Gjør ditt ERP-system klart for de nye personvernreglene GDPR (EU General Data Protection Regulation)

Like dokumenter
GDPR Ny personvernforordning

EUs personvernforordning (GDPR)

OM PERSONVERN TRONDHEIM. Mai 2018

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

PERSONVERN Personopplysninger som lagres Hvilke personopplysninger behandler vi

SUSANNE HELLAND FLATØY PUBLIC & HEALTHCARE SOLUTIONS. Få oversikt og kontroll, sikre etterlevelse av kravene i GDPR

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Er din bedrift klar for ny personopplysningslov?

4. Hvilke personopplysninger vi behandler, hvordan vi bruker personopplysningene, samt formålet med opplysningene

Personvernforordning i EU Nok en ny lov eller nye muligheter?

Personvernforordning i EU

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Personvernforordning i EU

Personvern og informasjonssikkerhet

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

NORID - Registrarseminar 26. april 2017

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Databehandleravtale etter personopplysningsloven

Personopplysningsvern med ProFundo som databehandler

Nye personvernregler

Databehandleravtale for NLF-medlemmer

Personvernerklæring for Vesterålsprodukter AS

Har GDPR en sjel? Nok en ny lov eller nye muligheter?

Nye personvernregler

Personvernerklæring for Webstep AS

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Policy for personvern

GDPR i et nøtteskall

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

Denne personvernerklæringen forteller hvordan Pelimoo.no samler inn og behandler personopplysninger.

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Hva gjør så KiNS og KS med GDPR?

EUs nye forordning for personvern

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

Personvernerklæring. Nordix Data AS Gjeldende fra

Prosedyre for personvern

Personvern i skolen. Skolelederkonferansen 24. oktober Leder forretningsjuridisk/ advokat Hege Stensland Sveen

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

GDPR - hva betyr det for din bedrift?

Nye personvernreglar Kva betyr det for Seljord kommune?

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Informasjonssikkerhet i forordningen

Når du ønsker å inngå en avtale med oss, må vi registrere nødvendig informasjon for å levere tjenester vedrørende din tilknytning til strømnettet.

DATABEHANDLERAVTALE. 1. Bakgrunn

EcoNovas personvernerklæring

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET JUDICIA DA

Nye personvernregler

Personvern i digitalisering av forvaltningen

PERSONVERNERKLÆRING. Innledning

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

GDPR hva nå? Johnny

GDPR og ny lov om personvern

Diabetesforbundet. Personvernerklæring

Bakgrunn. EU har vedtatt ny personvernforordning

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

I 2018 innføres ny personvernlovgivning i Norge og Europa. Hva blir annerledes? Opplysninger skal ikke brukes til nye, uforenlige formål

Underbygger lovverket kravene til en digital offentlighet

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Personopplysninger og opplæring i kriminalomsorgen

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Personvern - sjekkliste for databehandleravtale

GDPR for regnskapsførere

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Nye regler om personvern. Halvor E. Sigurdsen, NHO

PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS

DIN DIGITALE PARTNER

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Ny personvernforordning hva betyr reglene for deg og din virksomhet?

Evjeklinikkens personvernerklæring for kunder, brukere av klinikkens nettsider og ved skriftlige henvendelser

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

GDPR General Data Protection Regulativ

Nye personvernregler fra mai 2018, hva nå?

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

PERSONVERNERKLÆRING FOR KUNDER, LEVERANDØRER OG PARTNERE HOS PROTRUCK AS

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

CRM-løsninger i skyen - hva har du lov til å lagre?

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Personvernerklæring for jobbsøkere til Gunnar Holth Grusforretning AS

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Transkript:

Gjør ditt ERP-system klart for de nye personvernreglene GDPR (EU General Data Protection Regulation) Presentert av: Elin Sterner Mikal Nielsen Ivar Mølnvik 2018 2

Introduksjon 3

Hvem er vi Ivar Mølnvik GDPR Teknisk ivar.molnvik@pearlconsulting.no Elin Sterner SAP Logistics Advisor, & GDPR kontaktperson i Pearl Norge elin.sterner@pearlconsulting.no Mikal Nielsen GDPR Teknisk mikal.nielsen@pearlconsulting.no 4

Om Pearl Consulting Etablert i 2006 100 % fokus på SAP og integrasjon til SAP SAP Nordisk Innovasjon Partner 2017 Årets SAP-partner i Norge 2016 Kontorer i: Oslo, Sandefjord, Riga, Kiev, Singapore Ledende SAP S/4HANA-Partner i Europa Ledende SAP Hybris-partner i Norden Mer enn 50 vellykkede SAP implementeringer SAP Platinum Partner SAP Sertifisert «Partner Center of Expertise» Invisterer mye i kompetansebygging Trainee-program 5

Telenorbutikken 6

Tjenester Det kan være krevende å begynne å jobbe med en ny forretningsplattfrom. Vårt utgangspunkt er en bruksklar malløsning som gjør det mulig for din virksomhet å starte opp i et nytt system raskere og mer økonomisk. Med oss får du en langsiktig operasjonell partner, som bidrar strategisk til din bedrifts forretningsutvikling. Specialists PearlCare Implementation 7

Produkter Vi har utviklet en rekke forhåndsdefinerte og sertifiserte løsninger for forskjellige bransjer: Retail Engros Telekommunikasjon E-Commerce og CRM Farmasi 8

Våre verdier er Løsningsoreintert Proaktiv Entusiastisk 9

Agenda 01 Kort intro til personvern & GDPR 02 10 viktige GDPR punkter, og hvilke vi kan hjelpe dere å løse 03 Veien videre 1 0

Kort intro til personvern & GDPR Hva blir nytt? 1 1

GDPR hos dere? Hvor i prosessen er dere? 1 2

Personopplysninger Opplysning eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel: Navn Adresse Telefonnummer E-postadresse IP-adresse Bilnummer Bilder Fødselsnummer Fødselsdato Fingeravtrykk Irismønster Hodeform Adferdsmønstre I administrasjon av kundeforhold og medlemskap vil det som regel være tilstrekkelig å bruke navn, adresse og fødselsdato for å sikre riktig identifisering av en person. Da skal fødselsnummeret ikke brukes. Når fødselsnummer sendes i E-post eller ved hjelp av annen telekommunikasjon, skal det krypteres. Handelshistorikk TV-tittehistorikk Lokasjonsinformasjon Søkebegreper på nett Sensitive personopplysninger er opplysninger om: Rasemessig eller etnisk bakgrunn Politisk, filosofisk eller religiøs oppfatning En person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling Helseforhold Seksuelle forhold Medlemskap i fagforeninger * Sensitive personopplysninger er underlagt særlig strenge regler. 1 3

Datatilsynets 10 regler Hva blir nytt? 1 4

Hva Pearl kan hjelpe deres bedrift med Alle må kunne oppfylle borgernes nye rettigheter Alle virksomheter får nye plikter Forståelig personvernerklæring Alle får nye krav til avvikshåndtering Alle bør samarbeide i egne nettverk og følge bransjenormer 10 1 2 9 3 GDPR 8 4 7 6 5 Alle skal vurdere risiko & personvernkonsekvenser Alle skal bygge personvern inn i nye løsninger Mange virksomheter må opprette personvernombud Alle databehandlere får nye plikter Reglene gjelder også virksomheter utenfor Europa 1 5

Analyse / Kartlegging / Rutiner 1. Alle norske virksomheter får nye plikter Alle virksomheter må sette seg inn i den nye lovgivningen og finne ut hvilke nye plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene. Alle ansatte må følge de nye rutinene når reglene trer i kraft. Hva må dere definere: Dokumentere prosessene som involverer persondata og dokumentere rutiner. 1. Hvor ligger persondata? 2. Hvordan benytter vi persondata? 3. Sendes persondata til andre? Forslag: Kartlegging: Bistå med mapping og rutiner om behov i samarbeid med kunden. Sandbox, utvikling, test, produksjon 3.parts WEB ERP Rapportering Lokalt på PCen Arkiver 1 6

Hvor har dere/sender persondata? Geo Data PIM SAP PI Nettbutikk eks.hybris SAP ERP SAP EWM SAP TM SAP CRM Gateway Apps Kortinfo Bank Leverandør Bisnode SAP BW/BO * Produksjon, Test, Utvikling, Sandbox 1 7

SAP - eksempel på Persondata Alle objekter i dette eksempelet inkluderer persondata. SAP Business Partner Navn Adresse Kontrakt Bankkonto eller kredittinformasjon Ordre Levering Faktura Betaling Solgt til kunde Unik, kundeidentifikasjon Leveringsadresse Fakturaadresse 1 8

Samtykke 2. Alle skal ha en forståelig personvernerklæring Informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå. Forslag: Hva må dere definere: Definer hvor skal master for samtykke ligge. Hvordan blir dine kunder opprettet? Kunder opprettet fra internett Kunde opprettet per telefon Kunde opprettet fra E-post Kunde opprettet i møte i butikk ERP/ Hybris / CRM Hvor ligger informasjonen Kontroll på erklæring og godkjent innhold Kunde må ta et aktivt valg. Samtykke må gjentas i henhold til avtalt frekvens. Gamle kunder må utføre aksept i ettertid o Konsekvens kunden blir slettet, og data på kunden blir anonymisert Mulighet til å trekke samtykke Påkrevet med korte, forståelige samtykketekster Bedriften må dokumentere registrert samtykke 1 9

Registrere Samtykke Forslag til løsning: Samtykketekst i digitale medier: Selve teksten finnes i front-end løsningen. Endringer på teksten blir logget med tidsstempel. På denne måten kan gitt samtykke tidspunkt i CRM linkes opp mot tekst i front-end på tilsvarende tidspunkt. Selve teksten lagres ikke i CRM. Samtykker via kundeservice: Dersom kundeforholdet allerede eksisterer, endrer bedriften på kommunikasjonssamtykker direkte i systemet. Dersom det er et nytt kundeforhold kan ikke dette gjøres pr.mail eller tlf. Her kan for eksempel brev sendes hjem til kunden med betingelsene, og dette må sendes i retur med signatur. Dette oppbevares, men linkes ikke inn i systemet pt. 2 0

Innebygd personvern 4. Alle skal bygge personvern inn i nye løsninger De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer. Hva må dere definere: Forslag: SAP er per definisjon «Compliant by design». Bruk av systemet og tilgangsstyring (roller) er definert av hver enkelt kunde. Innebygd personvern: Autorisasjonsstyring /tilgangsstyring Informasjonssikkerhet automatisk sletting Loggføring Gå gjennom tilgangsstyring for personopplysninger. 2 1

Databehandlere 7. Alle databehandlere får nye plikter Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av IT-tjenester. De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger. Databehandlere skal også si ifra til oppdragsgiveren sin hvis de får instrukser som er i strid med loven. Databehandlere kan bli holdt økonomisk ansvarlig sammen med oppdragsgiver. Oppdragsgiver skal også godkjenne databehandlerens underleverandører. Hva må dere definere: Rutiner må på plass og håndteres f.eks. ved bruk av autorisasjonsstyring. Rutiner for brudd må defineres og hvordan disse vil bli håndtert. Forslag: Ved behov bistå med eksempler på rutiner som kan gjennomføres, f. eks. rutiner for bruk av testdata. Databehandleravtale må inngås 2 2

Retten til å bli glemt Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes blir styrket. Dette kalles «retten til å bli glemt». Norske og europeiske borgere vil blant annet kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat. Dette kalles «dataportabilitet». De kan også motsette seg profilering. Alle henvendelser fra borgere skal besvares innen rimelig tid. Hva må dere definere: Dere må ha på plass system og rutiner for å imøtekomme kravet om: 10. Alle må kunne oppfylle borgernes nye rettigheter Retten til innsyn Retten til korrigering av uriktig/mangelfull informasjon Retten til å bli glemt Retten til å kreve begrensning Retten til dataportabilitet Retten til å motsette seg behandling Forslag: Løsning for utvikling-/test-/produksjonssystemer for personkunder og HR data. Regler må klarlegges for rutiner av hvert enkelt objekt som inneholder personopplysninger. Anonymisering, sletting, arkivering *Eksempelvis rutine for at sandbox, test og utviklingssystemer blir anonymisert ved kopi, eventuelt strengere krav for sletting. Funksjonalitet for å orientere tredjepart hvis Den registrerte har endret opplysninger Den registrerte skal slettes (I løpet av 36 timer) Den registrerte trekker tilbake et samtykke Utlevere kundens data ved forespørsel Få informasjonen du har på meg innen 30 dager 2 3

Kundetilpasset GDPR Overbygg Pearl Løsning 1. Eksporter persondata / Retten til innsyn (HR / Kundedata) Eksporter identifiserte persondata som fil (til vedlegg). 2. Evaluer Sjekker om Person kan slettes. Eventuelle utestående (åpne poster) rapporteres. Anonymisering/sletting kan ikke utføres om utestående er identifisert. 3. Identifiser 3.part Identifiser potensielle underleverandører relatert til Personens data. Melding til disse lages og sendes. (E-post til GDPR-kontakt). 4. Anonymiser Anonymiser samtlige persondata for Person i stamdata og transaksjoner. Sikre at eventuelle tilhørende systemer får distribuert anonymiserte data. 5. Slett Slett relaterte data til Person som vedlegg, kommunikasjonslogger og endringshistorikk. Sett slettemerke på Person og evt. relaterte objekter for arkivering. 6. Logging Loggføring av sletting. Også for anonymisering av test-systemer Arkivering Periodisk arkivering fanger opp og arkiverer/sletter person når tiden er inne. Generelle arkiveringsprosesser må defineres. 2 4

Kundetilpasset GDPR Overbygg Pearl Løsning 1. Eksporter persondata / Retten til innsyn (HR / Kundedata) Pearls GDPR Cockpit oppfyller den registrertes rettigheter til innsyn Løsningen går gjennom systemet og finner alle persondata lagret i ERP Persondataen kan eksporteres til en standard, tabulatorseparert tekstfil Samme fil kan med få modifikasjoner brukes for å etterlevet kravet om den registrertes rett til dataportabilitet Personopplysningene i ERP består typisk av: - Navn - Kontaktinformasjon - Adressedata - Handelshistorikk 2 5

Kundetilpasset GDPR Overbygg Pearl Løsning 2. Evaluer Finnes det åpne poster på en person? Er det opprettet en ordre, men ingen levering? Noen ganger er det nødvendig (og fullt lovlig) å beholde persondata, til tross for at en kunde har bedt om å bli glemt. Pearls GDPR Cockpit foretar en systematisk gjennomgang av dokumenter og poster knyttet til en person. Resultatet er at en persons ønske om å bli glemt ikke nødvendigvis er gjennomførbart Personen vil da bli merket, slik at anonymisering kan skje ved senere anledning (bakgrunnsjobb). NB! Denne evalueringen kan overstyres av brukere med spesielle rettigheter. Særlig tiltenkt test- og utviklingssystemer, hvor det ikke lenger vil være lov å beholde produksjonsdata uten spesielle behov. 2 6

Kundetilpasset GDPR Overbygg Pearl Løsning 3. Identifiser tredjepart Om en person har bedt om å bli glemt, plikter behandlingsansvarlig å varsle eventuelle tredjeparts aktører. Pearls GDPR Cockpit kan konfigureres på ulike måter når det gjelder dette: Forhåndsdefiner tredjeparter, slik at de alltid vil få en varsling ved anonymisering Søk gjennom dokumenter og identifiser tredjeparter som er involvert med den spesifikke brukeren, og kun varsle disse Dette gir mulighet for å direkte varsle de nødvendige tredjeparter om at den registrerte har bedt om å bli glemt. Tredjeparten har selv ansvar for å utfylle kravene videre herifra. 2 7

Kundetilpasset GDPR Overbygg Pearl Løsning 4. Anonymiser Når anonymiseringen har fått klarsignal, utføres denne for samtlige persondata ERP-systemet har på den registrerte. Anonymiseringsprosessen kan enkelt kjøres for én eller flere registrerte, samt utføres som bakgrunnsjobb. Etter anonymisering vil det ikke lenger være mulig å identifisere en fysisk person ut i fra den dataen som er igjen. Stamdata for den registrerte vil få en merking for å opplyse om GDPR-behandlingen. 2 8

Kundetilpasset GDPR Overbygg Pearl Løsning 5. Slett Etter anonymisering er det fortsatt noen punkter som må gjøres for å garantere GDPRstandard Pearls GDPR Cockpit sørger for sletting av relaterte data til person som vedlegg, kommunikasjonslogger og endringshistorikk. Slettemerke settes på Person og evt. relaterte objekter for arkivering. 2 9

Kundetilpasset GDPR Overbygg Pearl Løsning 6. Logg av anonymisering/sletting For å dokumentere at forespurt sletting/anonymisering har blitt gjennomført, logges selve anonymiseringsprosessen. Viser hvilke steg som har blitt gjort Garanti for at det ikke lenger skal være mulig å gjenkjenne den fysiske personen Denne loggingen inneholder ingen persondata 3 0

Hvordan komme i gang 3 1

1. Opplæring Gi de ansatte i bedriften de grunnleggende kunnskapene de behøver for å sikre at organisasjonen etterlever GDPR-kravene. 2. Kartlegg landskapet Den største jobben knyttet til GDPR er å få oversikt over persondata og dataflyt. Dette gjelder særlig komplekse organisasjoner hvor man har systemer som har vokst gradvis over tid. 3. Arkivering Definer arkiveringsstrategi og definer liggetid for deres data. 4. Samtykke Sørg for at krav til samtykke er dekket. 5. Tilgangstyring Kartlegg tilgangstyring. 6. Start implementering Veien Videre Definer GDPR-scenarier og start implementering/testing. Anonymisering/sletting. 3 2

Disclaimer NB! Elementene i denne presentasjonen består Pearl Consultings tolking av GDPR-forordningen og forslag til steg for å imøtekomme de nye kravene GDPR medfører. Denne presentasjonen skal ikke tolkes som noen form for juridisk rådgivning. 3 3

Takk for oss Our main office is in Lysaker Strandveien 8 1366 Lysaker Oslo, Norge +47 67 10 88 00 bernhard@pearlconsulting.no We have an office in Riga Dzirnavu 57-4a Riga, LV-1010 Latvia +371 66 11 89 90 iveta.brinke@pearlconsulting.no Follow Pearl Consulting:

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding