GDPR- hva betyr dette for NTNU

Like dokumenter
Prosedyre for personvern

Personopplysningsvern med ProFundo som databehandler

Rusmiddeltesting i arbeidslivet et personvernperspektiv

OM PERSONVERN TRONDHEIM. Mai 2018

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Nye personvernregler

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Implementering av det nye personvernregelverket ved UiB

Unødvendig, overdreven bruk av identifisering og biometri vil kunne skade vår sikkerhet og personvernet.

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvern i EPD-Norge

Personvern i Amento AS

Personvernforordningen og utfordringer i dagens helsetjeneste

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Arbeidsgivers personvernplikter

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Sjekkliste GDPR. Nye personvernregler Hva bør gjøres frem mot 25.mai

Personvernombudsordningen etter GDPR

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Personvernperspektivet og oppbevaring av intervjumateriale

Praktisk bruk av mal for databehandleravtale. Christina M Grønli, pvo Viken fylkeskommune

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf)

NINAs personverndokument

Hva betyr det for din virksomhet?

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Personvern i Otrera AS

GDPR Ny personvernforordning

Personvernombudsordningen etter GDPR

Perspektiver og planer ved Universitetet i Oslo

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Personvern - sjekkliste for databehandleravtale

Innføring av ny personvernforordning (GDPR) på universitetet

GDPR Hva, hvordan og når

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Kunden er behandlingsansvarlig Unifaun er databehandler

Personverndokument NLT

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvernerklæring i NOAH AS

Personvern i skolen. Skolelederkonferansen 24. oktober Leder forretningsjuridisk/ advokat Hege Stensland Sveen

Personvern i Konstali Helsenor AS

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Nytt regelverk, nye muligheter og masse avviksmeldinger!

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Nytt personvernregelverk på 1-2-3

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Personvern i Skjervøy Arbeidssamvirke AS

Hva kan vi bruke NSD til?

Nye regler om personvern. Halvor E. Sigurdsen, NHO

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

EUs personvernforordning (GDPR)

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

GDPR for HR. En praktisk tilnærming til hva Sopra Steria har gjort for å møte de nye kravene

Personvern - vurdering av personvernkonsekvenser - DPIA

Personvern og informasjonssikkerhet

Personvern - behandlingsgrunnlag etter personopplysningsloven

GDPR E-PRIVACY. Kristiansand, 23. november Advokatfullmektig Christine Stousland

Del 2. Fagdag GDPR - Arkiv Troms

Databehandleravtaler. Tommy Tranvik Unit

GDPR General Data Protection Regulativ

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Personvernerklæring for Vesterålsprodukter AS

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Politikk for informasjonssikkerhet

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Databehandleravtale for Visma Avendo Webtime

Studieplan 2017/2018. PERSONVERN en grunnopplæring i personvernregelverk (2017) Studiepoeng: 15. Studiets nivå og organisering. Bakgrunn for studiet

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

102 Definisjoner og forklaringer

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Sikkerhetsmål og sikkerhetsstrategi. Frischsenterets instruks for informasjonssikkerhet

Tillitsvalgtes håndtering av personopplysninger - GDPR GK2

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Bakgrunn. EU har vedtatt ny personvernforordning

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

Innføring av nytt personvernregelverk ved UiO

Personverndokument. For Tana Arbeidsservice AS 6.6 KONTAKTPERSONER HOS OPPDRAGSGIVER, SAMARBEIDSPARTNERE OG LEVERANDØRER

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

GDPR: GAP-analyse Randi Hognestad, Legal Counsel, SKAGEN AS VFF Compliance-seminar

Nye personvernregler (GDPR)

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Status personvern Hedmark og Oppland fylkeskommuner

Personvernerklæring. Museene i Akershus mia.no. Telefon: (+47) E-post: Postboks Strømmen. Org.nr:

Transkript:

GDPR- hva betyr dette for NTNU NTNU behandler personopplysninger i stort omfang. GDPR stiller skjerpede krav til behandling av personopplysninger og styrker de registrertes rettigheter. NTNU skal ivareta ansattes, studenters og øvrige registrertes interesser og personsikkerhet gjennom lovlig, god og sikker behandling av personopplysninger. 1

Hva har skjedd på NTNU - personvernombud på plass Thomas Helgesen - nytt styringssystem for informasjonssikkerhet - behandling av personopplysninger inngår som en del av informasjonssikkerhet - kartlagt behandlingsaktiviteter som inneholder personopplysninger ved NTNU - rutine for innsyn (digitalt) - rutine for sletting - retningslinje for behandling av personopplysninger - rutine for samtykke - Retningslinjer for personvernkonsekvensvurderinger (DPIA) - maler for databehandleavtale - felles/overordnet personvernerklæring for NTNU - avvikshåndteringsrutiner og rutiner for å gjennomføre risikovurderinger Men gjenstår å operasjonalisere og tydeliggjøre og finne de gode praksisene. 2

Videre arbeid på NTNU Behandlingsaktiviteter og systemoversikt ca 600 stk behandlingsaktiviteter se neste foil ca 650 systemer prioriterte systemer/behandlinger gjennomgås nå (juridisk- og IT kompetanse) enhetsledere og systemeiere må kobles på sørge for forsvarlige systemer og behandlinger enhetsledere i FA e fellesnevnere slik at vi får enhetlige gjennomgående arbeidsprosesser på NTNU Kartlegging av behandlingsaktiviteter helseforskning - er sendt ut med frist 14.12.18 - MH og SU har deltatt i utformingen av kartleggingsverktøyet Etablert en ressursgruppe med personvernkontakter fra fakultet og enheter i FA deltar 3

4 Behandlingsaktiviteter

Databehandleravtaler Inngås mellom behandlingsansvarlig og databehandler Når NTNU som behandlingsansvarlig setter ut deler av behandlingen til en annen virksomhet, må det inngås databehandleravtaler. En databehandler er en ekstern leverandør som behandler personopplysninger på vegne av NTNU. NTNUs mal for databehandleravtaler skal som hovedregel benyttes 5

Avvikshåndtering Vi har en plikt til å varsle DT ved brudd på personopplysningssikkerheten - hvis risiko for den registrertes rettigheter eller friheter - uten ugrunnet opphold og senest 72 timer etter at de ble kjent med bruddet Vi må underrette den registrerte ved høy risiko 6

Opplæring operasjonalisering av forordningen og de nye retningslinjene ved NTNU, dvs avklare hvilken betydning har regelverket for NTNU. Har ikke kommet så langt som ønskelig Det er behov for opplæring på tre nivåer Basis innføring og opplæring i gdpr/informasjonssikkerhet (standard informasjon som finnes i markedet for offentlig sektor) Hvordan benytte eksisterende systemer ved NTNU for sikker håndtering av informasjon som er underlagt personvern. Opplæring i hvordan vi kan ta i bruk de løsninger som allerede finnes (finnes allerede etablerte kurs på NTNU og ute i sektoren som kan benyttes) Fagspesifikk opplæring/praksiskunnskap knyttet til ulike virksomhetsprosesser (må utvikles) Det skal etableres rollestyrt opplæring dvs sette sammen pakker for de ulike rollene ( ledere, veiledere, studenter, ansatte, osv) Risikovurdering/avvikshåndtering gode rutiner og holdninger må etableres 7

8 Sikker forsendelse trygg og sikkert (arbeidsavtaler). Få dokumentene ut til både eksterne og interne. NTNU ønsker raskere tilsettingsprosesser - post til utlandet tar TID hva skal vi gjøre - praktisk Epost forsendelse intern og ekstern og arkivering av e-post ikke arkivverdig post. E-post - korrespondanse med studenter Usikkerhet ift sikkerhet av sending av intern epost - gir ulik informasjon! Bidrar til forvirring Tilrettelegging for studenter helse opplysninger - hvordan jobber vi sikkert med det. Ulike portaler inn og ut av studiet - opplastingsfunksjoner - koordinering av systemer - eks opptak på særskilt grunnlag - og videre til tilrettelegging - ingen kobling - integrerte systemer som snakker sammen Sporing i bygg av både ansatte og utstyr infrastruktur Sikker skanning av post som skal arkiveres Lagring arkiv Deling av dokumenter Håndtering, lagring og behandling av konfliktsaker, varslingssaker osv Risikovurdering rutine som ligger på Innsida er for omfattende vi må ha en rutine som ivaretar helheten ved NTNU dvs både enkle risikovurderinger og opp til ROS-analyser Hvordan innhente samtykke rutine enhetlig måte å gjøre det på SAMTYKKE Opplæring IT-avdelingen Innebygd personvern Koordinering IT og innkjøp - innebygd personvern

Studieveiledning kommunikasjonskanaler Digitale skjema sikker måte Ekskusjoner - påmeldingslister feltkort - administrasjon sikker løsning Opponenter - kopi av pass - sikker løsning Vurdering av utenlandske vitnemål går i dag på e-post Veiledning og oppfølging internasjonale studenter generelt Avvik hva er et avvik og hvordan melde og følge opp Medarbeidersamtaler arkivering HR har utarbeidet rutine Arbeidsflate for råd og utvalg - hvordan dele info sikkert til ansettelsesutvalg og tilsettingsråd, styrer, ledergruppe, osv 9

Rutiner for behandling av filer og e-post ved brukers dødsfall strømme/videofilme forelesninger Innsyn i egen personalmappe Streame en video av et seminar/workshop på UB sine Facebook-side Definere hva er hva av dokumenter ved NTNU - eksempler på klassifisering Dokumentmaler og klassifisering av informasjon Se også kommentarer på Innsida ang opplæring ifm sikkerhetsmåneden 10

Opplæring Jobbes med Info til studenter Innebygd personvern i systemer (utvikling og anskaffelse) Aktivitet; Sikker forsendelse E-post Skjema Skanning Forskning Personopplysninger Helseopplysninger Lagring Behandlingsaktivitet; Strømming, videofilming, foto Lederopplæring Sikkerhetsmåneden Lagring og klassifisering 11

Kryptering av informasjon i e-post Hva skal krypteres; - avhenger av hva du skal sende dokument/informasjon må klassifiseres. Se; https://innsida.ntnu.no/wiki/-/wiki/norsk/informasjonsklassifisering+-+informasjonssikkerhet Eksempel; karakterutskrifter er å regne som "opplysninger om personlige forhold" så er disse taushetsbelagte og må klassifiseres som fortrolig Seksjon for Digital Sikkerhet har skrevet en veiledning på hvordan du kan kryptere informasjon for sending av e-post, se; https://innsida.ntnu.no/wiki/-/wiki/norsk/sikker+e-post 1. Selve e-posten kan krypteres, men dette krever at både du og mottaker har installert digitale sertifikater. 2. Kryptering av Office-dokumenter: Alle Office-dokumenter har innebygget en krypteringsfunksjon som kan enkelt kan brukes ved å sette et sterkt passord. 3. Kryptering vha 7-zip. Her kan du lage deg et arkiv med filer og zippe de ned med passordbeskyttelse. Alle disse tre tilnærmingene til kryptering benytter sterke krypteringsalgoritmer og anses som sikre nok til å sende fortrolig og strengt fortrolig informasjon. Det viktige her er at du setter et sterkt passord og sender dette via en annen kanal enn e-post. For eks. via SMS. 12

Sensitive opplysninger Sensitive personopplysninger (kalt særlige kategorier i loven)(datatilsynet) I loven er det definert en rekke kategorier av opplysninger som det skal mer til å kunne behandle enn andre opplysninger (artikkel 9 og 10): 1.opplysninger om rasemessig eller etnisk opprinnelse 2.opplysninger om politisk oppfatning 3.opplysninger om religion 4.opplysninger om filosofisk overbevisning 5.opplysninger om fagforeningsmedlemskap 6.genetiske opplysninger 7.biometriske opplysninger med det formål å entydig identifisere noen 8.helseopplysninger 9.opplysninger om seksuelle forhold 10.opplysninger om seksuell legning 11.opplysninger om straffedommer 12.opplysninger om lovovertredelser 13

Spørsmål Hvem er ansvarlig for event brudd mot GPDR? Individuell saksbehandler eller NTNU enhet Hvordan sikrer vi at våre søknadsskjema følger reglene? 14

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding