Etterlevelse av personvernforordningen (GDPR) sett opp mot ISO hva er nytt/viktig? Anders Bergman Greenfinger AB

Like dokumenter
GDPR i praksis, sett fra en teknisk bedömmer. Anders Bergman IT-bedömmer NA og SWEDAC Greenfinger AB

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Nye personvernregler

Blir du klar til mai 2018?

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

GDPR - PERSONVERN. Advokat Sunniva Berntsen

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

Personvern i skyen Medlemsmøte i Cloud Security Alliance

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

GDPR og ny lov om personvern

som gjelder databehandlerens behandling av personopplysninger på vegne av datakontrolleren.

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

GDPR General Data Protection Regulativ

Nye personvernregler fra mai 2018

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Databehandleravtale for Visma Avendo Webtime

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Implementering av det nye personvernregelverket ved UiB

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Personvernerklæring for IEH

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

Internkontroll og informasjonssikkerhet lover og standarder

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Brudd på personopplysningssikkerheten

POWEL DATABEHANDLERAVTALE

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Personvernerklæring for Webstep AS

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Nye personvernregler

EUs personvernforordning (GDPR) Personvernerklæring forbruker. Gyldig fra: 25. mai 2018

GDPR Hva, hvordan og når

Hva gjør så KiNS og KS med GDPR?

Innføring av nytt personvernregelverk ved UiO

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Personvern i Falck Helse

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

1.1 Generelt om Jacobsen Dental og vår integritetspolicy

Nye personvernregler

Personvern i Falck Helse

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Personvern i Falck Helse

GDPR - hva betyr det for din bedrift?

Personvernerklæring for Eurofins norske selskaper

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

Nye personvernregler

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

GDPR Ny personvernforordning

INFORMASJON OM BEHANDLING AV PERSONOPPLYSNINGENE DINE

Jeg vil se mappa mi!

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

NINAs personverndokument

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Nytt regelverk (GDPR) og IoT

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Personvern - sjekkliste for databehandleravtale

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Personvern i EPD-Norge

Lantmännens personvernpolicy og informasjon om informasjonskapsler (cookies)

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

Diabetesforbundet. Personvernerklæring

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Personvern i Falck Helse

Personvernerklæring for Portal Travel AS

Personvernperspektivet og oppbevaring av intervjumateriale

Regler for behandling personopplysninger Svea Finans AS

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

GDPR HVA ER VIKTIG FOR HR- DATA

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

GDPR i et nøtteskall

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Transkript:

Etterlevelse av personvernforordningen (GDPR) sett opp mot ISO 15189 hva er nytt/viktig? Anders Bergman Greenfinger AB Lov om behandling av personopplysninger (personopplysningsloven) LOV-2018-06-15-38 Hva betyr dette for akkrediterte aktiviteter, og hva har skjedd i Sverige etter introduksjonen 25/5 2018? 1

General Date Protection Regulation (GDPR) vs. ISO 15189 tolketaveuropean Accreditation (EA) Dokumenter er utviklet for å avklare hvordan kravene til GDPR er relatert til kravene i ISO 15189: 2012 Beskriver hvilke aktiviteter de akkrediterte organisasjonene må gjennomføre for å oppfylle kravene Beskriver også hvilke dokumenter de akkrediterte organisasjonene kan trenge for å fullføre 15189-styringssystemet med. GDPR artikkel 3 GDPR bør brukes av enhver organisasjon som behandler data fra EU-registrerte. Laboratoriestyring skal ha ordninger som er knyttet til personvern og beskyttelse av folks personlige opplysninger, spesielt følsomme datamaskiner. Ikke nødvendig 2

GDPR artikkel 37-39 Utnevnelse av en kvalifisert databeskyttelsesansvarlig(dpo) (om nødvendig) DPOs skal utnevnes når det gjelder: (a) offentlige myndigheter, (b) organisasjoner som engasjerer seg i systematisk overvåking, eller (c) organisasjoner som engasjerer seg i omfattende behandling av sensitive personopplysninger. Rollebeskrivelse av DPO hvis en slik DPO er nødvendig. GDPR artikkel 35 Forpliktelse til å gjennomføre risikoanalyser og konsekvensvurderinger Personvernrelaterte risikoer bør inkluderes i selskapsrisikoregistre sammen med ulike andre risikoer. Analyse av virkningen av behandling av personopplysninger for fysiske personer. 3

GDPR artikkel 5, 89 Personlige data må samles inn for spesifiserte, eksplisitte og legitime formål og ikke viderebehandles på en måte som er uforenlig med disse formålene. Personlige data må være tilstrekkelig, relevant og begrenset til de som er nødvendige; Hvor personopplysninger skal arkiveres, f.eks. For forskning og statistiske formål bør personvernrisikoen behandles ved hjelp av egnede kontroller som pseudonymisering og dataminimalisering når det er mulig. Laboratoriums prosesser pluss programmer, systemer og nettverk skal tilstrekkelig sikre personlig informasjon, og krever en omfattende serie av teknologiske, prosessmessige, fysiske og andre kontroller, med utgangspunkt i en vurdering av de tilknyttede informasjonsrisikoen. Sikkerhetspolicyer som sikrer riktig sikkerhet for personopplysningene, inkludert beskyttelse mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade ved hjelp av passende tekniske eller organisatoriske tiltak GDPR artikkel 17 Lagringsbegrensning (data skal ikke holdes lenger enn det er nødvendig); Rett til å slette ("rett til å bli glemt"), inkludert tilbaketrekking av samtykke; Datalagringspolicy (Data retention policies) Ikke nødvendig, hvis retningslinjer for datalagring implementeres 4

GDPR Recital nr. 39 Integritet og konfidensialitet, passende sikkerhet for personopplysningene (inkludert beskyttelse mot uautorisert eller ulovlig behandling og utilsiktet tap, ødeleggelse eller skade) Dataoverføring og datadeling Databehandlingsavtaler Sikkerhetspolicy Sikkerhetspolicyer som sikrer riktig sikkerhet for personopplysningene, inkludert beskyttelse mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade ved hjelp av passende tekniske eller organisatoriske tiltak GDPR artikkel 33-34 Krav til håndtering avvik/databrudd Prosedyre for avvikshåndtering bør omfatte: - Beskrivelse av arten, antall registrerte personer, de sannsynlige konsekvensene, tiltak som er truffet eller foreslått for å rette opp avviket/bruddet. Skal vurderes at det er en stram tidsfrist på 72 timer for melding av avvik til Datatilsynet. Databruddprotokoller og prosedyrer for avvikshåndtering som må implementeres likevel under ISO 15189 5

GDPR artikkel7-9, nr. 161, nr. 33 Gyldig samtykke er nødvendig(inkludert prosess av barns data). Samtykke kan bli trukket tilbake når som helst. Det er et krav om å be om informert samtykke til behandling (ellers stopp!) Og å kunne demonstrere dette. Prosedyrer må være på plass for dette, og registreringer som viser at samtykket må være beskyttet og beholdt. For å samtykke til deltakelse i vitenskapelig forskningsaktivitet i kliniske studier, bør de relevante bestemmelsene i forordning(eu) nr. 526/2014 gjelde. Samtykker Implementert datalagringspolicy Konklusjon Sørg for at organisasjonens informasjonssikkerhetsarbeid inkluderer personvern og beskyttelse av personopplysninger, pseudonymisera hvis mulig. Hvis databeskyttelsesansvarlig (DPO) er utnevnt innenfor den akkrediterte virksomheten, må det være en dokumentert rolle og arbeidsbeskrivelse Risikoanalyse av informasjonshåndtering skal gjennomføres med hensyn til teknologi, organisasjon og personlig integritet. Risikoer må dokumenteres og klare å minimere risikoen for bevisst (forbrytelser) eller utilsiktet skade på eller tap av data Rutiner bør gjøres for å sikre at personrelatert informasjon som er registrert i bedriftens IT-system minimeres, og det behandles bare ut fra det oppgitte formålet 6

Konklusjon, forts. Databehandlingsavtaler (med IT-tjenesteleverandører) skal brukes til kommunikasjon og lagring av personopplysninger som sikrer at informasjonen: - håndteres på en måte som overskrider informasjonens klassifisering / forretningsbehov - Kun lagret så lenge det er nødvendig i samsvar med gjeldende lover, forskrifter og proprietære merknader - i relevante tilfeller kan det slettes på forespørsel fra virksomheten. Rutiner bør gis for rapportering og håndtering av avvik Aktivt samtykke til personlig databehandling skal dokumenteres, samtykke skal tilbakekalles i relevante tilfeller Når man anskaffer nye IT-systemer/ IT-funksjoner, bør kravet om Privacy by design and default" overveies. Mye er fortsatt uklart når det gjeldertolkning av lovverket, Vennligstles anbefalingenefra artikkel29-gruppen: http://ec.europa.eu/newsroom/article29/news-overview.cfm Ha en nær dialog med ansvarlige personer for juridisk og informasjonssikkerhet i organisasjonene dine, og følg instruksjonene de gir... Erfaringer fra Sverige etter 25/5 Få forespørsler om registerutdrag og stadig avtagende De fleste organisasjoner gir bare metadata ved den første forespørselen Relativt få rapporterte hendelseri løpet av den første måneden, men nå stadig økende antall TilsynsmyndighetenDatainspektionenoppfordrer underretningen om mindre kritiske hendelserfor å få et godt bildeav hva som skjeri organisasjonene Den vanligste hendelsen er at e-post sendes til feil person Den nest vanligste hendelsen er tapt eller stjålet mobiltelefoner, lesplater og bærbare PC-er Mange spørsmål om håndtering av bilder og filmer. Rutiner for håndtering av personopplysninger blir stadig større spørsmål Stor fokus på systematisk informasjonssikkerhetsarbeid 7

Takk for din oppmerksomhet, noen spørsmål? Anders Bergman IT-bedömmer för NA och SWEDAC anders@greenfinger.se 8

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding