OUTSOURCING OG PERSONVERN

Størrelse: px
Begynne med side:

Download "OUTSOURCING OG PERSONVERN"

Transkript

1 OUTSOURCING OG PERSONVERN Kostnadseffektive leveransemodeller og personvern Jarle Roar Sæbø Dataforeningen, 24. april 2014

2 Innledning Outsourcing innebærer ofte eksport av personopplysninger Fri adgang til eksport gir forum shopping Begrensninger i adgang til eksport gir handelsbarrierer I dette spenningsfeltet ble personverndirektivet ( PVD ) etablert, i 1994 Balanse: Ivareta personvern og tillate grenseoverskridende tjenestehandel Førsteprioritet var det interne markedet, men PVD vektlegger også global handel Personverndirektivet er fra 1994, men mye utvikling deretter Model Clauses, Safe Harbor, forhandlinger med tredjeland for forhåndsgodkjenning, Binding Corporate Rules, etc Formålet med foredraget: Gi grundig forståelse for landskapet man navigerer i; fallgruvene og veien rundt dem

3 Hva outsourcing er og hvorfor man gjør det Kimball, Outsourcing Agreements (2010): Long-term collaborative relationship that entrusts business functions or processes to a contractor IT Outsourcing deles i IT Infrastructure Outsourcing (ITO) Applications Maintenance and Development (ADM) Business Process Outsourcing (BPO) HR, lønn, regnskap Offshoring: Produsere tjenestene annet sted enn der de brukes Redusere total cost of ownership (TCO) Redusere time-to-market for nye tjenester Øke leveransesikkerhet Øke datasikkerhet Økt fleksibilitet Øke fokus på egen kjernevirksomhet Øke kostnadsfleksibilitet/redusere faste kost. Finansielle/regnskapsmessige forhold

4 Problemstillingen Leverandør: Marley's Host Services (MHS) Kunde: Telson s Bank (TB) MHS Norge Master Services Agreement TB Norge Sub-Supply Agreement MHS Frankrike Overføring PO MHS India Tilgang til PO Overføring PO TB Italia Overføring PO TB Australia Overføring PO TB USA

5 Oversiktsbilde Overføring av personopplysninger til utlandet Overføring til land i EU/EØS Overføring til tredjeland Basert på vernenivå etablert i landet Basert på garantier fra behandlingsansvarlig Særlige lovbestemmelser Forhåndsgodkjente land Safe harbor Konkret vurdering Model Clauses Binding Corporate Rules Samtykke etc

6 Grunnleggende begreper Personopplysninger: opplysninger og vurderinger som kan knyttes til en enkeltperson Behandling av personopplysninger: enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering Behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige Sensitive personopplysninger: opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold.

7 Grunnleggende prinsipper Behandlingsgrunnlag Behandling av personopplysninger kun tillatt når man oppfyller grunnkravene i POL 11, og det foreligger et såkalt behandlingsgrunnlag etter POL 8 (personopplysninger) eller 9 (sensitive personopplysninger) Grunnkravene i POL 11 Saklig formål Tilstrekkelige og relevante Korrekte og oppdaterte Ikke unødig lenge Etc... Behandlingsgrunnlag i POL 8 Den registrerte samtykker Fastsatt i lov at behandling er tillat Nødvendig for arbeidsgiver Oppfyllelse av forpliktelse Etc

8 Grunnleggende prinsipper, forts Databehandleravtale Kunden = Behandlingsansvarlig Leverandør = Databehandler Avtale mellom behandlingsansvarlig og databehandler Plikter og begrensninger ifm håndteringen av personopplysningene Regulere adgangen til bruk av underleverandører Forutsatt i personopplysningsloven og personverndirektivet artikkel 17 Obligatorisk ved all outsourcing, også nasjonal

9 Grunnleggende prinsipper Melde- og konsesjonsplikt Behandling av personopplysninger utløser meldeplikt Behandling av sensitive personopplysninger utløser konsesjonsplikt Fra dette gjøres det en lang rekke unntak, f.eks. personalopplysninger Meldingen/søknaden skal angi hvordan personopplysningene behandles Outsourcing vil ofte gjøre det nødvendig å oppdatere meldingen/konsesjonen

10 Oversiktsbilde Overføring av personopplysninger til utlandet Overføring til land i EU/EØS Overføring til tredjeland Basert på vernenivå etablert i landet Basert på garantier fra behandlingsansvarlig Særlige lovbestemmelser Forhåndsgodkjente land Safe harbor Konkret vurdering Model Clauses Binding Corporate Rules Samtykke etc

11 Overføring til land i EU/EØS Nedbygging av handelsbarrierer er EUs hovedformål Fri flyt av tjenester forutsetter adgang til å overføre personopplysninger Personopplysingsloven 29(1) Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling. Overføring til leverandør i EU/EØS-land er tillat Prosessuelle regler Overføring i EU/EØS utløser verken melde- eller konsesjonsplikt Dersom behandlingen i utgangspunktet var melde-/konsesjonspliktig, må meldingen/konsesjonen oppdateres

12 Oversiktsbilde Overføring av personopplysninger til utlandet Overføring til land i EU/EØS Overføring til tredjeland Basert på vernenivå etablert i landet Basert på garantier fra behandlingsansvarlig Særlige lovbestemmelser Forhåndsgodkjente land Safe harbor Konkret vurdering Model Clauses Binding Corporate Rules Samtykke etc

13 Basert på vernenivå etablert i landet Personverndirektivet 25(1) [ ] transfer to a third country of personal data [ ] may take place only if [ ] the third country in question ensures an adequate level of protection. Prinsippet er nedfelt i POL 29(1) Momenter i vurderingen: Lokal lovgivning, handelspraksis, internasjonale forpliktelser og særlig Europarådets konvensjon 28. januar 1981 nr. 108 om personvern i forbindelse med elektronisk behandling av personopplysninger Kommisjonen har myndighet til å fatte vedtak om vernenivå anses tilstrekkelig Slike vedtak er også bindende for Norge, se POF 6-1 Når Kommisjonen har fattet slikt vedtak, kan overføring skje som i EU/EØS Nasjonale myndigheter har også kompetanse til å vurdere selv

14 Basert på vernenivå etablert i landet Overføring av personopplysninger til utlandet Overføring til land i EU/EØS Overføring til tredjeland Basert på vernenivå etablert i landet Basert på garantier fra behandlingsansvarlig Særlige lovbestemmelser Forhåndsgodkjente land Safe harbor Konkret vurdering Model Clauses Binding Corporate Rules Samtykke etc

15 Forhåndsgodkjente land Kommisjonen har vurdert vernenivået i enkelte land Beslutninger om at vernenivået i enkelte av disse er tilstrekkelig Slike beslutninger er bindende for Norge, se POF 6-1 Overføring til slike land kan iverksettes på samme måte som innen EU/EØS Godkjente land per i dag er: Andorra, Argentina, Australia*, Canada, Sveits, Færøyene, Guernsey, State of Israel, Isle of Man, og Jersey Kommisjonen oppdaterer informasjonen på: * Gjelder kun flyselskapenes passasjerlister

16 Safe Harbor Overføring av personopplysninger til utlandet Overføring til land i EU/EØS Overføring til tredjeland Basert på vernenivå etablert i landet Basert på garantier fra behandlingsansvarlig Særlige lovbestemmelser Forhåndsgodkjente land Safe harbor Konkret vurdering Model Clauses Binding Corporate Rules Samtykke etc

17 Safe Harbor: Innledning USA har en grunnleggende annerledes tilnærming til personvern Sektorbasert lovgivning og «self regulation» På enkelte områder er vernenivået godt nok, på andre klart utilstrekkelig USA ønsket å etablere en ordning for overføring av personopplysninger Forhandlinger førte sommeren 2000 til Safe Harbor-ordningen Safe Harbor Privacy Principles, US Department of Commerce, 21. juli 2000 Commission Decision on the adequacy of the protection provided by the Safe harbor privacy Principles, 26 July 2000 Kommisjonens beslutning er bindende for Norge, jf POF 6-1

18 Safe Harbor: Ordningen Safe harbor Principles skisserer en rekke materielle krav Notice: Plikten til å informere den registrerte Choice: Den registrertes rett til opt-out Onward Transfer: Regulerer adgangen til videreoverføring Security: Pålegger forpliktelser til å sikre data Data Integrity: Plikt til å påse at dataene er relevante for formålet, oppdaterte osv Access: Den registrertes rett til innsyn Enforcement: Plikt til å opprette mekanismer for etterlevelse Pliktene er resultat av forhandlinger Kommisjonen vs US Dep. of Commerce Korrelerer i noen grad med pliktene etter personverndirektivet

19 Safe Harbor: Ordningen, forts Virksomheter er pålagt å offentlig erklære sin tilslutning til Safe Harbor Federal Trade Commission Act 45 fastsetter at Unfair methods of competition in or affecting commerce, and unfair or deceptive acts or practices in or affecting commerce, are hereby declared unlawful. FTC fører tilsyn med etterlevelsen av FTC Act Manglende etterlevelse av Safe Harbor-prinsippene -> brudd på FTC Act 45 FTC kan sanksjonere med dagbøter I sum innebærer dette at USA ensure an adequate level of protection, PD 26(2)

20 Safe Harbor: Ekskluderte sektorer Enkelte sektorer er unntatt tilsyn av FTC og dermed unntatt Safe Harbor: financial institutions, including banks, savings and loans, and credit unions; telecommunications and interstate transportation common carriers; air carriers; and packers and stockyard operators.

21 Safe Harbor: Prosessuelle forhold Implementering Selvsertifisering Mottaker skal implementere prinsippene, og deretter registrere seg hos FTC Registrerte selskaper kan finnes på: Overføring Overføring iht Safe Harbor utløser verken melde- eller konsesjonsplikt Dersom behandlingen i utgangspunktet var melde- eller konsesjonspliktig, må meldingen/konsesjonen oppdateres Krav om databehandleravtale gjelder også ved Safe Harbor

22 Safe Harbor: Kritikk mot ordningen Oppføring på listen til FTC gir ingen garanti for korrekt implementering Undersøkelse 2008*: sertifiserte, kun 348 oppfylte grunnleggende krav Mulig løsning er å kreve tredjeparts verifisering Etterfølgende endringer kan gjøre at leverandøren lenger ikke oppfyller kravene Feilaktige påstander om implementering av Safe Harbor er bedrageri FTC etterforsker anmeldelser; januar -14 forlik mellom FTC og 12 selskaper** * **

23 Oversiktsbilde Overføring av personopplysninger til utlandet Overføring til land i EU/EØS Overføring til tredjeland Basert på vernenivå etablert i landet Basert på garantier fra behandlingsansvarlig Særlige lovbestemmelser Forhåndsgodkjente land Safe harbor Konkret vurdering Model Clauses Binding Corporate Rules Samtykke etc

24 Konkret vurdering Datatilsynet kan gjøre en skjønnsmessig vurdering av vernenivået Personvernulempene vurderes mot vernenivået i mottakerlandet Mer sammensatt vurdering enn for forhåndsgodkjente land og Safe Harbor Tar også hensyn til opplysningenes art, behandlingens formål og tidsperspektivet Krevende vei å gå både for søker og for Datatilsynet Kan være lang saksbehandlingstid, viktig å søke i god tid I praksis brukes denne løsningen sjeldent (aldri?) i sammenheng med outsourcing

25 Oversiktsbilde Overføring av personopplysninger til utlandet Overføring til land i EU/EØS Overføring til tredjeland Basert på vernenivå etablert i landet Basert på garantier fra behandlingsansvarlig Særlige lovbestemmelser Forhåndsgodkjente land Safe harbor Konkret vurdering Model Clauses Binding Corporate Rules Samtykke etc

26 Basert på garantier fra behandlingsansvarlig Hovedregel: Kun overføre til land som sikrer forsvarlig behandling Manglende sikring i landet kan repareres av garantier fra behandlingsansvarlig Personverndirektivet artikkel 26(2): [ ] a Member State may authorize a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection within the meaning of Article 25 (2), where the controller adduces adequate safeguards with respect to the protection of the privacy and fundamental rights and freedoms of individuals and as regards the exercise of the corresponding rights; such safeguards may in particular result from appropriate contractual clauses.

27 Oversiktsbilde Overføring av personopplysninger til utlandet Overføring til land i EU/EØS Overføring til tredjeland Basert på vernenivå etablert i landet Basert på garantier fra behandlingsansvarlig Særlige lovbestemmelser Forhåndsgodkjente land Safe harbor Konkret vurdering Model Clauses Binding Corporate Rules Samtykke etc

28 Model Clauses: Innledning Model Clauses er det klart mest brukte verktøyet ved offshoring Personverndirektivet artikkel 26(2): [ ] a Member State may authorize a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection within the meaning of Article 25 (2), where the controller adduces adequate safeguards with respect to the protection of the privacy and fundamental rights and freedoms of individuals and as regards the exercise of the corresponding rights; such safeguards may in particular result from appropriate contractual clauses. Også nedfelt i POL 30(2) Personverndirektivet artikkel 26(4): Where the Commission decides [ ] that certain standard contractual clauses offer sufficient safeguards as required by paragraph 2, Member States shall take the necessary measures to comply Model Clauses er kontraktsmal som ved signering gir tilstrekkelige garantier for vern Reparerer det forhold at landet som sådan ikke har etablert tilstrekkelig vernenivå

29 Model Clauses: Innledning, forts Det foreligger tre ulike varianter av Model Clauses Commission Decision 2004/915/EC Behandlingsansvarlig > behandlingsansvarlig Commission Decision 2001/497/EC Behandlingsansvarlig > behandlingsansvarlig Commission Decision 2010/87/EC Behandlingsansvarlig > databehandler ( 2010 Model Clauses ) De to første skal normalt ikke brukes i outsourcing 2010 Model Clauses avløser tidligere variant fra 2002 Avtaler inngått på tidligere versjon kan opprettholdes

30 Model Clauses: Innholdet Behandlingsansvarlig garanterer at behandlingen er lovlig i det landet han er etablert, han vil instruere databehandleren om kun å behandle opplysningene iht avtalens formål, det implementert tilstrekkelige tekniske og organisatoriske sikkerhetstiltak, de registrerte kan få tilgang til databehandleravtalen, med mer. Databehandleren garanterer at han bare skal bruke personopplysningene iht avtalen, han skal opplyse behandlingsansvarlig om det dersom myndigheter krever innsyn,med mer. Sentrale elementer er også at den registrerte kan håndheve sine rettigheter direkte, den registrerte kan etter omstendighetene kreve erstatning direkte fra databehandler Det er tillat å gjøre endringer i innholdet, men

31 Model Clauses: Bruk av underleverandører 2010 Model Clauses Bruk av underleverandører er svært vanlig i outsourcing Kunder ønsker avtale med norsk leverandør, men ønsker likevel prisfordelene ved offshoring Dette er en fallgruve MHS Norge (databehandler) Sub-Supply Agreement MHS India (databehandler) Master Services Agreement 2010 Model Clauses TB Norge (behandlingsansvarlig) Overføring PO

32 Model Clauses: Bruk av underleverandører, forts Praktisk løsning: TB Norge gir MHS Norge fullmakt til å signere Model Clauses med underleverandører på vegne av TB Norge Støttes av Article 29 Working Group og aksepteres av Datatilsynet

33 Model Clauses: Melde- og konsesjonsplikt Overføring i henhold til Model Clauses er i dag konsesjonspliktig Overføring blir i praksis alltid godkjent Behandlingstiden er fire til åtte uker Søknaden består av den signerte kontrakten basert på 2010 Model Clauses Pågående høring om forskriftsendring som endrer fra konsesjonsplikt til meldeplikt, og tillater at overføring kan iverksettes umiddelbart etter melding.

34 Oversiktsbilde Overføring av personopplysninger til utlandet Overføring til land i EU/EØS Overføring til tredjeland Basert på vernenivå etablert i landet Basert på garantier fra behandlingsansvarlig Særlige lovbestemmelser Forhåndsgodkjente land Safe harbor Konkret vurdering Model Clauses Binding Corporate Rules Samtykke etc

35 Binding Corporate Rules: Innledning Binding Corporate Rules er konserninterne regler om håndtering av personopplysninger Kan innebære at "controller adduces adequate safeguards with respect to the protection " Kommisjonens beslutning om Model Clauses gir en out-of-the-box solution BCR er langt mer krevende, forutsetter skreddersøm og organisatorisk implementering BCR gir likevel store fordeler når de først er etablert Mutual Recognition Procedure er sentralt, og gjør prosessen raskere BCR er ansett å være en suksess, og saksbehandlingstiden har gått drastisk ned Opprinnelig kun Controller BCR, overføring av konsernets egne personopplysninger Eksempel: Datterselskaper kunne overføre kundelister og personalopplysninger til morselskapet

36 Innholdet i Binding Corporate Rules Prinsippene i personverndirektivet må implementeres i hele konsernet Dette må gjøres konkret ift den type behandlinger som skal skje Prinsippene må være gjort bindende både for konsernselskaper og ansatte Den som søker må godtgjøre at forpliktelsene er rettslig holdbare i alle jurisdiksjoner Aktiviteter for å øke sannsynligheten for etterlevelse, for eksempel Codes of Conduct, kursing av ansatte, med mer. BCR må gi tredjepartsløfter som åpner for at den registrerte kan kreve erstatning BCR må godtgjøre økonomisk evne til å betale eventuelle erstatningskrav BCR må åpne for revisjon av hele konsernets etterlevelse Med mer.

37 Binding Corporate Rules: Innledning, forts Controller BCR er ikke egnet for outsourcing -> vesentlig mangel Industrien etterspurte mer fleksible ordninger for internasjonale transaksjoner Processor BCR er en stor del av svaret Article 29 Data Protection Working Party 6. juni 2012: Working Document 02/2012 setting up a table with the elements and principles to be found in Processor Binding Corporate Rules 19. april 2013: Explanatory Document on the Processor Binding Corporate Rules Status: Ingen har rukket å etablere Processor BCR. HP har pågående prosess.

38 Binding Corporate Rules: Overføring i/utenfor konsern TB Norge (behandlingsansvarlig) MHS Norge (databehandler) MHS India (databehandler) Innebærer ikke overføring til utlandet Gjennomføres etter Processor BCR

39 Oversiktsbilde Overføring av personopplysninger til utlandet Overføring til land i EU/EØS Overføring til tredjeland Basert på vernenivå etablert i landet Basert på garantier fra behandlingsansvarlig Særlige lovbestemmelser Forhåndsgodkjente land Safe harbor Konkret vurdering Model Clauses Binding Corporate Rules Samtykke etc

40 Særlige lovbestemmelser Særlige lovbestemmelser Personopplysningsloven 30(1) Registrerte samtykker Nødvendig for å oppfylle avtale med den registrerte Nødvendig for å vareta den registrertes vitale interesser Nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse Med mer. Slike overføringsgrunnlag er ikke praktiske ifm outsourcing

41 Andre regulatoriske forhold Bokføringsloven Bokføringsloven setter krav til oppbevaringssted for bokføringsmateriale Skaper utfordringer for bruk av lagringstjenester i utlandet Oppbevaring skal skje i Norge eller annet godkjent land, pt Danmark, Finland, Island, Sverige Unntak for midlertidig lagring i utlandet for den som fører regnskap i utlandet relevant for Business Process Outsourcing Bokføringsloven åpner for dispensasjon, avgjøres av Skattedirektoratet Rundskriv 30/06/2009: Dispensasjon forutsetter at man kan dokumentere særlige forhold, og kostnadsbesparelser er ikke tilstrekkelig

42 Andre regulatoriske forhold Finansieringsvirksomhetsloven

43 Andre regulatoriske forhold Finansieringsvirksomhetsloven Finansieringsvirksomhetsloven 2-9: Bankene har ansvar for at virksomheten drives på en forsvarlig måte Finanstilsynets rundskriv 14/2010: Outsourcing til høyrisikoland kan ikke gjøres funksjoner som brukes ifm betalingssystemer og kjernesystemer til dagligbank. Finanstilsynet anser at land med høy risiko er land som er politisk og/eller økonomisk ustabile. Det er blant annet relevant a ta hensyn til en vurdering av landrisiko og til Transparency Internationals liste over land med høy korrupsjonsgrad.

44 Hvordan planlegge arbeidet med personopplysninger Kunden bør tidlig vurdere om offshoring er mulig og ønskelig Involvere Compliance Manager tidlig i dette arbeidet Analysere om offshoring vil innebære eksport av personopplysninger RFIen bør angi hvordan kunden ser på offshoring Kunden invitere leverandøren til å redegjøre for håndtering av personopplysninger RFP bør ytterligere detaljere kundens syn på offshoring Prosjektet (forhandlingene) bør ha regulatoriske forhold som egen prosess

45 Applaus! Jarle Roar Sæbø Juridisk direktør, HP Norge

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011 Cloud computing og offshoring Juridiske sjekkpunkter for overføring av data til utlandet Espen Werring, 1. desember 2011 Er dette noe å bry seg om? Betydelig vekst innen offshoring de seneste årene Alle

Detaljer

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper Personvernregelverket Personvernregelverkets krav til skytjenester EUs personverndirektiv 95/46/EU Personopplysningsloven med forskrift Særlovgivning, markedsføringsloven og taushetspliktregler Ny EU-forordning

Detaljer

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014 Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014 Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen Dette er

Detaljer

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1 Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1. Innledning og bakgrunn Mange land i Europa har de senere årene forenklet sine

Detaljer

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC 13.02.2013 Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Innledning Hva er cloud computing? IaaS, PaaS, SaaS osv Skyen er en forretningsmodell som bygger på noen prinsipper: Standardisering (tjenester,

Detaljer

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M. Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning 6. Mars 2018 NARMA Av Åshild M. Revhaug, NTNU GDPR ny personvernforordning Personvernforordningen ( 2016/679)

Detaljer

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen Personvern nytt landskap i 2018 #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen Personvernforordningen (General Data Protection Regulation/GDPR) Personvernforordningen på overordnet

Detaljer

Offshoring, skytjenester og Binding Corporate Rules - foredrag for Dataforeningen, 1. desember Bjørn Erik Thon Jørgen Skorstad

Offshoring, skytjenester og Binding Corporate Rules - foredrag for Dataforeningen, 1. desember Bjørn Erik Thon Jørgen Skorstad Offshoring, skytjenester og Binding Corporate Rules - foredrag for Dataforeningen, 1. desember 2011 Bjørn Erik Thon Jørgen Skorstad Dagens tema Kort om Datatilsynet Kort om den internasjonale utviklingen

Detaljer

Personvern - sjekkliste for databehandleravtale

Personvern - sjekkliste for databehandleravtale ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten

Detaljer

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler. 27.10.2011 Advokat Herman Valen

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler. 27.10.2011 Advokat Herman Valen Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler 27.10.2011 Advokat Herman Valen 2 Innledning Regelverket for offentlige anskaffelser Kjennetegnet ved cloud-tjenester Standardiserte

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Hovedkonklusjon informasjonssikkerhet tillegges større vekt enn tidligere, både kvalitativt og kvantitativt Agenda gjennomgå hovedreglene

Detaljer

GDPR - PERSONVERN. Advokat Sunniva Berntsen

GDPR - PERSONVERN. Advokat Sunniva Berntsen GDPR - PERSONVERN Advokat Sunniva Berntsen Hvorfor personvern? Viktig i et demokratisk samfunn EMK artikkel 8 Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.

Detaljer

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Go to  use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn. INF1000/ INF1001: IT og samfunn En liten undersøkelse: Mobil/ nettbrett Siri Moe Jensen Gisle Hannemyr Høst 2016 Go to www.menti.com use the code 47 46 40 Siri Moe Jensen INF1000/INF1001 - Høst 2016 1

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Policy for personvern

Policy for personvern 2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...

Detaljer

Forsikringssvindel og personvern. Møte i Den norske Forsikringsforening 27. november 2013 Øystein Flagstad

Forsikringssvindel og personvern. Møte i Den norske Forsikringsforening 27. november 2013 Øystein Flagstad Forsikringssvindel og personvern Møte i Den norske Forsikringsforening 27. november 2013 Øystein Flagstad Personopplysningsloven - behandlingsgrunnlag Grunnvilkår for behandling av personopplysninger i

Detaljer

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt Partene og alene Parten. Denne Databehandleravtalen utgjør et vedlegg til Telia Bedriftsavtale, og omfatter all behandling av personopplysninger som Telia Norge AS utfører på vegne av Kunden som databehandler, med mindre annet

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

Grunnleggende personvern. Fagsamling 1: Personvern 18. januar 2017

Grunnleggende personvern. Fagsamling 1: Personvern 18. januar 2017 Grunnleggende personvern Fagsamling 1: Personvern 18. januar 2017 Agenda 1. Innledning Hva er personvern Nye regler på vei 2. Grunnleggende begreper og prinsipper 3. Hva må være på plass uansett? Generelle

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen INF1000: IT og samfunn Uke 6, høst 2014 Siri Moe Jensen Oversikt Praktisk om semesterplan og obliger Hilde Lovett, Teknologirådet IT: Eksempler på muligheter og løsninger Kan teknologi styres? Om anvendelse

Detaljer

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,

Detaljer

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer 22. juni 2016 SINTEF Oslo Emese Bogya Status i Norge, per dags dato Transcendent Group 2016 Datatilsynet Kilde: https://www.datatilsynet.no/globalassets/global/04_planer_rapporter/aarsmelding/datatilsynts-arsrapport-2015-til-kmd.pdf

Detaljer

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance VEIEN TIL GDPR: PLANLEGG DINE NESTE 12 MÅNEDER Gjermund Vidhammer Avdelingsleder Governance, risk & compliance Agenda Hvordan påvirker GDPR arbeid med informasjonssikkerhet Etterlevelse: plan for de neste

Detaljer

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS Innhold Avtalens hensikt...3 Formål...3 Behandlingsansvarliges plikter...4 Databehandlers plikter...4 Bruk av underleverandør...4 Avtale med

Detaljer

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS, Bak skyen: Behandling av personopplysninger Tommy Tranvik, Senter for rettsinformatikk NOIKOS, 28.10.10 Utfordringer for sky kunder 1. Manglende styring og kontroll 2. Etterleve lover og regler 3. Endring

Detaljer

Cloud Computing. Hva skal til for at din bedrift kan bruke skytjenester? Industrijuristseminaret 2016

Cloud Computing. Hva skal til for at din bedrift kan bruke skytjenester? Industrijuristseminaret 2016 Cloud Computing Hva skal til for at din bedrift kan bruke skytjenester? Industrijuristseminaret 2016 Agenda Først litt om hva Cloud Computing er Så: Hva skal til for at din bedrift kan bruke Cloud Computing?

Detaljer

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning

Detaljer

GDPR Ny personvernforordning

GDPR Ny personvernforordning GDPR Ny personvernforordning Sunndalsøra, 1. mars 2018 Vindel morgenseminar Advokat Martin Marsteen Williams 1. Personopplysninger dagens regelverk 2. GDPR/Personvernforordningen 3. Hvordan oppfylle kravene

Detaljer

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. mars 2015 Utgangspunktet Det er Datatilsynets utgangspunkt at det er mulig

Detaljer

Databehandleravtale for Visma Avendo Webtime

Databehandleravtale for Visma Avendo Webtime Databehandleravtale for Visma Avendo Webtime mellom Behandlingsansvarlig: Visma Mamut AS Organisasjonsnr: 972 417 491 Etablert i: Norge Behandlingsansvarliges kontaktinformasjon for generelle henvendelser

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom..kommune Behandlingsansvarlig og

Detaljer

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016 GDPR The General Data Protection Regulation Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016 Personloven basert på 1995 vs 2016 Eus direktiv Det har skjedd mye innen teknologien på 20 år,

Detaljer

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS Personvernerklæring om behandling av personopplysninger Felleskatalogen AS Innledning Denne personvernerklæringen beskriver hvordan Felleskatalogen AS behandler personopplysninger. Erklæringen beskriver

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Se mottakerliste Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene

Detaljer

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg Velkommen Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg Agenda 1. Personvernforordningen hva er nytt i det nye regelverket 2. Utvalgte temaer: Personvernprinsippene, de registrertes rettigheter,

Detaljer

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en

Detaljer

Cloud og nettsky - IKT-kontrakter og anskaffelser/anbud. Mai 2014

Cloud og nettsky - IKT-kontrakter og anskaffelser/anbud. Mai 2014 Cloud og nettsky - IKT-kontrakter og anskaffelser/anbud Mai 2014 Evas «briller» Advokat, partner i Lynx Advokatfirma DA Arbeider for offentlig sektor og private leverandører Leder i Personvernnemnda Partner

Detaljer

Kunden er behandlingsansvarlig Unifaun er databehandler

Kunden er behandlingsansvarlig Unifaun er databehandler DATABEHANDLERAVTALE Kunden er behandlingsansvarlig Unifaun er databehandler 1 FORMÅL OG GYLDIGHETSPERIODE 1.1 Denne databehandleravtalen er en integrert del av den avtalen, som når det er aktuelt, er komplettert

Detaljer

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER Avtale innledning ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER For den behandlingen av personopplysninger som AddSecure utfører på vegne av kundene sine, er AddSecure databehandler for kunden. Hvis du er

Detaljer

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer) Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag 30.11.2012 Kl 10-16 (6 timer) Bokmål Oppgave 1. I regjeringens IKT-politikk og spesielt i Digitaliseringsprogrammet er bruk av felleskomponenter

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling

Detaljer

POWEL DATABEHANDLERAVTALE

POWEL DATABEHANDLERAVTALE POWEL DATABEHANDLERAVTALE mellom Powel AS. Behandlingsansvarlig og «Navn på selskap». Databehandler Innhold 1 Formålet med Databehandleravtalen... 3 2 Definisjoner... 3 3 Formål med behandlingen... 3 4

Detaljer

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse Bakgrunn General Data Protection Regulation (GDPR) ble formelt vedtatt av EU i april 2016 GDPR trer i kraft

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Uninett, Tromsø

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Uninett, Tromsø Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Uninett, Tromsø 11.06.2014 Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen Dette

Detaljer

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg KiNS seminar for fylkeskommunene 2019 Databehandleravtaler Datatilsynet ved seniorrådgiver Ragnhild Castberg Bakgrunn for nytt personvernregelverk Lik behandling innenfor hele EU/EØS Styrke de registrertes

Detaljer

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013 22.03.2012 Side 1 Lovlig bruk av Cloud Computing Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013 Agenda Kort om personvern Kan skyen brukes? Litt om Cloud computing generelt Narviksaken

Detaljer

Personopplysningslovens saklige og geografiske virkeområde, samt spørsmålet om overføring av personopplysninger. Dag Wiese Schartum, AFIN

Personopplysningslovens saklige og geografiske virkeområde, samt spørsmålet om overføring av personopplysninger. Dag Wiese Schartum, AFIN Personopplysningslovens saklige og geografiske virkeområde, samt spørsmålet om overføring av personopplysninger til tredjeland Dag Wiese Schartum, AFIN Saklig virkeområde (hva gjelder loven for?) Loven

Detaljer

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye EUs personvernforordning - hva kreves? #Oppdatert 2017 19. oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye Innhold 1. Personvernforordningen hva er det EU vil og hva er nytt? 2.

Detaljer

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som Parter og hver for seg som Part. DATABEHANDLERAVTALE mellom KUNDEN (som definert i punkt 2 nedenfor) (den "Behandlingsansvarlige") og TECHEM NORGE AS Organisasjonsnummer: 992 327 669 Hammersborg Torg 3 0179 Oslo ("Databehandleren") Den

Detaljer

Bruk av skytjenester og sosiale medier i skolen

Bruk av skytjenester og sosiale medier i skolen Bruk av skytjenester og sosiale medier i skolen 13.11.2015 Agenda Hva er personvern? Datatilsynets skole- og barnehageprosjekt Skytjenester Sosiale medier Thinkstock.com 2 Hvem har ansvaret? «Behandlingsansvarlig»

Detaljer

GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017

GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017 GDPR og PSD2 - særlig om håndtering av samtykke Rolf Riisnæs Advokat dr. juris rri@wr.no BITS seminar PSD2 11. oktober 2017 1 Bakgrunn PSD2 fastlegger at Behandling av personopplysninger skal skje i henhold

Detaljer

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden... Personvern - GDPR Aktualitet - mål Alle virksomheter som behandler personopplysninger - dvs. de fleste - må sørge for å opptre iht. gjeldende personvernlovgivning. Virksomheten er ansvarlig, og kan ikke

Detaljer

Personopplysningsloven: Formål og grunnleggende begreper. DR1010 Personvern i offentlig forvaltning Vår 2011 Seniorrådgiver Mona Naomi Lintvedt, Difi

Personopplysningsloven: Formål og grunnleggende begreper. DR1010 Personvern i offentlig forvaltning Vår 2011 Seniorrådgiver Mona Naomi Lintvedt, Difi Personopplysningsloven: Formål og grunnleggende begreper DR1010 Personvern i offentlig forvaltning Vår 2011 Seniorrådgiver Mona Naomi Lintvedt, Difi Ukas sak Dagens tema Personopplysningsloven (pol) Lovens

Detaljer

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021 Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig

Detaljer

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning Senioradvokat (PhD) Thomas Olsen Normkonferansen 30. november 2017 www.svw.no GDPR viderefører personvernprinsippene Artikkel

Detaljer

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING Frokostseminar 25. oktober 2016 V/advokat Christopher Clausen og advokatfullmektig Helene Bjørgo 1 DAGENS LOVGIVNING Personopplysningsloven Sentrale

Detaljer

Revisjon av EUs personverndirektiv - hva innebærer forslagene?

Revisjon av EUs personverndirektiv - hva innebærer forslagene? Revisjon av EUs personverndirektiv - hva innebærer forslagene? Sverre Engelschiøn Trondheim Rettslig bakgrunn Europarådets konvensjon om beskyttelse av personopplysninger (fra 1981) Direktiv om beskyttelse

Detaljer

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter Justis- og beredskapsdepartementet Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter 8. juni 2018 Anne Sofie Hippe og Jon Lunde Oversikt Kort

Detaljer

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Mari Hersoug Nedberg, seniorrådgiver Pelagisk forening, 23. februar 2012 Disposisjon - Personvern et bakgrunnsbilde

Detaljer

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO Databehandleravtale mellom [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» og Xledger AS org.nr. 987290986, Østensjøveien 32 0667 OSLO heretter «Underdatabehandler» 1/5 1 Avtalens formål Denne

Detaljer

Frokostseminar Haavind 15. februar Kristin Tingberg Sandvik Legal Head and Compliance Officer Northern Europe

Frokostseminar Haavind 15. februar Kristin Tingberg Sandvik Legal Head and Compliance Officer Northern Europe Frokostseminar Haavind 15. februar 2017 Kristin Tingberg Sandvik Legal Head and Compliance Officer Northern Europe Adecco Group Worldwide 33 000 full time employees 60 countries and territories around

Detaljer

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen Det frivillige Skyttervesen Del 1 Personvernerklæring Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1 av

Detaljer

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm GDPR og ny personvernlovgivning Advokat (H) Torbjørn Saggau Holm Presentasjon Foreleser Kursets innhold Tidsplan ALTA KOMMUNE 09.11.2018 2 Personvern i endring EU Kommisjonen: «Det europeiske personopplysningsregelverket

Detaljer

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering

Detaljer

Personvern i skyen

Personvern i skyen Personvern i skyen 2016-09-06 Temaer Det store bildet personvernkamp mellom USA og Europa Hva innebærer Privacy Shield Ny forordning nye plikter og rettigheter Skytjenester Datatilsynets krav 2 Det store

Detaljer

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit COMPLIANCE GENERAL DATA PROTECTION REGULATION Johnny Berntsen ISO/IEC 27001 Master Knowit Hva er GRDP? GDPR står for General Data Protection Regulation og er erstattningen og oppdatering av EU s 20 år

Detaljer

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Verdipapirfondenes forening. Ny personvernforordningen GDPR www.pwc.com Verdipapirfondenes forening Ny personvernforordningen GDPR Christine Ask Ottesen Direktør Advokatfirmaet PwC GDPR - en jungel av nye begrep DPIA GDPR BCR Privacy by design Access Privacy Shield

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Personvern nytt landskap i Senioradvokat Simen Evensen Breen Personvern nytt landskap i 2018 Senioradvokat Simen Evensen Breen Opplegget videre Det regulatoriske rammeverket Terminologi og IP-adresser Grunnprinsipper for å behandle personopplysninger De registrertes

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Personvern og informasjonssikkerhet

Personvern og informasjonssikkerhet Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1

Detaljer

Cloud juridiske utgangspunkter. advokat Eva I.E. Jarbekk

Cloud juridiske utgangspunkter. advokat Eva I.E. Jarbekk Cloud juridiske utgangspunkter advokat Eva I.E. Jarbekk Utvalgte temaer Hva er cloud Hvorfor hvorfor ikke? Personvern Hvem er behandlingsansvarlig - Databehandleravtaler - Overføring av personopplysninger

Detaljer

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN GDPR 1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN FORBEREDE SEG TIL GDPR GRUNNLEGGENDE OM GDPR OG PERSONVERN

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Ny personvernlovgivning. Tillitsvalgkonferansen 2017 Ny personvernlovgivning Tillitsvalgkonferansen 2017 Forordningen skal make Europe fit for the digital age. More than 90 % of Europeans say they want the same data protection rights across the EU and regardless

Detaljer

PERSONVERN I FINANSSEKTOREN

PERSONVERN I FINANSSEKTOREN CHRISTINE ASK OTTESEN KATRINE BERG BLIXRUD PERSONVERN I FINANSSEKTOREN å GYLDENDAL AKADEMISK Innhold Introduksjon 19 Innledning 21 DEL I EN GENERELL INNFØRING I PERSONOPPLYSNINGSLOVEN 23 KAPITTEL 1 Rettskildebildet

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018 GDPR Status og veien videre Inge V. Bakken 12. April 2018 GDPR EUs personvernforordning (GDPR Generell Data Protection Regulations) Om arbeidet så langt ved SSHF. Noen hovedelementer i ny personvernlovgivning

Detaljer

BEHANDLING AV PERSONOPPLYSNINGER

BEHANDLING AV PERSONOPPLYSNINGER BEHANDLING AV PERSONOPPLYSNINGER 1.0 Innledning 1.1 Definisjon av personopplysninger 1.2 Behandlingsansvarlig 1.3 Vilkår for å behandle personopplysninger 1.3.1 Samtykke 1.3.2 Krav om informasjon 1.3.3

Detaljer

INTEGRITETSPOLICY REKRUTTERING

INTEGRITETSPOLICY REKRUTTERING INTEGRITETSPOLICY REKRUTTERING Informasjon Mekonomen Group er et konsern som opererer innenfor ulike bransjer og forretningsområder. Når ansatte rekrutteres til våre respektive virksomheter, behandler

Detaljer

Denne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg.

Denne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg. PERSONVERNERKLÆRING Sist oppdatert: 23.11.2018. Denne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg. El-Tilsynet as (ET) lenker til nettsider som

Detaljer

PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS

PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS Denne personvernerklæringen forteller hvordan BWAS Group AS samler inn og bruker personopplysninger. Målet er å gi deg overordnet informasjon

Detaljer

Databehandleravtale for NLF-medlemmer

Databehandleravtale for NLF-medlemmer Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av

Detaljer

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn Denne databehandleravtalen er et vedlegg til Avtalen om Norlønn som er inngått av Partene («Avtale om Norlønn»). Databehandleravtalen inngår som en del

Detaljer

Personvern-rett H2016

Personvern-rett H2016 Personvern-rett H2016 Aktualitet - mål Alle virksomheter som behandler personopplysninger - og det er de fleste - må sørge for å opptre iht. personopplysningsloven. Virksomheten er ansvarlig, og kan ikke

Detaljer

OM PERSONVERN TRONDHEIM. Mai 2018

OM PERSONVERN TRONDHEIM. Mai 2018 OM PERSONVERN TRONDHEIM Mai 2018 HVORFOR ER VI HER? Ny lovgivning Alle snakker om GDPR Rundreise i alle avdelinger Overordnet innføring i regelverket Hva skjer i NHN Hva skjer med Normen OVERSIKT OVER

Detaljer

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES - PERSONVERNERKLÆRING Sist endret: 1. mai 2018 1 INNLEDNING Denne Personvernerklæringen er utarbeidet av Danske Capital AS ("Danske Capital") for å sørge for

Detaljer

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Personopplysningsvern med ProFundo som databehandler

Personopplysningsvern med ProFundo som databehandler Personopplysningsvern med ProFundo som databehandler 09:00 - Registrering 09:15 - Ny personopplysningslov v/ Therese Fevang 10:00 - Personvernombudsrollen v/ Ove Skåra, fagdirektør, Datatilsynet 10:30

Detaljer

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning Endringer i universitets- og høyskoleloven og EUs nye personvernforordning Sadia Zaka Juridisk seniorrådgiver Kunnskapsdepartementets tjenesteorgan 13.04.2018 1 Viktige definisjoner/begreper Personopplysning:

Detaljer

som gjelder databehandlerens behandling av personopplysninger på vegne av datakontrolleren.

som gjelder databehandlerens behandling av personopplysninger på vegne av datakontrolleren. Databehandleravtale Datakontroller: Kunde innfor EU eller EØS (Datakontroller) og Databehandler: Europeisk representant Selskap: ONE.COM (B-one FZ-LLC) One.com A/S Org.nr.. Org.nr. 19.958 CVR: 28677138

Detaljer

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering») Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer