Har GDPR en sjel? Nok en ny lov eller nye muligheter?
99 artikler i EU s nye personvernsforordning 2
Nok en ny lov eller nye muligheter? - Økt beskyttelse av persondata - Forbedre individets datarettigheter - Større mobilitet i det indre marked 3
Eksponentiell vekst i sensorer og datakilder Data er i ferd med å skape nye industrier og forretningsmodeller Algoritmer og kunstig intelligens kan forutsi ditt handlemønster Realtids-analyse av strukturerte og ustrukturerte data vil endre konkurransen 4
Forordningens viktigste punkter Samtykke Dataportabilitet Sletting Varsling Samtykket ikke bindende og kan trekkes Forhånds avkryssede "samtykkebokser«ikke lenger lov Person opplysninger skilles tydelig fra andre forhold Rett til å få utlevert personopplysninger Rett til å gi dem videre til en ny tjenesteleverandør Overføres direkte mellom gammel og ny tjenesteyter Kreve å få informasjon slettet i registre Underleverandører som har mottatt informasjon Slette personopplysninger som ikke lenger er nødvendige Leverandør er pliktig å varsle innen 72 timer Underleverandør er pliktig å varsle innen 72 timer
FORORDNINGEN TRER I KRAFT MAI 2018
Hva er en personopplysning og hva er en sensitiv personopplysning? Personopplysninger Atferdsmønstre Sensitive personopplysninger Navn Fødselsnummer Adresse Telefonnummer E-post adresse IP-adresse Bilnummer Fingeravtrykk Irismønster Hodeform Bilder Hva du handler Hvor du handler Hva du ser på tv Hvor du beveger deg Hva du søker på internett Etnisk bakgrunn Politiske oppfatning Filosofiske oppfatning Religiøse oppfatning Helseforhold Seksuelle forhold Vært, mistenkt, siktet, tiltalt eller dømt for straffbar handling
«Data som strategisk virkemiddel» Bærekraftig Digital Governance Bedre innbyggerintraksjone
Hva gjør vi og hva har vi lært!
5-trinns tilnærming Awareness Assessment Target Setting System Change New Business Opportunities Rammeverk Nanolæring Modenhetsanlyse Prioritering og veikart Change Management (Prosci) Enterprise Architecture (TOGAF) Data Management (DMBOK) Risk Management (ISO 270001)
Nordisk benchmark I. Purpose limitation, data retention & third parties X. Data Protection Officer, audits & fines II. Record inventory 1,60 IX. Privacy by Design and Default 0,75 1,16 III. Notice, consent & objection 0,95 1,06 VIII. Security measures & breach notifications 1,02 0,73 1,05 0,64 1,54 IV. Profiling restrictions VII. Data portability V. Right to access VI. Right to rectification & erasure
Ofte sette strukturer System Eier System Eier System Eier System Eier Sources & Lake Core Cubes Reports 13
Samhandling på tvers Styret Eiere Ledergruppe Digital Governance Office Digital & Data Management Datapolicy Informasjonskrav Data Producer Executive Data Stewards Data Steward Report Owners Sources & Lake Core Cubes Reports
Mønstre fra workshops 1. Fra virksomheten: a) Selvsikkerhet i selvvurdering utgjør en risiko b) Lange eksisterende styringsspørsmål om ansvar, mandat og eierskap som lenge har blitt ignorert, må plutselig løses 2. Fra teknisk ståsted: a) Ustrukturert data er en stor bekymring b) Bekymringen for effekten av ny forordning rundt MDM livssyklus for eksisterende arbeidsmåte
Hva vi har lært fra Datatilsynet? Fokuser på rutiner Databeskyttelsesrutiner må være på plass, men hvis prioritering er nødvendig, fokuserer på vanlige og høyrisikostyringsrutiner. Ansvar "Ikke mitt ansvar" er ikke den riktige holdningen. Klar styring, tydlige roller og ansvar, kreves. Små endringer "Bransjer har allerede hatt tid siden 1990/2000 for å få kontroll. over data og rutiner med eksisterende lover", så mer enn nok tid til å overholde ny forordning.
6 ting du ikke bør gjøre 3.Skape ikke et top down engasjement 4. Ikke tro at GDPR handler om sikkerhet 2.Ikke ta en vent og se tilnærming 5.Ikke undervurder personvernombudet 1. Ikke ignorere GDPR 6. Ikke gjør feilen å ikke gi tilstrekkelig opplært til din organisasjon
Ta kontakt med oss via www.evry.no/gdpr Nicolay Moulin VP EVRY Digtal Governance