Agenda. v Innledning. v Basic personvern. v Hvordan forberede seg på GDPR? v Hvor starter du? v Hva kan vi tilby? Personopplysning

Like dokumenter
GDPR krav til innhenting av samtykke

Ny personvernlovgivning er på vei

Ny personvernlovgivning er på vei

Erfaringer med klyngedannelse «Fra olje og gass til havbruk»

Trafikklys i PO3. Konsekvenser av et rødt lys. Anders Milde Gjendemsjø, Leder for sjømat i Deloitte 14. mars 2019

Revisors rolle - Utfordringer og begrensninger. 5. Desember 2016, Aase Aamdal Lundgaard

Forvaltningsrevisjon Bergen kommune Effektivitet og kvalitet i internkontrollen Prosjektplan/engagement letter

Det kommunale og fylkeskommunale risikobildet - Sammendrag

Det kommunale og fylkeskommunale risikobildet

Hva kan Deloitte hjelpe deg med innen personvern?

Hva kan Deloitte hjelpe deg med innen personvern?

Praktisk Husleierett 2018

Eierstrategi for Drammensbadet KF. Bakgrunn for forslag til ny Eierstrategi

Mentalisering og ledelse. Morten Hegdal

Styrket personvern, svekkede bedrifter? Deloittes personvernundersøkelse Februar 2017

Finansiell analyse og modellering for strategiske og finansielle beslutninger

Behandling av plan- og byggesaker

Offentlig-offentlig samarbeid

Insentiver for god samhandling i lokalbasert rus og psykisk helsearbeid. Sentrale funn i prosjektet

Endring av kontrakt innenfor anskaffelsesregelverket. Deloitte Advokatfirma 5. august 2018

Offentlig anskaffelse og solidaransvar. Geir Melby & Elisabeth Brattebø Fenne 29/11/2018

Utredning om kommunesammenslåing Asker, Røyken og Hurum

Frokostmøte HADELANDSHAGEN

Hvordan kan kontrollutvalget få best mulig effekt av arbeidet som gjøres? En evaluering av kontrollutvalg/ kontrollutvalgssekretariat

Sammenligning av produksjonskostnader

Forslag til ny tomtefestelov - juridiske betraktninger Deloitte AS

Effektiv gjennomføring med OPS. Næringslivets forum for offentlige anskaffelser 4. Mars 2014

Styremøte Helse Midt-Norge Presentasjon rapport evaluering internrevisjonen

Dropp de lange strategiene

Forhold knyttet til salg av virksomhet

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Kommunereformarbeid. Kommunikasjonsplan som del av en god prosess Deloitte AS

Den gode arbeidsgiver

Endring av kontrakt innenfor anskaffelsesregelverket. Deloitte Advokatfirma 23. november 2018

April Hvitvasking Hvor kommer pengene fra? Granskning og Forensic Services

Eiendomsskatt. Hvem har risikoen og hvordan bør det håndteres? Bjørn Olav Johansen og T horvald Nyquist, 3. mars Deloitte Advokatfirma AS

Muligheter og risiko ved ulike driftsformer i hestenæringen. Advokat Jens-Petter Pedersen, 16.

O v e r o r d n e t m a k r o p e r s p e k t i v p å d i g i t a l e m u l i g h e t e r

Fredrik Vestli Deloitte Deloitte Advokatfirma AS

Velkommen til leverandørkonferanse Fagsystemer for Nye Veier AS

Oppdrag for Kunnskapsdepartementet Kostnadskartlegging av universiteter og høyskoler. NIFU i samarbeid med Deloitte AS

Fremtidsstudien: Hva mener millennials i Norge at næringslivet bør bidra med i samfunnet? Sammendrag av norske resultater, februar 2016

Kan en Norsk Standard sikre at man får den beste leveransen til den beste prisen?

Eiendomstransaksjoner

Inngåelse av justeringsavtaler

Regulering av veiavgift Internasjonal kartlegging. 16. desember 2018

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

U37 Tid for omstilling

Presentasjon. Analyse og tjenesteinnovasjon Rus og psykisk helse i Drammen kommune. Deloitte og Telemarksforsking

Behov for bedre måling i oppdrett? Klynge til klynge - Olje og gass møter havbruk

April Kampen mot korrupsjon og misligheter Granskning og Forensic Services

Presentasjon av forvaltningsrevisjon av investeringsprosjekter

PERSONVERN I C-ITS

NIRF. Hvitvaskingsregelverket og internrevisorer. Advokat Roar Østby

OM PERSONVERN TRONDHEIM. Mai 2018

Internrevisjonsstudien 2017:

Leietakertilpasninger. Hva lønner seg egentlig? Thorvald Nyquist 26. februar Deloitte AS

Helse Møre og Romsdal HF Evaluering / analyse av organisasjonsmodellen

Juridisk fagseminar - bank. Betydningen av juridisk godt håndverk. Advokat Anne Helsingeng Deloitte Advokatfirma AS

Kunstig intelligens i helse

Haugesund kommune Plan for forvaltningsrevisjon

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Deloittehuset i Bjørvika. Flytting som katalysator for endring. 26. oktober 2015

Stiftelser og skatt. Advokat Rune Sandseter Deloitte Advokatfirma AS

OPS - et innovativt valg Hva er OPS og når skal det brukes?

Forvaltningsrevisjon Luster kommune Økonomi - og prosjektstyring. Kommunestyret 27. april 2017

Blokkjeder og hva de kan brukes til i offentlig sektor

POWEL DATABEHANDLERAVTALE

Vedtaksoppfølging i Hordaland fylkeskommune Prosjektplan

av retningsvalg for Sande kommune

Forslag til ny tomtefestelov - økonomiske betraktninger

Samhandlingsreformen hva planlegger kommunene, og hvordan vil dette påvirke sykehusenes aktivitetsnivå

Forvaltningsrevisjon Vik kommune Helse og omsorg Revidert prosjektplan/engagement letter

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Helse Møre og Romsdal HF Kartlegging av organisasjonsmodeller i andre helseforetak

Forvaltningsrevisjon Bergen kommune Juridisk kvalitetssikring i Etat for byggesak og private planer. Prosjektplan

Forvaltningsrevisjon Nesna kommune Internkontroll Prosjektplan/engagement letter

Ny supertraktat. Over 100 land kan endre over 2000 skatteavtaler

Arbeidsgiverpolitikk i kommunesammenslåinger Kunnskapsbaserte innspill til gode prosesser. Lansering av FoU-rapporten

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger


Hvordan ivareta personvernet ved skikkethetsvurderinger?

Arbeidsgiverpolitikk i kommunesammenslåinger Kunnskapsbaserte innspill til gode prosesser

102 Definisjoner og forklaringer

Er kultur et tema for internrevisjon? Veronica S. Kvinge Internrevisor i BKK

GDPR E-PRIVACY. Kristiansand, 23. november Advokatfullmektig Christine Stousland

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

Anleggskonferansen Vestfold Merverdiavgift


Plan for forvaltningsrevisjon Revidert plan Tysnes kommune

DD-PROSESSEN. Rettslig rammeverk. 10. februar 2015 Thorvald Nyquist og Odd Erik Johansen Deloitte AS

Til generalforsamlingen i Storebrand Optimér ASA under avvikling UAVHENGIG REVISORS BERETNING

UNDERSØKELSE OM BRUKEN AV ØYEBLIKKELIG HJELP DØGNOPPHOLD I KOMMUNENE

Økonomidirektørens rolle katalysator for gevinstrealisering? SUHS-konferansen 2013, Trondheim

Plan for forvaltningsrevisjon Karmøy kommune.

Scheel-utvalget: Ny skattereform i støpeskjeen. Hva betyr det for næringslivet?

Standard Audit File - Tax

Bokn kommune Plan for forvaltningsrevisjon


Transkript:

Agenda v Innledning v Basic personvern v Hvordan forberede seg på GDPR? v Hvor starter du? v Hva kan vi tilby? Ikke startet hvor starter du? Frokostmøte Bjørn Ofstad 2 31.05.2018 Sentrale definisjoner GDPR art. 4 Basic personvern Personopplysning Behandling av personopplysninger Behandlingsansvarlig Databehandler Særlige kategorier personopplysninger Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av identifikator, f.eks et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller flere elementer som er spesifikke for nevnte fysiske personers fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet. Enhver operasjon eller en rekke av operasjoner som gjøres med personopplysninger, enten automatiserte eller ikke, f.eks innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring. En fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes En fysisk eller juridisk person, en offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige Opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, biometriske opplysninger, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering (behandling i utg pkt forbudt). 3 4 1

Prinsipper for behandling av personopplysninger GDPR art. 5 Krav til informasjonssikkerhet GDPR kap. IV, avsnitt 2, art 32 flg. (pol 13) Tilsvarende personopplysningslovens 11. Personopplysninger skal; 1. Behandles på «lovlig, rettferdig og gjennomsiktig» måte 2. Samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene 3. Være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering») «Idet det tas hensyn til det tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen» 4. Være korrekte og om nødvendig oppdaterte 5. Lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for (sletting) 6. Behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene Pol 13 stiller krav til at den «behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet.» 7. Behandlingsansvarlig skal kunne påvise slik behandling (art 5 nr. 2) 5 6 Krav til internkontroll GDPR kap. IV, art. 24 flg. (pol 14) «Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning» Hvordan forberede seg på GDPR? 1 Styrende del 2 Gjennomførende del 3 Kontrollerende del Oversikt over hvilke data som behandles Ansvarsplassering Databehandlersituasjoner Rutinebeskrivelser Avviksrutiner Egenkontroll 7 8 2

Anbefalte tiltak for å møte kravene GDPR - Tiltaksplan baseres på analyse av dagens situasjon Layer 1 Strategi Virksomheten må beslutte personvernstrategi Layer 2 Organisasjon Roller og ansvar må kartlegges, beskrives og kommuniseres i virksomheten. Layer 3 Policy, rutiner & data Virksomhetens policy og rutiner for behandling av personopplysninger må ferdigstilles, godkjennes, immplementeres og kommuniseres til de ansatte. Data subjektes rettigheter må fremheves. Virksomheten må kunne dokumentere god kontroll på sin behandling av personopplysninger. «Hvor trykker skoen»? Layer 4 Kultur & bevistgjøring Det må bygges kultur og bevistgjøring i virksomheten for hvordan personopplysninger skal behandles. Organisasjonen må gis opplæring. Layer 5 Tekniske tiltak GDPR stiller krav til privacy by design, privacy by default og, i enkelte tilfeller, Privacy impact assessment. Virksomheten må etablere rutiner som bidrar til overholdelse av disste kravene. Layer 6 Kartlegging av behandling av data Alle virksomhetens behandlinger av personopplysninger må kartlegges Deloitte Risk Advisory GDPR Vision and Approach 9 9 10 Ulike industrier samme problemer Etterlevelse/implementering Bruk av personopplysninger i markedsføringsaktiviteter Personvern > forbrukerrett? Nye samtykker? Rutinene må være kjent i organisasjonen og gjenspeile faktisk behandling av personopplysninger. Hvor ligger dataene? Har vi fått med oss alt? Dukker opp nye systemer? Håndholdte applikasjoner. Operasjonali sering Data - managemen t «Hvor trykker skoen?» Markedsaktiviteter Tredjepartsrisiko Forankring hos ledelsen Databehandlersituasjoner Identifisering av databehandlersituasjoner Hvor starter du? Sletting Må alt slettes? Hva med ustrukturert data? Virksomheten har ulike behov. «Right to be forgotten» Støtte fra ledelse Personvernprosjekter involverer «alle». Mange ulike interesser i organisasjonen. 11 12 3

5/31/18 Definer en prosjektplan og maler, som dere kan jobbe med Kartleggingsmatrise Del I styrende dokument Del II gjennomførende dokument Del III kontrollerende dokument Mal databehandleravtale Mal personvernerklæring 13 14 Kartleggings- og dokumentasjonsverktøyet Formålet med kartleggings- og dokumentasjonsverktøyet er å kartlegge dagens status hva angår behandling av personopplysninger innenfor virksomhetens systemer gjennom en systembasert tilnærming til behandlingsaktivitetene. Styrende del - Policydokument En overordnet policy for hvordan virksomheten håndterer, og skal håndtere personvern. Inneholder informasjon om virksomheten, styrende prinsipper for behandlingen, oversikt over databehandlersituasjoner m.m. Verktøyet kan brukes både i en innledende kartleggingsfase for å få oversikt over systemer og behandlingsaktiviteter, men kan videre også benyttes til dokumentasjon i henhold til kravene i personvernregelverket og for å vedlikeholde virksomhetens systemoversikt. Rutiner for kunde- og ansattdata, kartleggings- og dokumentasjonsverktøy og mal for databehandleravtale er vanlige vedlegg til policydokumentet 15 16 4

Rammeverk for arbeidsrutiner HR og kundestrøm Kontrollerende dokument Et rammeverk for utarbeidelse av arbeidsrutinebeskrivelser for behandling av personopplysninger. Arbeidsrutinene er ment å bidra til faktisk etterlevelse av og dokumentasjon av at virksomheten behandler personopplysninger i henhold til de juridiske forpliktelser i personvernregelverket. Rutinene inkluderer en kort beskrivelse av de rettslige rammene for håndteringen av personopplysninger, og grunnlaget for en arbeidsrutine. Rammeverket består av 12 malrutiner for behandlingen av ansattes opplysninger, og 12 malrutiner for behandlingen av kundeopplysninger. For å sørge for oversikt over behandlingsaktivitetene, vedlikehold av dokumentasjon, jevnlige vurderinger av de organisatoriske og tekniske tiltak som er iverksatt, og av informasjonssikkerheten bør hver virksomhet ha et kontrollverktøy. Kontrollerende dokument er utformet for å gi grundig oversikt over aktiviteter og kontrollbehov basert på kravene i personvernregelverket. Dokumentet leveres som et omfattende verktøy for å kunne utføre kontrollaktiviteter på sentrale områder. Dokumentet bør tilpasses den enkelte virksomhet, og suppleres med egne tiltak på noen av områdene. Sjekklisten er delt opp i seks kontrollområder som favner over de mest sentrale områdene for virksomheten: Strategi og overordnet kontroll Dokumentasjon over behandlingsaktiviteter Dokumentasjon av bruk av databehandlere (tredjepartsrisiko) Organisatoriske tiltak Systemkontroll og tekniske tiltak Informasjonssikkerhet 17 18 Mal databehandleravtale til bruk ovenfor leverandører En standardmal for databehandleravtaler som kan benyttes der virksomheten er behandlingsansvarlig. Databehandleravtalen er ment å supplere/være et bilag til en overordnet tjenesteavtale med en leverandør som er databehandler. Malen må fylles inn og suppleres med tanke på hensikten med og varigheten av behandlingsaktivitetene som skal utføres av leverandør, behandlingens formål og art, typen personopplysninger og kategorier av registrerte samt eventuelle tilpasninger til leverandørens plikter som virksomheten ser nødvendig. Video: https://www.youtube.com/watch?v =RhLKyjDSEig&sns=em 19 20 5

Deloitte AS and Deloitte Advokatfirma AS are the Norwegian affiliates of Deloitte NWE LLP, a member firm of Deloitte Touche Tohmatsu Limited ("DTTL"), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as "Deloitte Global") does not provide services to clients. Please see www.deloitte.no for a more detailed description of DTTL and its member firms. Deloitte Norway conducts business through two legally separate and independent limited liability companies; Deloitte AS, providing audit, consulting, financial advisory and risk management services, and Deloitte Advokatfirma AS, providing tax and legal services. Deloitte provides audit, consulting, financial advisory, risk management, tax and related services to public and private clients spanning multiple industries. Deloitte serves four out of five Fortune Global 500 companies through a globally connected network of member firms in more than 150 countries bringing world-class capabilities, insights, and high-quality service to address clients most complex business challenges. To learn more about how Deloitte s approximately 245,000 professionals make an impact that matters, please connect with us on Facebook, LinkedIn, or Twitter. This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the "Deloitte Network") is, by means of this communication, rendering professional advice or services. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No entity in the Deloitte Network shall be responsible for any loss whatsoever sustained by any person who relies on this communication. 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding