SUSANNE HELLAND FLATØY PUBLIC & HEALTHCARE SOLUTIONS. Få oversikt og kontroll, sikre etterlevelse av kravene i GDPR

Transkript

1 SUSANNE HELLAND FLATØY PUBLIC & HEALTHCARE SOLUTIONS Få oversikt og kontroll, sikre etterlevelse av kravene i GDPR

2 Bakgrunn for nye personvernregler Hva er personvern og personopplysninger Når er det tillatt å samle inn og lagre personopplysninger Den registreres rettigheter Virksomhetens plikter Hvordan arbeider vi for våre kunder og i EVRY? Agenda

3 GDPR GDPR er i utgangspunktet kun en oppdatering av dagens personvernlovgiving og sånn sett ikke noe radikalt nytt. For forbrukerne betyr det imidlertid en ytterligere styrking av deres personvernrettigheter. Den største forskjellen er at forbrukerne får større eierskap til, og kontroll over egne data. Virksomhetene på sin side får utvidet plikt til å selv vurdere personvernkonsekvenser ved behandling av personopplysninger. Virksomheten må ha god kontroll på hvilke personopplysninger de lagrer, hvem som har tilgang til disse og hvordan de blir brukt. Personopplysninger har i dag stor kommersiell verdi, og da er det viktig at de som samler inn opplysningene bruker de på en måte som respekterer forbrukerens personvern.

4 Bakgrunn for nye personvernregler

5 Bakgrunn personvernregelverk Dagens personopplysningsregelverk ble vedtatt i 2000 EUs personverndirektiv fra 1995 i 2016 vedtok EU sin personvernforordning/gdpr Den er EØS- relevant og gjelder derfor også i Norge Implementeres direkte inn i vår lovgivning slik den står Fordi det er norsk lov må den på høring før den vedtas av i Stortinget Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester

6

7

8

9 Hva er personvern og personopplysninger

10 Hva er personvern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem og til hvilke formål 10

11 Hva er en personopplysning og hva er en sensitiv personopplysning? Personopplysninger Atferdsmønstre Sensitive personopplysninger Navn Fødselsnummer Adresse Telefonnummer E-post adresse IP-adresse Bilnummer Fingeravtrykk Irismønster Hodeform Bilder Hva du handler Hvor du handler Hva du ser på tv Hvor du beveger deg Hva du søker på internett Etnisk bakgrunn Politiske oppfatning Filosofiske oppfatning Religiøse oppfatning Helseforhold Seksuelle forhold Vært, mistenkt, siktet, tiltalt eller dømt for straffbar handling

12 Behandlingsansvarlig og databehandlingsansvarlig

13 Behandlingsansvarlig Den behandlingsansvarlige har ansvar for, og må kunne dokumentere, etterlevelse. (art. 24, art. 5.2) Oversikt over behandlinger (art. 30) Grunnlag for behandlingen skal beskrives i et uttrykkelig formal Krav til informasjonssikkerhet og internkontrol (art. 32)

14 Alle databehandlere får nye plikter Egne rutiner for behandling av personopplysninger Si ifra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Kan bli erstatningspliktige

15 Når er det tillat å samle inn og behandle personopplysninger Artikkel 5 Prinsipp for behandling med bl. Uttrykkelig angitt formål Artikkel 6 Lovlig behandling Artikkel 7 Betingelser for samtykke Artikkel 8 Betingelser for barns samtykke Artikkel 13 om informasjon til den registrerte Artikkel 30 Oversikt over behandlingsak tiviteter

16

17 Ikke i samsvar med formålet

18 Den registrertes rettigheter

19 Rett til informasjon (art. 13 og 14) Rett til innsyn (art. 15) Rett til korrigering (art. 16) Rett til sletting (art. 17) Rett til begrensning av behandling (art. 18 og 23) Retten til dataportabilitet (art. 20) Retten til å motsette seg behandling (art. 21) Rettigheter

20 Rett til informasjon (art. 13 og 14) Rettigheter

21 Informasjonsplikt Navn og kontaktinformasjon til behandlingsansvarlig Navn og kontaktinformasjon til ev. personvernombud Formål og rettslig grunnlag for behandlingen Eventuelle mottakere av personopplysningene Informasjon om hvor lenge dataene skal lagres, evt. kriterier for lagringstid Rett til innsyn, korrigering, sletting, til å protestere mot behandling Bruk av automatiserte avgjørelser og profilering Rett til dataportabilitet Rett til å be om sletting Rett til å trekke tilbake et samtykke Rett til å fremme en klage til Datatilsynet Informasjon om ev. gjenbruk av data til annet formål

22 Rett til innsyn (art. 15) Rettigheter

23

24 Rett til korrigering (art. 16) Rett til sletting (art. 17) Rettigheter

25

26 Rett til begrensning av behandling (art. 18 og 23) Rettigheter

27

28 Retten til dataportabilitet (art. 20) Rettigheter

29

30 Virksomhetens plikter

31 Forordningens viktigste punkter Samtykke Dataportabilitet Sletting Varsling Samtykket ikke bindende og kan trekkes Rett til å få utlevert personopplysninger Kreve å få informasjon slettet i registre Leverandør er pliktig å varsle innen 72 timer Forhånds avkryssede "samtykkebokser«ikke lenger lov Person opplysninger skilles tydelig fra andre forhold Rett til å gi dem videre til en ny tjenesteleverandør Overføres direkte mellom gammel og ny tjenesteyter Underleverandører som har mottatt informasjon Slette personopplysninger som ikke lenger er nødvendige Underleverandør er pliktig å varsle innen 72 timer

32 Konsekvenser av ny personvernforordning Manglende etterlevelse av ny forordning gir begrensede muligheter for kognitiv analyse Dataanalyse Økonomiske Overtredelsesgebyr o o 20 mil Euro 4% av global omsetning Konkurransevridende ved å ikke ha likhet for en leverandør i Barcelona vs Tynset Økt tillit Manglende kontroll og etterlevelse av ny forordning kan påvirke omdømme negativt Kunder vil forlate selskaper som ikke kan passe på deres data Ved etterlevelse av ny forordning vil tillitt og villighet hos forbruker øke til å dele data

33 Nye muligheter PIMS Personal Information Management Systems En plattform utformet som app-store hvor tredjeparter kan tilby nye tjenester som bruker personlig data. Eksempler: lojalitetsklubber, analyseverktøy, tilpassede tilbud Samtykkesentral og Dataportabilitet er innebygde features Samtykkesentral Gi forbrukeren en oversikt over hvilke persondata de deler for hvilke tjenester, på tvers av sektorer Gi muligheten til å enkelt trekke tilbake samtykke og slette data Gi forbrukeren muligheten til å enkelt overføre data fra en tjenestetilbyder til en annen Dataportabilitet

34

35

36

37

38 Hva bør alle virksomheter gjøre nå? 1. Bli kjent med ny lovgivning. 2. Få oversikt over hvilke personopplysninger dere behandler, med hvilket rettslig grunnlag og med hvem man deler. 3. Særlig stor risiko? 4. Hvem er ansvarlig internt? Hvem er databehandlere? Opererer vi i flere land? 5. Skal dere opprette personvernombud?

39 Hva bør alle virksomheter gjøre nå? 6) Lag rutiner for å oppdage, rapportere og reparere avvik. 7) Bygges personvern inn i løsninger dere utvikler? 8) Tilrettelegg for de registrertes rettigheter: Gis informasjon på et tilpasset språk? Er rutinene for innhenting av samtykke gode nok? Ivaretas retten til innsyn, retting, sletting og sperring? Dataportabilitet, reservasjon mot profilering, automatiske beslutninger.

40 Hvordan arbeider vi for våre kunder og i EVRY?

41 EVRY s fem stegs tilnærming EVRY ser den nye personvernforordningen som en digital mulighet. Med vår femstegs prosess tilbyr vi en strukturert tilnærming for å bli klar for forordningen... Bevisstgjøring Analyse Målbildet Endringer Nye muligheter Bevisstheten rundt personvernforordninger starter med ledelsen Hva er personvernforordningen? EVRY vil kunne hjelp deg med å forstå konsekvensen. En innledende analyse vil hjelpe deg å avdekke hvordan din nåværende måte å jobbe på er i tråd med nye og gamle krav. Gjennom kombinasjonen av våre detaljerte digitale kunnskap og kunnskap om forordningen vil vi hjelpe deg å sette opp veikartet for å oppfylle nye krav. Bli kompatibel med ny forordning. Forordningen er en nødvendighet og en mulighet. Vi hjelper deg med å finne nye digitale muligheter for din organisasjon.

42 Pre-Workshop Survey Send Survey Fill Survey Input Workshop

43 Mønstre fra workshops gamle problemer må løses nå 1. FRA VIRKSOMHETEN: a) Selvsikkerhet i selvvurdering utgjør en risiko b) Lange eksisterende styringsspørsmål om ansvar, mandat og eierskap som lenge har blitt ignorert, må plutselig løses 2. FRA EN TEKNISK : a) Ustrukturert data er en stor bekymring b) Bekymringen for effekten av ny forordning rundt MDM livssyklus for eksisterende arbeidsmåte

44 EVRY s fem stegs tilnærming EVRY ser den nye personvernforordningen som en digital mulighet. Med vår femstegs prosess tilbyr vi en strukturert tilnærming for å bli klar for forordningen... Bevisstgjøring Analyse Målbildet Endringer Nye muligheter Bevisstheten rundt personvernforordninger starter med ledelsen Hva er personvernforordningen? EVRY vil kunne hjelp deg med å forstå konsekvensen. En innledende analyse vil hjelpe deg å avdekke hvordan din nåværende måte å jobbe på er i tråd med nye og gamle krav. Gjennom kombinasjonen av våre detaljerte digitale kunnskap og kunnskap om forordningen vil vi hjelpe deg å sette opp veikartet for å oppfylle nye krav. Bli kompatibel med ny forordning. Forordningen er en nødvendighet og en mulighet. Vi hjelper deg med å finne nye digitale muligheter for din organisasjon.

45 Agenda Pri GDPR tema 1. Purpose limitation 2. Consent 3. Profiling restrictions 4. Right to access 5. Right to erasure 6. Data portability 7. Breach notifications 8. Privacy by design 9. Data Protection Officer 10. Record inventory Roller XX: Fasilitator XX: SME/referent GDPR Compliance Owner: CSO Kunde Deltakere: Systemeiere Kunde, DPO, Prosesseiere Kunde, Arkitekter Gjennomføring Fra rødt til gult til grønt metode (Ishikawa) Et fiskebein pr prioritert GDPR Tema Identifisere mest aktuelle system pr GDPR Tema Bygge videre på funn fra spørreskjema Kort idemyldring/diskusjon om mangler ikke avdekket i undersøkelsen Komplettere hvert fiskebein med ny informasjon Forarbeid GDPR Compliance spørreundersøkelse Prioritere agenda basert på funn Resultat Enighet om compliance status Enighet om område(r) med størst GAP Enighet om systemer med størst GAP Enighet om prioritet for videre framdrift

46 EVRY s fem stegs tilnærming EVRY ser den nye personvernforordningen som en digital mulighet. Med vår femstegs prosess tilbyr vi en strukturert tilnærming for å bli klar for forordningen... Bevisstgjøring Analyse Målbildet Endringer Nye muligheter Bevisstheten rundt personvernforordninger starter med ledelsen Hva er personvernforordningen? EVRY vil kunne hjelp deg med å forstå konsekvensen. En innledende analyse vil hjelpe deg å avdekke hvordan din nåværende måte å jobbe på er i tråd med nye og gamle krav. Gjennom kombinasjonen av våre detaljerte digitale kunnskap og kunnskap om forordningen vil vi hjelpe deg å sette opp veikartet for å oppfylle nye krav. Bli kompatibel med ny forordning. Forordningen er en nødvendighet og en mulighet. Vi hjelper deg med å finne nye digitale muligheter for din organisasjon.

47 Våre tjenester Risk Manager GDPR as service Business Consulting Data/Content Management ISO27001 Arkitekter Transaksjons-analyse AD Scan

48 Nicolay Moulin VP Enterprise Content Management M