Ladda ner presentationen
Presentation laddar. Vänta.
1
Dataskyddsförordningen
Informationsträff 2
2
Syfte och mål Första träffen fokuserade på att beskriva vad DSF är för något, dess innehåll och vad det innebär för Staden generellt Denna andra träff fokuserar på hur ni som verksamhet kan ta er an uppgiften med att åstadkomma följsamhet med DSF Beskriva vilka arbetsmoment som behöver genomföras Vad som kan vara bra att tänka på vid de olika arbetsmomenten (dock ingen steg-för-steg genomgång) Lyfta fram vad ni kan nyttja av tidigare genomfört arbete Stöd för att konkretisera er handlingsplan Målet är att ni efter denna träff ska kunna initiera ert arbete där det första steget är att ta fram er handlingsplan HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
3
Dokumentera och spara det arbete ni genomför!
Av speciell vikt är beslutsunderlag och beslut samt vem som beslutat! Spårbarhet och tillsyn! HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
4
Agenda Inledning Begrepp och förklaringar De olika arbetsmomenten
Hur mycket arbete är det egentligen? Vilka behöver involveras i arbetet? Begrepp och förklaringar Privacy by design / Privacy by default Incidentrapportering Konsekvensbedömning De olika arbetsmomenten Utse dataskyddsombud Informationskartläggning Informationssäkerhetsklassa Riskanalys Kontroller och verifieringar Uppdatera PuL-databasen Planera för återkommande verifieringar Kvalitetssäkra ett kontinuerligt uppfyllande Handlingsplanen Övrigt Var finns stöddokumenten Nästa steg HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
5
Hur omfattande är arbetet?
Följsamhet mot DSF Staden krav PuL Nya från DSF Omfattningen är beroende av ert nu-läge! DSO Ny lagkontext Preciseringar/striktare/luddigare Delat ansvar PuA/PuA+PuB Ostrukturerat material Biometriska/genetiska pu Ingen intresseavvägning Informationsgivning externt Kontinuerliga tester / verifieringar Dataportabilitet Rätt att bli bortglömd Sanktioner (?) Utse DSO Kartlägg Klassa Riskanalysera Kontrollera Åtgärda och uppdatera Verifiera Säkerställa fortvarighet DSF krav Incident info till DI+ registrerade, tydligare/mer omfattande info till registrerade, info till registrerade vid överföring av pu, The GDPR does not establish a general right to data portability for cases where the processing of personal data is not based on consent or contract (Article 20(3) and Recital 68 provide that data portability does not apply when the data processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the data controller, or when a data controller is exercising its public duties or complying with a legal obligation. Therefore, there is no obligation for data controllers to provide for portability in these cases) HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
6
Vilka behöver involveras?
Förslag på roller/funktioner som kan vara lämpliga att involvera/informera i olika omfattning Dataskyddsombud Pu-ombud IT-chef IT-arkitekt Informationsarkitekt Säkerhetschef Controller Verksamhetsutvecklare Processledare/processansvarig/processägare Registrator Arkivarie Jurist Kommunikatör Verksamhetsansvariga chefer PuB PuA HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
7
Agenda Inledning Begrepp och förklaringar De olika arbetsmomenten
Hur mycket arbete är det egentligen? Vilka behöver involveras i arbetet? Begrepp och förklaringar Privacy by design / Privacy by default Incidentrapportering Konsekvensbedömning De olika arbetsmomenten Utse dataskyddsombud Informationskartläggning Informationssäkerhetsklassa Riskanalys Kontroller och verifieringar Uppdatera PuL-databasen Planera för återkommande verifieringar Kvalitetssäkra ett kontinuerligt uppfyllande Handlingsplanen Övrigt Var finns stöddokumenten Nästa steg HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
8
Privacy by design / Privacy by default Inbyggt dataskydd/Dataskydd som standard
Stadens förhållningssätt (del av ny policy/riktlinje) Säkerheten (=dataskyddet) baseras på genomförda informationssäkerhetsklassningar och riskanalyser för att på så sätt finnas med redan från den initiala planeringen och täcka såväl tekniska som organisatoriska åtgärder Stadens grundsäkerhetsnivå för informationssäkerhet (nivå 1) gäller för pu-behandling generellt och nivå 2 för känsliga/särskild pu avseende konfidentialitet och riktighet Uppgiftsminimering, lagringsminimering, fritextfältsmimimering och åtkomstbegränsning är grundläggande krav för all pu-behandling Om möjligt alltid använda pseudonymisering, anonymisering eller kryptering Kommissionen kan komma att tydliggöra tolkning och tekniska standarder! HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
9
Incidentrapportering
Personuppgiftsincident – säkerhetsincident som leder till oavsiktlig/olaglig/obehörig förstöring/förlust/ändring/röjande/åtkomst till pu Generellt inga nya krav jämfört med Stadens krav* sedan 2008 förutom två kompletteringar Anmäla till tillsynsmyndigheten inom 72 timmar med info om omständigheter, effekter , vidtagna åtgärder etc (om det inte är osannolikt att registrerade drabbas) Informera registrerade med info som ovan om inte lämplig säkerhet införts t ex kryptering Exempel på händelser som kan ge informationsförluster och behöver kunna fångas Störning i mjuk- eller hårdvara Störning i driftmiljö Säkerhetsbrist i en produkt Säkerhetsbrist i processer, rutiner etc Angrepp Stöld Handhavandefel Intraservice svarar för incidenthanteringen för sina tjänster och rapporterar till er Glöm inte att säkerställa rapportering från era PuB (inkludera i PuB-avtal) * Rapportering, loggning, åtgärdande, infospridning, eskalering, uppföljning och analys av informationssäkerhetsincidenter HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
10
Konsekvensbedömning (= Riskanalys)
DSF använder begreppet ”konsekvensbedömning” för det som i PuL beskrivs som ”beaktande av särskilda risker” Bägge skrivningarna innebär i praktiken att man måste sätta säkerhetsåtgärderna i förhållande till riskerna med en pu-behandling Vissa skrivningar i DSF ger uttryck för att denna typ av bedömning/analys ska genomföras om man misstänker en hög risk, andra skrivningar tydliggör att säkerhetsåtgärderna alltid ska sättas i relation till riskerna Oavsett så innebär skrivningarna i praktiken att en riskanalys alltid behöver genomföras för att säkerställa pu-behandlingen vilket ligger i linje med Stadens krav på att säkerhetsarbetet ska utgå från riskanalyser Dataskyddsombudet ska rådfrågas och övervaka analysen samt synpunkter från de registrerade ska inhämtas när det är lämpligt Det är PUA som ansvarar för att utföra analysen HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
11
Agenda Inledning Begrepp och förklaringar De olika arbetsmomenten
Hur mycket arbete är det egentligen? Vilka behöver involveras i arbetet? Begrepp och förklaringar Privacy by design / Privacy by default Incidentrapportering Konsekvensbedömning De olika arbetsmomenten Utse dataskyddsombud Informationskartläggning Informationssäkerhetsklassa Riskanalys Kontroller och verifieringar Uppdatera PuL-databasen Planera för återkommande verifieringar Kvalitetssäkra ett kontinuerligt uppfyllande Handlingsplanen Övrigt Var finns stöddokumenten Nästa steg HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
12
Utse dataskyddsombud (DSO) 1 av 3
DSO är involverad i många delar av pu-hanteringen varför det är lämpligt att få DSO på plats snarast möjligt. (Kan bli en lång tillsättningsprocess! Utbilda!? Rekrytera!? Upphandla!?) Det ska finnas en DSO för varje PUA DFS tillåter en DSO för flera PUA förutsatt att DSO:n har reell möjlighet att utföra sitt åtagande för dessa verksamheter Vid de fall en DSO har uppdrag för flera PUA kan det finnas en eller flera medhjälpare (motsvarande pu-ombud) i varje verksamhet. Det krävs en huvudansvarig och tydlig ansvarsfördelning DSO kan vara en extern anlitad part vilket kräver formella avtal. Även här krävs en huvudansvarig och tydlig ansvarsfördelning Finns inga stadsövergripande beslut kring DSO. Upp till varje PUA i nuläget! HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
13
Utse dataskyddsombud (DSO) 2 av 3
DSO huvudsakliga uppgift Vara kontaktpunkt för intressenter (tillsynsmyndighet, registrerade, medarbetare m fl) Informera och ge råd till PUA och medarbetare bl a om skydd och skyldigheter enligt DSF samt vid riskanalysen Övervaka efterlevnad av förordningen avseende fungerande rutiner och åtgärder, ansvarstilldelning, information, utbildning och granskning Samarbeta med tillsynsmyndigheten Kompetensbehov Expert på DSF och dess praxis God verksamhetskompetens, speciellt på de processer och organisationsdelar där pu-behandling sker God förståelse för riskhantering, informations- och IT-säkerhet God kommunikationsförmåga (Ju mer komplex pu-behandling/mer mängd känsliga pu ju högre krav) HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
14
Utse dataskyddsombud (DSO) 3 av 3
Förutsättningar (från PUA) som behöver säkerställas för rollen Ej kunna straffas, sägas upp etc som en följd av sitt utövande Rapportera direkt till PUA eller högsta ledningsnivån Ledningens stöd Officiella realiserade och lanserade kontaktvägar för alla intressenter Tillräcklig tid för att utföra/ uppfylla sina skyldigheter Tillgång till administrativt stöd, finansiella resurser, teknik, utrustning, personal etc efter behov för utföra/ uppfylla sina skyldigheter Rätt och möjlighet att samla information för att identifiera pu-behandling Befogenhet och möjlighet att analysera och kontrollera efterlevnaden av pu-behandlingen Befogenhet och möjlighet att informera, ge råd och utfärda rekommendationer till PUA, PUB och andra intressenter Befogenhet och möjlighet till kompetensutveckling i linje med DSO-rollens uppgift, ansvar och mandat PUA/PUB ska ej ha möjlighet att utöva påverkan på DSO:s utövande Säkerställa att DSO ej riskerar att hamna i intressekonflikt pga andra uppgifter och skyldigheter Säkerställa att DSO ej kan bestämma ändamålen och medlen för behandlingen av personuppgifter (kan t ex bero på innehav av annan roll, ansvar, mandat) HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
15
Agenda Inledning Begrepp och förklaringar De olika arbetsmomenten
Hur mycket arbete är det egentligen? Vilka behöver involveras i arbetet? Begrepp och förklaringar Privacy by design / Privacy by default Incidentrapportering Konsekvensbedömning De olika arbetsmomenten Utse dataskyddsombud Informationskartläggning Informationssäkerhetsklassa Riskanalys Kontroller och verifieringar Uppdatera PuL-databasen Planera för återkommande verifieringar Kvalitetssäkra ett kontinuerligt uppfyllande Handlingsplanen Övrigt Var finns stöddokumenten Nästa steg HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
16
Informationskartläggning 1 av 4
var era personuppgifter hanteras/finns! Dela in förvaltningen/bolaget i lämpliga väl avgränsade verksamhetsdelar företrädesvis processer Tydliggör per verksamhetsdel vem som är verksamhetsansvarig för respektive del (= trolig informationsägare) Ta hjälp av följande underlag Processkartläggningar Processbeskrivningar Verksamhetsplaner Mål- och inriktningsdokument Klassificeringsstruktur (del av processorienterad informationsredov.) HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
17
Informationskartläggning 2 av 4
För respektive avgränsad verksamhetsdel - kartlägg pu-hanteringen Glöm inte ”lokala” behandlingar såsom utskickslistor, personallistor etc PROCESS Ta hjälp av följande underlag Processkartläggningar Processbeskrivningar Verksamhetsplaner Mål- och inriktningsdokument Klassificeringsstruktur (del av processorienterad informationsredov.) INFORMATION (endast pu) … samt Dokumenthanteringsplaner Genomförda informationsklassningar PuL-databasen Stadsrevisionens IT-kartläggning IT-förteckningen i arkivbeskrivningen HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
18
Informationskartläggning 3 av 4
För respektive pu-behandling – tydliggör vilka informationsbärare (system, lösningar, tjänster etc) som används PROCESS Ta hjälp av följande underlag Processkartläggningar Processbeskrivningar Verksamhetsplaner Mål- och inriktningsdokument Klassificeringsstruktur (del av processorienterad informationsredov.) INFORMATION (endast pu) … samt Dokumenthanteringsplaner Genomförda informationsklassningar PuL-databasen Stadsrevisionens IT-kartläggning IT-förteckningen i arkivbeskrivningen INFORMATIONSBÄRARE Viktigt få med externa lösningar (t ex molntjänster) som inte går via intraservice. Såväl sanktionerade (formellt avtalade) som ej sanktionerade dvs medarbetarnas ”egna” lösningar s k ”skugg IT” (t ex Dropbox) … dessutom Leverantörsavtal PuB-avtal Glöm inte pu om användarna! HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
19
Informationskartläggning 4 av 4
PROCESS INFORMATION (endast pu) Informationsbärare för kommungemensamma interna administrativa tjänster Respektive verksamhet dokumenterar tjänstens namn och aktuell pu-behandling Intraservice ansvarar för att dokumentera och upprätthålla aktuella uppgifter avseende de IT-lösningar som nyttjas i respektive tjänst INFORMATIONSBÄRARE Stöddokument: Råd - metodikbeskrivning för säker informationshantering Råd för hur man genomför en informationsklassning HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
20
Agenda Inledning Begrepp och förklaringar De olika arbetsmomenten
Hur mycket arbete är det egentligen? Vilka behöver involveras i arbetet? Begrepp och förklaringar Privacy by design / Privacy by default Incidentrapportering Konsekvensbedömning De olika arbetsmomenten Utse dataskyddsombud Informationskartläggning Informationssäkerhetsklassa Riskanalys Kontroller och verifieringar Uppdatera PuL-databasen Planera för återkommande verifieringar Kvalitetssäkra ett kontinuerligt uppfyllande Handlingsplanen Övrigt Var finns stöddokumenten Nästa steg HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
21
Informationssäkerhetsklassa 1 av 2
För respektive pu-behandling tydliggör vilken typ av pu som behandlas Känsliga/särskilda Känsliga/särskilda och allmänna/generella Allmänna/generella Notera om pu hanteras i löpande text! Känsliga/särskilda pu Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Hälsa Biometriska och genetiska uppgifter Sexuell läggning/sexualliv Uppgifter om fällande domar, överträdelser och tidigare brott HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
22
Informationssäkerhetsklassa 2 av 2
Känsliga/särskilda pu = säkerhetsnivå 2 avseende konfidentialitet och riktighet Allmänna/generella pu = säkerhetsnivå 1 som grund men om allvarliga konsekvenser vid förlust, oönskad förändring, tillgång eller spridning av pu = säkerhetsnivå 2 avseende HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
23
Informationssäkerhetsklassa 2 av 2
Känsliga/särskilda pu = säkerhetsnivå 2 avseende konfidentialitet och riktighet Allmänna/generella pu = säkerhetsnivå 1 som grund men om allvarliga konsekvenser vid förlust, oönskad förändring, tillgång eller spridning av pu = säkerhetsnivå 2 avseende Exempel på allvarliga konsekvenser Långa och allvarliga avbrott i verksamheten där processproblem måste hanteras med stöd av extern hjälp. Stora förseningar. Avgörande betydelse för verksamhetens trovärdighet Har stor ekonomisk påverkan (t ex kostnader för att återställa, återskapa, ersätta etc) Missnöjd nyttjare/brukare/kund överväger att lämna och övergå till konkurrent Nyttjare/brukare/kunder kan drabbas av allvarlig fysisk eller psykisk skada, i värsta fall död Stor påverkan på personal. Medarbetare befaras att på lång sikt lämna företaget/bli sjukskriven/drabbas av allvarlig fysisk eller psykisk skada, i värsta fall död Stöddokument: Råd för hur man genomför en informationsklassning HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
24
Agenda Inledning Begrepp och förklaringar De olika arbetsmomenten
Hur mycket arbete är det egentligen? Vilka behöver involveras i arbetet? Begrepp och förklaringar Privacy by design / Privacy by default Incidentrapportering Konsekvensbedömning De olika arbetsmomenten Utse dataskyddsombud Informationskartläggning Informationssäkerhetsklassa Riskanalys Kontroller och verifieringar Uppdatera PuL-databasen Planera för återkommande verifieringar Kvalitetssäkra ett kontinuerligt uppfyllande Handlingsplanen Övrigt Var finns stöddokumenten Nästa steg HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
25
Riskanalys av 2 Genomför en riskanalys för respektive tidigare definierad verksamhetsdel där pu hanteras (inte IT-system eller annan ”delmängd”!) Det är risker gällande förlust, oönskad förändring/tillgång/spridning av pu som ska bedömas Informationskartläggningen är ett bra underlag för förståelse av hotbild En viktig utgångspunkt är att säkerheten uppfyller klassningsnivåerna (verifieras i nästa steg) Dataskyddsombudet ska rådfrågas och övervaka riskanalysen Analysrapporten (mall finns i stöddokument) ligger till grund för beslut om säkerhetsåtgärder/åtgärdsplan Säkerhetsåtgärder kan potentiellt sett vara relativt kostsamma och även medföra en negativ påverkan på en verksamhets effektivitet För att skapa förståelse krävs ett väl dokumenterat analysarbete som inkluderar de resonemang och bedömningar som gjorts för att därmed skapa spårbarhet för beslut Beslut enligt delegation HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
26
Riskanalys 2 av 2 Viktigt förarbete krävs
Ett särskilt och uttryckligt samt berättigat och fastställt ändamål med pu-behandlingen. Saknas det ett formellt beslutat ändamål måste detta tas fram* Tydliggjort att pu-behandlingen är minimerad till att endast gälla de uppgifter som är adekvata och relevanta för ändamålet Tydliggord laglig grund för pu-behandlingen nödvändig för att ett avtal ska kunna fullgöras nödvändig för att fullgöra rättslig förpliktelse (tydliggörs i regeringens utredning) nödvändig för att arbetsuppgift av allmänt intresse ska kunna utföras eller som ett led i myndighetsutövning (tydliggörs i regeringens utredning) nödvändig för att skydda intressen av grundläggande betydelse för registrerade/andra samtycke Tydliggjort att pu-behandlingen är begränsad att ske endast så länge det är nödvändigt för ändamålet (ange uppskattad tidsperiod) Tydliggjort att åtkomst till pu är begränsad till de som har ett uttryckligt behov för sitt tjänsteutövande * Checklistor för ändamål, laglig grund, fullgörande av skyldigheter i form av information, samtycke m m kommer att tas fram OBS! Behandling som idag sker med stöd av missbruksregeln (löpande text) måste ha en annan laglig grund eller upphöra! Stöddokument: Råd för riskanalys avseende informationssäkerhet HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
27
Agenda Inledning Begrepp och förklaringar De olika arbetsmomenten
Hur mycket arbete är det egentligen? Vilka behöver involveras i arbetet? Begrepp och förklaringar Privacy by design / Privacy by default Incidentrapportering Konsekvensbedömning De olika arbetsmomenten Utse dataskyddsombud Informationskartläggning Informationssäkerhetsklassa Riskanalys Kontroller och verifieringar Uppdatera PuL-databasen Planera för återkommande verifieringar Kvalitetssäkra ett kontinuerligt uppfyllande Handlingsplanen Övrigt Var finns stöddokumenten Nästa steg HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
28
Kontroller och verifieringar 1 av 2
Viktigt att följa upp att beslutad åtgärdsplan genomförs samt att tidigare utgångspunkt gällande uppfyllande av säkerhetsnivå kontrolleras Återfinns brister i uppfyllandet av säkerhetsnivå ska dessa analyseras, utvärderas och hanteras (eventuellt i en kompletterande riskanalys) Inkludera uppföljning/verifiering av avsnitt 3.4 och 4 i riskanalysrapporten (enligt föreslagen mall) dvs uppgiftsminimering, åtkomstbegränsning etc Kontrollera om bevarande/gallringsbeslut finns för informationen. Saknas gallringsbeslut ska en gallringsutredning göras och en framställan om gallring skickas till arkivmyndigheten för beslut Verifiering av informationssäkerheten görs med hjälp av stöddokumentet ”Råd informationssäkerhetskontroller” Verifiering av IT-säkerheten görs med hjälp av ”Råd IT-kontroller” Kontroller 1 – 17 ska uppfyllas för säkerhetsnivå 1 Kontroller18 – 20, 23 – 24 ska uppfyllas för säkerhetsnivå 2 Verifiering av den fysiska säkerheten gällande centrala IT-utrymmen (datorhallar) görs med hjälp av ”Råd - checklista över generella kontroller för centrala IT-utrymmen” HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
29
Kontroller och verifieringar 2 av 2
Verifiering av säkerhet gentemot externa parter kan också ske via certifieringar och tredjepartsrevisioner (såsom ISO 27001, SSAE16 och CSA STAR) Säkerställ att certifieringen/revisionen täcker avsedd tjänst samt att de relevanta kraven/åtgärderna är inkluderade i certifieringen/revisionen Intraservice verifierar säkerheten i kommungemensamma administrativa tjänster De initiala verifieringarna ska beskriva HUR kraven uppfylls och visa på att de är Dokumenterade Formaliserade (beslutad av person med befogenhet ) Implementerade De senare regelbundna verifieringarna måste även inkludera faktiska tester av säkerheten Stöddokument: Råd informationssäkerhetskontroller Råd IT-kontroller Råd - checklista över generella kontroller för centrala IT-utrymmen Råd IT-säkerhetsåtgärder för förhöjd säkerhetsnivå HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
30
Agenda Inledning Begrepp och förklaringar De olika arbetsmomenten
Hur mycket arbete är det egentligen? Vilka behöver involveras i arbetet? Begrepp och förklaringar Privacy by design / Privacy by default Incidentrapportering Konsekvensbedömning De olika arbetsmomenten Utse dataskyddsombud Informationskartläggning Informationssäkerhetsklassa Riskanalys Kontroller och verifieringar Uppdatera PuL-databasen Planera för återkommande verifieringar Kvalitetssäkra ett kontinuerligt uppfyllande Handlingsplanen Övrigt Var finns stöddokumenten Nästa steg HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
31
Uppdatera PuL-databasen
Varje pu-behandling ska finnas i ett register hos verksamheten (PuA) Namn och kontaktuppgifter till den personuppgiftsansvarige samt dataskyddsombudet Ändamålet med behandlingen* Kategori av registrerade, personuppgifter samt behandlingar Mottagare av personuppgifter, i förekommande fall. Tidsfrister för radering Beskrivning av tekniska och organisatoriska säkerhetsåtgärder för behandlingen Skriv in när behandlingen stämdes av med DSO Om det inte finns någon given plats för de obligatoriska uppgifterna så kan de skrivas in i kommentarsfältet längst ner Finns även specificerade utrymmen för andra uppgifter om rutiner, samtycke, personuppgiftsbiträdesavtal m.m Avslutade behandlingar ska tas om hand enligt gallringsbeslut (se dokumenthanteringsplan) * Checklistor för ändamål, lagligt stöd, fullgörande av skyldigheter i form av information, samtycke m m kommer att tas fram HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
32
Agenda Inledning Begrepp och förklaringar De olika arbetsmomenten
Hur mycket arbete är det egentligen? Vilka behöver involveras i arbetet? Begrepp och förklaringar Privacy by design / Privacy by default Incidentrapportering Konsekvensbedömning De olika arbetsmomenten Utse dataskyddsombud Informationskartläggning Informationssäkerhetsklassa Riskanalys Kontroller och verifieringar Uppdatera PuL-databasen Planera för återkommande verifieringar Kvalitetssäkra ett kontinuerligt uppfyllande Handlingsplanen Övrigt Var finns stöddokumenten Nästa steg HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
33
Planera för återkommande verifieringar 1/2
Säkerställ rutiner för kontinuerliga verifieringar enligt avsnitt ”Kontroll och verifieringar” (avsnitt 6, punkterna A-H i checklistan) Säkerställ rutiner för att ”hämta hem” och kontrollera verifieringarna från intraservice och externa parter (PuB) Säkerställ rutiner för att följa upp att det är ”rätt” information(pu) som hanteras exempelvis genom ”stickprov” Säkerställ rutiner för att följa upp incidenter Säkerställ rutiner för att följa upp behörigheter Säkerställ rutiner för förvaltning av pu-registret (PuL-databasen) Säkerställ rutiner för att följa upp behandlingen avseende tidsaspekter, vidaredelning etc HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
34
Planera för återkommande verifieringar 2/2
Säkerställ rutiner för att följa upp om det skett processförändringar, organisationsförändringar etc som kan påverka pu-hantering, roller, ansvar etc Om ni har PuB - säkerställ rutiner för att följa upp om det skett förändringar i tjänst, avtal etc som kan påverka informationshanteringen (pu), roller, ansvar etc Implementera rutiner för att regelbundet testa de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. Tester av säkerheten i kommungemensamma administrativa tjänster ansvarar intraservice för Stöddokument: Råd informationssäkerhetskontroller Råd IT-kontroller Råd - checklista över generella kontroller för centrala IT-utrymmen. Råd IT-säkerhetsåtgärder för förhöjd säkerhetsnivå Råd – metodikbeskrivning för säker informationshantering HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
35
Agenda Inledning Begrepp och förklaringar De olika arbetsmomenten
Hur mycket arbete är det egentligen? Vilka behöver involveras i arbetet? Begrepp och förklaringar Privacy by design / Privacy by default Incidentrapportering Konsekvensbedömning De olika arbetsmomenten Utse dataskyddsombud Informationskartläggning Informationssäkerhetsklassa Riskanalys Kontroller och verifieringar Uppdatera PuL-databasen Planera för återkommande verifieringar Kvalitetssäkra ett kontinuerligt uppfyllande Handlingsplanen Övrigt Var finns stöddokumenten Nästa steg HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
36
Kvalitetssäkra kontinuerligt uppfyllande
Krävs ett metodiskt arbetssätt för att säkerställa ett kontinuerligt uppfyllande av DSF Implementera metodiken utgående från den guidning som ges i stöddokumentet ”Råd – metodikbeskrivning för säker informationshantering” Nyttja stöddokumenten som finns inom informationssäkerhetsområdet Nyttja checklistorna för ändamål, lagligt stöd, fullgörande av skyldigheter i form av information, samtycke m m (kommer att tas fram) Se till att det finns rutiner (beslut och dokumenthanteringsplaner) för avslut av behandling beträffande gallring och arkivering Involvera DSO så tidigt som möjligt när något nytt är på gång Stöddokument: Råd – metodikbeskrivning för säker informationshantering HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
37
Agenda Inledning Begrepp och förklaringar De olika arbetsmomenten
Hur mycket arbete är det egentligen? Vilka behöver involveras i arbetet? Begrepp och förklaringar Privacy by design / Privacy by default Incidentrapportering Konsekvensbedömning De olika arbetsmomenten Utse dataskyddsombud Informationskartläggning Informationssäkerhetsklassa Riskanalys Kontroller och verifieringar Uppdatera PuL-databasen Planera för återkommande verifieringar Kvalitetssäkra ett kontinuerligt uppfyllande Handlingsplanen Övrigt Var finns stöddokumenten Nästa steg HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
38
Handlingsplanen dokumenterar 1 av 2
Hur varje bolag/förvaltning avser att säkerställa att man är redo att tillämpa dataskyddsförordningen från 25 maj, 2018. Hur den övergripande målbilden ska nås: Säkerställa en övergång till dataskyddsförordningen Säkerställa en kontinuitet i efterlevandet av förordningen Minimera risken för lagbrott Det förväntade resultat: En dokumenterad följsamhet mot DSF Framtagandet av en kommunikationsplan Avslut och överlämning till linjen HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
39
Handlingsplanen dokumenterar 2 av 2
Förutsättningarna för hur målet ska nås Omfattning Avgränsningar Milstolpar Övergripande tidsramar Kostnadsramar Övriga förutsättningar Organisation för genomförandet Styrgrupp (med rätt mandat från ledningen) Kompetensbehov HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
40
Agenda Inledning Begrepp och förklaringar De olika arbetsmomenten
Hur mycket arbete är det egentligen? Vilka behöver involveras i arbetet? Begrepp och förklaringar Privacy by design / Privacy by default Incidentrapportering Konsekvensbedömning De olika arbetsmomenten Utse dataskyddsombud Informationskartläggning Informationssäkerhetsklassa Riskanalys Kontroller och verifieringar Uppdatera PuL-databasen Planera för återkommande verifieringar Kvalitetssäkra ett kontinuerligt uppfyllande Handlingsplanen Övrigt Var finns stöddokumenten Nästa steg HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
41
Var finns stöddokumenten
Projektet har tagit fram en ”temasida” på stadens Intranät där all stöddokumentation kommer lagras. Då underlag kan tillkomma och befintlig information kan uppdateras, så är det ett råd att alltid hållas sig uppdaterad på aktuell status på stöddokumenten. Temasidan finns upplagd under ”Hela staden” på Intranätet och benämns ”Dataskyddsförordning” HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
42
Nästa steg Arbetet med att ta fram en IT-konsekvensanalys pågår
Besluta policy och riktlinjer för behandling av pu Fortlöpande ta fram/reviderar stöddokument utifrån de behov som uppstår under projektets gång. Informerar och utbildar Första bredare informationsträff under april-maj som stöd för Ansvariga genomförare Hålla ”temasidan” på Intranätet uppdaterad Vid behov, tillhandahålla ytterligare informationsträffar Omvärldsbevakning – regerings utredningar, SKL och DI Utgör ett stöd och bollplank för verksamheten HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
43
Planerade informationsträffar Verksamheten
Bredare informationsträffar för kompetensspridning i staden: Tisdagen den 25 april 09:00-12:00 Onsdagen den 3 maj 09:00-12:00 Måndagen den 8 maj 13:00-16:00 Tisdagen den 9 maj 09:00-12:00 Vem som ska bjudas in ägs av ”Ansvarig genomförare” HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
44
Kontaktperson: Birger Wannerskog
45
Dokumentera och spara det arbete ni genomför!
Av speciell vikt är beslutsunderlag och beslut samt vem som beslutat! Spårbarhet och tillsyn! HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
Liknande presentationer
© 2024 SlidePlayer.se Inc.
All rights reserved.