr
• Teknik: NNN kr
Kr/rykte
Risk
https://klassa-info.skl.se/
Ledningssystem för informationsäkerhet (LIS)
• Informationssakerhet.se
• Metodstöd för LIS
Förbereda Analysera Utforma
Förankra i ledningen
och i verksamhetens
övergripande strategi
Identifiera informations-
tillgångar. Analysera
interna/externa krav på
informationssäkerhet
Genomför risk- och
sårbarhetsanalys
Baserat på föregående
steg. Bestäm vilka
säkerhetsåtgärder som
skall införas i
verksamheten
Klassa
https://klassa-info.skl.se/
Exempel på en klassificering av
ett e-postsystem som med stor
sannolikhet innehöll känsliga
uppgifter.
Ange nivåer på
• Konfidentialitet: Nivå 3
• Riktighet: Nivå 3
• Tillgänglighet: Nivå 2
• Spårbarhet: Nivå 3
Fyll i självvärderingen
Tack för migAtea
Vill du veta mer, registrera
dig vid utgången.
Betygsätt gärna passet i appen.