Programvareutvikling med innebygd personvern og personvern som standardinnstilling. Eirik Saltkjel Veronica Jarnskjold Buer

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Begynne med side:

Download "Programvareutvikling med innebygd personvern og personvern som standardinnstilling. Eirik Saltkjel Veronica Jarnskjold Buer"

Transkript

1 Programvareutvikling med innebygd personvern og personvern som standardinnstilling Eirik Saltkjel Veronica Jarnskjold Buer

2 Agenda Introduksjon til nye personvernregler Pause (10 minutter) Introduksjon til veileder Gruppearbeid forslag til hva aktivitetene inneholder Presentasjon av aktivitetene i veilederen For hver aktivitet Et bord presenterer sine tanker og innspill Innhold fra veileder presenteres

3 Nye personvernregler

4 Personvernprinsipper og den registrertes rettigheter

5 Personopplysninger hva er det? (art 4) enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet 5

6 Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem og til hvilke formål 6

7 Hva er person(opplysnings)vern? Hva er det loven beskytter? Er det kun selve informasjonen om et menneske? Dvs med tekniske, organisatoriske, fysiske og menneskelige tiltak? Nei mer.. En krenkelse av personvernet kan skje selv om du beskytter informasjonen aldri så godt. Eks. Informasjonen om deg er feil hva kan det medføre? Viktig informasjon om deg er «borte vekk» Hvis det er personen selv som skal bestemme om du får lov å ha informasjonen, og du ikke har innhentet samtykke. Person(opplysnings)vern er altså noe mer enn informasjonssikkerhet 7

8 Hvem har plikter og rettigheter De registrerte har rettigheter Behandlingsansvarlig, databehandler, underleverandører har plikter 8

9 Gamle personvernprinsipper i ny drakt art 5 Lovlig, rimelig og gjennomsiktig Rettslig grunnlag. Respekter de registrertes interesser og rimelige forventninger. Informasjon skal gis på en tilgjengelig og forståelig måte. Formålsbegrensning Opplysningene skal brukes til spesifikke, uttrykkelig angitte og legitime formål. Opplysningene skal ikke brukes til andre uforenlige formål Dataminimering Personopplysningene skal være tilstrekkelige, relevante og begrenset til hva som er nødvendig for formålet. Korrekte og oppdaterte Opplysningene skal være korrekte og om nødvendig ajourførte. Ukorrekte eller utdaterte personopplysninger skal rettes eller slettes. Rutiner for lagring og sletting Personopplysninger skal ikke lagres lengre enn det som er nødvendig for formålet. Automatiske sletterutiner. Integritet og konfidensialitet Personopplysninger sikres mot uautorisert eller ulovlig tilgang og mot utilsiktet tap, ødeleggelse eller skade. Det skal brukes egnede tekniske og organisatoriske tiltak. Ansvarlighet Den behandlingsansvarlige har ansvar for, og må kunne dokumentere, at regelverket blir etterlevd

10 De registrertes rettigheter Informasjon (art 12-14) Hvordan og hvorfor Innsyn (art 15) Beholde kontroll over egne opplysninger Forutsetning for de resterende rettigheter Korrigering (art 16 & 19) - Unøyaktige opplysninger - Varsling av tredje part - Når? uten ugrunnet opphold Sletting/Retten til å bli glemt (art 17 & 19) - Ikke nødvendige, samtykket trekkes tilbake, registrerte motsetter seg, ulovlig behandling, lovhjemmel - Ingen direkte adgang til å ta kostnadene med i beregningen - Ingen behov for intervensjon fra Datatilsynet - plikt til å informere tredjepart som behandler data som er tilgjengeliggjort for allmenheten (art 17 (2)) 10

11 De registrertes rettigheter Rett til at personopplysninger begrensning (ny, art 18 &19) den registrerte ønsker at opplysninger skal slettes eller bestrider at opplysningene er korrekte opplysningene kan ikke behandles på noen annen måte enn å bare lagres Noen unntak: samtykke fra den registrertes, forsvare et rettskrav, forsvare en annens rettigheter, eller ivareta viktige samfunnsinteresser. Plikt til å underrette alle som har mottatt opplysningene Dataportabilitet (ny, art 20) Den registrerte kan ha krav på å ta med seg opplysningene sine til en annen virksomhet dersom behandling er basert på samtykke eller avtale Den registrerte kreve at den behandlingsansvarlige sørger for å overføre opplysningene til den nye virksomheten Opplysningene skal være i et strukturert, allment brukt og maskinlesbart format Retten til dataportabilitet gjelder ikke for behandlinger som er nødvendige for å gjennomføre oppgaver i samfunnets interesse eller under offentlig myndighetsutøvelse. 11

12 De registrertes rettigheter Innsigelse (ny, art 21) rett til å protestere på visse typer behandlinger En rett til å protestere mot visse typer behandlinger, f.eks direkte markedsføring, profilering. Ivaretagelse av retten til innsigelse kan løses gjennom tekniske tiltak, for eksempel innstillinger i en nettleser/applikasjon Automatiserte avgjørelser, inkludert profilering (ny, art 22) Adgangen til å ta i bruk automatiserte avgjørelser, altså avgjørelser basert på algoritmer, er snevret inn etter de nye reglene. Eks. benytter algoritmer for å utarbeide profiler om et individ som igjen avgjør kredittverdighet, adgang til å ta opp lån, forsikringspremier, og så videre. Automatiserte avgjørelser er kun tillatt dersom de er nødvendige for å inngå eller gjennomføre en avtale med de registrerte, er hjemlet i lov som samtidig gir tilfredsstillende garantier for personvernet til de registrerte, er basert på gyldig samtykke. Dersom profiler som har rettsvirkning på et individ også inneholder sensitive personopplysninger, er de eneste gyldige behandlingsgrunnlagene samtykke eller lovhjemmel egnede tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, i det minste retten til menneskelig inngripen fra den behandlingsansvarlige, til å uttrykke sine synspunkter og til å bestride avgjørelsen. 12

13 Bakgrunn for de nye reglene

14 Bakgrunn personvernregelverk Personopplysningsloven og -forskriften 2000 (2001) Nye norske personvernregler 2018 EUs personverndirektiv 1995 EUs personvernforordning (GDPR) 2016

15 Ansvarlighet og internkontroll

16 Nøkkelen til etterlevelse (accountability)? Artikkel 5 (2) accountability Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at personvernprinsippene overholdes. Mindre forhåndskontroll bortfall av melde- og konsesjonsplikt Flere (og til dels tydeligere) rettigheter og plikter Risikobaserte tiltak (DPIA, forhåndsdrøftelse, etterkontroll) Strengere sanksjoner 16 Source: LinkedIn

17 Internkontroll og ansvar Finnes i personopplysningsloven i dag som planlagte og systematiske tiltak i pliktene om internkontroll og informasjonssikkerhet. Artikkel 24 Den behandlingsansvarliges ansvar Forholdsmessighet Art, omfang, formål og sammenheng Risiko for rettigheter og friheter Egnede tekniske og organisatoriske tiltak Etablere og ta i bruk nødvendige rutiner for vern av personopplysninger Sikre og dokumentere etterlevelse Kontinuerlig prosess 17

18 Oversikt over behandlingsaktiviteter art. 30 Kontaktinformasjon til behandlingsansvarlig Formål Kategorier av registrerte og personopplysninger Kategorier av mottakere Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkelig beskyttelse Slettefrister Sikkerhetstiltak Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige 18

19 Alle skal gi god informasjon om hvordan de behandler personopplysninger Informasjonen skal være lett tilgjengelig Klart språk som er tilpasset leserens nivå Stilles krav til hvilke opplysninger som skal gis 19

20 Alle må kunne oppfylle borgernes nye rettigheter Retten til å bli glemt Rett til at personopplysninger begrenses Systemer må oppfylle krav til dataportabiliet Strengere regler for automatiserte avgjørelser Håndtere henvendelser fra borgere innen 1 måned 20

21 Informasjonssikkerhet og avviksmeldinger

22 Sikkerhet ved behandling art. 32 Risikovurdering Sikkerhetstiltak Pseudonymisering og kryptering av personopplysninger Sikre vedvarende K, I, T og robusthet Gjenoppretting av tilgjengelighet og tilganger ved hendelser Jevnlig testing, vurdering og evaluering Bransjenormer eller godkjent sertifiseringsordning Element for å vise etterlevelse Tiltak for å sørge for at behandling kun skjer på instruks fra behandlingsansvarlig 22

23 Avviksmeldinger art. 33 Behandlingsansvarlig må melde avvik innen 72 timer. Kan meldes trinnvis. Databehandler melder til behandlingsansvarlig Stilles krav til innholdet i avviksmeldingen. Vårt skjema i Altinn tar høyde for dette. WP29 gruppens veiledning for avviksmeldinger ble godkjent i oktober Kink på våre sider. 23

24 Behandlingsansvarlig oppdager/ gjøres oppmerksom på en sikkerhetshendelse og fastslår om det har skjedd et avvik mht personopplysninger. Behandlingsansvarlig vurderer risiko for enkeltpersoner. Artikkel 34 Informasjon til de berørte Flytskjema som viser varslingskrav Medfører bruddet en risiko for enkelt personers rettigheter og friheter? Ja Vil bruddet medføre en høy risiko relater til enkeltpersoners rettigheter og friheter? Nei Det er ikke krav om å varsle tilsynsmyndigheter eller enkeltpersoner. Meld bruddet til den aktuelle tilsynsmyndighet. Hvis bruddet påvirker enkeltpersoner I mer enn et medlemsland (EU/EUØ), skal tilsvarende tilsynsmyndighet I det enkelte land varsles. Ja Nei Ingen krav om å varsle enkeltpersoner. Gi informasjon til de berørte personer og om påkrevd (se art 34), gi informasjon om hvilke tiltak de kan gjøre for å beskytte seg mot konsekvenser av bruddet. Alle brudd registreres i henhold til artikkel 33 nr. 5. Den behandlingsansvarlige skal dokumentere og registrere brudd. 24

25 Alle databehandlere får nye plikter Egne rutiner for behandling av personopplysninger Si fra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Kan bli erstatningspliktige 25

26 Databehandleravtale Art. 28 Behandling av personopplysninger kun på instruks Overføring til land utenfor EU/EØS kun på instruks Taushetsplikt Informasjonssikkerhet (art. 32) Underleverandører (art. 28) Bistå behandlingsansvarlig Etterkomme krav fra enkeltpersoner Informasjonssikkerhet, avvikshåndtering, DPIA Slette eller tilbakeføre alle personopplysninger (også kopier) ved opphør av tjeneste. Dokumentasjon som viser etterlevelse av art. 28. Tillate og bidra til revisjoner. Skriftlig avtale, også elektronisk. 26

27 Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse

28 Vurdering av personvernkonsekvenser - Data protection impact assessment (DPIA) En systematisk prosess, som identifiserer og evaluerer fra alle interessenters synsvinkel potensielle personvernkonsekvenser i et prosjekt, initiativ, foreslått system eller prosess og som inkluderer det å finne ut hvordan dere kan unngå trusler mot personvernet eller hvilke tiltak dere må innføre for å avverge trusler mot personvernet 28

29 Hva skal beskyttes? Konfidensialitet Åpenhet Transparency Integritet Den registrertes perspektiv Mulighet til å gripe inn Intervenability Kan ikke kobles Unlinkability Tilgjengelighet Oversatt fra en artikkel om DPIA-prosessen: 29

30 Vurdering av personvernkonsekvenser art. 35 Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang systematisk overvåking av offentlig område i stort omfang I tilfelle man er i tvil anbefaler vi å utføre en DPIA. Datatilsynet må publisere liste over når det er påkrevd. Datatilsynet kan publisere liste over når det ikke er påkrevd. 30

31 Minst to av følgende ti kriterier 1. Evaluering eller poengvurdering (scoring) 2. Automatiserte avgjørelser 3. Systematisk overvåkning (monitoring) 4. Sensitive personopplysninger 5. Behandling av personopplysninger i stor skala 6. To eller flere datasett som sammenstilles 7. Personopplysninger om registrerte med særskilt beskyttelsesbehov 8. Ny teknologi eller bruk av eksisterende teknologi til nye formål 9. Konteksten begrenser muligheten for de registrerte til å utøve rettigheter

32 Vurdering av personvernkonsekvenser art. 35 Vurderingen skal som minimum inneholde: Systematisk beskrivelse av behandlingen, formål, og evt. hvilken berettiget interesse den ivaretar. Vurdering av nødvendighet og forholdsmessighet, sett opp mot formålet. Vurdering av risikoen for rettigheter og frihet til registrerte. Tiltak som skal iverksettes for å redusere risikoen. 32

33 Forhåndsdrøftelser Art. 36 Ved høy risiko, som ikke kan begrenses, skal vi involveres i forhåndsdrøftelser Det stilles krav til dokumentasjon som skal sendes inn til oss Forordningen stiller krav til vår behandlingstid Datatilsynet kan veilede eller forby behandlingen 33

34 Lær mer om DPIA Veiledning fra Artikkel 29-gruppen: Dette er et utkast på høring med frist 23. mai 2017 Datatilsynets veiledning (blir oppdatert i løpet av 2017): Eksempler på rammeverk innen EU og internasjonalt: Conducting privacy impact assessments code of practice, ICO, Privacy and Data Protection Impact Assessment Framework for RFID Applications, Art.29, ISO Utkast til standard. Estimert våren

35 Personvernombud

36 Mange virksomheter må opprette personvernombud Disse må ha ombud: Alle offentlige virksomheter (unntatt domstoler) Virksomheter som har som kjerneaktivitet å gjøre følgende i stor skala: regelmessig og systematisk overvåke personer behandle sensitive personopplysninger eller opplysninger om straffbare forhold 36

37 Strengere krav til personvernombudene Krav til kompetanse Skal involveres og rapportere til høyeste ledelsesnivå Ombudet skal ikke instrueres eller straffes Oppgavene omfatter å gi råd, overvåke etterlevelse og være kontaktpunkt 37

38 Internasjonalt og samarbeid

39 Reglene gjelder også virksomheter utenfor Europa Alle som tilbyr varer eller tjenester til EUeller EØS-borgere De som kartlegger EU- eller EØS-borgeres adferd på nett Virksomheter skal kunne forholde seg til en personvernmyndighet Den registrerte skal kunne klage i eget land Personvernmyndigheter skal samarbeide 39

40 Alle bør samarbeide i egne nettverk og følge atferdsnormer Sektorvis utforming av retningslinjer Sikrer at de viktigste rutinene er på plass Flere fordeler ved å følge disse Datatilsynet skal godkjenne atferdsnormer 40

41 Programvareutvikling med innebygd personvern og personvern som standardinnstilling bakgrunn og veileder

42 Introduksjon

43 PVF Art. 25: Innebygd personvern og personvern som standardinnstilling 43

44 Innebygd personvern og personvern som standard Vær i forkant, forebygg fremfor å reparere. Gjør personvern til standardinnstilling. Bygg personvern inn i designet. Skap full funksjonalitet: Både-og, ikke enten-eller. Ivareta informasjonssikkerhet fra start til slutt. Vis åpenhet. Respekter den registrertes personvern. Oppsummert art 25: Obligatorisk Tekniske og organisatoriske tiltak. Sett det minst personverninngripende alternativet som standard, mht mengde, omfang, lagringstid, tilgjengelighet. Ivareta personvernprinsipper og den registrertes rettigheter. 45

45 Arbeidsgruppen har bestått av: Andreas Hegna Martha Eike Rita Nordtug Johannes Brodwall Eskild Storvik Karoline Klever Eirik Saltkjel Eirin Oda Lauvset Dagfinn Bergsager Trude Talberg-Furulund Veronica J. Buer 46

46 Presentasjon av hver aktivitet i veilederen

47 Opplæring

48 Opplæring Mål: Basiskunnskap og forståelse for personvern og informasjonssikkerhet, og risiko tilknyttet dette Hva skal det gis opplæring i: Når og hvorfor personvern og informasjonssikkerhet er viktig i de ansattes daglige arbeidsoppgaver. Suksesskriterier er at virksomheten har etablert retningslinjer for personvern og informasjonssikkerhet, og at intern opplæring i disse retningslinjene er adressert. 49

49 Obligatorisk Opplæring Intern Interne krav, mål rutiner og metodikk Marked, kunder, brukere Frivillig Lover og regelverk Industristandarder, bransjenormer Ekstern 50

50 Krav

51 Personvern- og sikkerhetskrav Type personopplysninger? Kan slutninger trekkes om individer? Hvem er brukere og eiere? Behandlingsansvarlig, databehandler, mottaker? Prinsipper skal være oppfylt og rettigheter ivaretatt Nødvendig? Mengde, omfang, lagringstid, tilgjengelighet Åpenhet gi informasjon så den registrerte kan ivareta sine rettigheter Informasjonssikkerhet 52

52 Definere toleransenivå for risiko = Hvor høy risiko virksomheten tar ved ulike scenarier. Sikkerhetskategorier, f.eks utilsiktet endring av data (I) uautorisert utlevering (K) mangel på tilgjengelighet (T) Personvernscenarier, f.eks. at den registrerte mangler kontroll på sine data utsettes for diskriminering ved profilering reidentifiseres fra anonyme data Nulltoleranse Akseptabelt toleransenivå = den risiko som virksomheten er villig til å ta Nivå kritikalitet Kritisk Høy Middels Lav Kategori eks: Skade på liv og helse Dødsfall Personskade som medfører varig uførhet Personskade medfører sykemelding Ingen alvorlig personskade eller sykefravær 53

53 54

54 Design

55 Design Dataorienterte designkrav: Minimer og begrens - «Select before you collect» «Gjem og skjul» Separer Aggreger Personvern som standard Prosessorienterte designkrav: Informer Kontroller Håndheve Demonstrer 56

56 Design Analyser angrepsflaten i den designede programvaren for å redusere muligheter til å utnytte svake punkter og sårbarheter. Ved trusselmodellering analyserer man komponenter, tilgangspunkter, dataflyt og prosessflyt i programvaren. hvordan noen kan misbruke programvaren ved ulike scenarioer. hvordan designet kan forbedres for å unngå trusler som er identifisert. Resultat er et mer herdet og robust sluttprodukt. 57

57 Koding

58 Bruk godkjente verktøy og rammer Beskriv bruksområde Tilhørende sikkerhetsfunksjonalitet Støttekomponenter og verktøy fra tredjeparter Verktøy må risikovurderes og analyseres for sårbarheter 59

59 Ugyldiggjør utrygge funksjoner og moduler Analyser funksjoner, API, tredjepartsbibliotek og moduler Forby de som er utrygge, oppdater de som er utdaterte eller inneholder kjente sårbarheter Bruk verktøy for kodeskanning for å sjekke koden Deaktiver unødig sporing, logging og innsamling av personopplysninger 60

60 Statisk kodeanalyse og kodegjennomgang Automatiske verktøy Manuell gjennomgang for å fange opp svakheter som kan medføre feil bruk eller lekkasje av personopplysninger Regelmessig gjennomgang 61

61 Test

62 Test om kravene er implementert Er personvern- og sikkerhetskrav ivaretatt gjennom design og koding? Er kravene riktig implementert? Er alle komponenter med? 63

63 Sikkerhetstesting Dynamisk testing Test funksjonalitet i kjørende kode (verktøy eller manuelt) Undersøk ulike brukerrettigheter og ved kritiske sikkerhetsfeil Fuzz testing Fremprovoser feil i programvaren Bruk verktøy som sender tilfeldig og misformet data inn i programvaren Test alle grensesnitt Penetrasjonstesting/ sikkerhetstesting Kjøres før produksjonssetting og jevnlig Lovlig og autorisert forsøk på å finne, utnytte og avdekke sårbarheter 64

64 Gjennomgang av trusselmodell og angrepsflate Verifisere at angrepsvektorer som ble avdekket i designfasen er håndtert Verifisere at nye angrepsvektorer introdusert under koding er identifisert og håndtert Ny gjennomgang av trusselmodell Ny gjennomgang av vurdering av personvernkonsekvenser 65

65 Produksjonssetting

66 Produksjonssetting Utarbeid plan for hendelseshåndtering for effektivt håndtere oppgaver og hendelser som kan oppstå etter produksjonssetting. Hva en hendelse er og hvilken livssyklus den har (omfatter å detektere, analysere, rapportere, håndtere og normalisere) Ressurser, kontaktpunkt/responssenter, kontaktinformasjon, responstid, kanaler, logger, rutiner, patching, evaluering mm. Varsle ledelsen, den registrerte og Datatilsynet m.fl. 67

67 Produksjonssetting Full sikkerhetsgjennomgang av programvaren skal baseres på tidligere gjennomganger i utviklingsløpet og inngå i de kontrollpunkter (control gates) som må gjøres før produksjonssetting. Godkjenning av produksjonssetting Sikkerhetsrådgiver og personvernombud skal verifisere at alle definerte sikkerhets- og personvernkrav er implementert og fungerer etter hensikten. Virksomheten må definere hvem som har godkjenningsmyndighet. Arkivering bør gjøres av all relevant data og dokumentasjon fra hele utviklingsløpet. 68

68 Forvaltning

69 Forvaltning Håndtere hendelser og avvik etter planen Når akutte hendelser opptrer, er det viktig å bevare roen og å bruke tid på å analysere hendelsen. Responsteamet skal vite hvem de skal kontakte når og hvem som er i stand til å bygge, teste og installere oppdateringer. Responsteamet må vite hvilke prioriteringer som gjelder, samt vite nøyaktig hva de kan og skal gjøre når det virkelig er krise. Øv 70

70 Forvaltning Forvaltning, drift og vedlikehold av programvaren skal følge etablerte rutiner for hvordan personvern og sikkerhet skal ivaretas over tid. Styringssystem for personvern og informasjonssikkerhet som omfatter anskaffelse, forvaltning, drift og vedlikehold. Rutiner for regelmessige testing og revidering, sikkerhetsovervåkning, målinger, forbedring mm. 71

71 Veilederen ligger på datatilsynet.no 72

72 Takk for oppmerksomheten! Telefon: datatilsynet.no @marthaeike

Programvareutvikling med innebygd personvern nye personvernregler

Programvareutvikling med innebygd personvern nye personvernregler Programvareutvikling med innebygd personvern nye personvernregler 28.08.2017 Agenda Innebygd personvern introduksjon, konkurranse og veileder Aktivitetene i veileder om programvareutvikling med innebygd

Detaljer

Nye personvernregler (GDPR)

Nye personvernregler (GDPR) Nye personvernregler (GDPR) 02.11.2017 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse Innebygd personvern

Detaljer

Innebygd personvern personvernforordningen artikkel 25

Innebygd personvern personvernforordningen artikkel 25 Innebygd personvern personvernforordningen artikkel 25 25.08.2017 Bjørn Erik Thon Arbeidsgruppen har bestått av: Andreas Hegna Martha Eike Rita Nordtug Johannes Brodwall Eskild Storvik Karoline Klever

Detaljer

Nye personvernregler fra 2018

Nye personvernregler fra 2018 Nye personvernregler fra 2018 Agenda Personopplysninger Bakgrunn for nye personvernregler Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Innebygd personvern og DPIA Personvernombud

Detaljer

Nye personvernregler

Nye personvernregler Nye personvernregler Agenda Hva er personvern og personopplysninger Bakgrunn for nye personvernregler De viktigste endringene fra idag til 2018 Hva nå? - våre forventninger og råd om veien videre Innledning

Detaljer

Ansvarlighetsprinsippet og virksomhetens plikter

Ansvarlighetsprinsippet og virksomhetens plikter Ansvarlighetsprinsippet og virksomhetens plikter Ansvarlighet og internkontroll Nøkkelen til etterlevelse (accountability)? Artikkel 5 (2) accountability Den behandlingsansvarlige er ansvarlig for og skal

Detaljer

Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018 Nye personvernregler fra mai 2018 27.04.2017 Datatilsynet Opprettet 1980, lokalisert i Oslo Ca 50 medarbeidere Uavhengig forvaltningsorgan under KMD To roller tilsynsorgan og ombud Regelverk: Personopplysningsloven

Detaljer

Nye personvernregler (GDPR)

Nye personvernregler (GDPR) Nye personvernregler (GDPR) 10.10.2017 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse PVO, internasjonalt

Detaljer

Nye personvernregler i GDPR i helsesektoren

Nye personvernregler i GDPR i helsesektoren Nye personvernregler i 2018 - GDPR i helsesektoren 05.12.2017 Kort om skytjenester Er det egentlig noe nytt? ASP, fjerndrift, stormaskin, hosting, Outsourcing rokker ikke ved ansvarslinjene: Virksomhet

Detaljer

Nye personvernregler

Nye personvernregler Nye personvernregler Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til

Detaljer

Nøkkelen til morgendagens personvern innebygd personvern

Nøkkelen til morgendagens personvern innebygd personvern Nøkkelen til morgendagens personvern innebygd personvern 24.10.2017 Personvern, prinsipper og rettigheter Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 Fødselsnummer: 13087846271

Detaljer

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017 Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017 Personvern - Hva er det 3 Hva er personopplysninger? Side 4 5 Viktig nytt i forordningen

Detaljer

Krav til informasjonssikkerhet i nytt personvernregelverk

Krav til informasjonssikkerhet i nytt personvernregelverk Krav til informasjonssikkerhet i nytt personvernregelverk 8. desember 2017 Informasjonsikkerhet er et ledelsesansvar Sikkerhetsledelse Klare ansvarsforhold Oversikt over det totale risikobildet og beslutte

Detaljer

Nytt personvernregelverk GDPR e-kommunedagen Hordaland

Nytt personvernregelverk GDPR e-kommunedagen Hordaland Nytt personvernregelverk GDPR e-kommunedagen Hordaland 2017 24.10.2017 Personopplysninger samles inn om oss, og aktører bruker det i salgs- og reklameøyemed, men også statlig aktører sorterer denne informasjonen.

Detaljer

Informasjonssikkerhet i forordningen

Informasjonssikkerhet i forordningen Informasjonssikkerhet i forordningen 19.10.2016 Agenda Personopplysninger Bakgrunn om forordningen Dagens krav til informasjonssikkerhet Krav til informasjonssikkerhet i nytt regelverk Thinkstock.com 2

Detaljer

Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018 Nye personvernregler fra mai 2018 25. oktober 2017 Personvern - Hva er det Side 2 Side 3 30.10.2017 Side 4 30.10.2017 5 6 7 Viktig nytt i forordningen Materielle krav i regelverket: Innebygd personvern

Detaljer

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse Bakgrunn General Data Protection Regulation (GDPR) ble formelt vedtatt av EU i april 2016 GDPR trer i kraft

Detaljer

Nye personvernregler

Nye personvernregler Nye personvernregler Agenda Nytt personvernregelverk noen viktige endringer Hvordan utfordrer gjenbruk av personopplysninger personvernprinsippene Hva er mulighetene for etterlevelse av det nye regelverket

Detaljer

Skytjenester og nytt personvernregelverk

Skytjenester og nytt personvernregelverk Skytjenester og nytt personvernregelverk 15.02.2017 Agenda Personopplysninger Skytjenester Problemstillinger som må vurderes Nytt personvernregelverk Thinkstock.com 2 Personopplysninger Hva er person(opplysnings)vern?

Detaljer

Nye personvernregler Gullik Gundersen juridisk rådgiver

Nye personvernregler Gullik Gundersen juridisk rådgiver Nye personvernregler Gullik Gundersen juridisk rådgiver 19.10.2017 Nye personvernregler 1. Om de nye reglene 2. De nye reglene 3. Hva gjør vi nå? 2 Om de nye reglene 3 Om de nye reglene Kommer fra EU («forordning»)

Detaljer

Nye personvernregler og innebygd personvern

Nye personvernregler og innebygd personvern Nye personvernregler og innebygd personvern Agenda Personopplysninger Bakgrunn for nye personvernregler Hendelser Innebygd personvern og DPIA Prosjekt i Datatilsynet Hva er person(opplysnings)vern? Den

Detaljer

Hva gjør så KiNS og KS med GDPR?

Hva gjør så KiNS og KS med GDPR? 1 Hva er KiNS Foreningen Kommunal Informasjonssikkerhet KiNS 2003 Over 200 kommuner/fylkeskommuner Samarbeider nært med KS, Datatilsynet, DiFi, NSM, ehelse, Senter for IKT i undervisningen. KiNS arrangerer

Detaljer

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 3 Agenda Hva er personvern og personopplysninger Bakgrunn

Detaljer

Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018 Nye personvernregler fra mai 2018 Personvern Hva er det? Side 2 Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 3 Personopplysninger hvor er de? 4 5 Viktig nytt i forordningen

Detaljer

Personvern - Hva er det

Personvern - Hva er det Personvern - Hva er det Nye personvernregler fra mai 2018 18. oktober 2017 Side 2 Side 3 5 Side 4 6 1 Viktig nytt i forordningen Materielle krav i regelverket: Innebygd personvern og personvern som standard

Detaljer

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 21.09.2017 Agenda Bakgrunn for nye personvernregler De viktigste endringene fra i dag til 2018 Hva nå? våre forventninger og råd

Detaljer

EUs nye forordning for personvern

EUs nye forordning for personvern EUs nye forordning for personvern Norsk Arkivråds høstseminar, 2. november 2016 Nye personvernregler 1. Om de nye reglene 2. De nye reglene 2 1. Om forordningen Arbeidet startet i 2012 Vedtatt i 2016 og

Detaljer

Steinar Nørstebø, styreleder

Steinar Nørstebø, styreleder 1 Steinar Nørstebø, styreleder steinar@kins.no Hva er KiNS Foreningen Kommunal Informasjonssikkerhet KiNS 2003 Over 200 kommuner/fylkeskommuner Samarbeider nært med KS, Datatilsynet, DiFi, NSM, ehelse,

Detaljer

Nye personvernregler fra mai Mars 2017

Nye personvernregler fra mai Mars 2017 Nye personvernregler fra mai 2018 25. Mars 2017 Personvern Hva er det? Side 2 Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 3 Personopplysninger hvor er de? 4 5 Bakgrunn Arbeidet

Detaljer

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 2 Agenda Hva er personvern og personopplysninger Bakgrunn

Detaljer

GDPR - viktige prinsipper og rettigheter

GDPR - viktige prinsipper og rettigheter GDPR - viktige prinsipper og rettigheter 11.09.2017 Agenda Bakgrunn for nye personvernregler Viktige prinsipper i forordningen Registrertes rettigheter Hva nå? våre forventninger og råd om veien videre

Detaljer

NORID - Registrarseminar 26. april 2017

NORID - Registrarseminar 26. april 2017 NORID - Registrarseminar 26. april 2017 26.04.2017 Bakgrunn for ny personvernforordning Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den

Detaljer

Nye personvernregler fra mai 2018, hva nå?

Nye personvernregler fra mai 2018, hva nå? Nye personvernregler fra mai 2018, hva nå? Agenda Hva er personvern og personopplysninger Bakgrunn for nye personvernregler De viktigste endringene fra i dag til 2018 Hva nå? våre forventninger og råd

Detaljer

Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018 Nye personvernregler fra mai 2018 27. September 2017 Personvern Hva er det? Side 2 Side 3 03.10.2017 Side 4 03.10.2017 Ny forordning Ny Grunnlovsbestemmelse 102 Personopplysningsloven av 14.4.2000 EU-direktiv

Detaljer

EUs nye forordning for personvern

EUs nye forordning for personvern EUs nye forordning for personvern 22.03.2017 Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger

Detaljer

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning Senioradvokat (PhD) Thomas Olsen Normkonferansen 30. november 2017 www.svw.no GDPR viderefører personvernprinsippene Artikkel

Detaljer

Personvern i digitalisering av forvaltningen

Personvern i digitalisering av forvaltningen Personvern i digitalisering av forvaltningen En varde av ettertanke «Slik kan man ( ) tenne en varde av ettertanke ved den stadig sterkere automatiseringen innen offentlig forvaltning. Hvordan kontrollerer

Detaljer

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen Personvern nytt landskap i 2018 #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen Personvernforordningen (General Data Protection Regulation/GDPR) Personvernforordningen på overordnet

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling

Detaljer

Personvernforordningen

Personvernforordningen Personvernforordningen Hvitvaskingskonferansen Advokat Nils Henrik Heen Dagens regelverk EUs personverndirektiv 94/46/EU Personopplysningsloven med forskrift Særlovgivning 2 Personvernforordningen Teknologisk

Detaljer

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen Nye personvernregler fra mai 2018 - Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen Bakgrunn Ny personvernforordning vedtatt i EU 14. april 2016 Trer i kraft

Detaljer

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern Normkonferansen 2017 (GDPR) Juridisk opplæring personvern 30. november 2017 Marit Larsen Haarr Juridisk rådgiver Direktoratet for e-helse Juridisk opplæring oversikt A Hva skjer på personvernområdet nå?

Detaljer

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye EUs personvernforordning - hva kreves? #Oppdatert 2017 19. oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye Innhold 1. Personvernforordningen hva er det EU vil og hva er nytt? 2.

Detaljer

Personvernforordningen

Personvernforordningen Personvernforordningen Bankregulatorisk fagseminar Advokat Nils Henrik Heen Personvernforordningen Vedtatt i EU mai 2016 Trer i kraft mai 2018 Teknologisk utvikling Internasjonalisering Fullharmonisering

Detaljer

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger, Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger, 26.10.2017 Personopplysninger hva er det? Fødselsnummer: 090361 46271 IP-adresse: 195.159.103.82 Bilnummer: BL 23456 Bluetooth MAC:

Detaljer

GDPR HVA ER VIKTIG FOR HR- DATA

GDPR HVA ER VIKTIG FOR HR- DATA GDPR HVA ER VIKTIG FOR HR- DATA Ane Wigers og Kjersti Hatlestad VÅRE MEDLEMMER DRIVER NORGE Forordningen stiller tydelige krav til fremgangsmåte ved behandling av personopplysninger Risikobasert tilnærming

Detaljer

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017 Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017 GDPR kommer! 4 Nye personvernregler - oversikt Bakgrunn / begrunnelse Tilpasning til ny

Detaljer

Personvern i digitaliseringens tid Kommuner og nytt regelverk

Personvern i digitaliseringens tid Kommuner og nytt regelverk Personvern i digitaliseringens tid Kommuner og nytt regelverk Agenda Litt om Datatilsynet Hva er personvern og personopplysninger? Hvordan ser det ut i norske kommuner? Bakgrunn for nye personvernregler

Detaljer

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Personvern nytt landskap i Senioradvokat Simen Evensen Breen Personvern nytt landskap i 2018 Senioradvokat Simen Evensen Breen Opplegget videre Det regulatoriske rammeverket Terminologi og IP-adresser Grunnprinsipper for å behandle personopplysninger De registrertes

Detaljer

Personopplysningsloven (GDPR) 5. desember 2017

Personopplysningsloven (GDPR) 5. desember 2017 Personopplysningsloven (GDPR) 5. desember 2017 Advokat/partner Håkon Knudsen Advokatfullmektig Silje Fagerhaug www.svw.no Program 0945-1045 10.45-11.00 11.00-12.00 12.00-13.00 13.00-14.15 14.15-14.45 14.45-15.15

Detaljer

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen Nye personvernregler fra mai 2018 - Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen Bakgrunn Ny personvernforordning vedtatt i EU 14. april 2016 Trer i kraft

Detaljer

Sikkerhet og personvern i skole og klasserom

Sikkerhet og personvern i skole og klasserom Sikkerhet og personvern i skole og klasserom NKUL 2017 Tommy Tranvik Harald Torbjørnsen Vi skal: Øke kvaliteten i det pedagogiske arbeidet med digitale ferdigheter hos barn og unge Øke den digitale kompetansen

Detaljer

Arbeidsgiverens behandling av personopplysninger om sine ansatte. Personvernforordningen i det daglige. Dana Jaedicke juridisk seniorrådgiver

Arbeidsgiverens behandling av personopplysninger om sine ansatte. Personvernforordningen i det daglige. Dana Jaedicke juridisk seniorrådgiver Arbeidsgiverens behandling av personopplysninger om sine ansatte Personvernforordningen i det daglige Dana Jaedicke juridisk seniorrådgiver Et nytt personvernregelverk er født! (EU 2016/679) PUBLISERT

Detaljer

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november Anne Mette Dørum, spesialrådgiver KS Presentasjonen er basert på Datatilsynets presentasjoner om samme tema,

Detaljer

Minimere og begrense. Gjem og skjul. Separere.

Minimere og begrense. Gjem og skjul. Separere. 3 Design Sjekklisten er dynamisk, ikke uttømmende og skal oppdateres regelmessig. Dersom du har innspill til noen av punktene, vil vi gjerne høre fra deg. Dataorienterte designkrav Minimere og begrense.

Detaljer

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund Personvernveileder for medlemsbedrifter i Norges Bilbransjeforbund (NBF) I denne veilederen gir NBF en oversikt over de viktigste pliktene den enkelte bedrift må overholde når det gjelder personvern. Herunder

Detaljer

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge) 1 2 3 Forordningen trer i kraft 25. mai 2018. Den avløser da personverndirektivet. Den får da direkte virkning i medlemslandene, og krever altså i motsetning til direktiver ikke nasjonal lovgivning. Direktivet

Detaljer

Personvern og informasjonssikkerhet ved anskaffelser

Personvern og informasjonssikkerhet ved anskaffelser Personvern og informasjonssikkerhet ved anskaffelser Innledning 2 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis,

Detaljer

Hva betyr det for din virksomhet?

Hva betyr det for din virksomhet? Nye personvernregler i 2018 Hva betyr det for din virksomhet? I 2018 får Norge nye regler for personvern, når EUs forordning erstatter dagens regelverk. Alle virksomheter som behandler personopplysninger

Detaljer

DIFI - Seminar om Skytjenester

DIFI - Seminar om Skytjenester DIFI - Seminar om Skytjenester 16.10.2017 Definisjoner Personvern, hva er det? Grunnleggende rett til vern av den private sfære og retten til selv å bestemme over opplysninger om seg selv. ivaretakelse

Detaljer

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Verdipapirfondenes forening. Ny personvernforordningen GDPR www.pwc.com Verdipapirfondenes forening Ny personvernforordningen GDPR Christine Ask Ottesen Direktør Advokatfirmaet PwC GDPR - en jungel av nye begrep DPIA GDPR BCR Privacy by design Access Privacy Shield

Detaljer

Underbygger lovverket kravene til en digital offentlighet

Underbygger lovverket kravene til en digital offentlighet Underbygger lovverket kravene til en digital offentlighet Personvern Hva er det? Side 2 Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 3 Personopplysninger hvor er de? 4 Digitalisering

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Hovedkonklusjon informasjonssikkerhet tillegges større vekt enn tidligere, både kvalitativt og kvantitativt Agenda gjennomgå hovedreglene

Detaljer

Ny personvernforordning trer i kraft i mai 2018

Ny personvernforordning trer i kraft i mai 2018 Sadia Zaka CERES 1 Gjeldende regelverk: Personopplysningsloven og personopplysningsforskriften Ny personvernforordning trer i kraft i mai 2018 Forordningen pålegger den behandlingsansvarlige flere plikter,

Detaljer

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING Frokostseminar 25. oktober 2016 V/advokat Christopher Clausen og advokatfullmektig Helene Bjørgo 1 DAGENS LOVGIVNING Personopplysningsloven Sentrale

Detaljer

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN GDPR 1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN FORBEREDE SEG TIL GDPR GRUNNLEGGENDE OM GDPR OG PERSONVERN

Detaljer

Perspektiver og planer ved Universitetet i Oslo

Perspektiver og planer ved Universitetet i Oslo Perspektiver og planer ved Universitetet i Oslo Nye personvernregler Maren Magnus Jegersberg Juridisk seniorrådgiver UiO Personvern handler om retten til et privatliv og retten til å bestemme over egne

Detaljer

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA) 1 2 3 4 5 Den nye personvernsforordningen Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA) Bakgrunn og tema Hovedtema: hva innebærer de nye reglene Norge/EØS? for bedrifter som opererer

Detaljer

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Personvernforordningen Hva kommer og hva risikerer virksomhetene? Personvernforordningen Hva kommer og hva risikerer virksomhetene? Emilie Veggeland Knudsen Advokatfullmektig Advokatfullmektig Advokat Kjersti Lyster Ryen Advokat Nye personvernregler i norsk rett EUs

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Hvilke krav stiller personvernforordningen (GDPR) til din virksomhet? ALSO webinar 15. desember 2017 senioradvokat Jens C. Gjesti

Hvilke krav stiller personvernforordningen (GDPR) til din virksomhet? ALSO webinar 15. desember 2017 senioradvokat Jens C. Gjesti Hvilke krav stiller personvernforordningen (GDPR) til din virksomhet? ALSO webinar 15. desember 2017 senioradvokat Jens C. Gjesti Dagens opplegg I. Hva er personvernforordningen? II. Hvordan går du frem

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?

HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR? HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR? FROKOSTSEMINAR GDPR I SKYEN DAGFINN BUSET 9. NOVEMBER 2017 Alt innhold, inkludert, men ikke begrenset til metoder og analyser i denne presentasjonen

Detaljer

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017 7. juli 2017 NYHETSBREV Forslag til ny personopplysningslov Den 6. juli 2017 sendte Justis- og beredskapsdepartementet forslag til ny personopplysningslov på høring. Departementet har listet flere punkter

Detaljer

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper Personvernregelverket Personvernregelverkets krav til skytjenester EUs personverndirektiv 95/46/EU Personopplysningsloven med forskrift Særlovgivning, markedsføringsloven og taushetspliktregler Ny EU-forordning

Detaljer

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 3 Litt om bakgrunnen for nye regler Hvorfor nye regler

Detaljer

Kappløpet om kundedataene

Kappløpet om kundedataene Kappløpet om kundedataene Tre overordnede trender Personalisering Automatisering Plattformer og partnerskap Hvordan påvirker disse utviklingstrekkene personvernet? Hvilke rammer setter den nye forordningen?

Detaljer

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten? Ny forordning om behandling av personopplysninger Hvordan går det med pasienten? 14.12.2015 Behovet for regelendringer 2 Idealer møter byråkrati Status 01.december: - 95% ferdig - Gjenstår noe dialog om:

Detaljer

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. Kommunenes Sentralforbund - Databehandler U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter

Detaljer

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017 GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,

Detaljer

Personvernforordningen

Personvernforordningen Personvernforordningen Profilering og automatiserte avgjørelser Advokat Nils Henrik Heen ARBEIDSGRUPPE PERSONVERN Etablert av Juridisk hovedutvalg 12 personvernjurister fra næringen Vurdert personvernforordningen

Detaljer

Hvem er vi? Partner Bjørn Jacobsen. Partner Lene Langseth. Tel: Mob: E-post:

Hvem er vi? Partner Bjørn Jacobsen. Partner Lene Langseth. Tel: Mob: E-post: Hvem er vi? Partner Bjørn Jacobsen Tel: 32 25 55 16 Mob: 936 27 040 E-post: bjacobsen@eurojuris.no Partner Lene Langseth Tel: 32 25 55 12 Mob: 950 68 648 E-post: llangseth@eurojuris.no Det nye personvernregelverket

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Personvernombudsordningen etter GDPR

Personvernombudsordningen etter GDPR Personvernombudsordningen etter GDPR Viktigste endringer Fremhevet og lovregulert Skjerpede krav og tydeligere rolle Fra frivillig til obligatorisk for mange Artikkel 37, 38 og 39 i forordningen Retningslinjer

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

Etterlevelse av personvernforordningen

Etterlevelse av personvernforordningen Etterlevelse av personvernforordningen 31.10.2016 Et nytt personvernregelverk er født! (EU 2016/679) PUBLISERT i EUs offentlige journal o Trer i kraft 27.05.2018 FORORDNING: o Erstatter nasjonal lovgivning

Detaljer

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016 Sanksjoner ved overtredelse av personvernforordningen Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016 www.svw.no Oversikt Overblikk forordningen Klagemulighet til Datatilsynet

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

CRM-løsninger i skyen - hva har du lov til å lagre?

CRM-løsninger i skyen - hva har du lov til å lagre? CRM-løsninger i skyen - hva har du lov til å lagre? CRM for en advokat Kundedata satt i system Kommersielle mål mot forbrukers rett Innhenter data for profilering Økt digitalisering senket personvern?

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

GDPR: GAP-analyse Randi Hognestad, Legal Counsel, SKAGEN AS VFF Compliance-seminar

GDPR: GAP-analyse Randi Hognestad, Legal Counsel, SKAGEN AS VFF Compliance-seminar GDPR: GAP-analyse Randi Hognestad, Legal Counsel, SKAGEN AS VFF Compliance-seminar 18.09.2017 Overveldet? 2 Kort om SKAGEN Fondsforvaltningsselskap etablert i 1993. 16 fond med en forvaltningskapital på

Detaljer

Nye personvernregler frokostseminar for MedTek

Nye personvernregler frokostseminar for MedTek Nye personvernregler frokostseminar for MedTek Espen Sandvik Partner Andreas Nordby Partner 2 Nedtellingen er i gang... 3 Det kommer til å gå bra! 4 Tema for dagen Hva er personopplysninger? Og hva er

Detaljer

GDPR Automatiser prosessen med Sesam

GDPR Automatiser prosessen med Sesam GDPR Automatiser prosessen med Sesam Å etterleve den nye personvernsforordningen (GDPR) krever en innsats på tre hovedområder: mennesker, prosess og teknologi. Prosess og mennesker fordrer analyser, dokumentasjon

Detaljer

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit COMPLIANCE GENERAL DATA PROTECTION REGULATION Johnny Berntsen ISO/IEC 27001 Master Knowit Hva er GRDP? GDPR står for General Data Protection Regulation og er erstattningen og oppdatering av EU s 20 år

Detaljer

NY PERSONVERNFORODNING KONSEKVENSER FOR TRANSPORTBRANSJEN

NY PERSONVERNFORODNING KONSEKVENSER FOR TRANSPORTBRANSJEN NY PERSONVERNFORODNING KONSEKVENSER FOR TRANSPORTBRANSJEN Advokat Petter Bjerke, DLA Piper 24. oktober 2017 www.dlapiper.com 24. oktober 2017 0 1 Innledning Introduksjon og grunnleggende plikter General

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer