välkommen - atea · –sap hcm –oracle fusion hcm –svensk hr ... •ha en fungerande intern...
TRANSCRIPT
![Page 1: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/1.jpg)
VälkommenAtea
Hur påverkas min organisation av den nya dataskyddsförordningen (GDPR)?
Föreläsare:
Alf Holmberg, IT-arkitekt, Atea
![Page 2: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/2.jpg)
Innehåll
• Bakgrund – Varför kom lagen till
• Böter, publicitet och ID stöld
• Om lagen
• Nästa steg
![Page 3: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/3.jpg)
Safe Harbor
![Page 4: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/4.jpg)
MonsterMind
'Sniff It All, Collect It All, Know It All,
Process It All, Exploit It All'
![Page 5: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/5.jpg)
Varför en ny dataskyddsförordning?
• Stärka integritetsskydd för individer
• Underlätta handel samt överföring av information mellan EU-stater
• Samma personuppgiftslag inom hela EU (28 stater)
• Fanns ingen anmälningsplikt under PUL
• Tidigare oklart ägarskap av personuppgifter
• Svårt att föra process mot ID stöld under PUL (Åklagare)
![Page 6: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/6.jpg)
Dataskyddsförordningen (GDPR) - Sammanfattning
• Fokus på att skydda information
– Du måste veta var din information finns
– Du måste kunna bedöma risken avseende denna information
• Gäller information om EU-medborgare
– Oavsett var bearbetande organisation har sitt säter
– både informationsägare (du) och informationshanterare (t.ex. Microsoft)
• Risker med GDPR
– 4% böter (max 20 M€) – Offentlig förvaltning ej undantagen
– Brott blir publicerade – Naming and shaming
• Flyttar risken: Säkerhetsrisk Verksamhetsrisk
![Page 7: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/7.jpg)
Tidslinje
2016 2017 2018
Atea Bootcamp
GDPR träder i kraft
(PUL slutar gälla)
JuniMaj
Safe Harbour
slutade att
gälla
GDPR
godkänd
AprilApril
Vårt tillgängliga tidsfönster
![Page 8: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/8.jpg)
Böter, Publicitet och ID stöld
![Page 9: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/9.jpg)
4%
Göteborgs Stad – 1,3 Miljarder konor
Volvo Cars – 3,0 Miljarder kronor
Sundsvalls Kommun – 232 Miljoner kr
Getinge AB – 1,0 Miljarder kr
Sölvesborgs Kommun – 40 Miljoner kr
Surtehammar KommunAllvarligt Dataintrång
Datainspektionen meddelar att
kommunen blivit utsatt av ett intrång i
IT-miljön.
En sofistikerad attack, troligen från en
maffialiga baserad i Vitryssland, har
lett till att alla Socialtjänstens journaler
har stulits. Förövarna kan även ha
kommit över information från andra
system.
Intrånget är anmält till SÄPO men
både kommunen och SÄPO är mycket
förtegna om eventuella hot eller
utpressningsförsök har genomförts.
![Page 10: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/10.jpg)
Hotbilden utvecklas snabbt
Säkerhet
Cirka 60 000
människor ID
kapade 2015 till ett
värde av 2,7 MDR
(30% ökning/år)
Cirka 6 nya typer
av hot per
sekund 24/7
(2015/16)
”Enkla”
sofistikerade
intrångsverktyg.
Datastölder är en
affärsidé!
Antalet
Phishingsiter som
stjäl personlig data
(Crimeware) ökar
under Q4 2015
![Page 11: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/11.jpg)
Stulna personuppgifter har ett kommersiellt värde
![Page 12: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/12.jpg)
Om lagen
![Page 13: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/13.jpg)
GDPR: Lagens huvudpunkter:
• Breach notification (Intrång) – Skyldighet att anmäla stöld av personuppgifter (max 72h)
• Consent (Samtycke) – Medgivande av lagring av personuppgifter
• Data Portability (Flyttbarhet) – Rätt att flytta personuppgifter
• Information Responsibility – Informationsskyldighet till ägare
• Right to be forgotten (Rätt att bli bortglömd) – Rätt att få sina personuppgifter borttagna
– Gäller ej Brottsregister, skatteregister, PDL information, folkbokföringsuppgifter etc…
• Utse ”Data Protection Officer” (Personuppgiftsansvarig)
![Page 14: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/14.jpg)
GDPR talar om
Vad är ”State of
the art”
Är kostnaderna
rimliga i
förhållande till
riskbedömningen
Har du analyserat
riskerna
Vilken industri
arbetar du i, vilken
omfattning bearbetas
personuppgifter
Om vi får ett intrång så har vi:
• Värderat teknologin, kostnaden, risken och
sammanhanget och har formulerat en åsikt om dessa
• Är beredda att låta detta bli prövat i rätten
![Page 15: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/15.jpg)
Anmälningsskyldighet?
• Vid förlust av personliga uppgifter är man skyldig att anmäla detta
inom 72 timmar från det att dataförlusten upptäcktes.
• Man skall anmäla till den/de personer vars uppgifter man blivit av
med.
• I allvarligare fall av förlust (som kan innebära stor eller avsevärd
skada för personen) skall detta även anmälas till datainspektionen.
![Page 16: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/16.jpg)
GDPR specifierar
• Bara 3 av 91 artiklar berör säkerhetsteknologier
– Pseudonymisering och kryptering
– Säkerhetspelarna: Konfidentialitet, integritet, tillgängliget
– Backup och restore
– Testa, bedöma och utvärdera effektiviteten i säkerhetskontrollerna
• Resten fokuserar på skydd av informationstillgångar. Kartlägg dina
informationstillgångar. Identifiera dina risker. Etablera dina processer.
Skydda den information som verkligen är viktig.
![Page 17: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/17.jpg)
Vad är en personuppgift?
• En personuppgift är all data som kan länkas till en person som är i livet:
– Personnummer
– Adress
– Kommunikationsuppgifter (Email, telefon, Skype etc…)
– IP nummer, Cookies
– Bilder
– Försäkringsnummer
– Kontokortsnummer
– Etc.
– Känsliga personuppgifter, ras, politsk åsikt, hälsa, sexuell läggning får inte
registreras alls.
![Page 18: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/18.jpg)
Var finns personuppgifter
• HR/Lön
– Agda PS
– Heroma (HR-system)
– Hogia Personal
– HRM Software
– Peoplesoft
– SAP HCM
– Oracle Fusion HCM
– Svensk HR
– Visma
– Workday HCMA
– Agresso (lönesystem)
– Navision
– Raindance
– Personec P
• Omsorg
– WM-Omsorg
– Melior
– Cosmic
– Take Care
– Systeam Cross
– VAS
– PMO/J3
– Infomedix
– Elvis
– Medidoc
– Profdoc
• Utbildning
– Skola24
– edWise
– Fronter
– Lifecare
– Procapita
• Produktivitet:
– O365
– Outlook
– Notes
– Delve
– Skype/Lync
– Sametime
– Jabber
– SharePoint
![Page 19: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/19.jpg)
Åtgärder
![Page 20: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/20.jpg)
Vad är viktigt för att bli compliant?
• Att veta vilken typ av information mitt företag/organisation hanterar
som omfattas av lagen!
Informationsklassning och utbildning
• Att veta när man blir av med personuppgifter och vilka
personuppgifter som läckt ut (Data breach)!
Loggar och övervakning
• Ha en fungerande intern process om vilka som skall informeras då
man misstänker förlust av personuppgifter (Data Responsibility)!
Policy, process och incidenthantering
![Page 21: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/21.jpg)
Vad är viktigt för att bli compliant?
• Att kunna ge ut Er lagrade information till kunder som efterfrågar
detta (Right to information)!
• Att ha spårbarhet på att Era kunder gett Er tillåtelse att spara
personliga uppgifter (Consent)!
• Att ha en fungerande intern process så att Ni kan ta bort, alternativt
flytta lagrade personliga uppgifter (Right to be forgotten & data
Portability)!
![Page 22: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/22.jpg)
Policy
Ansvarig DPO
• NNN nnn
Handhavande
• xxx
• xxx
Vad behöver jag göra
• 2016 (hösten)
– Lyfta frågan till ledningen, beskriva riskera
– Skapa
– Planera och budgetera 2017
• 2017 (våren)
– Identifiera skyddsvärda system/informationsmängder
(informationsklassificering)
– Genomföra risk- och sårbarhetsanalyser
– Ta fram interna policys och regelverk
• 2017 (hösten)
– Implementera tekniska skyddsmekanismer
– Utbilda användare
Logg
Person-
info
PLAN - 2017
Aktiviteter
• xxx
• xxx
Deltagare
• Säk.ansv
• Jurist
• IT-chef
• mfl.
Budget
• Arbete: NNN kr
• Teknik: NNN kr
Kr/rykte
Risk
https://klassa-info.skl.se/
![Page 23: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/23.jpg)
Ledningssystem för informationsäkerhet (LIS)
• Informationssakerhet.se
• Metodstöd för LIS
Förbereda Analysera Utforma
Förankra i ledningen
och i verksamhetens
övergripande strategi
Identifiera informations-
tillgångar. Analysera
interna/externa krav på
informationssäkerhet
Genomför risk- och
sårbarhetsanalys
Baserat på föregående
steg. Bestäm vilka
säkerhetsåtgärder som
skall införas i
verksamheten
![Page 24: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/24.jpg)
Klassa
https://klassa-info.skl.se/
Exempel på en klassificering av
ett e-postsystem som med stor
sannolikhet innehöll känsliga
uppgifter.
Ange nivåer på
• Konfidentialitet: Nivå 3
• Riktighet: Nivå 3
• Tillgänglighet: Nivå 2
• Spårbarhet: Nivå 3
Fyll i självvärderingen
![Page 25: Välkommen - Atea · –SAP HCM –Oracle Fusion HCM –Svensk HR ... •Ha en fungerande intern process om vilka som skall informeras då ... PowerPoint Presentation](https://reader034.vdocument.in/reader034/viewer/2022051801/5ae08e067f8b9a1c248d573f/html5/thumbnails/25.jpg)
Tack för migAtea
Vill du veta mer, registrera
dig vid utgången.
Betygsätt gärna passet i appen.