Dataskyddsförordningen

Slides:



Advertisements
Liknande presentationer
Europeiska kommissionens förslag till:
Advertisements

Datajuridik i vardagen av betydelse för kvalitetsregister
Fjärde Järnvägspaketet Förslag till ändring av direktiv om järnvägssäkerhet Susanna Angantyr och Folke Bark Arlanda
ADBJ Datalagringsdirektivet: vad gäller och vad händer? Daniel Westman
Personuppgiftslagen (PuL) och Polisdatalagen (PdL)
Byggproduktförordningen CPR
Landstinget i Östergötland
Personuppgiftslagen.
Personuppgiftslagen (PuL) och Polisdatalagen (PdL)
Branschrådet SERAC Single European Railway Committee Bakgrund / kommitténs grund och roll Nätverk och arbetsgrupper Vad har hänt ? möten,
Datainspektionen Personuppgiftslagen
Vanliga fel vid riskbedömning
Juridik och beslutsstöd - vad gäller?
Personuppgiftslagen (PuL) och Polisdatalagen (PdL)
Personuppgiftslagen (PuL) och
Sören Öman Ändringar i personuppgiftslagen Normgivningsbemyndigandena 1/ Samordningsnummer 1/ Överföring till tredje land med adekvat skyddsnivå.
Handläggning enligt SoL
Mina meddelanden Juridik & Informationssäkerhet Jeanna Thorslund Jurist Center för eSamhället.
PUL-delen i processen att bli Federationsmedlem
”Patientdatalagen, journaler på nätet, sociala medier – lagar och regler” Jens Larsson, Jens Larsson, Chefsjurist.
DEN NYA KAMERALAGEN.
 1 § Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.
Samma musik men olika teknik Tekniken byts ungefär vart femte år. Informationsinnehållet har oftast en livslängd som är 25–30 år, ibland ännu längre. Besluten.
Rätt information på rätt plats i rätt tid (SOU 2014:23) MAS-kompetensutv.dagar 2015 Carita Fallström
Välkomna JTF referensgrupp 26 maj Dagordning Inledning Transportstyrelsens föreskrifter om bedrivande av tågtrafik Framtiden efter JTF Workshop.
Om HSA och HSA-ansvarigs roll
Journaldokumentation  Lagar  Föreskrifter  Definitioner.
Kunskap till Praktik Patientdatalag (2008:355) Sanna Othman – Landstingsjurist JLL.
Informationssäkerhet + arkiv = sant? Johan Andersson, Mälardalens högskola
Vad innebär Dataskyddsförordningen?
Regler för upphandling Med offentlig upphandling avses de åtgärder som vidtas av en upphandlande myndighet för att tilldela ett kontrakt eller ingå ett.
EIDAS införande i Sverige Björn Scharin, PTS. PTS roll idag resp. framtida roll PTS är tillsynsmyndighet över utfärdare av kvalificerade certifikat PTS.
Välkommen! Denna presentation handlar om de tre lagarna: Upphovsrätten, Personuppgiftslagen och Offentlighets- och sekretesslagen. Korta exempel på vad.
REGERINGENS BESLUT I PRÖVNINGEN AV VATTENFÖRVALTNINGENS FÖRSLAG TILL ÅTGÄRDSPROGRAM.
Vad är informationssäkerhet?
Så berörs du av den nya europeiska dataskyddsförordningen
MEDLEMSTRÄFF i Skövde 22 september 2017
Vägledning 5 steg för att följa Dataskyddsförordningen
Dataskydd En prioriterad fråga.
Lagar Astar 2017.
Jan Hellberg Crister Blom
SÅ SÄGER LAGEN… Upphovsrättslagen Marina Kozlova, 2016.
Utbildningsdepartementets arbete med den nya förvaltningslagen (2017:900) Anita Stawarz, kansliråd Utbildningsdepartementet.
Dataskyddsförordningen – Small picture
Dataskyddsförordningen
EU:S NYA DATASKYDDS- FÖRORDNING KORPEN Föredrag 24 november 2017
Vad innebär det för oss inom Inner Wheel?
Förordningen i korthet
Dataskyddsförordningen för Ansvariga genomförare
Dataskyddsförordningen
Patientdatautredningen och kvalitetsregister idag och i framtiden
GDPR Introduktion SKOLA24 • GDPR General Data Protection Regulation
GDPR vad är det? Ny EU-lagstiftning, 25/
Dataskyddsförordn ing GDPR- ny lag som gäller
EU:s nya Dataskyddsförordning (GDPR)
GDPR vad är det? Ny EU-lagstiftning, 25/
Individuell energimätning och personuppgiftslagen
EU´s dataskyddsförordningen
GDPR General Data Protection Regulation
Basfakta för dig som coach ` - vad gäller? - vad behöver du göra nu
EU:s Allmänna Dataskyddsförordning
GDPR - LADOK NUAK 2018 GUNNAR RÅHLÉN.
GDPR i båtlivet Svenska Båtunionen af Pontins väg Stockholm
PUL till GDPR - Vad gäller, vilket ansvar har man och hur gör man?
Dataskyddsutbildning för avdelningar 2018
Hantering av personuppgifter i BOU december 2018
Allmänna dataskyddsförordningen
GDPR – nyheter och förberedelser
Kunskapsdagar - GDPR.
Dataskydd och forskning i Europa och Sverige
Presentationens avskrift:

Dataskyddsförordningen Michael Patriksson, informationssäkerhetssamordnare och personuppgiftsombud Dataskyddsförordningen

Kort historik Massiv debatt kring ”samkörning av register” ledde fram till Datalagen år 1973 Skydd av personlig integritet vid ADB-behandling Inrättande av Datainspektionen Mycket kort bakgrund. Stort folkligt ”uppror” i Sverige när SCB på regeringens uppdrag genomförde Folk- och bostadsräkningen år 1970. Man samlade i enkätform in mycket ingående uppgifter kring människors privatliv. Dessa skulle därefter ADB-bearbetas och samköras med andra register. Storebror ser dig! Resultatet blev Datalagen år 1973, som var en europeisk föregångarna på området. Krävde tillstånd för att få behandla uppgifter.

Grundläggande begrepp och principer Behandling av personuppgifter Känsliga personuppgifter Personuppgiftsansvarig (PuA) Personuppgiftsombud (PuO) Personuppgiftsbiträde (PuB) Förbud att föra ut personuppgifter till tredje land Skyldighet att föra förteckning över behandlingar Rätt för enskilda att få utdrag över behandlingar och begära rättelse m.m. Svensk specialitet - missbruksregeln Viktiga begrepp: Personuppgifter, Behandling, PuA är Regionstyrelsen, PuO är utsedd, PuB är alla företag och organisationer som via avtal behandlar våra data. Missbruksregeln är en svensk egenhet som ger ett undantag för ostrukturerade data, t.ex. personuppgifter som vi har i Excel-ark, wordfiler etc. Där har vi massvis idag! Förbudet att föra ut personuppgifter till tredje land är komplicerat mot bakgrund av vårt avtal med Microsoft. Avtalen med USA har ogiltigförklarats av EU-domstolen efter Snowdens avslöjanden, nya avtal är på plats men dessa kommer sannolikt överklagas på nytt. Mycket oklart. Begreppen finns sedan 20 år i Personuppgiftslagen (PuL). Ändras (nästan) inte i GDPR

Dataskyddsförordningen Gäller som lag i Sverige (och i samtliga medlemsländer) direkt vid ikraftträdandet 25 maj 2018 Ersätter PuL Mängder av speciallagstiftning, t.ex. PDL, Arkivlagen En EU-förordning gäller direkt, som svensk lag, och skjuter undan all svensk lagstiftning som strider mot förordningen. Det finns f.n. 14 statliga utredningar som ser över vilka lagar som behöver ändras innan maj 2018. Den utredning som har Patientdatalagen ska lägga fram förslag senast augusti 2017. Oerhört tajt att få fram ett beslut i Riskdagen före ikraftträdandet. Om ni hör någon säga ”GDPR” ska ni veta vad som avses. EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) Förkortas ofta GDPR (”General Data Protection Regulation”) i media m.m.

För att få behandla personuppgifter krävs… Lag, förordning, föreskrifter Avtal Samtycke Vitala intressen för den registrerade Arbetsuppgift av allmänt intresse Arbetsuppgift i samband med myndighetsutövning

Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Lagringsminimering Integritet och konfidentialitet Ansvarsskyldighet Artikel 5. Principer för behandling av personuppgifter

Nyheter Riskbaserad ansats med obligatoriska riskanalyser Administrativa böter (upp till 20.000.000 €) Skyldighet att anmäla incidenter till DI inom 72 timmar Skyldighet att underrätta alla drabbade utan dröjsmål Dataskyddsombudets roll stärks, kompetenskrav och anställningsskydd Missbruksregeln försvinner ”Rätten att bli glömd” Dataportabilitet Mycket från PUL är sig likt, 99 paragrafer mycket text. De viktigaste nyheterna framgår av bilden. Riskbaserat angreppssätt. Inom vården kommer riskanalyser att bli obligatoriska innan man genomför förändringar i it-system/processer eller nyanskaffningar av it-system. Datainspektionen kommer med föreskrifter om former för dessa samt hur de ska dokumenteras etc. Det som uppmärksammats mest i media är att man nu inför böter för den som slarvar. Rätten att bli glömd är en media-grej som inte gäller för vår verksamhet, men som kan vara bra att känna till. Man har t.ex. rätt att begära av Google att man inte ska finnas med i deras sökträffar eller hos andra aktörer att uppgifter raderas. Dataportabilitet är också en grej som inte gäller hos oss, främst hos t.ex. mobiloperatörer (bra att veta). Däremot !!! Skyldighet att anmäla incidenter till Datainspektionen inom 72 timmar och att omedelbart underrätta samtliga personer vars uppgifter läckt ut, hanterats fel etc. Där räcker det inte med en enkel sida på webben, troligen personligt brev. Datainspektionen kommer med föreskrifter. Den undantagsregel vi haft för ostrukturerade data (missbruksregeln) försvinner. Hur ska vi göra då?

”Rätt säkerhet” Artikel 32, Säkerhet i samband med behandlingen Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken… Region Västmanland tillämpar informationsklassning som metod för att fastställa rätt säkerhetsnivå

Personuppgifter i öppna nät Behandling av personuppgifter i öppna nät 15 § Om vårdgivaren använder öppna nät vid behandling av personuppgifter, ska denne ansvara för att 1. överföring av uppgifterna görs på ett sådant sätt att inte obehöriga kan ta del av dem, och 2. elektronisk åtkomst eller direktåtkomst till uppgifterna föregås av stark autentisering.

Missbruksregeln upphör När Dataskyddsförordningen ersätter personuppgiftslagen kommer den så kallade missbruksregeln inte längre finnas kvar. Missbruksregeln innebär att man idag kan använda enklare regler för personuppgifter i ostrukturerat material. Det gäller ofta till exempel information om personer i e-post, på internet eller i en enkel lista som man har i datorn. När missbruksregeln försvinner innebär det att samma regler som gäller för personuppgifter i databaser och ärendehanteringssystem, också ska användas för det som skrivs om personer i exempelvis e-post och på webbplatser. Det kommer att innebära krav på att bland annat ha en rättslig grund, informera de registrerade och föra register över sina behandlingar. http://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/missbruksregeln-upphor/

Inbyggt dataskydd Uppgiftsminimering Minimera fritextfält Funktioner för autentisering Loggning av händelser Enkel möjlighet till gallring, automatisk och enkel radering av uppgifter som inte behövs Möjliggöra utelämnande av information till registrerade (även elektroniskt) Kommissionen får fastställa förordningar om tolkningen samt tekniska standarder ”Privacy by default” är ett begrepp. IT-system ska redan när de installeras ha ett minimiskydd för personlig integritet. Inte som idag att leverantören tillhandahåller en lösning som kan konfigureras, jfr t.ex. Cosmic som levereras mycket rått i avsaknad av fullgod loggning, funktionalitet för kryptering, uppföljning av utdelade behörigheter etc. Kommissionen kommer säkerligen att peka på de ”best practice” som finns i ISO/IEC 27002.

Avslutande filmtips