Litt om meg. Fritid Sykkel, Håndball

Transkript

1 GDPR

2 Litt om meg. Geir-Ove Kjellbakk (45år) Kommer fra Rognan (Saltdal) Variabel karriere bak meg. Mange år i lokal radio NSB Super bruker og system ansvarlig. Enkeltmannsforetak Utdanning Nettverk og IT-sikkerhet. IT-Konsulent i Fauske Kommune. Ansvar for GDPR blant annet. Fritid Sykkel, Håndball

3 Bakgrunn for foredrag om GDPR Skrev en større oppgave på slutten av studiet. GDPR - Hva vil det bety for Norske bedrifter? (Oppgaven og presentasjon karakteren A ) Personvernombud i Fauske Kommune tidlig forespørsel om arkiv. Pirret nysgjerrigheten min mot Arkiv systemer. Arkiv systemer i GDPR.

4 GDPR (General Data Protection Regulation) Den nye Personvernforordningen

5

6 Hvordan skaffe seg kunnskap om GDPR Bestille foredrag som her. Bruke Datatilsynet, Arkivverket. Lese Lovteksten.ca 150 sider på engelsk, noe kortere på Norsk foreløpig tekst) Media skriver en god del om dette!

7 Hva skal vi snakke om? Begreper Sikkerhet Hva er det? Hvorfor er den nye loven viktig? Meg som privat person, hva betyr det i GDPR. Innføringen av GDPR.

8 Vi snakker videre om. Hva er personvern? Hva er personopplysninger? Elementer i behandling av Persondata? Roller. Viktige planer som må utvikles/redigeres. Brudd på Forordningen. Hva bør bedriftene gjøre nå?

9 Noen Begreper som er viktige Personopplysning Enhver opplysning som direkte eller indirekte identifiserer en fysisk person. Behandling Enhver operasjon som gjøres med personopplysninger, enten automatisk eller ikke. (Lese, Skrive, Redigere, flytte, sende osv.) Behandlingsansvarlig - en fysisk eller juridisk person, en offentlig myndighet, en institusjon som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger. Databehandler - en fysisk eller juridisk person, offentlig myndighet, institusjon som behandler personopplysninger på vegne av den behandlingsansvarlige.

10 Hva blir nytt i den nye GDPR Nye rettigheter Behandlingsgrunnlag Formål Informasjon Personvernerklæringer Større ansvar for bedrifter/organisasjoner Sikkerhetskrav 10

11 Litt om Sikkerhet GDPR = Sikkerhet i behandling. Eks.: Konkrete ting i forholdet lagring og forsendelser. Krav til bruk av risikoanalyser og DPIA. Konkrete tekniske krav. Eks. i alle nye systemer.

12 Sikkerhetsarbeid, hva er det? Beskyttelse av verdier! Hva er verdifullt i din bedrift? - Persondata - Kunder - Pasienter - Ansatte - Ledelse - Systemer - Planer - Patenter - Bedriftshemmeligheter - Kunnskap

13 Verdi på Helseopplysninger. Hvor mye er dine helseopplysninger verdt? Helseopplysninger kan være interessant for eks for forsikringsselskaper og at opplysningene videreselges på det svarte markedet. Der er helseopplysninger verdt 10 ganger så mye som kredittkortopplysningene dine (kilde: Tekniske duppeditter i kroppen. Eks Pacemaker. Kan disse hackes, utnyttes? JA!

14 Viktig for privatpersonen Forordningen fører med seg fem nye rettigheter for EU-borgere og nordmenn: 1. Retten til å få behandlingen begrenset. 2. Retten til dataportabilitet. 3. Retten til å motsette seg en behandling, 4. Retten til å bli glemt. 5. Retten til å motsette deg profilering og automatiserte avgjørelser.

15 Mine opplysninger er viktige Viktige spørsmål som bedrifter må kunne svare fort på. Rettigheter: Hvilke av mine opplysninger lagres? Hvor lagres de? Hvordan sikres de fra at uvedkommende får tilgang til dem? Og hvor lenge lagrer dere mine helseopplysninger?

16 Hva er personvern? Datatilsynet beskriver personvern slik: Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Alle mennesker har en ukrenkelig egenverdi. Som enkeltmenneske har du derfor rett på en privat sfære som du selv kontrollerer, hvor du kan handle fritt uten tvang eller innblanding fra staten eller andre mennesker. I denne sammenheng så snakker vi altså om vern av privat personen gjennom vern og beskyttelse av personopplysninger/persondata.

17 Personvern i grunnloven Grunnloven 102 lyder: «Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet.» Forståelse av dette (Kom inn i 2014): «skal leses som at systematisk innhenting, oppbevaring og bruk av opplysninger om andres personlige forhold bare kan finne sted i henhold til lov, benyttes i henhold til lov eller informert samtykke og slettes når formålet ikke lenger er til stede».

18 Forankret i EMK (Europeiske Menneskerettighetskonvensjonen) EMK artikkel 8 lyder (i norsk oversettelse): «1. Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse. 2. Det skal ikke skje noe inngrep av offentlig myndighet i utøvelsen av denne rettighet unntatt når dette er i samsvar med loven og er nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter.»

19 Personlige data / Personopplysninger Hva er personopplysninger? Er en opplysning eller vurdering som direkte eller indirekte kan knyttes til en enkeltperson, eksempel: navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer). Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om hva du handler, hvilke butikker du går i, hvilke tv-serier du ser på, hvor du beveger deg i løpet av en dag og hva du søker etter på nettet er alt sammen personopplysninger. Eksempelvis er en av de nyere utfordringene for personvernet er at vi legger igjen så mange digitale spor.

20 Sensitive Personopplysninger Sensitive Personopplysninger: er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.

21 Kombinasjon av data er viktig. Geir-Ove er en mann og er personvernombud i Fauske kommune. Personvernombudet i Fauske kommune har fått en kreftdiagnose. (Influensa) Nei min kollega Geir-Ove er syk i dag med en Kreftdiagnose. (Influensa)

22 Lovlighet i behandling Ved behandling: Samtykke. Rettslig grunnlag til å behandle. Lovpålagt grunnlag. Formål.

23 Artikkel 5 - Prinsipper 1. Personopplysninger skal a) behandles på en lovlig, rettferdig og gjennomsiktig måte med hensyn til den registrerte («lovlighet, rettferdighet og gjennomsiktighet»), b) samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene; viderebehandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal i samsvar med artikkel 89 nr. 1 ikke anses som uforenlige med de opprinnelige formålene («formålsbegrensning»), c) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»), d) være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller korrigeres («riktighet»), e) lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for; personopplysninger kan lagres i lengre perioder dersom de utelukkende vil bli behandlet for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1, forutsatt at det gjennomføres egnede tekniske og organisatoriske tiltak som kreves i henhold til denne forordning for å sikre de registrertes rettigheter og friheter («lagringsbegrensning»), f) behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og fortrolighet»). 2. Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at nr. 1 overholdes («ansvar»).

24 Artikkel 6 Behandlingens Lovlighet 1. Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt: a) den registrerte har gitt samtykke til behandling av sine personopplysninger for ett eller flere spesifikke formål, b) behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse, c) behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige, d) behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser, e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn. bokstav f) får ikke anvendelse på behandling som utføres av offentlige myndigheter som ledd i utførelsen av deres oppgaver.

25 Artikkel 9 Sensitive/Særlige kategorier 1. Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt. 2. Nr. 1 får ikke anvendelse dersom et av følgende vilkår er oppfylt: a) Den registrerte har gitt uttrykkelig samtykke til behandling av slike personopplysninger for ett eller flere spesifikke formål, unntatt dersom det i unionsretten eller medlemsstatenes nasjonale rett er fastsatt at den registrerte ikke kan oppheve forbudet nevnt i nr. 1. b) Behandlingen er nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett i den grad dette er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett, eller en tariffavtale i henhold til medlemsstatenes nasjonale rett som gir nødvendige garantier for den registrertes grunnleggende rettigheter og interesser. c) Behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser dersom den registrerte fysisk eller juridisk ikke er i stand til å gi samtykke. d) Behandlingen utføres av en stiftelse, sammenslutning eller et annet ideelt organ hvis mål er av politisk, religiøs eller fagforeningsmessig art, som ledd i organets berettigede aktiviteter og med nødvendige garantier, forutsatt at behandlingen bare gjelder organets medlemmer eller tidligere medlemmer eller personer som på grunn av organets mål har regelmessig kontakt med det, og at personopplysningene ikke utleveres til andre enn nevnte organ uten de registrertes samtykke. e) Behandlingen gjelder personopplysninger som det er åpenbart at den registrerte har offentliggjort. f) Behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav eller når domstolene handler innenfor rammen av sin domsmyndighet. g) Behandlingen er nødvendig av hensyn til viktige samfunnsinteresser, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser. h) Behandlingen er nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin for å vurdere en arbeidstakers arbeidskapasitet, i forbindelse med medisinsk diagnostikk, yting av helse- eller sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer på grunnlag av unionsretten eller medlemsstatenes nasjonale rett eller i henhold til en avtale med helsepersonell og med forbehold for vilkårene og garantiene nevnt i nr. 3. i) Behandlingen er nødvendig av allmenne folkehelsehensyn, f.eks. vern mot alvorlige grenseoverskridende helsetrusler eller for å sikre høye kvalitets- og sikkerhetsstandarder for helsetjenester og legemidler eller medisinsk utstyr, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett der det fastsettes egnede og særlige tiltak for å verne den registrertes rettigheter og friheter, særlig taushetsplikt. j) Behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser. 3. Personopplysningene nevnt i nr. 1 kan behandles for formålene nevnt i nr. 2 bokstav h) dersom opplysningene behandles av en fagperson som har taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett eller regler fastsatt av nasjonale vedkommende organer, eller av en annen person som også har taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett eller regler fastsatt av nasjonale vedkommende organer. 4. Medlemsstatene kan opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger.

26 eprivacy Regulation En annen viktig lov, vedtatt i EU i 2017 Regulere elektronisk kommunikasjon. Den erstatter «eprivacy Directive» fra 2002, også kalt «cookies» loven. Første loven som begrenser eller regulerer bruk av såkalte «cookies».

27 Innføringen av GDPR Alle EU-land, land tilknyttet EU, bedrifter og land som gjør handel med EU får ny og enhetlig personvernlovgivning fra Dette er den største endringen innen personvernlovgivning i Europa på over 20 år. Kanskje en av de viktigste endringene i Europeisk lovgivning.

28 Hva skjer nå med GDPR. Behandling i Justis- og Beredskapsdepartementet. Høringsbrev sendt ut 6. juni i 17. Datatilsynet og mange andre gir tilsvar. Viktige forbedringer, tilpasninger. Så vil det etter hvert bli gjort vedtak i stortinget om de konkrete tilpasningene til det Norske lov systemet.

29 Stor påvirkning på samfunnet. Eksempel på lover som blir påvirket: Arkiv lovgivning Helseregisterloven Pasientjournalloven Politiregisterloven ++++ ca. 67 lover til. Norsk versjon av loven kom, sommeren Det jobbes akkurat nå med innføringen i det norske lov systemet. Justisdepartementet. Ca. 70 lover påvirkes.

30 Eksempel: Ansatte som mottar lønn og personopplysningen deres, nødvendig å lagre regnskap dokumenter i 10 år. Datatilsynet svarer: Så lenge det ikke er direkte motstrid mellom den nye personvernlovgivningen og særlovgivningen, vil særlovgivningen gjelde.

31 Pause Etter Pausen: Siste nytt om Lovgivningen Roller Hva blir viktig for Bedrifter/foretak Sikkerhet Behandling av persondata Påvirkning på Arkiv Hva må dere gjøre nå.

32 Siste nytt fra Justis og Beredskap Justis og Beredskapsdepartementet sendte ut høringsbrev. Høringsfristen 16 oktober Datatilsynet har skrevet en større høringsuttalelse.

33 Datatilsynet påpeker blant annet I forarbeidene uttales det at: «Departementet finner det selvsagt at formålet med behandlingen må være lovlig, og har ikke funnet grunn til å presisere dette nærmere i lovteksten.»4 Datatilsynet mener dette bør påpekes enda tydeligere, noe selve loven også gjør. Krav til Nasjonale regler for behandling av Sensitive opplysninger. Datatilsynet mener - Departementet drøfter i liten grad kravene til nasjonale regler for behandling av sensitive personopplysninger.

34 Proposisjon til Stortinget Kommentarer til de forskjellige artiklene i hvordan det bør tolkes og forstås. Forslag til Stortinget. 338 sider.

35 Roller Behandlingsansvarlig Databehandler Personvernombud

36 Behandlingsansvarlig Hoved ansvaret for all behandling, prosessering og bruk av personlige data. Ansvarlig for databehandlere. Ansvarlig for tildeling av oppgaver i behandling. Ansvarlig ved feil og tap.

37 Behandlings ansvarliges plikter Informasjonsplikt Varsleplikt Sletteplikt Tidsbegrenset bruk Meldeplikt

38 Datatilsynet beskrivelse: Databehandler En databehandler er en virksomhet som behandler personopplysninger på vegne av en annen virksomhet, den såkalt behandlingsansvarlige. (En underleverandør er en virksomhet som behandler personopplysninger på vegne av en databehandler. Forordningen understreker at behandlingsansvarlig skal godkjenne alle underleverandører skriftlig.)

39 Databehandler Skal aldri utføre behandling av persondata uten at det er på vegne av behandlingsansvarlig, eller en overordnet myndighet. Artikkel 28. Punkt 1. Der hvor behandling av personlige data skal skje på vegne av behandlings ansvarlig, skal det kun brukes databehandlere som kan implementere nokk tekniske og organisatoriske kunnskaper på en slik måte at behandlingen av de personlige data blir gjort etter reglene og sikrer rettighetene til data subjektene som behandles Punkt 2. En databehandler skal ikke overlate behandlingen av data til en annen databehandler uten spesifikk og skriftlig overføring av dette av en behandlings ansvarlig. Databehandler avtaler!

40 Personvernombud Det nye regelverket gir følgende føringer for personvernombudets rolle: Ombudet skal involveres i alle saker som handler om behandling av personopplysninger i virksomheten. Ombudet skal inkluderes i prosessen både tidlig nok og på en god nok måte til at hun eller han kan utføre sin rolle. Virksomheten har ansvar for at ombudet har tilstrekkelige ressurser og mulighet til å utføre sine oppgaver og opprettholde sin ekspertise.

41 mer om Personvereombudet Ombudet skal være uavhengig. Det er virksomhetens ansvar å sørge for at personvernombudet ikke mottar instruksjoner om hvordan han eller hun skal utføre arbeidet sitt. Ombudet kan ikke avskjediges eller straffes for å utføre sine oppgaver. Personvernombudet skal rapportere til virksomhetens øverste ledelse. Ombudet skal være bundet av taushetsplikt eller konfidensialitet under utførelsen av sine plikter. Så lenge det ikke fører til noen interessekonflikt, kan ombudet også utføre andre oppgaver i virksomheten. Kontakt punkt for Datatilsynet. Ved hendelser, forespørsler, mm.

42 Hva blir viktig for bedrifter! Hvilke tiltak må bedrifter gjøre for å bli oppdatert til GDPR? Fysisk og systemteknisk? Strukturelt/Organisatorisk?

43 Viktige planer som må på plass! Hendelseshåndtering Plan for informasjonssikkerhet i foretaket Planer for oppbevaring og forsendelse av persondata. Risikoanalyser ved behandling av sensitive persondata. Krisehåndtering. Varsling Nye forkortede frister. Max 72 timer.

44 Påkrevd sikkerhet Artikkel 32. Punkt 1. - Behandlingsansvarlig, personvernombud og databehandler skal implementere passende/nødvendig tekniske og organisatoriske sikkerhetsforanstaltninger for nødvendig sikring ut fra sikkerhetsrisiko. Punkt 2. - For å oppnå et nødvendig sikkerhetsnivå skal risikoen spesielt vurderes for bruken/prosesseringen/forsendelser, ulovlige forsendelser, tap, uautoriserte tilganger, eller tilgang generelt, lagring og alle andre prosesser som personlig data er en del av.

45 De viktigste konkrete tiltakene. Tilgangsbegrensing, Pseudonymisering og kryptering av personlige data. Mulighet til å forsikre seg om konfidensialitet, integritet, tilgjengelighet og motstandsdyktighet i Behandlinger. Evnen til å kunne restaurere og bygge opp igjen, personlige data innen en forventet tidsramme, i fall en teknisk hendelse som vil kreve det. En prosess for å jevnlig teste effektiviteten på sikkerhetstiltakene og den organisatoriske sikkerheten, og evne til å tette eventuelle hull i tiltakene.

46 Viktige prinsipper i behandling av persondata. Lovlighet Samtykke, Behandlingsgrunnlag Åpenhet for data subjektet. Nøyaktighet/relevans Dokumentasjon Sikkerhet

47 Behandling Forsendelse Kan jeg sende sensitive/konfidensielle personopplysninger til mine kunder på e-post dersom kundene samtykker til det? Det er ikke mulig for kunden å samtykke seg bort fra reglene om informasjonssikkerhet. En virksomhet er pålagt å sikre personopplysninger tilstrekkelig. Dersom det er personopplysninger som krever sikring av konfidensialitet, skal overføringen normalt krypteres. Datatilsynet

48 Behandlinger i Arkiv sammenheng. For arkiv- og statistikkformål er Artikkel 6, bokstav d om allmenn interesse et særlig aktuelt behandlingsgrunnlag. 1. Personopplysninger skal d) være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller korrigeres («riktighet»), Der det foreligger en plikt til å arkivere eller føre statistikk, vil også personopplysningsloven 8 bokstav b. Personopplysninger (jf. 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse

49 Behandling i Arkiv «Behandlingen kan i noen utstrekning også ha grunnlag i annen lovgivning, for eksempel arkivlova, statistikkloven eller helseforskningsloven.» (Prop. Fra Regjering) Artikkel 89 Beskriver arkiv unntak ved behandling i allmenhetens interesse.

50 Arkiv arbeid Flytting på data - Ved forflytting/overføring/forsendelser av større menger data/persondata - Lage plan. - Sjekke kategorier persondata som er involvert. - Gjøre risikovurdering evt. /DPIA for denne jobben. - Gjøre sikkerhetstiltak ut fra risiko vurdering. - Sensitive data = Kryptering

51 Teknisk løsninger Det viktigste for den registrerte er å kunne oppfylle rettigheter. Hvordan løser vi dette. Temaer her: Tekniske, Praktiske Organisatoriske løsninger for dette. Hvilke rettigheter kan/skal vi oppfylle: - Hindringer i særlover. - Behandlings grunnlag. - Evne til å gjøre det.

52 Brudd

53 Brudd på personvernforordningen Den gamle: 48 i Personopplysningsloven gir bøter eller inntil 1 års fengsel, eller begge deler. Tak, 10 x grunnbeløpet i folketrygd. Utgjør maksimalt ca. kr ,-

54 Brudd på den nye personvernforordningen. Beskrevet i Kapittel 8, Artikkel 83. Økonomiske straffe rammer. Bedrifts bøter med tak, 20 millioner Euro, eller 4% av årlig omsetning. Men også enkelt personer kan straffes. Databehandler Behandlings ansvarlig Sikkerhetsoffiser Bedrifts ledere Personvernombud Medlemslandene skal selv legge ned hvilken straff enkeltpersoner kan få i form av bøter eller fengsels straff. (Ikke klart enda)

55 Hva betyr GDPR for Bedrifter/Organisasjoner. 1. Alle norske virksomheter får nye plikter. 2. Alle skal ha forståelig informasjon om hvordan de bruker personopplysninger. (Personvernerklæring) 3. Alle skal vurdere risiko og personvernkonsekvenser. 4. Alle skal bygge personvern inn i nye løsninger. 5. Mange virksomheter må opprette personvernombud. 6. Reglene gjelder også virksomheter utenfor Europa. 7. Alle databehandlere får nye plikter. 8. Alle bør samarbeide i egne nettverk og følge bransjenormer. 9. Alle får nye krav til avvikshåndtering. 10. Alle må kunne oppfylle borgernes nye rettigheter. 11. Brudd på forordningen straffes mye hardere.

56 Hva bør bedrifter gjøre nå Roller Behandlingsansvarlig Databehandler Personvernombud Planer/Risikoanalyser Hvordan jobber vi med personvern i dag? Hvordan tilpasse oss GDPR? Hendelseshåndtering Rutiner Personvernerklæringer Behandling og håndtering av personlige data. Teknisk gjennomgang Sikkerhet Identifisering Logg Backup Varsling Tilgjengelighet Dokumentasjon

57 Konklusjon, hvor står vi i dag! Sikkerhets arbeid Plan for kontinuerlig utvikling og vedlikehold av sikkerhet? (Ja/Nei) Følger vi ISO27001 i dag? (Informasjonssikkerhet) (Ja/Nei) (NOARK er ikke en sikkerhets standard som er viktig i dette) - Er vi oppdatert etter dagens personvernlov? (Ja/Nei) OK Oppdaterer planer, redigering og sørge for å bli «complaient», Opplæring, Dokumentasjon, oversikt, sørge for å kunne skaffe personinformasjonen ved forespørsel fra subjekt. Ikke OK Da er det mye jobb! Sette seg inn i Personvern behandlingen i dag, GDPR, Iso27001(informasjonssikkerhet), Iso27005(Risikovurderinger) mm., Rutiner, planer, Sikkerhetstiltak, Dokumentasjon, systemgjennomgang osv, osv.

58 Fremdrift i starten Opplæring av egne ansatte. Førstegangs opplæring, og kontinuerlig oppdateringer. Holde fokuset oppe på Personvern Informasjonssikkerhet Kartlegge dagens måte å jobbe med Personvern Sikkerhet og Personopplysninger. - Hvilke rutiner har vi i dag. - Dokumentere - Hvor behandler vi dette i dag -Dokumentere - Hvem har tilgang til slike opplysninger - Dokumentere - Hvilken info får den registrerte - Dokumentere - Dokumentasjon på alt. (Tenk rettigheter og Kontroll)

59 Praktiske løsninger på overføringer Et av de store temaer er overføring, forsendelse av Sensitive opplysninger. - Mail = dårlig løsning - Mail Kryptert = OK - Portal Løsning = Beste løsning.

60 Noe henger i luften fortsatt. Den nye loven skal behandles og vedtas i starten av Håndheving av lovverket. - Hvem som skal ha hva av roller. - Personlige straffeutmålinger. - Hvilke andre lover vil man måtte tilpasse seg etter pga. endringer.

61 Nedtelling

62 Blir du klar?

63 GDPR Kahoot Gå inn på:

64 Takk for fremmøtet, lykke til! Husk å bruke:..no