Noen aktuelle tema for personvernombud i finans

Like dokumenter
Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

Internkontroll og informasjonssikkerhet lover og standarder

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Hva betyr det for din virksomhet?

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Policy for informasjonssikkerhet og personvern i Sbanken ASA

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Styringssystem i et rettslig perspektiv

Nye personvernregler

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Forvaltningsrevisjon IKT sikkerhet og drift 2017

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Ready or not, here we come

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Personvernforordningen

Databehandleravtaler. Tommy Tranvik Unit

Policy for personvern

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Personvernforordningen

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Min hverdag som personvernombud. KiNS 6. juni 2019

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Personvernkonsekvensvurderinger

Personvernombudsordningen etter GDPR

Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Nye personvernregler

Instruks for personvernombud ved OsloMet

Kan du legge personopplysninger i skyen?

Har du kontroll på verdiene dine

Personvernforordningen

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Krav til informasjonssikkerhet i nytt personvernregelverk

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Kommunens Internkontroll

Aibel Vår tilnærming til GDPR. Elin H Madell HR System Owner

EUs nye forordning for personvern

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

GDPR Hva, hvordan og når

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Personvern, studentoppgaver og undervisning. Johannes Elgvin April 2019

Hva er et styringssystem?

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Endelig kontrollrapport

KF Brukerkonferanse 2013

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Rollefordeling og begrepsforståelse ved UiO etter nytt personvernregelverk

GDPR i praksis, sett fra en teknisk bedömmer. Anders Bergman IT-bedömmer NA og SWEDAC Greenfinger AB

Tillitsvalgtes håndtering av personopplysninger - GDPR GK2

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

BEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS

EUs nye forordning for personvern

Personvern - sjekkliste for databehandleravtale

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

GDPR-status fra en kommune

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Informasjonssikkerhet - Innføring velferdsteknologi Agder. KiNS-konferanse Stavanger juni 2019

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Innhold. Introduksjon ved Torgeir Waterhouse... 21

Universitetet i Oslo Universitetsdirektøren

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Personvernombud i Norge og databeskyttelsesansvarlig i EU-Kommisjonens forslag til forordning om databeskyttelse

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Til styret i Sunnaas sykehus HF. 18. desember Innføring General Data Protection Regulation (GDPR) - status

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Nytt personvernregelverk på 1-2-3

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Hva gjør så KiNS og KS med GDPR?

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Overordnet IT beredskapsplan

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

INNHOLD 1. HMS-MÅLSETTING 2. HMS-HÅNDBOK 3. ORGANISASJONSPLAN 4. LEDEROPPLÆRING (HMS-KURS) 5. OPPLÆRING AV ANSATTE OG VERNEOMBUD

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Personvern - vurdering av personvernkonsekvenser - DPIA

Personvernombudsordningen etter GDPR

Status personvern Hedmark og Oppland fylkeskommuner

Implementering av det nye personvernregelverket ved UiB

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Transkript:

Noen aktuelle tema for personvernombud i finans 31.01.2019

HVEM I ALLE DAGER SKAL (VIL?) VÆRE PERSONVERNOMBUD? Uavhengig rolle Kompetent på juss it - sektor Ikke den som bestemmer eller gir råd om prioriteringer og hvordan PO kan brukes Ikke CIO, CTO, HR-direktør IKKE TVILSOMT ETTER GDPR! Internadvokat? Compliance-funksjon? Ekstern?

Personvernombud eller Personvernrådgiver? Er forskjellen så viktig? Lov å bruke fornuft?

UAVHENGIGHET Betydning for plassering i organisasjon og rapporteringsvei Kan rapportere til compliance sjef? Må ha direkte vei til ledelsen

UAVHENGIGHET MEN KONTAKT MED LEDELSEN Hvordan? Hvor ofte? Vil endres over tid og kommersielle satsningsområder? Hvem lytter til hvem?

LEDELSE I PRAKSIS?

PERSONVERNOMBUD KREVES NÅR Artikkel 37 krav DT har kontrollert ombud i offentlig sektor Nok fokus på nedenforstående? Kjerneaktivitet er systematisk monitorering Profilering anses å være monitorering

PERSONVERNOMBUDET SKAL Gi råd om personvern til Ledelsen, resten av virksomheten Bistand til ansatte og henvendelser fra ansatte Henvendelser fra kunder Undertegne databehandleravtaler? Skrive rutiner? Bistå i DPIA, men ikke beslutte hva med ROS-analyser? Overvåke etterlevelse Konflikt ifht å gi råd? Kan «audit» både gi regler og overvåke?

WP29: PERSONVERNOMBUDET BØR 1/2 Ha jevnlige møter med øverste ledelse OG mellomledelsen Delta i møter der beslutninger om personopplysninger tas OG ha fått grunnlag for å mene noe om hva man bør beslutte i god tid før møtet DPO s (personvernombudet) mening skal tillegges passende vekt Om DPOs anbefaling ikke følges, anbefales å dokumentere årsaken til det Konsulteres umiddelbart om personvernbrudd har skjedd

WP29: PERSONVERNOMBUDET BØR 2/2 Få support fra øverste ledelse Få tid nok til å utøve jobben Få finansielle ressurser nok, andre ressurser nok Nødvendig tilgang til HR, IT, legal, security, etc for å skaffe nødvendig input Få tilstrekkelig trening Ved behov være et team, ikke bare en person litt ambisiøst??

LAG ET ÅRSHJUL FOR OMBUDET Legg inn jevnlige foreteelser Sett datoer for møter med ledelsen Særlig fokus på implementering av nye tjenester Egenkontroll er viktig! (..TBC..)

RUTINE FOR EGENKONTROLL Formål Formålet med egenkontroll er å kontrollere om lover og internkontrollrutiner etterleves. Ansvar Daglig leder har som behandlingsansvarlig i Selskapet delegert ansvaret for egenkontroll til [tittel på vedkommende som har fått delegert ansvar for egenkontroll/personvernombud]

RUTINE FOR EGENKONTROLL Egenkontroll Det er ledelsen ved Selskapet som har ansvar for å gjennomføre egenkontrollen. [Eventuelt kan dette delegeres til personvernombudet.] Sikkerhetsansvarlig har ansvar for å tilrettelegge gjennomgangen, men skal ikke ha ansvar for gjennomgangen da sikkerhetsansvarlig har medvirket til å spesifisere informasjonssikkerheten.

Selskapet skal gjennomføre egenkontrollen årlig. Minimum følgende skal kontrolleres: At individets rettigheter ivaretas godt nok, se forordningens artikkel 5 og kapittel 3 At mål som er satt nås og at gjøre korrigerende tiltak foretas ved behov eller avvik samt å følge opp korrigerende tiltak Internkontroll Vurdere endringsbehov i eksisterende internkontroll Sikkerhetsmål og sikkerhetsstrategi Vurdere behov for endringer i sikkerhetsmål og sikkerhetsstrategi

Risiko- og sårbarhetsanalyse (risikoanalyse) Vurdere om gjennomførte analyser bør revideres grunnet endrede forhold Ved hjelp av stikkprøver skal det kontrolleres at opplysningenes kvalitet er tilstrekkelig i forhold til formålet med behandlingen. Alvorlige hendelser og avvik gjennom året skal gjennomgås detaljert Mindre avvik kan gjennomgås mer overfladisk. Diskusjon bør omfatte årsaker til hendelser og avvik i vid forstand og hvordan hendelser og avvik er håndtert.

Forbedringstiltak skal utarbeides/vurderes og kan gjelde områder som: Organisering av sikkerheten Partnere og leverandører Personell og sikkerhet Systemteknisk sikkerhet Dokumentsikkerhet Beredskap

Avviksskjema, revisjonsrapport Alle avvik som observeres under egenkontroll, skal registreres på avviksskjema og det skal tas nødvendige skritt for å rette feil og sikre at feil ikke oppstår på nytt. Avviksskjema skal lagres som en del av Selskapets dokumentasjon av internkontroll for behandling av personopplysninger. Ved behov skal det etableres egne handlingsplaner for å rette opp systematiske avvik.

Det skal utarbeides en revisjonsrapport som skal drøftes med behandlingsansvarlig. Man skal ta stiling til eventuelle behov for forbedringer i behandlingen av personopplysninger. Det finnes langt mer detaljerte sjekklister for de som vil...

AVVIK - BRUDD Avhengig av faktum, kan brudd på.. Konfidensialitet, Integritet, Tilgjengelighet utløse meldeplikt Hva omfattes - BØR BLI BRANSJESTANDARD

AVVIK - BRUDD Meldeplikt til DT er «annerledes» enn til individet Overfor DT kan volum spille en rolle for individet gjør det ikke det Ha rutine for håndtering av brudd

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding