Aibel Vår tilnærming til GDPR. Elin H Madell HR System Owner

Like dokumenter
ELEKTRONISK HR ARKIV Elin H Madell HR System Eier

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Personvern i skyen Medlemsmøte i Cloud Security Alliance

De nye personvernreglene: Hva som faktisk skal til og hvordan det bør gjøres i praksis sett fra et HR-perspektiv Workshops på SBN-konferansen

GDPR Prosjektgjennomføring Sjekkliste

Noen aktuelle tema for personvernombud i finans

BRUKERVEILEDNING TIL TRINN 1 - Datakartlegging

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Aibel sin vei til EHF fakturering SBN konferansen 2016

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Bakgrunn. EU har vedtatt ny personvernforordning

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Personvernforordningen en praktisk tilnærming

Studieplan 2017/2018. PERSONVERN en grunnopplæring i personvernregelverk (2017) Studiepoeng: 15. Studiets nivå og organisering. Bakgrunn for studiet

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvernerklæring for Webstep AS

Success Factor. Performance and Goals Succession and Development. Elin H. Madell HR System Owner. Sensitivity: Internal

GDPR - Etterlevelse. Implementering av krav i AtB V. Herfjord

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Tillitsvalgtes håndtering av personopplysninger - GDPR GK2

REKRUTTERING OG GDPR

Policy for personvern

Perspektiver og planer ved Universitetet i Oslo

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Personvernerklæring for Søknadsweb

Personvernerklæring for Flyt Høgskolen i Molde

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Personvern og informasjonssikkerhet

Personvernforordning i EU Nok en ny lov eller nye muligheter?

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Personvern - sjekkliste for databehandleravtale

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Automatisert ansettelsesprosess. Julie Rinde & Peter Morken

Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

GDPR HVA ER VIKTIG FOR HR- DATA

Takk for invitasjonen!

Del 2. Fagdag GDPR - Arkiv Troms

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Personvernerklæring for Fagpersonweb

GDPR- hva betyr dette for NTNU

GDPR og ny lov om personvern

Nye regler om personvern. Halvor E. Sigurdsen, NHO

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Protokoll; Gjennomgå feltene og vurder fremstilling Protokoll; rettslig grunnlag

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Digital protokoll over behandlinger

Prosedyre for personvern

Personvernerklæring for EVUweb - søkere

Personvernerklæring for Søknadsweb

Databehandleravtale for NLF-medlemmer

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Digital modenhet. IT-puls Trondheim november. Bli digitalt moden ved hjelp av god datakvalitet. Bente Arntzen Bakken, EVRY

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Denne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg.

Status personvern Hedmark og Oppland fylkeskommuner

Diabetesforbundet. Personvernerklæring

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

DIN DIGITALE PARTNER

Personvernerklæring for Studentweb

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Arkivsystemer med skyløsninger

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Hva er et styringssystem?

Personvernerklæring for Studentweb

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

Personvern i Amento AS

Smarte bygg og personvern

Personvernerklæring. Sist oppdatert

3. Databehandleravtale

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Personvernerklæring for Edvarda (Consortia Manager)

Navn på studieprogram (E): Personvern en grunnopplæring i personvernregelverk. Antall studiepoeng: 15 Heltid eller deltid, ev begge deler: Deltid

Oversikt. Remi Longva

Personvernforordning i EU

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

GDPR i et nøtteskall

Rusmiddeltesting i arbeidslivet et personvernperspektiv

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Personopplysningsvern med ProFundo som databehandler

GDPR En praktisk tilnærming.

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

Transkript:

Aibel Vår tilnærming til GDPR Elin H Madell HR System Owner

About Aibel Aibel AS is a leading supplier of services related to oil, gas and renewable energy Around 4,000 employees More than a hundred years of proud history A global company with roots in Norway

GDPR Bakgrunn Ny Personvernlov fra 01.08.2018 GDPR prosjekt oppstart oktober 2017 Prosjektet delt inn i faser Fase 1 Kartlegging av hvilke persondata vi lagrer, hvor og hvordan Fase 2 Få på plass dokumentasjon og overordnede rutiner Fase 3 Implementere løsninger som gjør oss GDPR compliante Aibel håndterer persondata hovedsakelig på bakgrunn av at vi er en arbeidsgiver Aibel som arbeidsgiver overholder generelt eksisterende lover og forskrifter, men må tilpasse seg de nye GDPR kravene

Aibel s Locations

Kartlegging 126 systemer inneholder persondata 32 systemer med potensielt GDPR risiko kartlagt i detalj Risikovurdering basert på sannsynlighet for brudd på GDPR regelverk og potensielle konsekvenser Second Priority Systems with large volume of personell data but good security. Need documentation and agreements with 3rd parties First Priority Systems with large volume of personaldata and low degree of documentation Third Priority Systems with low datasecurity or under external control. Low Consequence if breach, but need security by 3rd party

Hovedfunn i kartleggingen Manglende rutiner og prosedyrer i henhold til nye GDPR regelverk Manglende avtaler for overføring av personopplysninger innenfor selskapet, spesielt mot Singapore og Thailand Utfordringer med å slette persondata når man ikke lengre har et behandlingsgrunnlag Begrenset tilgangskontroll til personopplysninger i systemer Kritiske områder hvor Aibel behandler personlige data i tillegg til å være en arbeidsgiver: Persondata i forbindelse med leverandør due diligence prosess Personlige data knyttet til tilgangskontroll og videoovervåking i kontorområder hvor Aibel leier ut kontorplasser Manglende intern prosedyre og ansvarlig for overholdelse og beskyttelse av Persondata

Databehandler avtaler Opprettet en egen Databehandler avtale mal Fortrinnsvis «Kategori A» systemer, men har siden valgt å sende til alle Databehandlerne vi har kartlagt Ressurskrevende å få på plass avtalene Leverandører ønsker ofte å bruke egne utarbeidete databehandler avtaler Kompetanse og best praksis

Styringsdokumenter xx

Datadokumentasjon/Dataflyt Fått på plass en database som dokumenterer selskapets håndtering av personopplysninger i de ulike systemer og prosesser Systemeiere og prosesseiere har ansvar for å dokumentere persondatahåndtering i de systemer/prosesser som man har ansvar for Dokumentasjonen er satt opp ihht krav i artikkel 30 Fått på plass krypteringsverktøy Office 365 og mail Kartlagt persondataflyt i sentralt dataflyt verktøy Fjernet persondata i databaser der behovet for persondata ikke var nødvendig

Opplæring Artikkel om GDPR på intranettet Opprettet E læringskurs Ansatte Ledere og utvalgte fagressurser Personvernerklæring som forteller hvordan Aibel håndterer persondata er utsendt til alle ansatte Opplæring bruk av krypteringsverktøy

Personvernkomite Innkjøp Ansatt Representant Legal Personvernkomite IT Compliance HR

Strukturelle autorisasjoner Tilpasset rollene våre i forhold til den nye personvernlovgivningen Fått HR autorisasjoner som er spesifisert til de oppgaver en sluttbruker skal ha for å utføre arbeidsoppgavene sine Ryddet i eksisterende roller Fått bedre styring og kontroll på innholdet i HR rollene Tettet «hull» i eksisterende roller Automatisert tilgangstildeling på enkelte roller. Muligheter til å differensiere tilgang til HR data Satt opp en autorisasjonsmatrise som gir oversikt på hvilke roller man kan kombinere

Personalarkiv Elektronisk HR arkiv Muligheter å dele og gi innsyn til Personalarkivet på tvers av lokasjoner og roller Kun gi innsyn i arkivet til det man har behov for å utføre sine arbeidsoppgaver Egne autorisasjoner satt opp til Personal arkiv løsningen. Ha kontroll på hvem som har tilgang til enhver tid Lettere å vedlikeholde og ha oversikt med egne EFM autorisasjoner Splitte tilgangene til dokumentene på et mer detaljert nivå Knytte enkelte roller opp automatisk ut i fra HR SAP roller

Personalarkiv Det er blitt satt opp en dokument matrise som er inndelt i Dokumentmappe Dokumentsubfolder Dokumenttyper Tilgangstyring på hvem som skal kunne Lese dokumenter Laste inn dokumenter Flytte dokumenter Slette dokumenter Printe dokumenter

Fokusområder neste fase Etablere Personvernkomite Implementere rutiner for å møte GDPR krav i fagenhetene som forvalter store mengder persondata Implementere rutiner og muligheter til å slette data i systemene Etterleve at man har ett masterdata system hvor persondata oppstår Databehandleravtaler med alle kunder og leverandører Personvern håndtering må gjennom alle prosesser og systemer ha kontinuerlig fokus og utvikling

2008

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding