Hoppa till innehållet
Avanet
Den nya schweiziska dataskyddslagen (nDSG) – Vad är extremt viktigt sedan 2023-09-01?

Den nya schweiziska dataskyddslagen (nDSG) – Vad är extremt viktigt sedan 2023-09-01?

Den nya dataskyddslagen (nDSG) och de tillhörande förordningarna trädde i kraft i Schweiz den 1 september 2023. Lagändringen anpassar dataskyddet till dagens teknik och samhälle. Människor ska bättre kunna förstå och kontrollera hur deras uppgifter används. Detta var också länge försenat, med tanke på att den gamla dataskyddslagen var från 1992. Google grundades 1998 och Facebook (Meta) gick online 2004. Senast då började datainsamlingen 🐙 i stor skala. GDPR har också varit i kraft sedan maj 2018, och Schweiz har nu följt efter, dock med en väsentlig skillnad när det gäller påföljder.

Jag förklarar strax varför IT-säkerhet därmed blir ännu viktigare och varför många först nu reagerar.

Varför behövdes en ny lag?

Den nya schweiziska dataskyddslagen har två huvudmål:

  • Den uppdaterar reglerna för att anpassa dem till dagens tekniker som molnet, sociala medier, AI, Big Data och IoT. Detta syftar till att ge människor mer kontroll över sina egna uppgifter.
  • Den säkerställer att dataskyddet i Schweiz höjs till EU:s nivå. Detta är viktigt för att datautbytet mellan Schweiz 🇨🇭 och EU 🇪🇺 ska kunna fortsätta utan problem. Lagen tar även hänsyn till EU-förordningar och internationella dataskyddsavtal.

Personuppgifter? Det berör inte mig!

Det berör alla som hanterar personuppgifter. Både i arbetet, i en förening och i privatlivet (med undantag för vänner och familj). Så snart information direkt eller indirekt avser en identifierad fysisk person betraktas den som personuppgifter. Det omfattar inte bara namn och adress, utan även exempelvis IP-adresser och e-postadresser. Om sådana uppgifter samlas in, lagras, används, ändras eller raderas talar man om behandling, och den uppdaterade dataskyddslagen är tillämplig.

Privacy by Design och Privacy by Default

Privacy by Default” och “Privacy by Design” innebär att företag måste införliva dataskydd i sin teknik och sina inställningar från början. Det betyder att dataskyddsregler måste beaktas redan i planeringsfasen vid utveckling av appar eller webbplatser. Dessutom bör standardinställningarna alltid vara det mest dataskyddsvänliga alternativet. Om en webbplats till exempel har ett medlemsområde, bör användarens namn inte vara synligt som standard.

Minimera datainsamlingen till det nödvändiga

När något byggs upp från början (Privacy by Default) är det naturligtvis lättare att ta hänsyn till detta; i efterhand blir det alltid mer arbetskrävande. Det är viktigt att uppgifter endast används för det ändamål som de ursprungligen samlades in för. De får bara användas för andra ändamål om det finns en hållbar grund, till exempel för att fullgöra ett avtal, eller om den berörda personen uttryckligen samtycker.

Om uppgifterna inte längre behövs för det ursprungliga syftet ska de utan dröjsmål raderas eller anonymiseras.

Cookies 🍪

Det irriterande med cookies och de tillhörande cookie-bannrarna.

Cookies är små textfiler som lagras av webbplatser på användarens dator eller mobila enhet. De används ofta för att förbättra användarupplevelsen genom att spara inställningar eller spåra användarbeteende. I den nya dataskyddslagen är cookies relevanta eftersom de ofta samlar in personuppgifter. Lagen kräver därför att användarna tydligt och klart informeras om vilka cookies som används och i vilket syfte. Dessutom måste användarna ge sitt samtycke innan cookies får placeras. Standardinställningarna som syns i cookie-bannern måste vara dataskyddsvänliga. Det betyder att endast absolut nödvändiga cookies ska aktiveras automatiskt.

Att driva en webbplats utan cookies som samlar in användardata är dock inte längre svårt. Tack vare GDPR finns det olika nya verktyg som alternativ och som tar dataskydd på allvar. Vår webbplats använder inga cookies.

Integritetspolicy

Integritetspolicyn är ett centralt dokument som bör finnas på varje företags webbplats. Den informerar besökare och kunder om vilka personuppgifter som samlas in, hur dessa uppgifter används och lagras samt vilka rättigheter de registrerade har när det gäller sina uppgifter. En tydlig och begriplig integritetspolicy är dessutom inte bara god affärspraxis, utan också ett lagkrav, särskilt i ljuset av de nya dataskyddsreglerna. Den bör uppdateras regelbundet för att ta hänsyn till nya rättsliga krav eller förändringar i databehandlingen.

Rätten till sina uppgifter

Varje person har rätt att få information om de uppgifter som lagras om honom eller henne. Denna information ska som regel lämnas inom 30 dagar och utan kostnad för den berörda personen. Personer har rätt att få felaktiga uppgifter korrigerade eller att begära radering av uppgifter. Dessa rättigheter är dock inte absoluta och omfattas av begränsningar, exempelvis lagstadgade lagringskrav.

IT-säkerhet

Låt oss nu övergå till det egentliga ämnet i denna artikel: hur man skyddar data. Som man ser finns det flera ställen i ett företag där data samlas in och därmed också lagras. Allt som lagras någonstans kan stjälas, krypteras, ändras eller raderas. Med rätt tekniska åtgärder finns möjligheten att förhindra oönskade förändringar.

Införandet av den nya dataskyddslagen (nDSG) i Schweiz har tydligt ökat betydelsen av IT-säkerhet i företag, särskilt i små och medelstora företag (SMF). Även om IT-säkerhet alltid har varit en kritisk faktor har nDSG gjort frågan ännu mer akut. Sedan lagen trädde i kraft den 1 september 2023 har vi sett en betydande ökning av förfrågningar från SMF som vill stärka sina IT-säkerhetsåtgärder.

Någon annan ska ta hand om det

Många av de förfrågningar vi har fått har handlat om tjänsten Managed Detection and Response (MDR). Företag vill lämna över ansvar och inser att IT-säkerhet inte är löst bara för att en brandvägg och den redan befintliga Windows Defender är installerade.

Det ligger därför nära till hands att lägga ut denna uppgift på externa tjänsteleverantörer som arbetar heltid med threat hunting, inte gör något annat och känner branschen mycket väl. Det är ett klokt beslut, eftersom MDR erbjuder proaktiv övervakning och respons på säkerhetsincidenter, vilket ligger i linje med kraven i nDSG. Om man har fler system i företaget kan man dessutom skicka telemetridata från tredjepartssystem till Sophos. Det innebär att även dessa data kan tas med i en heltäckande säkerhetsanalys.

Trots detta hör man gång på gång personer som menar att de kan göra detta själva och som underskattar frågans räckvidd. Här kan jag rekommendera artikeln med videorna; man ändrar snabbt uppfattning: The Ransomware Documentary

Jag talar här i första hand om slutpunkten, men detsamma gäller naturligtvis även brandväggen. Konfiguration, underhåll, revision och pentest bör utföras av utbildad personal eller, om sådan inte finns, läggas ut på en extern tjänsteleverantör som oss.

Säkerhetsrevision - Testa om och om igen

Medan de flesta ser regelbundna kontroller och underhåll av sina bilar som en självklarhet, eftersom det föreskrivs i lag, försummas IT-säkerheten ofta. Samtidigt är det just i dag, när hotlandskapet ständigt växer och förändras, nödvändigt att regelbundet sätta IT-systemen på prov.

Ett viktigt steg mot en robust IT-säkerhet är regelbundna revisioner och pentester. Medan revisioner kontrollerar efterlevnaden av säkerhetsriktlinjer, simulerar pentester cyberattacker för att identifiera sårbarheter i systemet. Båda metoderna är viktiga för att säkerställa att säkerhetsåtgärderna uppfyller nuvarande krav.

Några bästa metoder för cybersäkerhet

I vårt nyligen publicerade blogginlägg “Sophos rekommendationer – Cybersecurity Best Practices” har vi lyft fram flera punkter som är viktiga för IT-säkerheten. Många av dessa punkter skulle kunna falla under kategorin “oaktsamhet” om de inte beaktas, särskilt mot bakgrund av det nya nDSG.

Anmälningsplikt

EDÖB står för den schweiziska federala dataskydds- och offentlighetsombudsmannen. Det är en oberoende myndighet som övervakar och verkställer dataskyddet på federal nivå. I den nya dataskyddslagen (nDSG) spelar EDÖB en viktig roll, eftersom myndigheten ansvarar för att övervaka efterlevnaden av lagen. Vid personuppgiftsincidenter som innebär en hög risk för de berörda personerna måste incidenterna anmälas till EDÖB. Myndigheten kan också utfärda anvisningar och besluta om sanktioner om dataskyddsbestämmelser inte följs.

Nationella Cybersäkerhetscentret (NCSC) Rapportera incident
report.ncsc.admin.ch

Inom ramen för nDSG måste cyberattacker som leder till en kränkning av datasäkerheten anmälas till EDÖB. Detta gäller särskilt om attacken innebär en hög risk för de berörda personernas personlighetsrättigheter eller grundläggande rättigheter.

En kränkning av datasäkerheten föreligger när personuppgifter oavsiktligt eller olagligt går förlorade, raderas, förstörs, ändras eller görs tillgängliga för obehöriga personer. Detta ska omedelbart anmälas till EDÖB. Anmälan ska göras så snabbt som möjligt, i regel inom 72 timmar efter att attacken blivit känd. EDÖB är den behöriga myndigheten för att ta emot sådana anmälningar och följa upp situationen. Incidenten måste dock också rapporteras till NCSC: Rapportera incident till Nationella Cybersäkerhetscentret (NCSC)

Ett sådant scenario bör tänkas igenom i förväg och inte först när krisen redan är ett faktum.

Straffbarhet

Vid avsiktliga överträdelser av nDSG, såsom brott mot informations-, upplysnings-, medverkans- eller omsorgsplikter, kan privatpersoner dömas till böter på upp till 250 000 CHF. Vid överträdelser i affärsverksamhet kan företaget bötfällas med upp till 50 000 CHF om det skulle innebära oproportionerligt stor ansträngning att fastställa vilka personer som är ansvariga – och om ett bötesbelopp för dessa personer på högst 50 000 CHF skulle komma i fråga.

Detta är också den väsentliga skillnaden jämfört med GDPR. När det gäller straffbarhet är det särskilt viktigt att beakta att brott mot vissa skyldigheter från och med den 1 september 2023 kan leda till straffansvar som inte träffar företaget, utan den ansvariga fysiska personen. De ansvariga personerna kan vara medlemmar av företagsledningen, andra beslutsfattare i företaget eller personer som har begått en skyldighetsöverträdelse (t.ex. brott mot sekretess). Enligt schweizisk rätt är dock endast uppsåtliga handlingar straffbara.

Böter på upp till 250 000 CHF kan utdömas i Schweiz för olika dataskyddsöverträdelser, bland annat:

  • Bristande transparens eller saknad integritetspolicy
  • Saknade avtalsmässiga överenskommelser med databehandlare
  • Brister i datasäkerheten, såsom otillräckliga tekniska och organisatoriska åtgärder (TOM)
  • Överföring av personuppgifter till länder utan tillräckligt dataskydd, utan ytterligare säkerhetsåtgärder eller utan giltigt undantag, såsom samtycke
  • Underlåtenhet att uppfylla skyldigheten att lämna information
  • Åsidosättande av den så kallade “lilla yrkeshemligheten”

Den reviderade schweiziska dataskyddslagen föreskriver också straffrättsliga konsekvenser för enskilda som är ansvariga för sådana brott.

FAQ om den nya nDSG

Vad är den nya schweiziska dataskyddslagen?

Det är en revidering av dataskyddslagen från 1992, som trädde i kraft den 1 september 2023, för att stärka dataskyddet i Schweiz och anpassa det till EU:s allmänna dataskyddsförordning.

Vilka är straffen för överträdelser av nDSG?

Påföljderna kan uppgå till 250 000 CHF, och straffrättsliga sanktioner mot enskilda personer är också möjliga.

Vad betyder "Privacy by Design"?

Det är en princip där dataskydd och datasäkerhet integreras från början i planeringen och utvecklingen av projekt.

Måste företag informera användarna om behandlingen av deras uppgifter?

Ja, företag måste tydligt och klart informera sina användare om vilka uppgifter som samlas in och i vilket syfte.

Gäller nDSG även för företag utanför Schweiz?

Ja, lagen har ett gränsöverskridande tillämpningsområde och gäller för alla webbplatser som behandlar personuppgifter om personer i Schweiz, oavsett var de befinner sig.

Vilka krav ställer den nya nDSG på samtycke?

Samtycke måste vara specifikt, informerat och frivilligt, och användarna bör ha möjlighet att ge sitt samtycke för olika kategorier av cookies.

Vem berörs av den nya dataskyddslagen?

Alla som arbetar med personuppgifter berörs av lagen. Detta gäller företag, föreningar, men även privatpersoner, förutsatt att användningen av uppgifterna går utöver den privata sfären som familj och vänner.

Friskrivningsklausul ⚖️

Observera att detta blogginlägg endast är en kort sammanfattning av aspekter av den nya dataskyddslagen som vi anser vara viktiga. Vi är inte juridiska experter eller advokater. För heltäckande juridisk rådgivning bör du kontakta en kvalificerad advokat för att säkerställa att du uppfyller alla rättsliga krav. Vår huvudkälla här var Admin.ch :: Pressmeddelande :: Ny dataskyddsrätt från den 1 september 2023

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.