170223 acando seminar gdpr
TRANSCRIPT
GDPR
2017-02-23
VAD ÄR GDPR?
EUs nya Dataskyddsförordning
Att ni ska ha kontroll över vilka
personuppgifter som behandlas samt i vilka
system de förekommer.
Skärpt ansvarsutkrävning vid behandling av
personuppgifter för personer som uppehåller
sig i Europa samt när man erbjuder varor till
personer inom regionen.
Att man måste efterleva GDPR oberoende av
vart lagring av personuppgifter sker eller
vart organisationen har sin hemvist.
Ska skydda personers grundläggande fri-
och rättigheter vid behandling av
personuppgifter.
Trädde ikraft 2016 men en tidsfrist ges till
maj 2018 innan dess att viten utfärdas.
Företag som inte uppfyller lagen hotas
med vite på upptill 4 % av global
årsomsättning eller € 20 miljoner.
För er organisation innebär det:
VAD ÄR EN PERSONUPPGIFT?
3
PERSONNUMMER
KÖN
NAMN
ADRESS
LJUDUPPTAGNING
BILD
KONTOUPPGIFTER
COOKIE ID
IP-ADRESS
ELEKTRONISKT ID
ETNISKT URSPRUNG
POLITISK ÅSIKT/TRO
HÄLSO/GENETISK DATA
MEDLEMSKAP I FACKFÖRENING
All slags information som direkt
eller indirekt kan hänföras till en
fysisk person som är i livet.
“
Dataskyddsombud
EDPBTillsynsmyndighet
Personuppgiftsbiträde
Personuppgiftsansvarig
GRUNDLÄGGANDE AKTÖRER
Tredje part
Registrerad
Personuppgift
GRUNDLÄGGANDE AKTÖRER
Dataskyddsombud
Personuppgiftsbiträde
Personuppgiftsansvarig
Tredje part
Registrerad
Personuppgift
Exempel på personuppgiftsbehandlingar:
En nyanställd registreras i personalsystemet.•
När en kunds uppgifter skickas vidare till extern •
marknadsbyrå.
När en bank analyserar kunders beteendemönster •
för att skapa ratings.
När en sökmotor samlar in information om din •
internetnärvaro för att skräddarsy din upplevelse.
Personuppgiftsbehandling
Åtgärd som inbegriper hantering av
personuppgifter oavsett om den är
automatiserad eller ej; insamling
registrering, lagring, bearbetning,
utlämning, tillhandahållande
BEHANDLING AV PERSONUPPGIFTER KRÄVER EN LAGLIG GRUND…
…den registrerade har otvetydigt lämnat sitt samtycke
…behandlingen är nödvändig för att fullgöra ett avtal
…legitima intressen
…visa specifika övriga fall
- Ett samtycke per behandling
- Hyresavtal
- Anställningsavtal
- Marknadsföring B2B
- Förhindra bedrägerier eller missbruk
- en rättslig skyldighet ska fullgöras (Tex: banklagen)
- Den registrerades vitala intressen (Tex: vid olycka)
- Allmänt intresse (Tex: forskning)
Vilken är de
tillhörande
behandlingarna?
Är det en
personuppgift?
Har vi en laglig
grund för varje
behandling?
VARJE
ORGANISATION MÅSTE
PÅVISA EFTERLEVNAD I SINA
BEHANDLINGAR
SAMTYCKE
Strängare villkor, den enskilde har
rätten att återkalla samtycke och
separata tillstånd krävs för olika
bearbetning.
BARN
Föräldrarnas medgivande krävs för
användning av personuppgifter för
individer upp till 13 år.
REGLERAD DATA
Definitionerna av
personuppgifter och känsliga
personuppgifter har utökats.
SÄKERHETSINCIDENTER*
Ny reglering av hur säkerhets-
incidenter ska rapporteras och
kommuniceras.
DATA PROTECTION BY DESIGN
Organisationer är skyldiga att vidta
tekniska och organisatoriska åtgärder för
att uppvisa regelefterlevnad.
UTÖKADE RÄTTIG- & SKYLDIGHETER*
De registrerade får betydande rättigheter
inklusive rätten att bli glömd,
dataportabilitet, konsekvensbedömning.
TILLSYNSMYNDIGHETER*
Tillsyn av dataskydd kommer att
förändras avsevärt, inklusive risken för
att ta emot stora böter.
UTÖKAD INFORMATIONSSKYLLDIGHET
Org/ftg. måste tillhandahålla
omfattande information till enskilda om
hur och varför de behandlar hens
personuppgifter.
VAD ÄR VIKTIGT?
MISSBRUKSREGELN*
GDPR gäller både för strukturerad
som ostrukturerad persondata.
FÖRLUST AV FÖRETAGSDATAOm ni tillgängliggör personuppgifter ni har ansvar för kan detta
leda till att konkurrenter får fördelar, båda genom att få tillgång
till era konkurrensfördelar, era kunder.
ANSTÄLLDA OCH KUNDER UTSÄTTS FÖR HOT OCH RISKERFöretag som inte skyddar sina personuppgifter riskerar utsätta sina anställda, kunder och
partners för säkerhetsrisker så som röjande av skyddad identitet, hemadress, lösenord, etc. Ett
integritetsbrott kan leda till omfattande skada för personen i fråga och kan ge allvarliga
konsekvenser för den person som utsätts för integritetsbrottet. Personer kan behöva flytta från
sitt hem, personer kan utsättas för rykten och dess privata angelägenheter kan spridas till
oönskade parter, vilket kan leda till ohälsa.
ERSÄTTNINGSSKYLDIGHET FÖR VÅLLANDE AV SKADAHar ni inte kontroll på de personuppgifter ni hanterar och personuppgifter inte hanteras i enlighet med lagen och det
samtycke personen i fråga har godkänt, så har ni gjort er skyldiga till integritetsbrott. Då har personen rätt till ersättning
för skada. Din organisation betalar om det är ni som orsakat skadan.
OMFATTANDE BÖTERFöretag som inte uppfyller kraven kommer att åläggas
böter på som högst 4 % av global årsomsättning eller
€20 miljoner, beroende på hur allvarliga avstegen
bedöms vara.
INGET FÖRTROENDE – NO DIGITAL TRUSTDet värsta som händer är att din organisation tappar i
förtroende hos omvärlden. Digitalt förtroende kostar
kunder, affärer, och skadar er framtid.
OM NI INTE UPPFYLLER
GDPR
FÖRORDNINGEN KAN INNEBÄRA RISKER FRÅN FLERA INTRESSENTER
Myndigheter
Efterfråga dokumentation av
GDPR efterlevnad och
vidtagna åtgärder
Beordra tillfälliga stopp i
behandling
Erlägga vite på upp till 4 % av
global årsomsättning
Dra tillbaka samtycken
Begära en kopia av all sin data
Begära att bli raderade
Privatpersoner
Anmälan till myndighet
Myndigheter
Externa
organisationerAvtal om vite (PuB/PuA)
Ställer högre krav
SMART OCH KOSTNADSEFFEKTIV INFORMATIONSFÖRSÖRJNINGGDPR är en möjlighet att få ordning på er informationshantering, information &
data management. Ni kan fokusera på att styra er affär med hjälp av en
kostnadseffektiv informationsförsörjning. Ni vet exakt vilka skydd ni behöver och
ni får kontroll på leveransen av IT.
LITA PÅ INFORMATIONDe personuppgifter ni samlar in, använder ni som ni lovat.
Informationen är korrekt och uppdaterad. Det går att lita på att de
personuppgifter ni har stämmer. Ni kan bygga er affär på
tillförlitlig information och kan ta risker ni annars inte velat ta.
KONKURRENSFÖRDELI ett samhälle där information och sammankopplandet av information
/digitalisering är så centralt blir säkerhet en fråga om trovärdighet. Ett företag
som är transparant med hur de använder personuppgifter, som har kontroll och
kan litas på, kommer att klara sig bättre än sina konkurrenter. Det vet
investerare, ägare och kunder.
FÖRTROENDE SKAPAR MÖJLIGHETERNär en person (kund, partner och anställd) känner tillit till er förmåga
att hantera deras personuppgifter kommer de vara generösare i sin
vilja att dela med sig av uppgifterna. På så sätt skapas utrymme för er
att skapa fler affärsmöjligheter.
MINSKA KOSTNADER FÖR INCIDENTERUppfyller ni GDPR har ni kontroll på cybersäkerhet
och IT-säkerhet och slipper dryga böter, skadat
förtroende hos ägare, kunder och omvärlden,
skadat varumärke.NÄR NI UPPFYLLER GDPR
Lagar, regelverk & strategier• Finns en godkänd, accepterad och väl känd
strategi för dataskydd och integritet?
• Har organisationen en väl dokumenterad
redogörelse för dataskyddspolicy?
IncidenterFinns rutiner för incidenthantering •
på plats för att återskapa data som
kan ha skadas eller blivit förlorad?
Samtycke, kontrakt & avtalFinns en aktuell beskrivning av alla personuppgifter ni behandlar?•
Tillämpas samtycke av den registrerade som legal grund för behandling av •
personuppgifter och i vilken omfattning?
IT & CybersäkerhetÄr nuvarande •
applikationslandskapet
för kunddata känt och
dokumenterat?
Tjänster & produkter• Finns procedurer för att regelbundet kontrollera att
personuppgifter som samlas in är adekvata, relevanta
och inte för omfattande i förhållande till de ändamål
för vilka de behandlas? (Marknadsföring, BI/Analytics?)
FÖRORDNINGEN PÅVERKAR HELA ORGANISATIONEN MED VARIERANDE OMFATTNING PER OMRÅDE
ACANDOSUPPFATTNING AV FAKTORER I ER ORGANISATION SOM PÅVERKAR RESAN, DIGITALT FÖRTROENDE -GDPR
• Nuvarande arbete och kompetens inom
informationssäkerhet och personuppgiftshantering.
• Befintliga styrdokument som policys och strategier,
processer, roller och ansvar.
• Nuvarande och framtida övriga regulatoriska krav
utöver GDPR.
• Informationsarkitektur och kontroll samt kännedom
över var vilka personuppgifter finns lagrade.
Kännedom om nuvarande och framtida
personuppgifter och dess karaktär.
• Påverkan beroende på hur IT tjänster levereras,
externt eller Internt. Avtal och styrning av IT i
relation till detta. IT-arkitektur. Molntjänster. Appar.
• Er organisations nuvarande kontroll på
personuppgiftsbiträden/data processors och
förutsättningar för att ändra dessa avtal och styrning
av biträden.
• Extern hotbild, cyberrelaterade hot och
sårbarheter.
UTIFRÅN ORGANISATIONENS BEHOV HJÄLPER VI ER
ATT SÄKERSTÄLLA EFTERLEVNAD AV GDPR
Temperatur-
tagning
1. Nuläge
2. Strategi
3. Ambition
Indikativ
roadmap
Implemen-
tering och
uppföljning
Åter-
kommande
revidering
och GAP-
analys
Fördjupande
GAP-analys
För ett specifikt
område
Övergripande
GAP-analys
Områden
• Vision
• Strategi
• Styrning
• Organisation
• Juridik
• Processer
• Teknologi
• Mätetal
NULÄGE KAN INDIKERAS MED EN ASSESMENT/UTVÄRDERINGRAMVERKET KAN GENOMFÖRAS I TVÅ ITERATIONER BEROENDE AV KUNDS ÖNSKEMÅL
Bild
HEAT MAP
Bild
RISKMATRIS
Strategi &
AmbitionGAP analys
300UTVÄRDERINGSPUNKTER
5GRADER AV MOGNAD
1RISKRANKNING
TEMPERATURKARTA
RISKMATRIS
INFORMATION
AVTAL GOVERNANCE
TEKNIK
Systemkartläggning
Säkerhetsarkitektur
Behandlingar
Livscykel
Strategier
Processer
Data protection by
design/default principer
Roller
Avtal
Verifiering/validering
VAD?
HUR?
RÄTTIG-/SKYLDIGHETER
SKYDD
PRAKTISK IMPLEMENTATION
18
Lagar,
regelverk &
strategier
Incidenter
Samtycke,
kontrakt & avtal
IT & Cyber
säkerhet
Tjänster & produkter
HUR KAN ANGREPPSÄTTET ANPASSAS?
Hela organisationen påverkas men
vilken del vill vi fokusera på?1 Hur komplicerad är er
personuppgiftshantering och hur långt
har ni kommit i er compliance?
2 Vad vill ni att vi ska hjälpa er med
i er resa till compliance?3
Compliance all the way to trust
DPO as a service
GAP -analys, heatmap
Compliance arkitektur
Implementering av IAM -
lösning
IT -säkerhetskontroller
Och mycket mer …
Uppdrag
”IDM365 är en unik Identity and Access Management-lösning som är designad att
göra hantering av system och användarbehörigheter enkel och kostnadseffektiv.”
• Implementing IDM365 Identity Access Management solutions will automate and
streamline your companies‘ employees‘ full life cycle
Identify users•
Control user access•
Determine user privileges•
Delegate administrative authorities•
Förmågor GDPR team Strukturkapital Verktyg
Omvärldsbevakning
Kravmassa för GDPR
Frågebatterier
Dokumentmallar
Best practices
Förstudiemallar
Projektmallar
Assessmentmallar
GDPR Assessment
Digital Trust Assessment
Relevanta partnerskap
Microsoft
IBM
Relevant samarbete
Roschier
Zetterwalls
IAM
PKI
Verifiering & validering
Event response
PIA
Awareness
Kommunikation
Privacy by Design
Governance
Strategi
Subject Matter experts
Projektledare
It-säkerhetsarkitekter
Informationssäkerhets
experter
It-säkerhetsexperter
Auditors
ACANDO GDPR OFFERING
Säkerställ
tekniska &
organisatoriska
skydd för data
Skapa kontroll
över din
information och
dess flöde
Tänk stort, börja
smått!
TRE FRAMGÅNGSFAKTORER
för realisering
Frågor, funderingar, djupdykningar:
André Malm & Isac Ekberg
Kontaktuppgifter: [email protected], 070 347 31 07
Kontaktuppgifter: [email protected], 070 527 84 16
PÅ ÅTERSEENDE!
PERSONUPPGIFTENS LIVCYKEL
Compliance all the way to
trust
Process
Ny inhämtning
Inhämtning
Samtycke
Gallring
Nytt medgivande
Nytt anv.omr
3att bli glömd
att korrigera
till transparens
till portabilitet
Jag har rätt:
Jag måste säkerställa
Privacy by design bl a
genom att alltid ha korrekt
information och vara
transparent.
Lagring4
1.2
1.3
1.1
DokumentationTeknik/IT Organisation Kommunikation Utbildning CM Kontrollramverk
Rättelse
Information
1
2
5
6
För varje del i livscykeln måste följande komponenter ses över: