Dataskyddsförordningen Michael Patriksson, informationssäkerhetssamordnare och personuppgiftsombud Dataskyddsförordningen
Kort historik Massiv debatt kring ”samkörning av register” ledde fram till Datalagen år 1973 Skydd av personlig integritet vid ADB-behandling Inrättande av Datainspektionen Mycket kort bakgrund. Stort folkligt ”uppror” i Sverige när SCB på regeringens uppdrag genomförde Folk- och bostadsräkningen år 1970. Man samlade i enkätform in mycket ingående uppgifter kring människors privatliv. Dessa skulle därefter ADB-bearbetas och samköras med andra register. Storebror ser dig! Resultatet blev Datalagen år 1973, som var en europeisk föregångarna på området. Krävde tillstånd för att få behandla uppgifter.
Grundläggande begrepp och principer Behandling av personuppgifter Känsliga personuppgifter Personuppgiftsansvarig (PuA) Personuppgiftsombud (PuO) Personuppgiftsbiträde (PuB) Förbud att föra ut personuppgifter till tredje land Skyldighet att föra förteckning över behandlingar Rätt för enskilda att få utdrag över behandlingar och begära rättelse m.m. Svensk specialitet - missbruksregeln Viktiga begrepp: Personuppgifter, Behandling, PuA är Regionstyrelsen, PuO är utsedd, PuB är alla företag och organisationer som via avtal behandlar våra data. Missbruksregeln är en svensk egenhet som ger ett undantag för ostrukturerade data, t.ex. personuppgifter som vi har i Excel-ark, wordfiler etc. Där har vi massvis idag! Förbudet att föra ut personuppgifter till tredje land är komplicerat mot bakgrund av vårt avtal med Microsoft. Avtalen med USA har ogiltigförklarats av EU-domstolen efter Snowdens avslöjanden, nya avtal är på plats men dessa kommer sannolikt överklagas på nytt. Mycket oklart. Begreppen finns sedan 20 år i Personuppgiftslagen (PuL). Ändras (nästan) inte i GDPR
Dataskyddsförordningen Gäller som lag i Sverige (och i samtliga medlemsländer) direkt vid ikraftträdandet 25 maj 2018 Ersätter PuL Mängder av speciallagstiftning, t.ex. PDL, Arkivlagen En EU-förordning gäller direkt, som svensk lag, och skjuter undan all svensk lagstiftning som strider mot förordningen. Det finns f.n. 14 statliga utredningar som ser över vilka lagar som behöver ändras innan maj 2018. Den utredning som har Patientdatalagen ska lägga fram förslag senast augusti 2017. Oerhört tajt att få fram ett beslut i Riskdagen före ikraftträdandet. Om ni hör någon säga ”GDPR” ska ni veta vad som avses. EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) Förkortas ofta GDPR (”General Data Protection Regulation”) i media m.m.
För att få behandla personuppgifter krävs… Lag, förordning, föreskrifter Avtal Samtycke Vitala intressen för den registrerade Arbetsuppgift av allmänt intresse Arbetsuppgift i samband med myndighetsutövning
Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Lagringsminimering Integritet och konfidentialitet Ansvarsskyldighet Artikel 5. Principer för behandling av personuppgifter
Nyheter Riskbaserad ansats med obligatoriska riskanalyser Administrativa böter (upp till 20.000.000 €) Skyldighet att anmäla incidenter till DI inom 72 timmar Skyldighet att underrätta alla drabbade utan dröjsmål Dataskyddsombudets roll stärks, kompetenskrav och anställningsskydd Missbruksregeln försvinner ”Rätten att bli glömd” Dataportabilitet Mycket från PUL är sig likt, 99 paragrafer mycket text. De viktigaste nyheterna framgår av bilden. Riskbaserat angreppssätt. Inom vården kommer riskanalyser att bli obligatoriska innan man genomför förändringar i it-system/processer eller nyanskaffningar av it-system. Datainspektionen kommer med föreskrifter om former för dessa samt hur de ska dokumenteras etc. Det som uppmärksammats mest i media är att man nu inför böter för den som slarvar. Rätten att bli glömd är en media-grej som inte gäller för vår verksamhet, men som kan vara bra att känna till. Man har t.ex. rätt att begära av Google att man inte ska finnas med i deras sökträffar eller hos andra aktörer att uppgifter raderas. Dataportabilitet är också en grej som inte gäller hos oss, främst hos t.ex. mobiloperatörer (bra att veta). Däremot !!! Skyldighet att anmäla incidenter till Datainspektionen inom 72 timmar och att omedelbart underrätta samtliga personer vars uppgifter läckt ut, hanterats fel etc. Där räcker det inte med en enkel sida på webben, troligen personligt brev. Datainspektionen kommer med föreskrifter. Den undantagsregel vi haft för ostrukturerade data (missbruksregeln) försvinner. Hur ska vi göra då?
”Rätt säkerhet” Artikel 32, Säkerhet i samband med behandlingen Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken… Region Västmanland tillämpar informationsklassning som metod för att fastställa rätt säkerhetsnivå
Personuppgifter i öppna nät Behandling av personuppgifter i öppna nät 15 § Om vårdgivaren använder öppna nät vid behandling av personuppgifter, ska denne ansvara för att 1. överföring av uppgifterna görs på ett sådant sätt att inte obehöriga kan ta del av dem, och 2. elektronisk åtkomst eller direktåtkomst till uppgifterna föregås av stark autentisering.
Missbruksregeln upphör När Dataskyddsförordningen ersätter personuppgiftslagen kommer den så kallade missbruksregeln inte längre finnas kvar. Missbruksregeln innebär att man idag kan använda enklare regler för personuppgifter i ostrukturerat material. Det gäller ofta till exempel information om personer i e-post, på internet eller i en enkel lista som man har i datorn. När missbruksregeln försvinner innebär det att samma regler som gäller för personuppgifter i databaser och ärendehanteringssystem, också ska användas för det som skrivs om personer i exempelvis e-post och på webbplatser. Det kommer att innebära krav på att bland annat ha en rättslig grund, informera de registrerade och föra register över sina behandlingar. http://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/missbruksregeln-upphor/
Inbyggt dataskydd Uppgiftsminimering Minimera fritextfält Funktioner för autentisering Loggning av händelser Enkel möjlighet till gallring, automatisk och enkel radering av uppgifter som inte behövs Möjliggöra utelämnande av information till registrerade (även elektroniskt) Kommissionen får fastställa förordningar om tolkningen samt tekniska standarder ”Privacy by default” är ett begrepp. IT-system ska redan när de installeras ha ett minimiskydd för personlig integritet. Inte som idag att leverantören tillhandahåller en lösning som kan konfigureras, jfr t.ex. Cosmic som levereras mycket rått i avsaknad av fullgod loggning, funktionalitet för kryptering, uppföljning av utdelade behörigheter etc. Kommissionen kommer säkerligen att peka på de ”best practice” som finns i ISO/IEC 27002.
Avslutande filmtips