GDPR

JOHAN NORMÉN
NY EU-FÖRORDNING

”Förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och
det fria flödet av sådana uppgifter”

Ersätter PUL och motsvarande lagar i hela EU

Syfte
– Stärka integritetsskyddet
– Möta teknikens förändringar
– Underlätta handel inom EU
– Skydda identiterer i molnet

De nya reglerna gäller från och med den 25 maj 2018

FÖRORDNINGEN I KORTHET
• Principerna bygger på nuvarande lag, med en hel del
nyheter
• Finns vissa möjligheter till avvikelser
• Samma tolkning i hela EU - Europeiskdataskyddsstyrelse
• Svensk utredning är tillsatt för att titta på vissa frågor
 JOHAN NORMÉN - SOFTHOUSE

Jobbat med IT i över 20 år

Konsultat i 18

Nominerad till top 10

Utvecklarna i sverige

Intressen:

Effektivisering, DevOps och Just nu

Pimpa Dator!
Skriver för:
FÖLJANDE PUNKTER SKA VI TITTA
NÄRMARE PÅ:
• Vad är en personuppgift?
• Vem bär ansvar?
• Nya krav på personuppgiftsbiträdet
• Utökad informationsskyldighet
• Incidenthantering
• Privacy by design
• Konsekvensbedömning - ”PIA”
• Dataskyddsombud
• Hur kan vi komma igång?
• Våra system (C# - exempel)
VAD ÄR EN PERSONUPPGIFT

• Är ett företags kontaktpersons namn och

e-postadress personuppgifter?
• Är kommentarer som jag skriver om andra
levande individer personuppgifter?
• Är en databas-ID personuppgifter?
DATA: INFORMATION SOM -
• …är under behandling med hjälp av utrustning som
arbetar automatiskt och som svarar på instruktioner
som ges för dess ändamål,
• …är insamlad med intentionen att det bör behandlas
med hjälp av sådan utrustning,
• …registreras som en del av ett arkivsystem eller med
avsikten att det skall utgöra en del av ett relevant
arkivsystem
PERSONUPPGIFT (PERSONDATA)

• Uppgifter som hänför sig till en levande person som kan identifieras
IDENTITETSBARA UPPGIFTER

• E-post
• Adress
• Personnummer
• Postnummer
• Ålder
• Bilnummer
• …
KÄNSLIGA PERSONUPPGIFTER
• Känsliga personuppgifter
– Ras eller etniskt ursprung
– Politiska åsikter
– Religiös eller filosofisk övertygelse
– Medlemskap i fackförening
– Hälsa
– Biometriska och genetiska uppgifter
– Sexuell läggning/sexualliv
SAMMANFATTING
PERSONUPPGIFTER:
• Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade);
en identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt
genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika
för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet;
VEM BÄR ANSVAR OCH VAD INNEBÄR
ANSVARET?
PERSONUPPGIFTSANSVARIG
• Ni är alla ansvariga för all personuppgiftsbehandling inom ert företag
• Ansvar och skyldighet kring olika register
– Era kundregister, ex i CRM
– Leverantörer-, anställnings och samarbetspartnerregister
– Kandidater för anställningar
mm…
• Annan personuppgiftsbehandling, t.ex. i mail och fritext
(även ostrukturerad behandling ingår)
• Specifika personuppgiftsbehandlingar
– Profilering, GPS-data, mm…
BEHANDLING AV DATA INNEBÄR:

• Insamling
• Registrering
• Lagring
• Spridning
• Samkörning
NYA KRAV PÅ
PERSONUPPGIFTSBITRÄDET
KRAV PÅ
PERSONUPPGIFTSBITRÄDESAVTAL
• Identifiera ansvarig + biträde
• Alla samarbeten som innebär utbyte
av personuppgifter, t.ex.
marknadsföring, IT och rekrytering
• Ska följas av skriftliga instruktioner
PERSONUPPGIFTSBITRÄDE
• Den som behandlar personuppgifter för den
personuppgiftsansvariga
• Exempel på biträden
– IT-leverantörer
– Rekryteringsbyråer
– Reklambyråer
– Tjänstleverantörer
– IT-support
FÖRTYDLIGANDE ELLER UTÖKNING AV
DAGENS REGLER:
• Den personuppgiftsansvarige får endast anlita ett
biträde som ger tillräckliga garantier för att de följer
kraven i förordningen.
• Krav på avtal mellan den ansvarige och biträdet som
reglerar personuppgiftshanteringen.
• Biträdet måste säkerställa att denne har rätt att anlita
underbiträden genom att detta framgår i avtalet med
den personuppgiftsansvarige.
UTÖKAD INFORMATIONSSKYLDIGHET
INFORMATIONSSKYLDIGHET

• Väsentligt utökade krav på den information

som ska lämnas till den registrerade, t.ex.
• Ange ändamålen med den behandling för vilken
personuppgifterna är avsedda,
• den rättsliga grund för behandlingen, och
• hur länge uppgifterna sparas.
HÅRDARE KRAV PÅ SAMTYCKE
• ”Frivillig, specifik, informerad, otvetydig viljeyttring”
• Viktigt att den registrerade ges ett val
• Kan vara muntligt eller skriftligt
• Begäran om skriftligt samtycke ska
– läggas fram på ett sätt som klart och tydligt kan särskiljas från
andra frågor
– vara begripligt och lättillgängligt och
– ha ett klart och tydligt språk
INCIDENTRAPPORTERING
• Krav på rutiner och processer för att
upptäcka,rapportera och utreda incidenter.
• Vid personuppgiftsincidenter ska den
personuppgiftsansvarige inom 72 timmar
anmäla incidenten till tillsynsmyndigheten.
• Personuppgiftsbiträdet ska utan dröjsmål
underrätta den personuppgiftsansvarige vid
en personuppgiftsincident.
PRIVACY BY DESIGN
• Har tidigare varit ”best practice” men nu
kommer ett krav om att man aktivt måste
arbeta med privacy by design.
• Integritetsfrågor ska påverka hela livscykeln
vid utvecklingen av en produkt/tjänst, från
förstudie och kravställning, via design och
utveckling till användning och avveckling.
PRIVACY BY DESIGN
• Alla organisationer bär ansvar att dokumentera hur de i sin arbetsprocess
hanterar identitetsdata
• Till skillnad från PUL så är det lag på att detta dokument finns ”Inbyggd
integritet”
• Uppgiftsminimering
• Säkerhets- och integritetsaspekter ska tas hänsyn till redan vid planering och
utvecklingav IT-system
• De grundläggande principerna, t.ex. Undvika fritextfält, behörighet, standard
inställningar för lagring m.m.
• Den som är personuppgiftsansvarig ska ställa kraven
• Åtgärder: Inför rutiner för att ställa krav vid IT-upphandlingar samt utbilda
eventuellaarkitekter
KONSEKVENSBEDÖMNING - PIA
• Nytt krav på att man ska utföra och dokumentera
konsekvensbedömningar avseende dataskydd.
• De flesta organisationer med förståelse för dataskydd
gör troligen redan någon form av konsekvensbedömning
vid t.ex. val av molntjänstlevantör eller vid
produktutveckling.
• Nytt blir att denna bedömning måste dokumenteras
samt att det ska finnas rutiner för när en
konsekvensbedömning ska genomföras.
• Rådfråga dataskyddsombud vid konsekvensbedömning.
DATASKYDDSOMBUD
• Nytt krav på att vissa typer av organisationer måste tillsätta ett
dataskyddsombud:
• Offentliga verksamheter,
• företag vars kärnverksamhet består i att hantera stora mängder
personuppgifter, och
• företag som hanterar större mängder av känsliga personuppgifter.

• Dataskyddsombudet kan antingen vara en intern eller extern person men

personen ska inneha yrkesmässiga kvalifikationer och i synnerhet sakkunskap
om lagstiftning och praxis avseende dataskydd.
DATASKYDDSOMBUDETS ROLL
• Den nya rollen som dataskyddsombud är bredare än dagens
personuppgiftsombud men det är styrelsens och ledningsgruppens
ansvar att säkerställa att dataskyddsombudet har resurser och kan
på ett objektivt sätt utföra sitt arbete.

Detta arbete innefattar bland annat:

• Involveras i alla frågor som rör skyddet av personuppgifter.
• Samarbeta och samråda med tillsynsmyndigheter.
• Informera och utbilda anställda i dataskydd.
TIPS PÅ HUR NI BÖRJAR
• Styrelsen och VD:n har ansvaret för att
förordningenkommer att följas, därför
behöver dessa informeras och det behövs
en buy-in från dessa.
•
Säkerställ att både tid och budget avsätts
från och med nu och under 2017/2018 för
att förstå dataskyddsförordningen och
genomföra de förändringar som krävs på
ett planerat och strukturerat sätt.
FYRA STEG TILL COMPLIANCE

1.Nulägesanalys
2.Gap-analys
3.Prioritera
4.Handlingsplan och implementera
NULÄGESANALYS
Syfte – få en bild av hur personuppgifter används
iorganisationen
• Vilka typer av personuppgifter behandlas
inomorganisationen och för vilka syften?
• Hur har personuppgifterna samlats in och hur
harinformation till individen sett ut?
• Gå igenom alla avtal som omfattar behandling
avpersonuppgifter!
• Vilka IT-system används, molntjänster,
andraunderleverantörer?
GAP-ANALYS
Syfte - identifiera brister
• Hur påverkar de nya lagkraven vår organisation?
• Var i organisationen har vi de största riskerna?
• Berörs viktiga avtal eller vår affärsmodell?
PRIORITERA
Syfte – prioritera arbetet
•Vad är affärsmässigt bäst för
organisationen?
•Vilka brister bör vi prioritera?
HANDLINGSPLAN OCH
IMPLEMENTERA
Syfte – åtgärda de brister som identifieras enligt
prioritering
• Upprätta intern förteckning över personuppgiftsbehandlingar
• Uppdatera privacy policy (integritetspolicy)
• Dataskyddsombud
• Upprätta interna rutiner/processer för t.ex.incidenthantering,
konsekvensbedömningar och privacy bydesign.
• Omförhandla avtal
VÅRA SYSTEM?
• Rita upp vart identitetsdata hanteras idag, kopplingar m.m.
• Kryptera identitetsdata eller misstänkt sådan
• Unika hash på Id som kan härleda till andra källor
• Samtyckehantering
• Deadline på data
• Forgotten
• Rapportering
• Audit?
RITA…
KRYPTERA…
ID-HANTERING
SAMTYCKE
DEADLINE PÅ DATA
FORGOTTEN
RAPPORTERING
AUDIT
SAMMANFATTNING
• Har ni bra hantering idag och följer PUL så har ni
enbra grund att arbeta ifrån.
• Skapa förståelse i er organisation då detta är en
gamechanger.
• Struktur, planering och ansvar är nyckelord.
• Dokumentera!
• Glöm inte – de som hanterar denna övergång
på ett bra sätt har konkurrensfördelar!
Tack! :D

https://www.linkedin.com/in/
johan-normén-b9639726

@johannormen

www.johannormen.com