SlideShare a Scribd company logo

Integration och GDPR det här måste du tänka på

Download as PPTX, PDF
Acando Sweden
Acando Sweden

Presentation från seminarium i Göteborg

Presentations & Public Speaking
1 of 39
INTEGRATION OCH GDPR - DET HÄR MÅSTE DU TÄNKA PÅ! Acando Seminarium 2017-10-26
WE ARE A LEADING CONSULTING FIRM WITHIN MANAGEMENT & IT 2200MSEK turnover 1986 founded 3BUSINESS AREAS • Management Consulting • Digital Consulting • Enterprise Consulting OTHER SERVICES • Maintenance & Outsourcing employees, share of women 1700 28% 8PARTNERS
3
VILKA ÄR VI? ANDERSERIKSSON Integration Consultant SARABERGENHEIM ConsultingWest
AGENDA 5 Allmän introduktion till GDPR Fokusområden för integration Scenarion I praktikenGDPR för integration
AGENDA 6 Allmän introduktion till GDPR Fokusområden för integration Scenarion I praktikenGDPR för integration
VAD ÄR GDPR? EUs nya Dataskyddsförordning Krav på att ni ska ha kontroll över vilka personuppgifter som behandlas samt i vilka system de förekommer. Ökade krav och skärpt ansvarsutkrävningen både när ni är Personuppgiftsansvariga och då ni är Personuppgiftsbiträden Krav på att ni utför lämpliga tekniska och organisatoriska åtgärder utformade för för att säkerställa ett inbyggt dataskydd och dataskydd som standard. Ska skydda personers grundläggande fri- och rättigheter vid behandling av personuppgifter Träder i kraft maj 2018 och tiden innan dess bör användas för att förbereda sig Företag som inte uppfyller lagen hotas med vite på upptill 4% av global årsinkomst eller 20 miljoner För er organisation innebär det:
VAD ÄR EN PERSONUPPGIFT? ALL SLAGS INFORMATION SOM DIREKT ELLER INDIREKT KAN HÄNFÖRAS TILL EN FYSISK PERSON SOM ÄR I LIVET 8
FÖRÄNDRINGAR ATT LÄGGA PÅ MINNET 9 STRAFFAVGIFTERSÄKERHETSINCIDENTER PRIVACY BY DESIGN SAMTYCKE REGLERAD DATA UTÖKADE RÄTTIG- & SKYLDIGHETER MISSBRUKSREGELNSAMTYCKE BARN
DATASKYDDSPRINCIPER 10 LAGLIGHET, KORREKTHET OCH ÖPPENHET Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. ÄNDAMÅLSBEGRÄSNING De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. UPPGIFTSMINIMERING De ska vara adekvata, relevanta och begränsade till vad som krävs i förhållande till de ändamål för vilka de behandlas. KORREKTHET De ska vara korrekta och om nödvändigt uppdaterade, om inte ska de utan dröjsmål raderas eller rättas. INTEGRITET OCH KONFIDENTIALITET* De ska behandlas på ett sätt som säkerställer vederbörlig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder. ANSVARSSKYLDIGHET* Den registeransvarige ska ansvara för och kunna visa att principerna efterlevs. Artikel 5, skäl 39, artikel 6.4, skäl 50 LAGRINGSMINIMERING De ska förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. 1 2 4 3 5 6 7 Sammanfattar huvudsakliga ansvarsområden för personuppgiftsbehandling
Dataskyddsombud EDPB Tillsynsmyndighet Personuppgiftsbiträde Personuppgiftsansvarig Compliance all the way to trust GRUNDLÄGGANDE AKTÖRER Tredje part
Compliance all the way to trust GRUNDLÄGGANDE AKTÖRER Dataskyddsombud Tillsynsmyndighet Personuppgiftsbiträde Personuppgiftsansvarig Tredje part EDPB Registrerad Identifierad eller identifierbar levande individ vars personuppgifter behandlas. Personuppgift All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftsbehandling Åtgärd som inbegriper hantering av personuppgifter oavsett om den är automatiserad eller ej; insamling registrering, lagring, bearbetning, utlämning, tillhandahållande.
EDPB Compliance all the way to trust GRUNDLÄGGANDE AKTÖRER Dataskyddsombud Tillsynsmyndighet Personuppgiftsbiträde Personuppgiftsansvarig Tredje part European Data Protection Board EU-organ som samlar medlemsstaternas dataskyddsmyndigheter.
EDPB Compliance all the way to trust GRUNDLÄGGANDE AKTÖRER Dataskyddsombud Tillsynsmyndighet Personuppgiftsbiträde Personuppgiftsansvarig Tredje part Datainspektionen Central tillsynsmyndighet för personuppgifter. Ansvarar bl.a. för - Förebyggande arbete - Rådgivning och stöd till Dataskyddsombud - Revision och systemtillsyn av organisationers tillämpning - Kontaktpunkt för handläggning av enskildas klagomål
Compliance all the way to trust GRUNDLÄGGANDE AKTÖRER Dataskyddsombud Tillsynsmyndighet Personuppgiftsbiträde Personuppgiftsansvarig Tredje part EDPB Personuppgiftsansvarig Organisation som bestämmer ändamålen och medlen för behandling av personuppgift. Dataskyddsombud Vissa, men inte nödvändigtvis alla organisationer måste ha en utsedd Dataskyddsombud, personen ska utses på grundval av yrkesmässiga kvalifikationen, ha en oberoende ställning ex på ansvarsområden;  Rådgivande och informerande  Övervaka efterlevnad  Samarbete med Datainspektionen  Kontaktpunkt för den registrerade
Compliance all the way to trust GRUNDLÄGGANDE AKTÖRER Dataskyddsombud Tillsynsmyndighet Personuppgiftsbiträde Personuppgiftsansvarig Tredje part EDPB Personuppgiftsbiträde Organisation som behandlar personuppgift åt personuppgiftsansvariges räkning, ex sourcingleverantör eller partner
Ny inhämtning Inhämtning Samtycke Nytt samtycke Nytt anv.omr 3 att bli glömd  att korrigera  till transparens  till portabilitet Jag har rätt: Jag måste säkerställa Privacy by design bl a genom att alltid ha korrekt information och vara transparent. Lagring 4 Rättelse Information 1 2 5 Gallring 6 PERSONUPPGIFTENS LIVCYKEL Process DokumentationTeknik/IT Organisation Kommunikation Utbildning CM Kontrollramverk För varje del i livscykeln måste följande komponenter ses över:
18 SMART OCH KOSTNADSEFFEKTIV INFORMATIONSFÖRSÖRJNING GDPR är en möjlighet att få ordning på er informationshantering, information & data management. Ni kan fokusera på att styra er affär med hjälp av en kostnadseffektiv informationsförsörjning. Ni vet exakt vilka skydd ni behöver och ni får kontroll på leveransen av IT. LITA PÅ INFORMATION De personuppgifter ni samlar in, använder ni som ni lovat. Informationen är korrekt och uppdaterad. Det går att lita på att de personuppgifter ni har stämmer. Ni kan bygga er affär på tillförlitlig information och kan ta risker ni annars inte velat ta. KONKURRENSFÖRDEL I ett samhälle där information och sammankopplandet av information /digitalisering är så centralt blir säkerhet en fråga om trovärdighet. Ett företag som är transparant med hur de använder personuppgifter, som har kontroll och kan litas på, kommer att klara sig bättre än sina konkurrenter. Det vet investerare, ägare och kunder. FÖRTROENDE SKAPAR MÖJLIGHETER När en person (kund, partner och anställd) känner tillit till er förmåga att hantera deras personuppgifter kommer de vara generösare i sin vilja att dela med sig av uppgifterna. På så sätt skapas utrymme för er att skapa fler affärsmöjligheter. MINSKA KOSTNADER FÖR INCIDENTER Uppfyller ni GDPR har ni kontroll på cybersäkerhet och IT-säkerhet och slipper dryga böter, skadat förtroende hos ägare, kunder och omvärlden, skadat varumärke. NÄR NI UPPFYLLER GDPR
AGENDA 19 Allmän introduktion till GDPR Fokusområden för integration Scenarion I praktikenGDPR för integration
Kundsystem VAN services EDI - växelLeverantörssystem ERP WMS Utskriftssystem Transport system Web shop CRM BI
DATASKYDDSPRINCIPER 21 LAGLIGHET, KORREKTHET OCH ÖPPENHET Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. ÄNDAMÅLSBEGRÄSNING De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. UPPGIFTSMINIMERING De ska vara adekvata, relevanta och begränsade till vad som krävs i förhållande till de ändamål för vilka de behandlas. KORREKTHET De ska vara korrekta och om nödvändigt uppdaterade, om inte ska de utan dröjsmål raderas eller rättas. INTEGRITET OCH KONFIDENTIALITET* De ska behandlas på ett sätt som säkerställer vederbörlig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder. ANSVARSSKYLDIGHET* Den registeransvarige ska ansvara för och kunna visa att principerna efterlevs. Artikel 5, skäl 39, artikel 6.4, skäl 50 LAGRINGSMINIMERING De ska förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. 1 2 4 3 5 6 7 Sammanfattar huvudsakliga ansvarsområden för personuppgiftsbehandling Hur länge behöver vi spara data? Vilka ska ha rätt till data? Får vi spara eller skicka data? Hur övervakar och rapporterar vi? Vilka personuppgifter är relevanta?
LÅT "PRIVACY BY DESIGN" VÄGLEDA INTEGRATIONSARBETET samla in så få uppgifter som möjligt • (bara sådana personuppgifter som är nödvändiga för syftet!) behålla uppgifter så kort tid som möjligt • (uppgifter ska raderas/anonymiseras så fort behovet av identifiering upphört) så få användare som möjligt ska ha tillgång till personuppgifter • (bara användare som har en yrkesmässig anledning!) uppgifter ska kunna skyddas under hela sin livscykel • (insamling, transport, säkerhetskopiering, skrotning av lagringsmedia mm) 22http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/inbyggd-integritet-privacy-by-design/
AGENDA 23 Allmän introduktion till GDPR Fokusområden för integration Scenarion I praktikenGDPR för integration
24 Integritet & konfidentialitet Lagringsminimering Ansvarsskyldighet Fokusområden för GDPR och integration!
UPPGIFTSMINIMERING • ”Allting loggas… Överallt.. Och det är inbyggt i koden..” − Skapa upp skript som rensar data och schemalägg − Spara inte data i onödan! • Konsolidering av meddelanden − Flytta uppsamling till käll-systemet. • Konsekvenser av att filer är bortrensade: − Svårare/omöjligt att felsöka och åtgärda. − Systemstöd för att kunna göra omskick filer från käll-systemet. − Krav på bättre loggning. − Arkivering och loggning är i vissa lösningar ihoplänkat. 25 Lagringsminimering Change Management
UTMANINGAR MED INTEGRATIONSUTVECKLING • Exempelfiler för utveckling ska vara anonymiserade. Utveckling • Krav mot kunder & leverantörer vid test av EDI flöden. • Anonymisering av data kan behövas. Test & Acceptans • GDPR data får förekomma men i kontrollerad form. Produktion 26 Lagringsminimering
ANONYMISERA DATA • ORDERS − Anonymisera adressdata in testsystems • Export till CRM − Anonymisera org. nummer i export till test CRM system 27 PROD / TEST Anonymisera data Lagringsminimering
SÄKRA UPP INTEGRATIONSLANDSKAPET Data/system tillgång Data inte tillgänglig I integrationsplattform. Säkra protokoll • SFTP • HTTPS • Etc. Rollbaserad tillgång Sätta upp rättigheter på databaser. Sätta upp rättigheter på fileshares. Kryptering Kryptera filer/känsligt data. 28 Integritet & konfidentialitet
MONITORERING • Verifiera status på rensningsskript. • Verifiera rättigheter på shares 29https://blogs.msdn.microsoft.com/biztalkhealthmonitor/2014/06/26/overview-of-biztalk-health-monitor-bhm/ Ansvarsskyldig het
AGENDA 30 Allmän introduktion till GDPR Fokusområden för integration Scenarion I praktikenGDPR för integration
SCENARIO (1) ORDERFLÖDE 31 ORDERS Plockorder F a k t u r a U t s k r i f t Grossist ERP Lagersystem E-Faktura Utskriftsystem x dagar Bokföringslag Beställningssystem Skeppnings info …………… …………… …………… …………… …………… …………… …………… …………… ……………………… …… ……………………… …… ……………………… …… ……………………… …… ……………………… …… …………… …………… …………… …………… …………… …………… …………… …………… ………………………… … ………………………… … ………………………… … ………………………… … ………………………… … …………… …………… …………… …………… …………… …………… …………… …………… ………………………… … ………………………… … ………………………… … ………………………… … ………………………… … …………… …………… …………… …………… …………… …………… …………… …………… ……………………… …… ……………………… …… ……………………… …… ……………………… …… ……………………… …… …………… …………… …………… …………… …………… …………… …………… …………… ………………………… … ………………………… … ………………………… … ………………………… … ………………………… … ………… … ………… … ………… … ………… … ………… … ………… … ………… … ………… … ………… ………… ……… ………… ………… ……… ………… ………… ……… ………… ………… ……… ………… ………… ……… ………… … ………… … ………… … ………… … ………… … ………… … ………… … ………… … ………… ………… ……… ………… ………… ……… ………… ………… ……… ………… ………… ……… ………… ………… ………
SCENARIO (2) HÄLSO-APP INFORMATION OM OCH SAMTYCKE TILL BEHANDLING AV PERSONUPPGIFTER 32 Jag Försäkringsbolag personuppgiftsansvarig Analys, bedömning & rapportering av mottagen data.. Påvisa samband mellan hälsofrämjande aktiviteter & minskad ohälsa Friskvårdsaktiviteter Samtycke • Ditt namn • Personnr • Födelsedatum • Mejladress • Vilken arbetsgivare Riktad marknadsföring Tillhandahålla rabatter, kundanpassa varor och tjänster
GDPR THE EU GENERAL DATA PROTECTION REGULATION 33 • Leverantörsintegrationer • Arkitektur med servrar utanför EU
34 INTERFACE ANALYS OCH ACTION PLAN 1. Lista alla Interface Lista av alla interface 5. Skapa upp rensningsjobb & validering Om personuppgifter måste sparas temporärt. Skapa upp rensningsjobb och validering. 6. Validera externa partners Skickas data till externa partners. Se till att rätt dokumentation finns. 4. Definiera grupper som behöver tillgång till filerna Lista vilka användare/grupper som behöver tillgång till data och varför. 3. Behöver man arkivera integrationsmeddelandet? Tänk på att inte lagra data som inte behövs. Om behov finns, identifiera hur länge behovet finns. 2. Innehåller integration GDPR data? Kan man klara sig utan personuppgifter i integrationen?
35
AGENDA 36 Allmän introduktion till GDPR Fokusområden för integration Scenarion I praktikenGDPR för integration
Compliance all the way to trust 3. Implementation av GDPR “compliance” baseline 1. GDPR complianceanalys 2. GDPR-arkitektur och planering 4. GDPR baseline validering och verifiering Risker och svagheter mitigerade i företagets arkitektur och planer Känn till dina risker och svagheter Steg för steg uppnå “compliance” Kontinuerligt mäta och kontrollera hygiennivå “Paper trail to demonstrate compliance” - En väl dokumenterad process för att vid ev incident eller revision kunna bevisa att ni har gjort vad ni förmår för att förhindra incidenter. ACANDOS FÖRSLAG PÅ ANGREPPSSÄTT GDPR complianceanalys
An assessment to help the client understand how their business measures up to GDPR today. • areas the client needs to prioritize • step-by-step road-map to compliance 1. ASSESSMENT 38 Implementation will involve business stakeholders, IT-organization as well as vendors. 2. IMPLEMENTATION Both the regulation and our client processes are in movement and need to be reviewed and aligned regularly. 3. VERIFICATION & VALIDATION 1 May 25th 2018 2 3 3 As of today Acando has over 70 consultants educated and certified in GDPR, working with a cross-functional approach with subject matter experts at its core. This gives both a width and depth in our capacity to help our clients on their way to compliance of the General Data Protection Regulation (GDPR). TYPICAL CLIENT NEEDS AND ACANDO SERVICE OFFERINGS
39

Recommended

Agil revolution startar i toppen
Agil revolution startar i toppenAgil revolution startar i toppen
Agil revolution startar i toppenFrontit
 
Antifragile Software Design
Antifragile Software DesignAntifragile Software Design
Antifragile Software DesignHayim Makabee
 
Team building by pramod kumar singh
Team building by pramod kumar singhTeam building by pramod kumar singh
Team building by pramod kumar singhPramod Singh
 
Agile Metrics for Senior Managers and Executives
Agile Metrics for Senior Managers and ExecutivesAgile Metrics for Senior Managers and Executives
Agile Metrics for Senior Managers and ExecutivesVersionOne
 
Measuring the Performance of a Scrum Master
Measuring the Performance of a Scrum MasterMeasuring the Performance of a Scrum Master
Measuring the Performance of a Scrum MasterStephanie Gasche
 
Chaos and Creativity
Chaos and CreativityChaos and Creativity
Chaos and CreativityJason Theodor
 
Agile mindset
Agile mindsetAgile mindset
Agile mindsetMustafa Savaşcı
 
Building a Champion Team
Building a Champion TeamBuilding a Champion Team
Building a Champion TeamJenni Proctor
 

Recommended

Agil revolution startar i toppen
Agil revolution startar i toppenAgil revolution startar i toppen
Agil revolution startar i toppenFrontit
 
Antifragile Software Design
Antifragile Software DesignAntifragile Software Design
Antifragile Software DesignHayim Makabee
 
Team building by pramod kumar singh
Team building by pramod kumar singhTeam building by pramod kumar singh
Team building by pramod kumar singhPramod Singh
 
Agile Metrics for Senior Managers and Executives
Agile Metrics for Senior Managers and ExecutivesAgile Metrics for Senior Managers and Executives
Agile Metrics for Senior Managers and ExecutivesVersionOne
 
Measuring the Performance of a Scrum Master
Measuring the Performance of a Scrum MasterMeasuring the Performance of a Scrum Master
Measuring the Performance of a Scrum MasterStephanie Gasche
 
Chaos and Creativity
Chaos and CreativityChaos and Creativity
Chaos and CreativityJason Theodor
 
Agile mindset
Agile mindsetAgile mindset
Agile mindsetMustafa Savaşcı
 
Building a Champion Team
Building a Champion TeamBuilding a Champion Team
Building a Champion TeamJenni Proctor
 
Top 10 challenges faced by the scrum master
Top 10 challenges faced by the scrum masterTop 10 challenges faced by the scrum master
Top 10 challenges faced by the scrum masterDavid Tzemach
 
Effective Listening Skills
Effective Listening Skills Effective Listening Skills
Effective Listening Skills S.M. Rezaur Rahman
 
What is Collaboration?
What is Collaboration?What is Collaboration?
What is Collaboration?maricelamorales
 
A,b,cs of teamwork powerpoint
A,b,cs of teamwork powerpointA,b,cs of teamwork powerpoint
A,b,cs of teamwork powerpointLike A Team
 
Steps to build an effective team
Steps to build an effective teamSteps to build an effective team
Steps to build an effective teamSumit Yadav
 
Measuring Performance - Quantifying the Work of a Scrum Master
Measuring Performance - Quantifying the Work of a Scrum MasterMeasuring Performance - Quantifying the Work of a Scrum Master
Measuring Performance - Quantifying the Work of a Scrum MasterStephanie Gasche
 
Agile Framework
Agile FrameworkAgile Framework
Agile FrameworkSubbuiyer
 
TeamWork
TeamWorkTeamWork
TeamWorkSyaheera Zila
 
Institute of Design: Teaming Workshop By Chris Bernard
Institute of Design: Teaming Workshop By Chris BernardInstitute of Design: Teaming Workshop By Chris Bernard
Institute of Design: Teaming Workshop By Chris BernardChris Bernard
 
What is a planning increment?
What is a planning increment?What is a planning increment?
What is a planning increment?Jeremiah Landi
 
Teamwork 101
Teamwork 101Teamwork 101
Teamwork 101Marlyn Allanigue
 
Introduction to Design Thinking
Introduction to Design ThinkingIntroduction to Design Thinking
Introduction to Design ThinkingOperational Excellence Consulting
 
SAP Organization Change Management
SAP Organization Change ManagementSAP Organization Change Management
SAP Organization Change ManagementFred Asher, Ph.D.
 
Business agility
Business agilityBusiness agility
Business agilitySrinath Ramakrishnan
 
Business Design Process
Business Design ProcessBusiness Design Process
Business Design ProcessOrange Hills GmbH
 
High Performance via Psychological Safety
High Performance via Psychological SafetyHigh Performance via Psychological Safety
High Performance via Psychological SafetyJoshua Kerievsky
 
Paralinguistic (1) (Communication Skills)
Paralinguistic (1) (Communication Skills)Paralinguistic (1) (Communication Skills)
Paralinguistic (1) (Communication Skills)Digvijaysinh Gohil
 
Teamwork
Teamwork Teamwork
Teamwork Supriya Negi
 
Seminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktikenSeminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktikenAcando Sweden
 
GDPR - efter den 25 maj
GDPR - efter den 25 majGDPR - efter den 25 maj
GDPR - efter den 25 majJeanette Öhlund
 
General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)Maria Duni
 
Datainspektionen informationssakerhet
Datainspektionen informationssakerhetDatainspektionen informationssakerhet
Datainspektionen informationssakerhetnibar
 

More Related Content

What's hot

Top 10 challenges faced by the scrum master
Top 10 challenges faced by the scrum masterTop 10 challenges faced by the scrum master
Top 10 challenges faced by the scrum masterDavid Tzemach
 
A,b,cs of teamwork powerpoint
A,b,cs of teamwork powerpointA,b,cs of teamwork powerpoint
A,b,cs of teamwork powerpointLike A Team
 
Steps to build an effective team
Steps to build an effective teamSteps to build an effective team
Steps to build an effective teamSumit Yadav
 
Measuring Performance - Quantifying the Work of a Scrum Master
Measuring Performance - Quantifying the Work of a Scrum MasterMeasuring Performance - Quantifying the Work of a Scrum Master
Measuring Performance - Quantifying the Work of a Scrum MasterStephanie Gasche
 
Agile Framework
Agile FrameworkAgile Framework
Agile FrameworkSubbuiyer
 
Institute of Design: Teaming Workshop By Chris Bernard
Institute of Design: Teaming Workshop By Chris BernardInstitute of Design: Teaming Workshop By Chris Bernard
Institute of Design: Teaming Workshop By Chris BernardChris Bernard
 
What is a planning increment?
What is a planning increment?What is a planning increment?
What is a planning increment?Jeremiah Landi
 
SAP Organization Change Management
SAP Organization Change ManagementSAP Organization Change Management
SAP Organization Change ManagementFred Asher, Ph.D.
 
High Performance via Psychological Safety
High Performance via Psychological SafetyHigh Performance via Psychological Safety
High Performance via Psychological SafetyJoshua Kerievsky
 
Paralinguistic (1) (Communication Skills)
Paralinguistic (1) (Communication Skills)Paralinguistic (1) (Communication Skills)
Paralinguistic (1) (Communication Skills)Digvijaysinh Gohil
 

What's hot (18)

Top 10 challenges faced by the scrum master
Top 10 challenges faced by the scrum masterTop 10 challenges faced by the scrum master
Top 10 challenges faced by the scrum master
 
Effective Listening Skills
Effective Listening Skills Effective Listening Skills
Effective Listening Skills
 
What is Collaboration?
What is Collaboration?What is Collaboration?
What is Collaboration?
 
A,b,cs of teamwork powerpoint
A,b,cs of teamwork powerpointA,b,cs of teamwork powerpoint
A,b,cs of teamwork powerpoint
 
Steps to build an effective team
Steps to build an effective teamSteps to build an effective team
Steps to build an effective team
 
Measuring Performance - Quantifying the Work of a Scrum Master
Measuring Performance - Quantifying the Work of a Scrum MasterMeasuring Performance - Quantifying the Work of a Scrum Master
Measuring Performance - Quantifying the Work of a Scrum Master
 
Agile Framework
Agile FrameworkAgile Framework
Agile Framework
 
TeamWork
TeamWorkTeamWork
TeamWork
 
Institute of Design: Teaming Workshop By Chris Bernard
Institute of Design: Teaming Workshop By Chris BernardInstitute of Design: Teaming Workshop By Chris Bernard
Institute of Design: Teaming Workshop By Chris Bernard
 
What is a planning increment?
What is a planning increment?What is a planning increment?
What is a planning increment?
 
Teamwork 101
Teamwork 101Teamwork 101
Teamwork 101
 
Introduction to Design Thinking
Introduction to Design ThinkingIntroduction to Design Thinking
Introduction to Design Thinking
 
SAP Organization Change Management
SAP Organization Change ManagementSAP Organization Change Management
SAP Organization Change Management
 
Business agility
Business agilityBusiness agility
Business agility
 
Business Design Process
Business Design ProcessBusiness Design Process
Business Design Process
 
High Performance via Psychological Safety
High Performance via Psychological SafetyHigh Performance via Psychological Safety
High Performance via Psychological Safety
 
Paralinguistic (1) (Communication Skills)
Paralinguistic (1) (Communication Skills)Paralinguistic (1) (Communication Skills)
Paralinguistic (1) (Communication Skills)
 
Teamwork
Teamwork Teamwork
Teamwork
 

Similar to Integration och GDPR det här måste du tänka på

Seminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktikenSeminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktikenAcando Sweden
 
General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)Maria Duni
 
Datainspektionen informationssakerhet
Datainspektionen informationssakerhetDatainspektionen informationssakerhet
Datainspektionen informationssakerhetnibar
 
WordPress Meetup Westeros (2018-05-17): GDPR för WordPress
WordPress Meetup Westeros (2018-05-17): GDPR för WordPressWordPress Meetup Westeros (2018-05-17): GDPR för WordPress
WordPress Meetup Westeros (2018-05-17): GDPR för WordPressErik Bernskiöld
 
Frontit seminarium: Business Security Stockholm 31/1 2018
Frontit seminarium: Business Security Stockholm 31/1 2018Frontit seminarium: Business Security Stockholm 31/1 2018
Frontit seminarium: Business Security Stockholm 31/1 2018Frontit
 
Axel Tandberg om nya GDPR och EPR
Axel Tandberg om nya GDPR och EPRAxel Tandberg om nya GDPR och EPR
Axel Tandberg om nya GDPR och EPRTriggerbee
 
Wistrand broschyr Personuppgifter 2.0
Wistrand broschyr Personuppgifter 2.0Wistrand broschyr Personuppgifter 2.0
Wistrand broschyr Personuppgifter 2.0Erik Ullberg
 
Förberedande uppgifter för införandet av klientdataarkivet för socialvården
Förberedande uppgifter för införandet av klientdataarkivet för socialvårdenFörberedande uppgifter för införandet av klientdataarkivet för socialvården
Förberedande uppgifter för införandet av klientdataarkivet för socialvårdenTHL
 
Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23Lars Blixt
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetTranscendent Group
 
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka påInför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka påcloudnine
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Transcendent Group
 
Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013
Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013
Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013IBM Sverige
 
Drift av affärssystem (ERP)
Drift av affärssystem (ERP)Drift av affärssystem (ERP)
Drift av affärssystem (ERP)Idenet
 
BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det...
BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det... BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det...
BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det...Solberg Kommunikation AB
 
Uppgift6
Uppgift6Uppgift6
Uppgift6Snoripa
 

Similar to Integration och GDPR det här måste du tänka på (19)

Seminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktikenSeminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktiken
 
GDPR - efter den 25 maj
GDPR - efter den 25 majGDPR - efter den 25 maj
GDPR - efter den 25 maj
 
General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)
 
Datainspektionen informationssakerhet
Datainspektionen informationssakerhetDatainspektionen informationssakerhet
Datainspektionen informationssakerhet
 
WordPress Meetup Westeros (2018-05-17): GDPR för WordPress
WordPress Meetup Westeros (2018-05-17): GDPR för WordPressWordPress Meetup Westeros (2018-05-17): GDPR för WordPress
WordPress Meetup Westeros (2018-05-17): GDPR för WordPress
 
Frontit seminarium: Business Security Stockholm 31/1 2018
Frontit seminarium: Business Security Stockholm 31/1 2018Frontit seminarium: Business Security Stockholm 31/1 2018
Frontit seminarium: Business Security Stockholm 31/1 2018
 
Axel Tandberg om nya GDPR och EPR
Axel Tandberg om nya GDPR och EPRAxel Tandberg om nya GDPR och EPR
Axel Tandberg om nya GDPR och EPR
 
Wistrand broschyr Personuppgifter 2.0
Wistrand broschyr Personuppgifter 2.0Wistrand broschyr Personuppgifter 2.0
Wistrand broschyr Personuppgifter 2.0
 
Förberedande uppgifter för införandet av klientdataarkivet för socialvården
Förberedande uppgifter för införandet av klientdataarkivet för socialvårdenFörberedande uppgifter för införandet av klientdataarkivet för socialvården
Förberedande uppgifter för införandet av klientdataarkivet för socialvården
 
Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
 
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka påInför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
 
Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013
Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013
Stora informationsmängder - stå emot vågen! - IBM Smarter Business 2013
 
Drift av affärssystem (ERP)
Drift av affärssystem (ERP)Drift av affärssystem (ERP)
Drift av affärssystem (ERP)
 
BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det...
BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det... BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det...
BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det...
 
Integritet E Handel
Integritet E HandelIntegritet E Handel
Integritet E Handel
 
GDPR - Den nya dataskyddsförordningen
GDPR - Den nya dataskyddsförordningenGDPR - Den nya dataskyddsförordningen
GDPR - Den nya dataskyddsförordningen
 
Uppgift6
Uppgift6Uppgift6
Uppgift6
 

More from Acando Sweden

Avancerad analys dma seminarium utskick
Avancerad analys dma seminarium utskickAvancerad analys dma seminarium utskick
Avancerad analys dma seminarium utskickAcando Sweden
 
Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...
Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...
Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...Acando Sweden
 
Acando loyalty program bildspel
Acando loyalty program bildspelAcando loyalty program bildspel
Acando loyalty program bildspelAcando Sweden
 
Peter Burman, Boliden
Peter Burman, BolidenPeter Burman, Boliden
Peter Burman, BolidenAcando Sweden
 
Ola Reppling, Microsoft
Ola Reppling, MicrosoftOla Reppling, Microsoft
Ola Reppling, MicrosoftAcando Sweden
 
Erik Gustafsson, Vizendo
Erik Gustafsson, VizendoErik Gustafsson, Vizendo
Erik Gustafsson, VizendoAcando Sweden
 
Cecilia Haraldsson, Gustav Gullberg Acando, Transformator Design
Cecilia Haraldsson, Gustav Gullberg Acando, Transformator DesignCecilia Haraldsson, Gustav Gullberg Acando, Transformator Design
Cecilia Haraldsson, Gustav Gullberg Acando, Transformator DesignAcando Sweden
 
Carl Fredrik Bernmar - Toyota Material Handling
Carl Fredrik Bernmar - Toyota Material HandlingCarl Fredrik Bernmar - Toyota Material Handling
Carl Fredrik Bernmar - Toyota Material HandlingAcando Sweden
 
Jon Bokrantz, Chalmers
Jon Bokrantz, ChalmersJon Bokrantz, Chalmers
Jon Bokrantz, ChalmersAcando Sweden
 
Digital workplace med office 365 & power bi summering av microsoft ignite
Digital workplace med office 365 & power bi summering av microsoft igniteDigital workplace med office 365 & power bi summering av microsoft ignite
Digital workplace med office 365 & power bi summering av microsoft igniteAcando Sweden
 
170427 acando seminarium från crm till dynamics 365
170427 acando seminarium från crm till dynamics 365170427 acando seminarium från crm till dynamics 365
170427 acando seminarium från crm till dynamics 365Acando Sweden
 
170223 Acando seminar Masterdata
170223 Acando seminar Masterdata170223 Acando seminar Masterdata
170223 Acando seminar MasterdataAcando Sweden
 
Acando Seminar Best of ignite 2016
Acando Seminar Best of ignite 2016Acando Seminar Best of ignite 2016
Acando Seminar Best of ignite 2016Acando Sweden
 
Ett friskare Sverige - Göran Modin
Ett friskare Sverige - Göran Modin Ett friskare Sverige - Göran Modin
Ett friskare Sverige - Göran Modin Acando Sweden
 
Ett friskare Sverige - Kristina Hagström
Ett friskare Sverige - Kristina Hagström Ett friskare Sverige - Kristina Hagström
Ett friskare Sverige - Kristina Hagström Acando Sweden
 
Ett friskare Sverige - Lars-Åke Brattlund
Ett friskare Sverige - Lars-Åke Brattlund Ett friskare Sverige - Lars-Åke Brattlund
Ett friskare Sverige - Lars-Åke Brattlund Acando Sweden
 
Trendspaning Healthcare
Trendspaning HealthcareTrendspaning Healthcare
Trendspaning HealthcareAcando Sweden
 
Acando Inspiration Day - King
Acando Inspiration Day - KingAcando Inspiration Day - King
Acando Inspiration Day - KingAcando Sweden
 
Acando Inspiration Day - TV4
Acando Inspiration Day - TV4Acando Inspiration Day - TV4
Acando Inspiration Day - TV4Acando Sweden
 
Acando Inspiration Day - Microsoft
Acando Inspiration Day - MicrosoftAcando Inspiration Day - Microsoft
Acando Inspiration Day - MicrosoftAcando Sweden
 

More from Acando Sweden (20)

Avancerad analys dma seminarium utskick
Avancerad analys dma seminarium utskickAvancerad analys dma seminarium utskick
Avancerad analys dma seminarium utskick
 
Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...
Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...
Acando digital mognad artificiell_intelligens_och_robotisering_inom_offentlig...
 
Acando loyalty program bildspel
Acando loyalty program bildspelAcando loyalty program bildspel
Acando loyalty program bildspel
 
Peter Burman, Boliden
Peter Burman, BolidenPeter Burman, Boliden
Peter Burman, Boliden
 
Ola Reppling, Microsoft
Ola Reppling, MicrosoftOla Reppling, Microsoft
Ola Reppling, Microsoft
 
Erik Gustafsson, Vizendo
Erik Gustafsson, VizendoErik Gustafsson, Vizendo
Erik Gustafsson, Vizendo
 
Cecilia Haraldsson, Gustav Gullberg Acando, Transformator Design
Cecilia Haraldsson, Gustav Gullberg Acando, Transformator DesignCecilia Haraldsson, Gustav Gullberg Acando, Transformator Design
Cecilia Haraldsson, Gustav Gullberg Acando, Transformator Design
 
Carl Fredrik Bernmar - Toyota Material Handling
Carl Fredrik Bernmar - Toyota Material HandlingCarl Fredrik Bernmar - Toyota Material Handling
Carl Fredrik Bernmar - Toyota Material Handling
 
Jon Bokrantz, Chalmers
Jon Bokrantz, ChalmersJon Bokrantz, Chalmers
Jon Bokrantz, Chalmers
 
Digital workplace med office 365 & power bi summering av microsoft ignite
Digital workplace med office 365 & power bi summering av microsoft igniteDigital workplace med office 365 & power bi summering av microsoft ignite
Digital workplace med office 365 & power bi summering av microsoft ignite
 
170427 acando seminarium från crm till dynamics 365
170427 acando seminarium från crm till dynamics 365170427 acando seminarium från crm till dynamics 365
170427 acando seminarium från crm till dynamics 365
 
170223 Acando seminar Masterdata
170223 Acando seminar Masterdata170223 Acando seminar Masterdata
170223 Acando seminar Masterdata
 
Acando Seminar Best of ignite 2016
Acando Seminar Best of ignite 2016Acando Seminar Best of ignite 2016
Acando Seminar Best of ignite 2016
 
Ett friskare Sverige - Göran Modin
Ett friskare Sverige - Göran Modin Ett friskare Sverige - Göran Modin
Ett friskare Sverige - Göran Modin
 
Ett friskare Sverige - Kristina Hagström
Ett friskare Sverige - Kristina Hagström Ett friskare Sverige - Kristina Hagström
Ett friskare Sverige - Kristina Hagström
 
Ett friskare Sverige - Lars-Åke Brattlund
Ett friskare Sverige - Lars-Åke Brattlund Ett friskare Sverige - Lars-Åke Brattlund
Ett friskare Sverige - Lars-Åke Brattlund
 
Trendspaning Healthcare
Trendspaning HealthcareTrendspaning Healthcare
Trendspaning Healthcare
 
Acando Inspiration Day - King
Acando Inspiration Day - KingAcando Inspiration Day - King
Acando Inspiration Day - King
 
Acando Inspiration Day - TV4
Acando Inspiration Day - TV4Acando Inspiration Day - TV4
Acando Inspiration Day - TV4
 
Acando Inspiration Day - Microsoft
Acando Inspiration Day - MicrosoftAcando Inspiration Day - Microsoft
Acando Inspiration Day - Microsoft
 

Integration och GDPR det här måste du tänka på

  • 1. INTEGRATION OCH GDPR - DET HÄR MÅSTE DU TÄNKA PÅ! Acando Seminarium 2017-10-26
  • 2. WE ARE A LEADING CONSULTING FIRM WITHIN MANAGEMENT & IT 2200MSEK turnover 1986 founded 3BUSINESS AREAS • Management Consulting • Digital Consulting • Enterprise Consulting OTHER SERVICES • Maintenance & Outsourcing employees, share of women 1700 28% 8PARTNERS
  • 3. 3
  • 5. AGENDA 5 Allmän introduktion till GDPR Fokusområden för integration Scenarion I praktikenGDPR för integration
  • 6. AGENDA 6 Allmän introduktion till GDPR Fokusområden för integration Scenarion I praktikenGDPR för integration
  • 7. VAD ÄR GDPR? EUs nya Dataskyddsförordning Krav på att ni ska ha kontroll över vilka personuppgifter som behandlas samt i vilka system de förekommer. Ökade krav och skärpt ansvarsutkrävningen både när ni är Personuppgiftsansvariga och då ni är Personuppgiftsbiträden Krav på att ni utför lämpliga tekniska och organisatoriska åtgärder utformade för för att säkerställa ett inbyggt dataskydd och dataskydd som standard. Ska skydda personers grundläggande fri- och rättigheter vid behandling av personuppgifter Träder i kraft maj 2018 och tiden innan dess bör användas för att förbereda sig Företag som inte uppfyller lagen hotas med vite på upptill 4% av global årsinkomst eller 20 miljoner För er organisation innebär det:
  • 8. VAD ÄR EN PERSONUPPGIFT? ALL SLAGS INFORMATION SOM DIREKT ELLER INDIREKT KAN HÄNFÖRAS TILL EN FYSISK PERSON SOM ÄR I LIVET 8
  • 9. FÖRÄNDRINGAR ATT LÄGGA PÅ MINNET 9 STRAFFAVGIFTERSÄKERHETSINCIDENTER PRIVACY BY DESIGN SAMTYCKE REGLERAD DATA UTÖKADE RÄTTIG- & SKYLDIGHETER MISSBRUKSREGELNSAMTYCKE BARN
  • 10. DATASKYDDSPRINCIPER 10 LAGLIGHET, KORREKTHET OCH ÖPPENHET Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. ÄNDAMÅLSBEGRÄSNING De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. UPPGIFTSMINIMERING De ska vara adekvata, relevanta och begränsade till vad som krävs i förhållande till de ändamål för vilka de behandlas. KORREKTHET De ska vara korrekta och om nödvändigt uppdaterade, om inte ska de utan dröjsmål raderas eller rättas. INTEGRITET OCH KONFIDENTIALITET* De ska behandlas på ett sätt som säkerställer vederbörlig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder. ANSVARSSKYLDIGHET* Den registeransvarige ska ansvara för och kunna visa att principerna efterlevs. Artikel 5, skäl 39, artikel 6.4, skäl 50 LAGRINGSMINIMERING De ska förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. 1 2 4 3 5 6 7 Sammanfattar huvudsakliga ansvarsområden för personuppgiftsbehandling
  • 12. Compliance all the way to trust GRUNDLÄGGANDE AKTÖRER Dataskyddsombud Tillsynsmyndighet Personuppgiftsbiträde Personuppgiftsansvarig Tredje part EDPB Registrerad Identifierad eller identifierbar levande individ vars personuppgifter behandlas. Personuppgift All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftsbehandling Åtgärd som inbegriper hantering av personuppgifter oavsett om den är automatiserad eller ej; insamling registrering, lagring, bearbetning, utlämning, tillhandahållande.
  • 13. EDPB Compliance all the way to trust GRUNDLÄGGANDE AKTÖRER Dataskyddsombud Tillsynsmyndighet Personuppgiftsbiträde Personuppgiftsansvarig Tredje part European Data Protection Board EU-organ som samlar medlemsstaternas dataskyddsmyndigheter.
  • 14. EDPB Compliance all the way to trust GRUNDLÄGGANDE AKTÖRER Dataskyddsombud Tillsynsmyndighet Personuppgiftsbiträde Personuppgiftsansvarig Tredje part Datainspektionen Central tillsynsmyndighet för personuppgifter. Ansvarar bl.a. för - Förebyggande arbete - Rådgivning och stöd till Dataskyddsombud - Revision och systemtillsyn av organisationers tillämpning - Kontaktpunkt för handläggning av enskildas klagomål
  • 15. Compliance all the way to trust GRUNDLÄGGANDE AKTÖRER Dataskyddsombud Tillsynsmyndighet Personuppgiftsbiträde Personuppgiftsansvarig Tredje part EDPB Personuppgiftsansvarig Organisation som bestämmer ändamålen och medlen för behandling av personuppgift. Dataskyddsombud Vissa, men inte nödvändigtvis alla organisationer måste ha en utsedd Dataskyddsombud, personen ska utses på grundval av yrkesmässiga kvalifikationen, ha en oberoende ställning ex på ansvarsområden;  Rådgivande och informerande  Övervaka efterlevnad  Samarbete med Datainspektionen  Kontaktpunkt för den registrerade
  • 16. Compliance all the way to trust GRUNDLÄGGANDE AKTÖRER Dataskyddsombud Tillsynsmyndighet Personuppgiftsbiträde Personuppgiftsansvarig Tredje part EDPB Personuppgiftsbiträde Organisation som behandlar personuppgift åt personuppgiftsansvariges räkning, ex sourcingleverantör eller partner
  • 17. Ny inhämtning Inhämtning Samtycke Nytt samtycke Nytt anv.omr 3 att bli glömd  att korrigera  till transparens  till portabilitet Jag har rätt: Jag måste säkerställa Privacy by design bl a genom att alltid ha korrekt information och vara transparent. Lagring 4 Rättelse Information 1 2 5 Gallring 6 PERSONUPPGIFTENS LIVCYKEL Process DokumentationTeknik/IT Organisation Kommunikation Utbildning CM Kontrollramverk För varje del i livscykeln måste följande komponenter ses över:
  • 18. 18 SMART OCH KOSTNADSEFFEKTIV INFORMATIONSFÖRSÖRJNING GDPR är en möjlighet att få ordning på er informationshantering, information & data management. Ni kan fokusera på att styra er affär med hjälp av en kostnadseffektiv informationsförsörjning. Ni vet exakt vilka skydd ni behöver och ni får kontroll på leveransen av IT. LITA PÅ INFORMATION De personuppgifter ni samlar in, använder ni som ni lovat. Informationen är korrekt och uppdaterad. Det går att lita på att de personuppgifter ni har stämmer. Ni kan bygga er affär på tillförlitlig information och kan ta risker ni annars inte velat ta. KONKURRENSFÖRDEL I ett samhälle där information och sammankopplandet av information /digitalisering är så centralt blir säkerhet en fråga om trovärdighet. Ett företag som är transparant med hur de använder personuppgifter, som har kontroll och kan litas på, kommer att klara sig bättre än sina konkurrenter. Det vet investerare, ägare och kunder. FÖRTROENDE SKAPAR MÖJLIGHETER När en person (kund, partner och anställd) känner tillit till er förmåga att hantera deras personuppgifter kommer de vara generösare i sin vilja att dela med sig av uppgifterna. På så sätt skapas utrymme för er att skapa fler affärsmöjligheter. MINSKA KOSTNADER FÖR INCIDENTER Uppfyller ni GDPR har ni kontroll på cybersäkerhet och IT-säkerhet och slipper dryga böter, skadat förtroende hos ägare, kunder och omvärlden, skadat varumärke. NÄR NI UPPFYLLER GDPR
  • 19. AGENDA 19 Allmän introduktion till GDPR Fokusområden för integration Scenarion I praktikenGDPR för integration
  • 20. Kundsystem VAN services EDI - växelLeverantörssystem ERP WMS Utskriftssystem Transport system Web shop CRM BI
  • 21. DATASKYDDSPRINCIPER 21 LAGLIGHET, KORREKTHET OCH ÖPPENHET Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. ÄNDAMÅLSBEGRÄSNING De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. UPPGIFTSMINIMERING De ska vara adekvata, relevanta och begränsade till vad som krävs i förhållande till de ändamål för vilka de behandlas. KORREKTHET De ska vara korrekta och om nödvändigt uppdaterade, om inte ska de utan dröjsmål raderas eller rättas. INTEGRITET OCH KONFIDENTIALITET* De ska behandlas på ett sätt som säkerställer vederbörlig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder. ANSVARSSKYLDIGHET* Den registeransvarige ska ansvara för och kunna visa att principerna efterlevs. Artikel 5, skäl 39, artikel 6.4, skäl 50 LAGRINGSMINIMERING De ska förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. 1 2 4 3 5 6 7 Sammanfattar huvudsakliga ansvarsområden för personuppgiftsbehandling Hur länge behöver vi spara data? Vilka ska ha rätt till data? Får vi spara eller skicka data? Hur övervakar och rapporterar vi? Vilka personuppgifter är relevanta?
  • 22. LÅT "PRIVACY BY DESIGN" VÄGLEDA INTEGRATIONSARBETET samla in så få uppgifter som möjligt • (bara sådana personuppgifter som är nödvändiga för syftet!) behålla uppgifter så kort tid som möjligt • (uppgifter ska raderas/anonymiseras så fort behovet av identifiering upphört) så få användare som möjligt ska ha tillgång till personuppgifter • (bara användare som har en yrkesmässig anledning!) uppgifter ska kunna skyddas under hela sin livscykel • (insamling, transport, säkerhetskopiering, skrotning av lagringsmedia mm) 22http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/inbyggd-integritet-privacy-by-design/
  • 23. AGENDA 23 Allmän introduktion till GDPR Fokusområden för integration Scenarion I praktikenGDPR för integration
  • 25. UPPGIFTSMINIMERING • ”Allting loggas… Överallt.. Och det är inbyggt i koden..” − Skapa upp skript som rensar data och schemalägg − Spara inte data i onödan! • Konsolidering av meddelanden − Flytta uppsamling till käll-systemet. • Konsekvenser av att filer är bortrensade: − Svårare/omöjligt att felsöka och åtgärda. − Systemstöd för att kunna göra omskick filer från käll-systemet. − Krav på bättre loggning. − Arkivering och loggning är i vissa lösningar ihoplänkat. 25 Lagringsminimering Change Management
  • 26. UTMANINGAR MED INTEGRATIONSUTVECKLING • Exempelfiler för utveckling ska vara anonymiserade. Utveckling • Krav mot kunder & leverantörer vid test av EDI flöden. • Anonymisering av data kan behövas. Test & Acceptans • GDPR data får förekomma men i kontrollerad form. Produktion 26 Lagringsminimering
  • 27. ANONYMISERA DATA • ORDERS − Anonymisera adressdata in testsystems • Export till CRM − Anonymisera org. nummer i export till test CRM system 27 PROD / TEST Anonymisera data Lagringsminimering
  • 28. SÄKRA UPP INTEGRATIONSLANDSKAPET Data/system tillgång Data inte tillgänglig I integrationsplattform. Säkra protokoll • SFTP • HTTPS • Etc. Rollbaserad tillgång Sätta upp rättigheter på databaser. Sätta upp rättigheter på fileshares. Kryptering Kryptera filer/känsligt data. 28 Integritet & konfidentialitet
  • 29. MONITORERING • Verifiera status på rensningsskript. • Verifiera rättigheter på shares 29https://blogs.msdn.microsoft.com/biztalkhealthmonitor/2014/06/26/overview-of-biztalk-health-monitor-bhm/ Ansvarsskyldig het
  • 30. AGENDA 30 Allmän introduktion till GDPR Fokusområden för integration Scenarion I praktikenGDPR för integration
  • 31. SCENARIO (1) ORDERFLÖDE 31 ORDERS Plockorder F a k t u r a U t s k r i f t Grossist ERP Lagersystem E-Faktura Utskriftsystem x dagar Bokföringslag Beställningssystem Skeppnings info …………… …………… …………… …………… …………… …………… …………… …………… ……………………… …… ……………………… …… ……………………… …… ……………………… …… ……………………… …… …………… …………… …………… …………… …………… …………… …………… …………… ………………………… … ………………………… … ………………………… … ………………………… … ………………………… … …………… …………… …………… …………… …………… …………… …………… …………… ………………………… … ………………………… … ………………………… … ………………………… … ………………………… … …………… …………… …………… …………… …………… …………… …………… …………… ……………………… …… ……………………… …… ……………………… …… ……………………… …… ……………………… …… …………… …………… …………… …………… …………… …………… …………… …………… ………………………… … ………………………… … ………………………… … ………………………… … ………………………… … ………… … ………… … ………… … ………… … ………… … ………… … ………… … ………… … ………… ………… ……… ………… ………… ……… ………… ………… ……… ………… ………… ……… ………… ………… ……… ………… … ………… … ………… … ………… … ………… … ………… … ………… … ………… … ………… ………… ……… ………… ………… ……… ………… ………… ……… ………… ………… ……… ………… ………… ………
  • 32. SCENARIO (2) HÄLSO-APP INFORMATION OM OCH SAMTYCKE TILL BEHANDLING AV PERSONUPPGIFTER 32 Jag Försäkringsbolag personuppgiftsansvarig Analys, bedömning & rapportering av mottagen data.. Påvisa samband mellan hälsofrämjande aktiviteter & minskad ohälsa Friskvårdsaktiviteter Samtycke • Ditt namn • Personnr • Födelsedatum • Mejladress • Vilken arbetsgivare Riktad marknadsföring Tillhandahålla rabatter, kundanpassa varor och tjänster
  • 33. GDPR THE EU GENERAL DATA PROTECTION REGULATION 33 • Leverantörsintegrationer • Arkitektur med servrar utanför EU
  • 34. 34 INTERFACE ANALYS OCH ACTION PLAN 1. Lista alla Interface Lista av alla interface 5. Skapa upp rensningsjobb & validering Om personuppgifter måste sparas temporärt. Skapa upp rensningsjobb och validering. 6. Validera externa partners Skickas data till externa partners. Se till att rätt dokumentation finns. 4. Definiera grupper som behöver tillgång till filerna Lista vilka användare/grupper som behöver tillgång till data och varför. 3. Behöver man arkivera integrationsmeddelandet? Tänk på att inte lagra data som inte behövs. Om behov finns, identifiera hur länge behovet finns. 2. Innehåller integration GDPR data? Kan man klara sig utan personuppgifter i integrationen?
  • 35. 35
  • 36. AGENDA 36 Allmän introduktion till GDPR Fokusområden för integration Scenarion I praktikenGDPR för integration
  • 37. Compliance all the way to trust 3. Implementation av GDPR “compliance” baseline 1. GDPR complianceanalys 2. GDPR-arkitektur och planering 4. GDPR baseline validering och verifiering Risker och svagheter mitigerade i företagets arkitektur och planer Känn till dina risker och svagheter Steg för steg uppnå “compliance” Kontinuerligt mäta och kontrollera hygiennivå “Paper trail to demonstrate compliance” - En väl dokumenterad process för att vid ev incident eller revision kunna bevisa att ni har gjort vad ni förmår för att förhindra incidenter. ACANDOS FÖRSLAG PÅ ANGREPPSSÄTT GDPR complianceanalys
  • 38. An assessment to help the client understand how their business measures up to GDPR today. • areas the client needs to prioritize • step-by-step road-map to compliance 1. ASSESSMENT 38 Implementation will involve business stakeholders, IT-organization as well as vendors. 2. IMPLEMENTATION Both the regulation and our client processes are in movement and need to be reviewed and aligned regularly. 3. VERIFICATION & VALIDATION 1 May 25th 2018 2 3 3 As of today Acando has over 70 consultants educated and certified in GDPR, working with a cross-functional approach with subject matter experts at its core. This gives both a width and depth in our capacity to help our clients on their way to compliance of the General Data Protection Regulation (GDPR). TYPICAL CLIENT NEEDS AND ACANDO SERVICE OFFERINGS
  • 39. 39

Editor's Notes

  1. Denna första bild som fungerar som en ”överflygning” av Acando som fungerar att prata kring Vår ambition är att aktivt öka andelen kvinnor samt att aktivt sänka medelåldern.
  2. JOANDA
  3. JOANDA
  4. Så… Vad är GDOR GDPR är EU:s nya dataskyddsförordning och omfattar alla organisationer som på något sätt hanterar personliga och känsliga uppgifter om sina anställda eller kunder. Lagen innebär bland annat hårdare krav än PUL Lagen Förstärkning av enskildas rättigheter och tydliggörande av ansvar och skyldigheter för den som behandlar personuppgifter Modernisering – nu gällande regler bygger på ett direktiv från 1995, innebär att PUL kommer att sluta gälla Harmonisering – samma rättigheter och skyldigheter i hela EU/EES Fritt flöde av personuppgifter inom EU? Vad är som gäller för bolagen? * Krav på kontroll över vilka PU som behandlas samt vilka system de kan förekomma i * Ökat krav och ansvarsutkrävning bade för Personuppgiftsansvariga och biträden, vilket vi kommer gå in på mer i detalj senare i presentationen. Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. (3 § personuppgiftslagen) Ett personuppgiftsbiträde finns alltid utanför den egna organisationen. En anställd eller någon annan som behandlar personuppgifter under den personuppgiftsansvariges direkta ansvar är inte personuppgiftsbiträde. Ett personuppgiftsbiträde kan vara antingen en fysisk eller en juridisk person. Om en personuppgiftsansvarig till exempel anlitar en servicebyrå blir denna ett personuppgiftsbiträde som får behandla personuppgifter enligt den personuppgiftsansvariges instruktioner. .
  5. Tryck särskilt på exempel såsom Cookie ID IP-adress Fakturanummer Etc.
  6. Samtycke - Strängare villkor, Det är viktigt att företag ber om samtycke/medgivande där det tydligt anges syftet för insamling av data, rättslig grund för behandlingen och hur länge den kommer lagras. Den enskilde har rätten att återkalla samtycke. Som det ser ut idag kan ett företag som vill sälja kunddata gömma några ord om det i de allmänna villkoren. Men den nya dataskyddsförordningen kräver ett mycket mer uttryckligt och tydligt samtycke från konsumenten. Det finns också andra legala grunder för att behandla personuppgifter, exempelvis för att kunna fullfölja ett avtal eller att det finns andra undantag i lagar. Barn – om ett barn under 16 år vill använda sig av onlinetjänster så krävs det att föräldrar ger sitt samtycke. Uttryckas tydligt och på ett sätt så att barn förstår. Än strängare regler gäller för barn under 13 år. Reglerad Data - Definitionerna av personuppgifter och känsliga personuppgifter har utökats. (Tex. Genetisk och biometrisk data ( hälsa och genetisk data, ras, politisk åsikt, tro, medlem i fackförening. ) Missbruksregeln: GDPR gäller både för strukturerad som ostrukturerad persondata – Strukturerad – Databas Ostrukturerad - ljud Bild, email. Säkerhetsincidenter: Ny reglering av hur säkerhets incidenter ska upptäckas, rapporteras och kommuniceras. Incident ska rapporteras till tillsynsmyndigheten samt den som berörs av incidenten inom 72 timmar, från det att ärendet upptäckts. Så om ett företag blir hackad och utsätter personuppgifter för fara så ska detta rapporteras till datainspektionen som är sveriges tillsynsmyndighet “Privacy by Design”. VI kan kalla det ”Inbyggd integritet” på svenska, detta innebär i korthet att företag är skyldiga att systemet ska designas och ha inbyggda mekanismer som skyddar den personliga integriteten. Tex. uppgifter kan bara lagras en viss tid och sedan tas de bort. Inbyggd integritet innebär t.ex. att man kan bygga in att data raderas automatiskt. Utökade rättig & skyldigheter: Individen får utökade rättigheter –vilka detta är kommer jag till sen. Företag har stärkta krav på att göra säkerhetsbedömningar, Konsekvensbedömningar vid val av tex molntjänst, leverantör - Straffavgifter: De företag som inte följer förordningen riskerar bland annat straffavgifter, som i värsta fall kan belasta organisationer med viten upp till 4% av globala årsomsättning.
  7. Dataskyddsprinciperna sammanfattar de huvudsakliga ansvarsområden som följer personuppgiftsbehandling för organisationer. Principerna är i huvudsak oförändrade men med en del skärpningar samt med tillägget ansvarsskyldighet Tänk på! - De grundläggande principerna gäller alltid när ni behandlar personuppgifter - Ni ska behandla personuppgifter på ett öppet sätt i förhållande till den registrerade - Det räcker inte att göra rätt utan ni ska kunna visa att ni gör rätt! Laglighet korrekthet och öppenhet Klart och tydlig språk, transparens, lättillgängligt. Det bör vara klart och tydligt för den registrerade hur personuppgifter som rör dem insamlas, används, konsulterats eller på andra sätt behandlas. Kommunikationen måste ske på ett lättgillgänglit och lätt begripligt sätt. Ändamålsbegränsning ”Uppgifterna ska samlas in för särskilda, uttryckligt angivna ochberättigade ändamål och inte senare behandlas på̊ ett sätt som är oörengligt med dessa ändamåö” Ändamålet ska dokumenteras Oförenlighetsprövning – art 6.4 UPPGIFTSMINIMERING Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas” Inte för att personuppgifterna kan vara ”bra att ha” Korrekthet Uppgifterna ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål” Lagringsminimering ”Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas” Inför tidsfrister för radering eller regelbunden kontroll Integritet och konfidentialitet ”Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder” - Nyhet - Säkerhet för personuppgifter ANSVARSKYLDIGHET Ska ansvara och kunna visa att principerna efterlevs – papertrail, validering/verifiering Hur kan visa att vi föjer GDPR? Öppenhetsprincipen – transparens Interna strategier för dataskydd Dokumentation Uppförandekoder – sektorspecifika, branchöverenskommelse, direktmarknadsföring Certifiering – Systematiskt arbeta med dataskyddsfrågor Personuppgfitsansvarige ska föra register Vid behandling av personuppgifter ska följande gälla: Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet). b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål; ytterligare behandling av personuppgifter för arkiveringsändamål i allmänhetens intresse eller för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 83.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning). c) De ska vara adekvata, relevanta och begränsade till vad som krävs i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). d) De ska vara korrekta och om nödvändigt uppdaterade; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet). e) De ska förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas; personuppgifter får lagras under längre perioder i den mån som uppgifterna uteslutande behandlas för arkiveringsändamål i allmänhetens intresse eller för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 83.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att garantera den registrerades fri- och rättigheter (lagringsminimering). eb) De ska behandlas på ett sätt som säkerställer vederbörlig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet). ee) (…) f) (…) 2. Den registeransvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).
  8. Registrerad Identifierad eller identifierbar levande individ vars personuppgifter behandlas Personuppgift All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet Personuppgiftsbehandling åtgärd som inbegriper hantering av personuppgifter oavsett om den är automatiserad eller ej; insamling registrering, lagring, bearbetning, utlämning, tillhandahållande European Data Protection Board EU-organ som samlar medlemsstaternas dataskyddsmyndigheter Datainspektionen central tillsynsmyndighet för personuppgifter ansvarar bl.a. för Förebyggande arbete Rådgivning och stöd till DPO/PUO Revision och systemtillsyn av organisationers tillämpning Kontaktpunkt för handläggning av enskildas klagomål Dataskyddsombud Vissa, men inte nödvändigtvis alla organisationer måste ha en utsedd Dataskyddsombud, personen ska utses på grundval av yrkesmässiga kvalifikationen, ha en oberoende ställning ex på ansvarsområden; Rådgivande och informerande Compliance översyn Samarbete med Datainspektionen Kontaktpunkt för den registrerade Personuppgiftsbiträde Organisation som behandlar personuppgift åt personuppgiftsansvariges räkning, ex sourcingleverantör eller partner Tredje part Organisation som är behöriga att behandla personuppgift men som inte är direkt under PuA eller PuB
  9. Personuppgift Varje upplysning som avser en identifierad eller identiferbar fysisk person varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identfierare som ett namn, ett identifiktionsnummer, en lokaliseringsuppgift eller onlineidentifkator leller en eller flera faktorer som är specifika för den fysksika personnens fysiska, fysiologiska, genetisk, psykiska, ekonomiska, kulturella eller sociala identitet Behandling En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende om de utförs automatiserat eller ej, såsom insamling, regisrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begräsning,radergin eller förstöring. Begränsning av behandling Uppgifterna får endast användas i vissa särskilt angivna fall, bl.a. den registrerades samtycke På begäran av den registrerade vid begäran om rättelse eller invändning, som alternativ till radering, om den registrerade behöver uppgifterna för rättsliga anspråk Den registrerade ska underrättas när begränsningen upphör Invända mot behandling Rätt att invända mot (motsätta sig) behandling som grundas på allmänt intresse, myndighetsutövning eller intresseavvägning Den personuppgiftsansvarige måste göra en ny prövning (intresseavvägning) utifrån den registrerades situation och eventuellt upphöra med behandling Vid direkt marknadsföring måste behandling upphöra Särskilt om forskning och statistik och bevakning av rättsliga anspråk, allmänt intresse m.m.
  10. EDPB he Article 29 Working Party (WP29), bringing together the European Union’s national data protection authorities, which will similarly be made up of the heads of national supervisory authorities (or their representatives) The EDPB has a much enhanced status. It is not merely an advisory committee, but an independent body of the European Union with its own legal personality. The EDPB normally decides matters by a simple majority, but rules of procedure and binding decisions (in the first instance) are to be determined by a two-thirds majority. Primary role is to contribute to the consistent application of the GDPR throughout the Union. It advises the Commission, in particular on the level of protection offered by third countries or international organisations, and promotes cooperation between national supervisory authorities. It issues guidelines, recommendations and statements of best Practice. The EDPB’s most distinctive new role is to conciliate and determine disputes between national supervisory authorities
  11. dock finns det även ca 15 andra myndigheter som utövar viss tillsyn Val av vilken tillsynsmyndighet I Eu som blir aktuell från fall till fall beror på: För att PUO eller PuB är etablerad på tillynsmyndighetens territorium Registrerade som är bosatta I den tillsynsmyndighetens medlemstat I väsentlig ggrad påverkas eller sannolikt I väsentlig grad kommer att påverkas av behandlingen Ett klagomål lämnat in till denna tillsynsmyndighet
  12. Personuppgiftsansvarig En fysisk eller juridisk person offentlig mydnighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandling av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemtaternas nationella rätt kan den personuppgiftsansvarige ller de särskilda kriterierna för hur denne ska utses öreskrivas I uniosrätten eller I medlemstaternas nationella rätt Skyldigheter för personuppgiftsansvariga Ansvarsskyldighet Den personuppgiftsansvarige ska vidta åtgärder för att säkerställa att förordningen följs, och för att kunna visa att förordningen följs Inbyggt dataskydd och dataskydd som standard Register över behandlingar Säkerhet Anmälan av personuppgiftsincidenter Konsekvensbedömningar och förhandssamråd Utse dataskyddsombud? Dataskyddsombud Organisationer är skyldiga att utse ett dataskyddsombud om: Myndighet (ej domstolar i deras dömande verksamhet). Kärnverksamheten består av behandling, som på grund av sin karaktär, sin omfattning och eller sina ändamål kräver regelbunden eller systematisk övervakning av de registrerade i stor skala. Kärnverksamheten består av behandling i stor skala av integritetskänsliga personuppgifter (det som idag är känsliga person-uppgifter jämte genetiska eller biometriska data för identifiering samt uppgifter om lagöverträdelser m.m.). Medlemsstaterna kan utöka skyldigheten att utse ett dataskyddsombud. Här är det således upp till lagstiftaren att besluta om det ska finnas en utökad skyldighet (art. 37.4). Personuppgiftsansvariga, personuppgiftsbiträden eller sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden får även i andra fall utse ett personuppgiftsombud (art. 37.4). Skyldigheten omfattar såväl personuppgiftsansvariga som personuppgiftsbiträden (art. 37.1). Vem kan utses till dataskyddsombud? Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 39 (art. 37.5) Fysisk person Kan vara anställd av den personuppgiftsansvarige eller vara ett externt ombud (art. 37.6). Dataskyddsombudet får ha andra arbetsuppgifter men dessa får inte leda till en intressekonflikt för ombudet (art. 38.6) Dataskyddsombudets uppgifter (art. 39) Informera och ge råd till personuppgiftsansvariga eller personuppgiftsbiträden samt anställda. Övervaka att reglerna i förordningen och andra dataskyddsregler efterlevs (även andra medlemsstaters regler). På begäran ge råd i den ”konsekvensbedömning” som ska göras och se till att den följs. Samarbeta med Datainspektionen och bl.a. vara kontaktpunkt. Iaktta den ”riskbaserade approachen”. Ska vara tillgänglig för de registrerade som kan kontakta ombudet för utövande av sina rättigheter som registrerad (art. 38.4). Kontaktuppgifterna ska offentliggöras. Dataskyddsombudets ställning Ska ha en oberoende ställning i förhållande till den personuppgiftsansvarige eller personuppgiftsbiträdet (art. 38.3). Ska inte kunna bestraffas för utövandet av sitt uppdrag (art. 38.3) Ska rapportera direkt till ”högsta förvaltningsnivå” (art. 38.3). Ska vara bunden av tystnadsplikt i enlighet med nationell lag eller EU-lagstiftning (art. 38.5). Några kommentarer Det kommer ställas högre krav på dataskyddsombudets kvalifikationer. Det finns en osäkerhet hur kravet kommer tolkas. Datainspektionen har ingen förhandsinformation om hur lagstiftaren tänker kring utökad skyldighet att utse dataskyddsombud.Anmälningsskyldigheten ersätts av en skyldighet att till Datainspektionen meddela dataskyddsombudets kontaktuppgifter (se art. 37.7). Förteckningsskyldigheten för dataskyddsombud upphör. Denna skyldighet gäller, under vissa förutsättningar, istället för personuppgiftsansvarig (se art. 30). Den uttryckliga skyldigheten för dataskyddsombudet att anmäla brister till Datainspektionen försvinner. Samtidigt finns ett krav på ombudet att samarbeta med tillsynsmyndigheten vilket naturligtvis kan innebära att denne tar kontakt med myndigheten i motsvarande situationer. Det är oklart om det går att ha fler än ett dataskyddsombud.
  13. Personuppgiftsbiträde Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Skyldigheter för personuppgiftsbiträden Lämna garantier för att förordningen följs Krav på biträdesavtalet Bistå den personuppgiftsansvarige Register över behandling Eget ansvar för säkerhet Anmälan av personuppgiftsincidenter – till den personuppgiftsansvarige Utse dataskyddsombud Tredje part Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ son inte är den registrerade, den personuppgiftsbiträde eller de som personer som under den personuppgiftsansvariges eller personuppgiftsbiträdes direkta ansvar är behöriga att behandla perosnuppgifterna
  14. Vi gick tidigare igenom lite kort om vad en personuppgift är, men hur skulle en personuppgifts livscykel kunna se ut i ett makroperspektiv hos organisationer eller bolag. Inhämtning, här ska bolagen kika mer på: - Vilka personuppgifter ska vi behandla och vad vill vi använda dem till? ”nice to have” VS ”Must have” - vilken är den rättsliga grunden för inhämtning - vilka system kommer att användas för behandlingen? etc 2. Information och registerutdrag till berört dataobjekt Information är en väsentlig del av skyddet Den personuppgiftsansvarige har en skyldighet att - ge klar och tydlig information - underlätta utövande av rättigheterna Tidsfrister och kostnadsfritt Informationsskyldigheten är mer omfattande än tidigare 3. Samtycke samtyckesframställan ska presenteras på ett klart och tydligt sätt och ni ska kunna visa att den registrerade har samtyckt Den registrerade ska informeras om rätten att återkalla ett samtycke Mycket begränsat för myndigheter att använda Om villkoret för att få tillgång till en vara och tjänst är ett samtycke till onödig behandling (utöver) kan det innebära att samtycket inte kan anses frivilligt Samtycke av barn under 16 år (13 år) kräver godkännande av vårdnadshavare för ”informationssamhällets tjänster” 4. Lagring Lagtringsminimering - Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas”  Inför tidsfrister för radering eller regelbunden kontroll 5. Rättelse Rätta felaktiga uppgifter Komplettera ofullständiga uppgifter Informera mottagare om rättelsen 6. Gallring Radering – ”rätten att bli glömd” Radera personuppgifter om den registrerade Informera, i vissa fall, andra personuppgifts- ansvariga och mottagare Förutsättningar, bl.a. - om uppgifter inte längre behövs för ändamålen - återkallat samtycke Undantag, bl.a. Artikel 17 och 19, skäl 65-66 -Nödvändig för yttrande- och informationsfriheten - Nödvändig för rättslig förpliktelse, allmänt intresse och myndighetsutövning, rättsliga anspråk 1.1 Ny inhämtning Så fort en personuppgiftsbehandling görs med nytt ändamål måste nytt samtycke, ny information etc göras Dataportabilitet Rätt att få ut och överföra egna personuppgifter till annan personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format, om uppgifter har tillhandahållits av den registrerade,  behandling sker med stöd av samtycke eller avtal,  behandling sker automatiserat inte påverkar andra rättigheter och friheter Process: hur arbetar vi säkert? Teknik/It – hur löser vi det tekniskt på säkrast möjligast sätt? Organisation – vilka roller måste finnas utpekade, vad är deras ansvar och mandat, var i organisationen? Dokumentation – En väl dokumenterad process för att vid eventuell incident eller revision kunna bevisa att ni har gjort vad ni förmår för att förhindra incidenter. Kommunikation – anpassad kommunikation till berörda delar, smart kommunikation till konsumenter, Utbildning/Stöd – löpande utbildning av berörda personer, policies/instruktioner för koncerngemensam hantering samt för att säkerställa ett grundläggande regeluppfyllnad. Dessa kan användas som en verktygslåda för samtliga delar inom verksamheten. Change Management – samtliga processer som tas fram måste kunna hantera förändring, Kontrollramverk – hur verifiera och kontrollera regelefterlevnad?  
  15. JOANDA
  16. Komplext landskap.. Många system.. Många aktörer.
  17. Vilka av dessa principer är tillämpliga Vilka personuppgifter är relevanta? Hur länge behöver vi spara data? Vilka ska ha rätt till data? Hur övervakar och rapporterar vi?
  18. Låt "Privacy by design" vägleda integrationsarbetet                            mer konkreta exempel
  19. JOANDA
  20. Köer för konsolidering…
  21. Ytterligare en eller flera dimensioner.
  22. Anonymisera i olika miljöer.
  23. Säkerhet
  24. Rensa och övervaka
  25. JOANDA
  26. Lägg till dokument.. Som tars bort..
  27. Hjälpa till att informera om dataspridning.
  28. Kolla globalt.. Utmaningar och möjligheter. Integrationsplattform i molnet?
  29. Hur ska man då gå tillväga?
  30. JOANDA