Risikobasert etterlevelse av pvf

Like dokumenter
Krav til informasjonssikkerhet i nytt personvernregelverk

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Nye personvernregler (GDPR)

Personvern - vurdering av personvernkonsekvenser - DPIA

Vurdering av personvernkonsekvenser (DPIA)

Nye personvernregler fra mai 2018

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

GDPR - PERSONVERN. Advokat Sunniva Berntsen

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Risikobasert arbeid med personvern

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Databehandleravtale. Charlotte Lindberg Difi

Personvernlovgivningen ledelsens ansvar Pensjonskassekonferansen 14. mai 2019, Sandefjord. Ove Skåra - Datatilsynet

Personopplysningsvern med ProFundo som databehandler

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Personvernforordningen

Personvernforordningen

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Steinar Nørstebø, styreleder

Nye personvernregler fra 2018

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Nye personvernregler

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Hva betyr det for din virksomhet?

Personvernkonsekvensvurderinger

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018

Personvernforordningen

Nye personvernregler fra mai Mars 2017

Nye personvernregler (GDPR)

Personvern - Hva er det

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?

Nye personvernregler

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Personvern i digitalisering av forvaltningen

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Databehandleravtaler og GDPR. Kristin Lyng Kategorileder Anskaffelser / Delprosjektleder i Skatteetatens GDPR-prosjekt 6 september 2018

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Innføring av ny personvernforordning (GDPR) på universitetet

REKRUTTERING OG GDPR

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Personvernforordningen en praktisk tilnærming

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Nye personvernregler fra mai 2018

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Nytt personvernregelverk på 1-2-3

Personvern i EPD-Norge

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

GDPR - viktige prinsipper og rettigheter

Universitetet i Oslo Universitetsdirektøren

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Hvordan opprettholde DIGITALISERINGSFARTEN etter ny personvernforordning?

Status personvern Hedmark og Oppland fylkeskommuner

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

BEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS

Instruks for personvernombud ved OsloMet

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Nytt fra departementet

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Personvernforordningens krav til bruk av databehandlere

Ny personvernlovgivning

Nytt regelverk, nye muligheter og masse avviksmeldinger!

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Personvernombudsordningen etter GDPR

GDPR HVA ER VIKTIG FOR HR- DATA

GDPR Nye personvernregler i 2018

Nye personvernregler Gullik Gundersen juridisk rådgiver

Del 2. Fagdag GDPR - Arkiv Troms

Sikkerhet og personvern i skole og klasserom

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Implementering av det nye personvernregelverket ved UiB

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Personvernerklæring i NOAH AS

Personvern i Amento AS

NINAs personverndokument

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

PERSONVERN OG DELING FRA KVALITETSREGISTRE

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

GDPR Hva, hvordan og når

Nytt personvernregelverk GDPR e-kommunedagen Hordaland

Transkript:

Risikobasert etterlevelse av pvf NIFS-møte 6.11.2018 Jon Holden, Difi

Tema Jobbe effektivt og risikobasert med infosikkerhet, pvf og annen regelverksetterlevelse Dvs. effektivt håndtere risiko som er for høy, inkl. risiko mht. informasjonssikkerhetsbrudd brudd på personvernlovgivningen brudd på annet regelverk, etc

Risiko Definisjoner Risiko effekt av usikkerhet på måloppnåelse ISO 27000:2016-2.68 Overordnet: Risiko for sviktende måloppnåelse Mht. hovedoppdraget pasientsikkerhet, innbyggertjenester Mht. regelverksetterlevelse, inkl. personvern, infosikkerhet Delbegreper: Informasjonssikkerhetsrisiko skyldes informasjonssikkerhetsbrudd: brudd på k, i eller t Jf. ISO 27000:2016 pkt 2.33 Personvernrisiko rammer personers friheter eller rettigheter Primært personvern, men også andre rettigheter

Usikre omgivelser Hvor skal vi prioritere innsatsen? Vurdere uønskede hendelsers risiko (konsekvens og tilhørende sannsynlighet), ev. tiltak Mht. Infosikkerhetsbrudd Brudd på personvernbestemmelser etc

Personvernforordningens internkontrollkrav Krav om internkontroll og dokumentasjon Artikkel 24 Danner basis for arbeidet Krever risikobasert tilnærming Vurdere risiko for sviktende etterlevelse Iverksette egnede tiltak Retningslinjer er ett virkemiddel, blant flere Dokumentasjon er ett virkemiddel. Merk: skal også ivareta Datatilsynets behov Artikkel 24.Den behandlingsansvarliges ansvar 1. Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov. 2. Dersom det står i et rimelig forhold til behandlingsaktivitetene, skal tiltakene nevnt i nr. 1 omfatte den behandlingsansvarliges iverksetting av egnede retningslinjer for vern av personopplysninger. 3. Overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller godkjente sertifiseringsmekanismer som nevnt i artikkel 42 kan brukes som en faktor for å påvise at den behandlingsansvarliges forpliktelser overholdes.

Pvf artikkel 24 (internkontroll) Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov.

Pvf artikkel 32 (infosikkerhet) Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder blant annet, alt etter hva som er egnet,...

Sammenheng internkontroll infosikkerhet og personvern Risiko for sviktende måloppnåelse er hovedfokus efvf 15, (hensyntas indirekte for pvf) Risiko for personers rettigheter og friheter er hovedfokus pvf, (inkludert blant målene i efvf) mht. sikkerhetsbrudd (k, i, t) art 32 mht. brudd på forordningens krav art 24 Egnede organisatoriske og tekniske tiltak skal iverksettes Behandlingens art, omfang, formål og sammenheng er relevant for å finne egnede tiltak (jf. risiko for måloppnåelsen) Dessuten gjennomføringskostnader og «den tekniske utvikling» mht. pvf art 32

Pvf art 24 (internkontrollkravet) - oppsummert Egnede tekniske og organisatoriske tiltak basert på risiko for personers rettigheter og plikter, og «risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter» egenskaper ved behandlingen «Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i»

Personvernrisiko hva er det? Risiko ifbm. tilsiktet/lovlig behandling for brudd på Personvernprinsippene jf. art 5 Lovlighet/rettferdighet/åpenhet Formålsbegrensning Adekvate/relevante/begrenset Riktighet Lagringsbegrensning Integritet/fortrolighet Brudd på personopplysningsplikter Rettslig grunnlag (art 6-11) Informasjonsplikter (art 12-14) / Innsynsrett (art 15) / Retting, sletting, flytting (art 16-20) / Protest, profilering/automatisering (art 21-22) Innebygd personvern, standardinnstillinger (art 25) / Protokoll (art 30) /Informasjonssikkerhet, varsling av brudd (art 32-34) / Personvernkonsekvensvurderinger, drøfting (art 35-36) / Personvernombud (art 37-39) Behandling i utlandet tilstrekkelige garantier (44-49) Risiko ifbm. utilsiktet/ulovlig behandling informasjonssikkerhetsrisiko, art 32

Momenter som trekker mot høy personvernrisiko Veiledning til dpia-vurderinger, jf pvf art 35 WP248 rev.01 (okt 2017). Gruppen viser også til pvf art 35 og fortalen 71, 75, 89, 91. Datatilsynets veileder Evaluering og skåring Automatisering av beslutninger & hindre rettigheter/muligheter Overvåking av område Opplysningenes art, inkl. særlige kategorier og andre intime opplysninger Storskalabehandling Sårbare registrerte, ujevn makt, vanskelig ivareta sine behov Ny teknologi, med ukjente risikoer, eks. noen IoT-er Se også veiledning til varsling iht. pvf art 33-34, WP250

Hva betyr det i praksis? Prioriter tiltak for å få ned høy personvernrisiko Veiledning til pvf art 35 om personvernkonsekvensvurdering er til hjelp Informasjonssikkerhetsrisiko er ett relevant moment Sentralt poeng: hva mener de registrerte? Behandlinger som kanskje særlig bør vurderes: (pga skadepotensiale, ta med sannsynlighet!)? Intime opplysninger (konfidensialitetsbehov - lovlighet) Beslutninger med stor betydning (integritetsbehov riktighet) Usikre beslutninger (- riktighet, formålsendring, eks. stordata) Uventet bruk (åpenhet) Atferdskjølende bruk (rimelighet) Finne egnede tiltak Eks. god informasjon, involvere brukerne, sikkerhetstiltak,

Internkontrollveilederen ble revidert i sommer Foranalyse Prosesskartlegging med tilhørende informasjonsbehandling OBS mht K, I, T Personopplysninger, særlige kategorier Identifisere om behandlingen kan gi «høy personvernrisiko»

?

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding