Velkommen til Frokostmøte!

Transkript

1 Velkommen til Frokostmøte!

2 Program Advokat Øyvind Hasselø Meisingset, advokat Anna Reistad, Øverbø Gjørtz AS Roy Tore Sandnes, fagansvarlig Plattform Serit Itpartner Molde Beinstrekk Regnskaps- og HR-sjef Randi Stavik, Glamox AS Personalleder Ellen Bolsø Engelund, ELMO Teknikk AS Torkil Bekken Sandøy, salgs-og produktsjef privatmarked Istad Kraft AS,

3 GDPR Ny personvernforordning Molde, 14. februar 2018 Advokatene Anna Reistad og Øyvind Hasselø Meisingset

4 1. Personopplysninger dagens regelverk 2. GDPR/Personvernforordningen 3. Hvordan oppfylle kravene i GDPR?

5 Hvorfor nytt regelverk Dagens lov er fra 2000 (ikrafttredelse ) enorm utvikling siden dette Google (1998) Facebook (2004) Netflix Norge (2012) Æ (2017) Kundeklubber Innsamling og bruk av informasjon i stort omfang er sentralt for store deler av teknologiutviklingen Mange fordeler, men konsekvensene kan også være store

6 GDPR - ikrafttredelse GDPR trer i kraft i 25. mai 2018 Dagens personvernlov blir erstattet med ny personvernlov som vil gjennomføre forordningen i norsk rett

7 Personopplysninger dagens regelverk

8 Hva er personvern? Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger Prinsippet er forankret i Grunnloven og Den europeiske menneskerettighetskonvensjonen: Grunnloven 102: «Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet». EMK artikkel 8: «Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse».

9 Hvilke opplysninger samles om oss? Demografiske data Lokasjonsdata Tekniske data Interessedata Prediktive data Adferd og holdninger Personlighet Viktige livshendelser

10 Hva kan opplysningene brukes til? Reklame skreddersys Aviser skreddersys Politiske budskap skreddersys Forsikring basert på individuell risiko Persontilpasset medisin Delingsøkonomi

11 Dagens regelverk - Personopplysningsloven (2000) 1.Lovens formål «Formålet med denne loven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.»

12 Hva er personopplysninger? 2. Definisjoner «I denne loven forstås med: 1) personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson»

13 2. Definisjoner «I denne loven forstås med: Sensitive personopplysninger 8) sensitive personopplysninger: opplysninger om: - Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, - At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, - Helseforhold, - Seksuelle forhold, - Medlemskap i fagforeninger.»

14 Personopplysningsloven saklig virkeområde 3: Saklig virkeområde Loven gjelder for: a) behandling av personopplysninger ( )med elektroniske hjelpemidler b) annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister, og c) alle former for kameraovervåkning ( ) Loven gjelder ikke behandling av personopplysninger som den enkelte foretar for rent personlige eller andre private formål.

15 Viktige nøkkelroller Klient Den registrerte Øverbø Gjørtz Behandlingsansvarlig Serit IT Partner Databehandler

16 Viktige nøkkelroller personvernombud Frivillig i dag, plikt etter GDPR En ressursperson som: Fører oversikt Kontrollerer Bistår de registrerte Besvarer spørsmål internt Rådgiver for behandlingsansvarlig Avdekker brudd Kontakt med Datatilsynet Oppdaterer seg på regelverket

17 GDPR/Personvernforordningen (General Data Protection Regulation)

18 Sterkt økende interesse for GDPR Google trends-interesse for GDPR siste 3 år

19 Overordnet om forordningen Formålet med Personvernfordringen/GDPR er å innføre like regler for europeiske stater og virksomheter Innebærer større grad av harmonisering av personvernreglene i EØSområdet Personvernregelverket vil gjelde også utenfor EU/EØS.

20 Mange av de gjeldende prinsipper for personvern vil fortsatt gjelde, men strengere krav blir innført på enkelte områder

21 Oversikt over sentrale endringer Forsterkede krav til samtykke Frivillig Spesifikt Informert Må opplyses om adgang til å trekke samtykket tilbake Den behandlingsansvarliges bevisbyrde Ingen formkrav

22 Oversikt over sentrale endringer forts. Større krav til egenkontroll Alle skal ha en forståelig personvernerklæring Borgerne får nye rettigheter, bla: Dataportabilitet Retten til å «bli glemt» Rett til å motsette seg enkelte typer profilering

23 Oversikt over sentrale endringer forts. Innebygde personverninnstilinger («privacy by design»). Den mest personvernvennlige innstillingen skal være standard Nye krav til databehandlere og databehandleravtalen Personvernombud

24 Oversikt over sentrale endringer forts. Strengere avvikshåndtering Raskere responstid 72 timer ved brudd Høyere bøtenivå

25 Hvordan oppfylle kravene i GDPR?

26 Hva betyr det? Regeletterlevelse Internkontroll Dokumentasjon Eksempler: Hvitvasking Antikorrupsjon HMS Konkurranse Personvern Compliance

27 5 steg for å bli klar for GDPR 5 Implementer og etterlev 1 Oppstart og ledelse 4 Etablere avtaler/ dokumenter 2 Kartlegging 3 Etablere rutiner

28 Steg 1: Oppstart og ledelse Eierskap til prosessen må etableres i ledelsen Avgjørende å få nødvendige ressurser til å gjennomføre de riktige tiltakene Strategi Personvernteam (roller og ansvar) Prosess

29 Steg 2: Kartlegging Identifiser hvilke personverndata dere håndterer Kartlegg og analyser i tråd med dagens regelverk? Ytterligere tiltak for å være i tråd med GDPR?

30 Steg 3: Etablere rutiner System for å ivareta registrertes rettigheter Dokumentasjon Risiko og konsekvensanalyser Rutiner for avvik (72 timer)

31 Steg 4: Etablere avtaleverk/dokumenter Personvernerklæring/ privacy policy Samtykkeerklæringer Databehandleravtaler

32 Steg 5: Implementer og etterlev Alle systemer/ dokumenter/avtal er skal tas i bruk Informasjon og opplæring Revisjon og oppfølging

33 Serit prosess for GDPR i praksis Molde Næringsforum frokostseminar 14. februar 2018 Roy Tore Sandnes, Serit IT Partner

34 Fordeler med å gjøre et GDPR prosjekt Bedriften har oversikt over sine systemer Bedriften får på plass internkontrollrutiner som bl.a. vil være til hjelp ved databrudd Bedriften er i stand til å oppfylle de registrertes rettigheter Konkurransefortrinn

35 Konkurransefortrinn Ved anbud - spesielt til offentlig, så er det krav om å være i samsvar med gjeldende lover og regler Den nye personvernloven gjelder alle bedrifter og organisasjoner så det vil bli viktig å kunne dokumentere at man er i samsvar med loven Dokumenterte internkontroll-rutiner gir kunden økt tillit til at du kan holde dine forpliktelser Kunder får økt tillit til at deres data ikke kommer på avveie eller blir misbrukt

36 Målet med å gjennomføre en GDPR-prosess er: 1. Oppfylle lovkravene i forhold til GDPR: Få kontroll på datakildene Definere og etablere roller og rutiner i organisasjonen Identifisere og gjennomføre forbedringstiltak 2. Øke bevissthet rundt informasjonssikkerhet og personvern i organisasjonen 3. Kontinuerlig revisjon og forbedring 36

37 Serits faser for å bli klar for de nye kravene 1 Prosessen stares når eierskapet er etablert i toppledelsen Etablere tiltaksplan for å bli GDPR complient Oppstart og eierskap 9 2 Resultat og tiltaksplan Kartlegging Manuell og automatisert identifikasjon og klassifikasjon av data og kildesystemer Analyse av oppfyllelsesgrad ihht. kravene i GDPR 8 GAPanalyse 3 Lovmessige betraktninger Team med kompetanse på juss og IT vurderer lovmessige GDPR-krav opp mot organisasjonen Risiko og sårbarhetsanalyser for IT og forretningen med fokus på informasjonssikkerhet 7 4 ROSanalyse 6 5 Bevisstgjøring Workshop og informasjonskampanjer i organisasjonen som løfter bevisstheten rundt GDPR Etablering av et styringssystem for sikkerhetsarbeidet Styringssystem Roller og ansvar Etablering av roller beskrevet i GDPR, f.eks Personvern-rådgiver

38 2 Kartlegging Lag en oversikt over alle systemer som inneholder persondata Identifiser og kartlegg persondata som blir samlet inn og behandlet Organisasjonen må føre lister over hvilke data som samles inn, kilden til data, hvem de deler data med og hvordan de behandler data Ved å vedlikeholde relevant dokumentasjon over persondata så vil organisasjonen bli i stand til å overholde kravene i GDPR

39 4 Bevisstgjøring Legge plan for informasjon til ansatte i selskapet Workshop og informasjonskampanjer i organisasjonene for å øke bevisstheten rundt GDPR Se på rutiner for håndtering av persondata Utvikle informasjonsmateriell og verktøy for bruk i bedriften Vi stiller med ressurser som utgangspunkt for arbeidet

40 5 Roller og ansvar Ulike roller man må ta hensyn til relatert til GDPR Den registrerte Behandlingsansvarlig Databehandler Personvern-rådgiver Sikkerhetsansvarlig Ledelse og Styre Datatilsynet og Personvernrådet

41 6 7 8 Styringssystem, ROS og GAPanalyser Sikkerhetsledelse Styringssystem for sikkerhet Personvernerklæring IT-sikkerhetspolicy IT-beredskap Kontinuerlig forbedring

42 Complying your systems... 9 Tiltaksplan for å være i samsvar med GDPR Persondata og behandling av disse sikres i organisasjonen Tekniske tiltak for å bedre sikkerheten

43 Ressurser og gjennomføring Oppstart og eierskap Kartlegging Lovmessige betraktninger Roller og ansvar Bevisstgjøring Styringssystem ROSanalyse GAPanalyse Resultat og tiltaksplan 1 dag 2 uker 1 dag 2 dager 1 dag 1 uke 1 uke 2 dager 1 dag Gjennomføringen av alle fasene vil som regel ta 2 8 uker Serit stiller med prosjektleder, fagkompetanse og rammeverk for de ulike fasene Aktivitet markert med orange krever ekstra stor grad av involvering fra oppdragsgiver

44 Interne ressurser hos dere Selskapsledelse Prosjektleder GDPR IKT Eier System 1 HR? Eier System 2 Økonomi? Eier System 3?? Eier System 4??

45 Vil dere trenge ytterligere hjelp? Har dere problem med å få tilgjengelig egne ressurser før fristen? Hvis dere ønsker det kan vi gi dere ytterligere bistand i forbindelse med prosjektet

46 Hvordan vi forbereder oss på GDPR i Glamox v/randi Stavik, Regnskaps- og HR-sjef

47 GDPR = Forordning i EU vedtatt i 2016 GDPR = General Data Protection Regulation Bakgrunn Informasjon begynte å tikke inn i løpet av 2017 Aktiviteten tok seg opp høsten 2017 Stadige invitasjoner til webinarer og møter om temaet Relevans for Glamox: HR-data IT-området Marketing

48 Etablering av arbeidsgruppe Intern arbeidsgruppe ble etablert høsten 2017 Deltakelse fra HR, IT og Marketing Informasjonsinnhenting via webinarer og info på internett Vanskelig å få tak i essensen av det nye regelverket Infotjenesters webinar satte ting på plass

49 Konsernprosjekt etablert Prosjektet forankret i konsernledelsen 13 selskap i 9 europeiske land berøres GDPR ansvarlige er utpekt i hvert selskap Arbeidsgruppen i Molde organiserer jevnlige online møter med våre europeiske datterselskaper Hvert selskap er ansvarlig for å imøtekomme egne lands lover og regler, inkl GDPR

50 Tema for konsernprosjektet GDPR Felles plan mot 25. mai 2018 Aktivitetsliste med prioriteringer Kartlegging av systemer og prosesser i felles maler Utarbeidelse av felles rutiner Lokale systemer håndteres lokalt Sentrale systemer håndteres sentralt Egen intranettside med spørsmål og svar Jevnlige online møter med GDPR-ansvarlige Prosjektet forankret i lokal ledelse

51 Egen intranettside for Q&A Egen intranettside med spørsmål og svar

52 GDPR team i Glamox AS Følgende personer deltar i arbeidet med GDPR: Nina Moe Sollund, IT Helpdesk and Service Manager Marit Vien Nerbøvik, Personnel Manager Nina Hol, Group Marketing Manager Randi Stavik, Accounting and HR Manager Bistand fra advokat Eva Jarbekk v/advokatkontoret Schødt AS i Oslo

53 Decided activities so far

54 ELMO Teknikk GDPR

55 Hva har ELMO gjort Gjort lite foreløpig det er nå jobben starter HR/Personalansvarlig deltok på NHO kurs Mye relevant informasjon - Har fått tilgang til nyttige verktøy

56 Hva vil vi gjøre fremover Kartlegge kartleggingsverktøy fra NHO arbinn.no Oppdatere interne rutiner Utarbeide nye rutiner Involvere - tillitsvalgte og ledelse i det videre arbeidet Informere ansatte og andre via PHB og Intranet Involvere/bevisstgjøre ledere og mellomledere og andre

57 GDPR Ny personvernforordning Hvordan forbereder Istad Kraft AS seg til GDPR? Frokostmøte - Molde Næringsforum 14. februar

58 GDPR - Personvernforordningen Bransjekonferanse Energi Norge 25. oktober 2017 Ernst & Young juridisk bidrag GDPR-seminar med Enoro Påfølgende webinarer med systemleverandør Presentasjoner av forskjellige «ivaretakelsessystemer» DraftIt Privacy, Virtual works, Neupart, What If Sparring med større nasjonale aktører fra tidlig 2017 Netlife, OMG

59 Viktige holdepunkter Kartlegging Samtykke være på innsiden av kunden Personvernerklæring Datatilsynet Holde de ansatte orientert om GDPR

60 Forberedelser - GDPR Krav om full kontroll over personopplysningene man besitter og hvilke systemer de forekommer i. Kartleggingsfase Hvilke data ligger i hvilke aktiva Brainstorming med ansatte Avdekker forskjellige arbeidsrutiner

61 Forberedelser - GDPR Økt krav om ansvar for eiere av personopplysninger, og den som behandler dem. Databehandleravtaler (artikkel 28) «Hva behandles til hvilke formål» Kartlegge og påvirke partnere/leverandører. Hvordan jobber våre samarbeidspartnere med GDPR Finne synergier

62 Forberedelser - GDPR Krav om teknisk og organisatoriske tiltak som skal sikre helhetlig beskyttelse Tett dialog med systemleverandør Samtykke, sletting, dataportabilitet Involvere de ansatte i rutineprosessen Hvordan skal vi på best måte tilfredsstille kravene? Excel vs. System Hente ut oversikt/rapporter Ajourhold

63 Fra Excel til system «Fra manuelle til automatiserte prosesser»

64 Frokostmøte 7. mars Tema nytt næringsliv