Hoppa till innehållet
Avanet
Nya schweiziska dataskyddslagen (nDSG) – Vad är extremt viktigt sedan 2023-09-01?

Nya schweiziska dataskyddslagen (nDSG) – Vad är extremt viktigt sedan 2023-09-01?

4. OKTOBER 2023

Den nya dataskyddslagen (nDSG) och de därtill hörande förordningarna trädde i kraft i Schweiz den 1 september 2023. Lagändringen anpassar dataskyddet till dagens teknik och samhälle. Människor ska bättre kunna förstå och kontrollera hur deras uppgifter används. Detta är också länge försenat, med tanke på att den gamla dataskyddslagen daterades till 1992. Google grundades 1998 och Facebook (Meta) lanserades online 2004. Senast då började datainsamlingen 🐙 i stor skala. GDPR har också varit i kraft sedan maj 2018, och Schweiz har nu följt efter, dock med en betydande skillnad när det gäller straff.

Jag kommer att förklara varför IT-säkerhet blir ännu viktigare som ett resultat och varför många först nu reagerar.

Varför behövdes en ny lag?

Den nya schweiziska dataskyddslagen har två huvudmål:

  • Den uppdaterar reglerna för att anpassa dem till dagens tekniker som molnet, sociala medier, AI, Big Data och IoT. Detta syftar till att ge människor mer kontroll över sina egna uppgifter.
  • Den säkerställer att dataskyddet i Schweiz höjs till EU:s nivå. Detta är viktigt för att datautbytet mellan Schweiz 🇨🇭 och EU 🇪🇺 ska kunna fortsätta utan problem. Lagen tar även hänsyn till EU-förordningar och internationella dataskyddsavtal.

Personuppgifter? Det berör inte mig!

Det berör alla som hanterar personuppgifter. Både på jobbet och i en förening eller i privatlivet (exklusive vänner och familj). Så snart information direkt eller indirekt relaterar till en specifik fysisk person, betraktas den som personuppgifter. Detta inkluderar inte bara namn och adress, utan även saker som IP-adress eller e-postadress. Om sådana uppgifter samlas in, lagras, används, ändras eller raderas, talar man om behandling och den uppdaterade dataskyddslagen gäller.

Privacy by Design och Privacy by Default

Privacy by Default” och “Privacy by Design” innebär att företag måste införliva dataskydd i sin teknik och sina inställningar från början. Det betyder att dataskyddsregler måste beaktas redan i planeringsfasen vid utveckling av appar eller webbplatser. Dessutom bör standardinställningarna alltid vara det mest dataskyddsvänliga alternativet. Om en webbplats till exempel har ett medlemsområde, bör användarens namn inte vara synligt som standard.

Minimera datainsamlingen till det nödvändiga

När något byggs upp på nytt (Privacy by Default), är det naturligtvis lättare att ta hänsyn till detta; i efterhand är det alltid lite mer komplext. Det är viktigt att data endast används för det ändamål för vilket de ursprungligen samlades in. De får endast användas för andra ändamål om det finns en giltig anledning, såsom att uppfylla ett avtal, eller om den berörda personen uttryckligen samtycker.

Om uppgifterna inte längre behövs för det ursprungliga syftet ska de utan dröjsmål raderas eller anonymiseras.

Cookies 🍪

Det irriterande med cookies och de tillhörande cookie-bannrarna.

Cookies är små textfiler som lagras av webbplatser på användarens dator eller mobila enhet. De används ofta för att förbättra användarupplevelsen genom att spara inställningar eller spåra användarbeteende. I den nya dataskyddslagen är cookies relevanta eftersom de ofta samlar in personuppgifter. Lagen kräver därför att användarna tydligt och klart informeras om vilka cookies som används och i vilket syfte. Dessutom måste användarna ge sitt samtycke innan cookies får placeras. Standardinställningarna som syns i cookie-bannern måste vara dataskyddsvänliga. Det betyder att endast absolut nödvändiga cookies ska aktiveras automatiskt.

Att driva en webbplats utan cookies som samlar in användardata är dock inte längre svårt. Tack vare GDPR finns olika nya verktyg tillgängliga som alternativ som tar dataskydd på allvar. Vår webbplats använder inga cookies.

Integritetspolicy

Integritetspolicyn är ett viktigt dokument som bör finnas på varje företags webbplats. Den informerar besökare och kunder om vilka personuppgifter som samlas in, hur dessa uppgifter används och lagras, och vilka rättigheter de berörda personerna har med avseende på sina uppgifter. Dessutom är en tydlig och begriplig integritetspolicy inte bara en god affärspraxis utan också lagstadgad, särskilt med tanke på nya dataskyddslagar. Den bör uppdateras regelbundet för att återspegla nya lagkrav eller förändringar i databehandlingspraxis.

Rätten till sina uppgifter

Varje person har rätt till information om de lagrade uppgifterna. Denna information måste i regel lämnas inom 30 dagar och kostnadsfritt till den berörda personen. Personer har rätt att få felaktiga uppgifter rättade eller att begära radering av uppgifter. Dessa rättigheter är dock inte absoluta och omfattas av begränsningar, såsom lagringsskyldighet.

IT-säkerhet

Låt oss nu övergå till det egentliga ämnet i denna artikel: hur man skyddar data. Som ni ser finns det olika ställen i ett företag där data samlas in och därmed också lagras. Allt som lagras någonstans kan stjälas, krypteras, ändras eller raderas. Med nödvändiga tekniska medel har man nu möjlighet att förhindra oönskade ändringar.

Införandet av den nya dataskyddslagen (nDSG) i Schweiz har avsevärt ökat vikten av IT-säkerhet i företag, särskilt i små och medelstora företag (SMF). Även om IT-säkerhet alltid har varit en kritisk faktor, har nDSG ytterligare förstärkt brådskan i denna fråga. Sedan lagen trädde i kraft den 1 september 2023 har vi fått en betydande ökning av förfrågningar från SMF som vill stärka sina IT-säkerhetsåtgärder.

Någon annan ska ta hand om det

Många förfrågningar vi har fått har rört Managed Detection and Response (MDR) -tjänsten. Företag vill delegera ansvar och inser att IT-säkerhet inte bara hanteras genom att installera en brandvägg och den redan befintliga Windows Defender.

Det är därför uppenbart att lägga ut denna uppgift på externa tjänsteleverantörer som arbetar heltid med ämnet och ägnar sig åt hotjakt, som inte gör något annat och känner scenen extremt väl. Detta är ett klokt beslut, eftersom MDR erbjuder proaktiv övervakning och respons på säkerhetsincidenter, vilket är i linje med kraven i nDSG. Om du nu har andra system i företaget kan du också skicka dessa tredjeparts telemetridata till Sophos. Detta innebär att dessa data också kan beaktas för en omfattande säkerhetsanalys.

Trots det hör man fortfarande folk som tror att de kan göra det själva och underskattar betydelsen av detta ämne. Här kan jag rekommendera denna artikel med videorna och du kommer snabbt att ändra dig: Ransomware-dokumentären

Jag talar här i första hand om slutpunkten, men detsamma gäller naturligtvis även brandväggen. Konfiguration, underhåll, revision och pentest bör utföras av utbildad personal eller, om sådan inte finns, läggas ut på en extern tjänsteleverantör som oss.

Säkerhetsrevision - Testa om och om igen

Medan de flesta människor anser regelbundna inspektioner och underhåll av sina bilar som självklart, då det föreskrivs i lag, försummas ofta IT-säkerheten. Ändå är det just i dagens tid, då hotbilden ständigt växer och förändras, absolut nödvändigt att ständigt testa IT-systemen.

Ett viktigt steg mot en robust IT-säkerhet är regelbundna revisioner och pentester. Medan revisioner kontrollerar efterlevnaden av säkerhetsriktlinjer, simulerar pentester cyberattacker för att identifiera sårbarheter i systemet. Båda metoderna är viktiga för att säkerställa att säkerhetsåtgärderna uppfyller nuvarande krav.

Några bästa metoder för cybersäkerhet

I vårt nyligen publicerade blogginlägg “Sophos rekommendationer – Bästa metoder för cybersäkerhet” har vi belyst flera punkter som är viktiga för IT-säkerheten. Många av dessa punkter kan falla under kategorin “försumlighet” om de inte beaktas, särskilt med tanke på den nya nDSG.

Anmälningsplikt

FDPIC står för Federal Data Protection and Information Commissioner i Schweiz. Det är en oberoende myndighet som övervakar och upprätthåller dataskyddet på federal nivå. I den nya dataskyddslagen (nDSG) spelar FDPIC en viktig roll eftersom den ansvarar för att övervaka att lagen följs. Vid dataintrång som utgör en hög risk för de berörda personernas personliga rättigheter eller grundläggande rättigheter, måste dessa rapporteras till FDPIC. De kan också utfärda instruktioner och införa sanktioner om dataskyddsbestämmelser inte följs.

Nationella Cybersäkerhetscentret (NCSC) Rapportera incident
report.ncsc.admin.ch

Inom ramen för nDSG måste cyberattacker som leder till ett dataintrång rapporteras till FDPIC. Detta gäller särskilt om attacken utgör en hög risk för de berörda personernas personliga rättigheter eller grundläggande rättigheter.

Ett dataintrång uppstår när personuppgifter oavsiktligt eller olagligt förloras, raderas, förstörs, ändras eller görs tillgängliga för obehöriga personer. Detta måste omedelbart rapporteras till FDPIC. Rapporteringen måste göras så snart som möjligt, vanligtvis inom 72 timmar efter att attacken blivit känd. FDPIC är den behöriga myndigheten för att ta emot sådana rapporter och för vidare övervakning av situationen. Incidenten måste dock också rapporteras till NCSC: Rapportera incident till Nationella Cybersäkerhetscentret (NCSC)

Ett sådant scenario bör övervägas i förväg och inte först när nödfall inträffar.

Straffbarhet

Vid avsiktliga överträdelser av nDSG, såsom brott mot informations-, upplysnings-, samarbets- eller omsorgsplikter, kan privatpersoner bötfällas med upp till 250 000 CHF. Vid överträdelser i affärsverksamhet kan företag bötfällas med upp till 50 000 CHF om identifieringen av de felande personerna skulle innebära en oproportionerlig ansträngning – och en böter för dessa på högst 50 000 CHF skulle kunna beaktas.

Detta är också den väsentliga skillnaden mot GDPR. Med avseende på straffbarheten måste det särskilt beaktas att från och med den 1 september 2023 medför brott mot vissa skyldigheter straffbarhet, som inte drabbar företaget, utan den ansvariga fysiska personen. De ansvariga personerna kan vara både medlemmar i ledningen och andra beslutsfattande personer i företaget, eller de personer som har begått ett pliktbrott (t.ex. brott mot sekretess). Enligt schweizisk lag är dock endast det medvetna handlandet straffbart.

En böter på upp till 250 000 CHF kan utdömas i Schweiz för olika dataskyddsbrott, inklusive:

  • Bristande transparens eller saknad integritetspolicy
  • Saknade avtalsmässiga överenskommelser med databehandlare
  • Brister i datasäkerheten, såsom otillräckliga tekniska och organisatoriska åtgärder (TOM)
  • Överföring av personuppgifter till länder utan tillräckligt dataskydd, utan ytterligare säkerhetsåtgärder eller utan giltigt undantag, såsom samtycke
  • Underlåtenhet att följa informationsplikten
  • Åsidosättande av den så kallade “lilla yrkeshemligheten”

Den reviderade schweiziska dataskyddslagen föreskriver också straffrättsliga konsekvenser för enskilda som är ansvariga för sådana brott.

FAQ om den nya nDSG

Vad är den nya schweiziska dataskyddslagen?

Det är en revidering av dataskyddslagen från 1992, som trädde i kraft den 1 september 2023, för att stärka dataskyddet i Schweiz och anpassa det till EU:s allmänna dataskyddsförordning.

Vilka är straffen för överträdelser av nDSG?

Påföljderna kan uppgå till upp till 250 000 CHF, med möjlighet till straffrättsliga sanktioner även mot enskilda personer.

Vad betyder "Privacy by Design"?

Det är en princip där dataskydd och datasäkerhet integreras från början i planeringen och utvecklingen av projekt.

Måste företag informera användarna om behandlingen av deras uppgifter?

Ja, företag måste tydligt och klart informera sina användare om vilka uppgifter som samlas in och i vilket syfte.

Gäller nDSG även för företag utanför Schweiz?

Ja, lagen har ett gränsöverskridande tillämpningsområde och gäller för alla webbplatser som behandlar personuppgifter om personer i Schweiz, oavsett var de befinner sig.

Vilka krav ställer den nya nDSG på samtycke?

Samtycke måste vara specifikt, informerat och frivilligt, och användarna bör ha möjlighet att ge sitt samtycke för olika kategorier av cookies.

Vem berörs av den nya dataskyddslagen?

Alla som arbetar med personuppgifter berörs av lagen. Detta gäller företag, föreningar, men även privatpersoner, förutsatt att användningen av uppgifterna går utöver den privata sfären som familj och vänner.

Friskrivningsklausul ⚖️

Observera att detta blogginlägg endast är en kort sammanfattning av aspekter av den nya dataskyddslagen som vi anser vara viktiga. Vi är inte juridiska experter eller advokater. För fullständig juridisk rådgivning bör du konsultera en kvalificerad advokat för att säkerställa att du uppfyller alla lagkrav. Vår huvudkälla här var Admin.ch :: Pressmeddelande :: Ny dataskyddslag från den 1 september 2023

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.