Presentation laddar. Vänta.

Presentation laddar. Vänta.

Intraservice IT-Konsekvensanalys DSF.

Liknande presentationer


En presentation över ämnet: "Intraservice IT-Konsekvensanalys DSF."— Presentationens avskrift:

1 Intraservice IT-Konsekvensanalys DSF

2 Intraservice Service för dig som arbetar i Göteborgs Stad
HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

3 Om analysen Bakgrund EU har beslutat om en dataskyddsförordning (DSF) som blir direkt tillämplig i samtliga medlemsstater. DSF ersätter personuppgiftslagen (PuL) och ska börja tillämpas under våren 2018 PuL är en av de lagar som ställer direkta krav på informationssäkerheten Syfte Att klargöra viktiga konsekvenser inom IT-området utifrån införandet av DSF. Att peka ut vilka åtgärder intraservice kommer att genomföra ur ett IT-perspektiv. Att peka ut vilka åtgärder verksamheter skall, eller bör vidta ur ett IT- perspektiv. HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

4 Om analysen Omfattning samt avgränsningar i analysen
Konsekvenser klargörs utifrån IT-området Perspektivet är hela staden. Analysen tar inte upp åtgärder som redan skall vara genomförda enligt tidigare lagstiftning. Avskrift av gällande lagstiftning sker inte i analysen, var och en får göra egen sökning i tillförlitliga källor. Hänvisningar görs endast till DSF och till Juridisk analys. HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

5 Slutsatser Intraservice stöd till verksamheterna behöver förändras och utökas. Flera kommungemensamma tjänster och tekniska lösningar. Genomgång av formella dokument och kommungemensamma system. Ägare till system bör prioritera inventering av system samt verifiering och genomförande av säkerhetsåtgärder innan lagen träder i kraft. Kunskapsinventering och inhämtning av information, därefter behöver utbildningsinsatser ske inom flera områden. HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

6 Åtgärder för systemägare
Systemägare skall: Kartlägga system och beroenden där personuppgifter hanteras. Implementera en säker autentiserings- krypterings- och granulerad logglösning för hantering av känsliga pu (klass 2). Införa ändamålsenligt teknisk stöd och organisatoriska resurser för verifiering och test av säkerhet. Vara medveten om att användande av automatiserat individuellt beslutsfattande och profilering ställer höga krav på åtgärder. I förekommande fall ta fram lösningar för gallring och avidentifiering av personuppgifter. Presentationen punkt 1 1.1 Riskanalys Juridisk analys 5.22 Intraservice tar ansvaret för att tjänsteutveckla, upphandla och implementera en kommungemensam tjänst för risk-analys (Full DPIA (Data Protection Impact Analysis)) för att möjliggöra ett enhetligt arbetssätt avseende säker informationshantering. Behov och krav inhämtas från berörda verksamheter. Presentationen punkt 2 - 5 1.2 Säkerhetsåtgärder Dataskyddsförordningen, artikel 25, 32. 2 En kartläggning av system och beroenden där personuppgifter hanteras behöver genomföras. För kommungemensamma system tar Intraservice fram underlag. 3 Ägare av system behöver implementera en säker autentiseringslösning samt krypterings- och granulerad logglösning för system och behandling av personuppgifter (klass 2). I samband med detta behöver även andra säkerhetshöjande åtgärder i system ses över. Staden har en lösning för stark autentisering, kryptering och granulerad loggning vid hantering av känsliga PU. 4 Ägare av system skall införa ändamålsenligt tekniskt stöd för att verifiera och testa säkerheten samt tillräckliga organisatoriska resurser för detsamma, såsom penetrationstester, analysfunktion och standardiserade sårbarhetsanalyser. 5 En lista med ska-krav för upphandlingar som avser IT-säkerhet inom klass 2 behöver tas fram. För kommungemensamma system kommer intraservice att ta fram ska-kraven och i samråd med förvaltningen för inköp och upphandling kommer rutiner för kvalitetssäkring av listan att tas fram. HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

7 Åtgärder för systemägare
Intraservice har för avsikt att införa en ny tjänst för hantering av masterdata (teknik) införa en ny tjänst för riskanalys avseende säker informationshantering upphandla en ny PUL-databas uppdatera berörda styrdokument genomföra behovsinventering inför kunskapshöjning av tekniska utbildningsinsatser genomföra en förstudie med syfte att skapa en kommungemensam tjänst för redovisning av PU-incidenter i samråd med Inköp och upphandling ta fram en lista med ska-krav för upphandlingar som avser IT-säkerhet inom klass 2 för kommungemensamma system Presentationen punkt 6 1.3 Inbyggt dataskydd/dataskydd som standard DSF, artikel 25, motivering 78. Lösningar kan behövas för system avseende funktion för gallring och/eller avidentifiering av personuppgifter. Det avser bland annat teknikstöd för pseudonymisering och andra säkerhetsåtgärder, både vid tillkomsten av nya IT-system och vid förändrings-initiativ eller projekt, införanden. Tekniskt stöd för radering i databaser, exempelvis vid backup, måste finnas. Utbildningsinsatser bör ske. Intraservice har en generell gemensam identitetshanteringslösning, som kan användas för system som kräver förstärkt autentisering, behörighetstilldelning och om möjligt vid elektronisk signering. Presentationen punkt 7 - 8 1.4 Personuppgiftsbiträden Dataskyddsförordningen, artikel 7 Intraservice inför en ny tjänst för hantering av masterdata, med syfte att kunna bistå i arbetet med att säkra informationshanteringen. Intraservice kommer även att genomföra utbildning i verktyget när detta är infört. 8 Intraservice upphandlar ny PUL-databas. Databasen behöver kunna hantera länkningen mellan informationsbärare och behandlingar. Presentationen punkt 1.5 Övrigt Dataskyddsförordningen, artikel 1, 2, 5, 12, 21-22, 24, 39.1b, 91, 9 Policy och riktlinjer för användning av Informationsteknik skall uppdateras i enlighet med den nya dataskyddsförordningen och med hänsyn till stadens regelverk. Utifrån Råd för säkerhet i molntjänster bör snarast krav för upphandlingar formuleras. 10 En behovsinventering inför kunskapshöjning och genomförande av tekniska utbildningsinsatser behöver ske. Detta gäller för dataskydd (hela livscykelperspektivet, hantering av system, teknik), legal prövning, för personal som arbetar med behandling samt inom området säker radering. Det här är direkta lagkrav (artikeln 39.1.b). 11 Intraservice kommer att genomföra en förstudie med syfte att skapa en kommungemensam tjänst för redovisning av PU-incidenter. 12 Automatiserat individuellt beslutsfattande och profilering, görs autonomt av ett system vilket kommer ställa höga krav på både tekniska och organisatoriska åtgärder, för att säkerställa att systemet tar riktiga beslut och gör riktiga profileringar. Kontrollåtgärder måste implementeras och den tekniska säkerheten vara hög. HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

8 Åtgärder nyttjare av system
Nyttjare av system skall: Vid hantering av känsliga pu nyttja system som uppfyller informationssäkerhetsklass 2 vilket bl a innebär säker autentiserings- krypterings- och granulerad logglösning. Där så krävs nyttja system som möjliggör uppfyllande av rätten att bli bortglömd dvs att en fullgod radering ska kunna ske på teknisk nivå. Av ägaren till system som använder automatiserat individuellt beslutsfattande och profilering få verifierat att de specifika tekniska krav som därmed krävs är uppfyllda. Presentationen punkt 1 2.1 Säkerhetsåtgärder Dataskyddsförordningen, artikel 32. I samtliga informationssystem med informationsklassning 2 skall det finnas en säker autentiserings-, krypterings- och granulerad logglösning. Presentationen punkt 2 2.2 Personuppgiftsbiträden Dataskyddsförordningen, artikel 17. På begäran och under vissa förutsättningar (andra lagar styr) skall en radering kunna ske, även på en teknisk nivå (kunna radera i olika säkerhetskopior). Rätten att bli glömd gäller dock bara om samtycke givits eller om avtal reglerar. Presentationen punkt 3 2.3 Övrigt Dataskyddsförordningen, artikel 12, Automatiserat individuellt beslutsfattande och profilering, görs autonomt av ett system vilket kommer ställa höga krav på både tekniska och organisatoriska åtgärder, för att säkerställa att systemet tar riktiga beslut och gör riktiga profileringar. Kontrollåtgärder måste implementeras och den tekniska säkerheten vara hög. HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

9 Länkar för mer information
Göteborgs officiella sida om DSF Dataskyddsförordningen (Datainspektionen) HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

10 Fredrik Johnsson Programledare DSF åtgärdsprogram, Intraservice Mobil:


Ladda ner ppt "Intraservice IT-Konsekvensanalys DSF."

Liknande presentationer


Google-annonser