Intraservice IT-Konsekvensanalys DSF.

Slides:



Advertisements
Liknande presentationer
Hälso- och sjukvårdslagen (HSL)  1§ Med hälso- och sjukvård avses i denna lag åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och.
Advertisements

Pilotprojekt för Digitalt Stöd i samverkan, H2O. Vad har vi lärt oss? Digitalt stöd ökar valfriheten och tryggheten för våra brukare, bibehåller kvalitén.
Vad innebär Dataskyddsförordningen?
Elektronisk affärskommunikation – del 5 Logistikprogrammet.
Patientdatalagen –Anpassad behörighet –Spårbarhet –Spärr För att användare ska kunna tilldelas korrekta och ändamålsenliga behörigheter krävs att vårdgivaren.
SAMHÄLLSBYGGNADSFÖRVALTNINGEN Redovisning Case november 2015.
DIVISION Landstingsdirektörens stab Samverkan via video mellan landstinget och länets kommuner 25 april )Bakgrund 2)Hur det kommer att fungera efter.
Forskningsetik – läkaretik
Ackreditering enligt EN ISO/IEC 17025:2005
Revidering av riktlinjer gällande särskilt boende för äldre
Attraktiv Hemtjänst Välkommen till introduktion
Barnets bästa i främsta rummet
Region Gävleborg Förvaltningsorganisation, tjänsteresa och riskanalys (10 minuter) Eftermiddagen
Avbrott i nätinfrastrukturen på US
En plattform för samhällsekonomisk analys
Klassifikation av vårdåtgärder
När gäller förordningen
Agenda MAIVOR – mobilt arbetssätt i vård och omsorg
Nya föreskrifter och allmänna råd om läkemedelshantering
Tisdag den 21 mars – Samling och kaffe/te med macka
Riktlinjer för betygssättning
Äldres behov i centrum Välkommen till introduktion! 22 februari 2016.
eHälsomyndigheten om planerna för Säker Åtkomst och Sambi
Dataskyddsförordningen – och vårt arbete utifrån den
LUP Mål 3 Satsning på kompetensförsörjning
Arbetsformer XX vattenråd.
Förändringar i FIFA efter sommaren 2017
Fysiskt tvång - fasthållningar
Vad innebär det för oss inom Inner Wheel?
Johan M. Sanne Lisa Schmidt
IT verksamhetens satsning utifrån IKT.
Utvärdera för framtiden ...mer än ParaGå
Digital signering av hälso- och sjukvårdsåtgärder
Informationssäkerhetsanalys Dataskyddsförordning
EU:s nya Dataskyddsförordning (GDPR)
Delrapport SAM 3.0 Vuxenutbildningsnätverket
Grundläggande utbildning i dataskyddsförordningen (GDPR)
Individuell energimätning och personuppgiftslagen
EU´s dataskyddsförordningen
Förskrivarutbildning Hjälpmedel vid rörelsenedsättning
GDPR General Data Protection Regulation
Upphandlingsprocessen
Förskrivarutbildning Kommunikations- och kognitionshjälpmedel
Samordning av miljöinformationsförsörjning Inte nytt men ”nystart”
Schyst offentlig upphandling
EU:s Allmänna Dataskyddsförordning
Kunskapsprocessen Spånga Grundskola
Bakgrund Största förändringen av sjukförsäkringen på 16 år
Åtgärdsvalsstudie - Tillgänglighet för Stockholm, Nacka, Värmdö och Lidingö SL Riggert Anderson.
Utredningen om ekologisk kompensation
Introduktion till systematiskt kvalitetsarbete
Kartläggning av stöd- och ledningsprocess
Anpassningar till GDPR i NyA och Ladok
Introduktion till systematiskt kvalitetsarbete
Behovskartläggning Kartläggningen beskriver målgruppens behov och skapar därmed förutsättningar för att utveckla processer som motsvarar behoven. Den.
Fördjupning till systematiskt kvalitetsarbete
Forskningsetik – läkaretik
Samordnad hantering Inledande utgångspunkter
Framtidens vårdinformationsmiljö Webbutbildning
Hållbar utveckling måste vara
Mobil incheckning och betalning
Utvärdering av system för styrning, uppföljning och kontroll
LSG Uppföljningsrapport
Revisionsredogörelsen 2017
Barnkonventionen och barnrättslagen
Utveckling och samordning av virkesmätningen
Supportstuga: Medarbetarkopplingar
Saker att ta upp… Skärpning av reglerna omkring MKN vatten
Guide för genomförande av grundutbildning Barnkonventionen
Kontinuitetshantering
Presentationens avskrift:

Intraservice IT-Konsekvensanalys DSF

Intraservice Service för dig som arbetar i Göteborgs Stad HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

Om analysen Bakgrund EU har beslutat om en dataskyddsförordning (DSF) som blir direkt tillämplig i samtliga medlemsstater. DSF ersätter personuppgiftslagen (PuL) och ska börja tillämpas under våren 2018 PuL är en av de lagar som ställer direkta krav på informationssäkerheten Syfte Att klargöra viktiga konsekvenser inom IT-området utifrån införandet av DSF. Att peka ut vilka åtgärder intraservice kommer att genomföra ur ett IT-perspektiv. Att peka ut vilka åtgärder verksamheter skall, eller bör vidta ur ett IT- perspektiv. HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

Om analysen Omfattning samt avgränsningar i analysen Konsekvenser klargörs utifrån IT-området Perspektivet är hela staden. Analysen tar inte upp åtgärder som redan skall vara genomförda enligt tidigare lagstiftning. Avskrift av gällande lagstiftning sker inte i analysen, var och en får göra egen sökning i tillförlitliga källor. Hänvisningar görs endast till DSF och till Juridisk analys. HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

Slutsatser Intraservice stöd till verksamheterna behöver förändras och utökas. Flera kommungemensamma tjänster och tekniska lösningar. Genomgång av formella dokument och kommungemensamma system. Ägare till system bör prioritera inventering av system samt verifiering och genomförande av säkerhetsåtgärder innan lagen träder i kraft. Kunskapsinventering och inhämtning av information, därefter behöver utbildningsinsatser ske inom flera områden. HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

Åtgärder för systemägare Systemägare skall: Kartlägga system och beroenden där personuppgifter hanteras. Implementera en säker autentiserings- krypterings- och granulerad logglösning för hantering av känsliga pu (klass 2). Införa ändamålsenligt teknisk stöd och organisatoriska resurser för verifiering och test av säkerhet. Vara medveten om att användande av automatiserat individuellt beslutsfattande och profilering ställer höga krav på åtgärder. I förekommande fall ta fram lösningar för gallring och avidentifiering av personuppgifter. Presentationen punkt 1 1.1 Riskanalys Juridisk analys 5.22 Intraservice tar ansvaret för att tjänsteutveckla, upphandla och implementera en kommungemensam tjänst för risk-analys (Full DPIA (Data Protection Impact Analysis)) för att möjliggöra ett enhetligt arbetssätt avseende säker informationshantering. Behov och krav inhämtas från berörda verksamheter. Presentationen punkt 2 - 5 1.2 Säkerhetsåtgärder Dataskyddsförordningen, artikel 25, 32. 2 En kartläggning av system och beroenden där personuppgifter hanteras behöver genomföras. För kommungemensamma system tar Intraservice fram underlag. 3 Ägare av system behöver implementera en säker autentiseringslösning samt krypterings- och granulerad logglösning för system och behandling av personuppgifter (klass 2). I samband med detta behöver även andra säkerhetshöjande åtgärder i system ses över. Staden har en lösning för stark autentisering, kryptering och granulerad loggning vid hantering av känsliga PU. 4 Ägare av system skall införa ändamålsenligt tekniskt stöd för att verifiera och testa säkerheten samt tillräckliga organisatoriska resurser för detsamma, såsom penetrationstester, analysfunktion och standardiserade sårbarhetsanalyser. 5 En lista med ska-krav för upphandlingar som avser IT-säkerhet inom klass 2 behöver tas fram. För kommungemensamma system kommer intraservice att ta fram ska-kraven och i samråd med förvaltningen för inköp och upphandling kommer rutiner för kvalitetssäkring av listan att tas fram. HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

Åtgärder för systemägare Intraservice har för avsikt att införa en ny tjänst för hantering av masterdata (teknik) införa en ny tjänst för riskanalys avseende säker informationshantering upphandla en ny PUL-databas uppdatera berörda styrdokument genomföra behovsinventering inför kunskapshöjning av tekniska utbildningsinsatser genomföra en förstudie med syfte att skapa en kommungemensam tjänst för redovisning av PU-incidenter i samråd med Inköp och upphandling ta fram en lista med ska-krav för upphandlingar som avser IT-säkerhet inom klass 2 för kommungemensamma system Presentationen punkt 6 1.3 Inbyggt dataskydd/dataskydd som standard DSF, artikel 25, motivering 78. Lösningar kan behövas för system avseende funktion för gallring och/eller avidentifiering av personuppgifter. Det avser bland annat teknikstöd för pseudonymisering och andra säkerhetsåtgärder, både vid tillkomsten av nya IT-system och vid förändrings-initiativ eller projekt, införanden. Tekniskt stöd för radering i databaser, exempelvis vid backup, måste finnas. Utbildningsinsatser bör ske. Intraservice har en generell gemensam identitetshanteringslösning, som kan användas för system som kräver förstärkt autentisering, behörighetstilldelning och om möjligt vid elektronisk signering. Presentationen punkt 7 - 8 1.4 Personuppgiftsbiträden Dataskyddsförordningen, artikel 16-17. 7 Intraservice inför en ny tjänst för hantering av masterdata, med syfte att kunna bistå i arbetet med att säkra informationshanteringen. Intraservice kommer även att genomföra utbildning i verktyget när detta är infört. 8 Intraservice upphandlar ny PUL-databas. Databasen behöver kunna hantera länkningen mellan informationsbärare och behandlingar. Presentationen punkt 9 - 12 1.5 Övrigt Dataskyddsförordningen, artikel 1, 2, 5, 12, 21-22, 24, 39.1b, 91, 9 Policy och riktlinjer för användning av Informationsteknik skall uppdateras i enlighet med den nya dataskyddsförordningen och med hänsyn till stadens regelverk. Utifrån Råd för säkerhet i molntjänster bör snarast krav för upphandlingar formuleras. 10 En behovsinventering inför kunskapshöjning och genomförande av tekniska utbildningsinsatser behöver ske. Detta gäller för dataskydd (hela livscykelperspektivet, hantering av system, teknik), legal prövning, för personal som arbetar med behandling samt inom området säker radering. Det här är direkta lagkrav (artikeln 39.1.b). 11 Intraservice kommer att genomföra en förstudie med syfte att skapa en kommungemensam tjänst för redovisning av PU-incidenter. 12 Automatiserat individuellt beslutsfattande och profilering, görs autonomt av ett system vilket kommer ställa höga krav på både tekniska och organisatoriska åtgärder, för att säkerställa att systemet tar riktiga beslut och gör riktiga profileringar. Kontrollåtgärder måste implementeras och den tekniska säkerheten vara hög. HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

Åtgärder nyttjare av system Nyttjare av system skall: Vid hantering av känsliga pu nyttja system som uppfyller informationssäkerhetsklass 2 vilket bl a innebär säker autentiserings- krypterings- och granulerad logglösning. Där så krävs nyttja system som möjliggör uppfyllande av rätten att bli bortglömd dvs att en fullgod radering ska kunna ske på teknisk nivå. Av ägaren till system som använder automatiserat individuellt beslutsfattande och profilering få verifierat att de specifika tekniska krav som därmed krävs är uppfyllda. Presentationen punkt 1 2.1 Säkerhetsåtgärder Dataskyddsförordningen, artikel 32. I samtliga informationssystem med informationsklassning 2 skall det finnas en säker autentiserings-, krypterings- och granulerad logglösning. Presentationen punkt 2 2.2 Personuppgiftsbiträden Dataskyddsförordningen, artikel 17. På begäran och under vissa förutsättningar (andra lagar styr) skall en radering kunna ske, även på en teknisk nivå (kunna radera i olika säkerhetskopior). Rätten att bli glömd gäller dock bara om samtycke givits eller om avtal reglerar. Presentationen punkt 3 2.3 Övrigt Dataskyddsförordningen, artikel 12, 21-22. Automatiserat individuellt beslutsfattande och profilering, görs autonomt av ett system vilket kommer ställa höga krav på både tekniska och organisatoriska åtgärder, för att säkerställa att systemet tar riktiga beslut och gör riktiga profileringar. Kontrollåtgärder måste implementeras och den tekniska säkerheten vara hög. HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

Länkar för mer information Göteborgs officiella sida om DSF Dataskyddsförordningen (Datainspektionen) HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

Fredrik Johnsson Programledare DSF åtgärdsprogram, Intraservice fredrik.johnsson@intraservice.goteborg.se Mobil: 0703-42 00 10