Personvern i skyen Medlemsmøte i Cloud Security Alliance

Like dokumenter
GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

OM PERSONVERN TRONDHEIM. Mai 2018

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

GDPR Hva, hvordan og når

GDPR - PERSONVERN. Advokat Sunniva Berntsen

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

PERSONVERN I C-ITS

Rusmiddeltesting i arbeidslivet et personvernperspektiv

POWEL DATABEHANDLERAVTALE

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

NINAs personverndokument

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Personopplysningsvern med ProFundo som databehandler

Nytt personvernregelverk på 1-2-3

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Nye personvernregler (GDPR)

Databehandleravtale. Charlotte Lindberg Difi

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Personvern i EPD-Norge

Nye personvernregler (GDPR)

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Nye personvernregler fra mai 2018

GDPR - viktige prinsipper og rettigheter

GDPR Nye personvernregler i 2018

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Personvernerklæring for Webstep AS

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

GDPR Prosjektgjennomføring Sjekkliste

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personopplysningsloven (GDPR) 5. desember 2017

Nye personvernregler fra mai 2018

Nye personvernregler

GDPR i et nøtteskall

Personvern i Amento AS

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Nye personvernregler fra 2018

REKRUTTERING OG GDPR

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

Databehandleravtale for NLF-medlemmer

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvern - vurdering av personvernkonsekvenser - DPIA

Nye personvernregler

Policy for personvern

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

GDPR HVA ER VIKTIG FOR HR- DATA

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

DATABEHANDLERAVTALE vedrørende nettjenesten

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Ny personvernlovgivning

Personvern - Hva er det

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Registrerte og personopplysninger som behandles

Personvernforordningen

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

Personvern i Otrera AS

Arbeidsgivers personvernplikter

Personvernerklæring i NOAH AS

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Del 2. Fagdag GDPR - Arkiv Troms

EUs nye forordning for personvern

Databehandleravtaler. Tommy Tranvik Unit

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

De nasjonale e-helseløsningene i Direktoratet for e-helse og nye personvernregler. Maryke Silalahi Nuth Normkonferansen

Personvern i Skjervøy Arbeidssamvirke AS

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Steinar Nørstebø, styreleder

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Krav til informasjonssikkerhet i nytt personvernregelverk

Transkript:

Personvern i skyen Medlemsmøte i Cloud Security Alliance 31. oktober 2018 Trond Ericson

Agenda Personvern i skyen Kort om Devoteam Kort om GDPR GDPR i skyen Oppsummering

Devoteam Fornebu Consulting

Devoteam Fornebu Consulting et sterkt uavhengig rådgivningsselskap Forretningsutvikling og digital transformasjon Gjennomførings ledelse 4 Forretningssystemer Informasjonssikkerhet

Kort om GDPR

Ny personopplysningslov GDPR - General Data Protection Regulation EUs personvernforordning (GDPR) (2016/679) er gjennomført som personvernlov i hele EU/EØSområdet Ny norsk lov om behandling av personopplysninger trådte i kraft 20. juli 2018 Personopplysningsloven fra 2000, er opphevet Lov om behandling av personopplysninger (personopplysningsloven) 6

Personvern i skyen Artikkel 4, Noen definisjoner Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte») Behandling av personopplysninger: Enhver operasjon eller rekke av operasjoner som gjøres med Roller personopplysninger, enten automatisert eller ikke Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes Skyleverandørens kunde eller skyleverandør Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige Skyleverandøren Den registrerte: En identifiserbar fysisk person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet Rettighetshaver 7

Hovedendringer i forhold til tidligere personopplysningslov Personvernkonsekvens skal vurderes for alle behandlinger som kan medføre risiko for brudd på personvernsikkerheten Sterkere rettigheter for de registrerte f.eks. dataportabilitet Strengere krav for databehandlere/skyleverandører Skriftlig godkjenning av underdatabehandlere Bistå behandlingsansvarlige med å overholde sine forpliktelser Varsle behandlingsansvarlige dersom en instruks strider mot regelverket Krav til innebygd personvern og personvern som standardinnstilling til leverandører av programvare og tjenester Krav til personvernombud for mange (ikke alle) virksomheter Strengere bøteregime (overtredelsesgebyr) Det høyeste beløpet av 20.000.000 eller 4% av brutto global omsetning 8

Prinsipper for behandling av personopplysninger Artikkel 5 1. Lovlighet, rettferdig og åpen 9 Personopplysningene skal behandles lovlig, rettferdig og på en åpen måte 2. Formålsbegrensning Personopplysningene skal kun registreres for det uttrykkelig angitte og berettigede formålet og kan ikke benyttes til andre formål enn de er innsamlet for 3. Dataminimering Det skal ikke samles inn flere eller andre personopplysninger enn det som er nødvendig for det formålet som er angitt 4. Korrekthet Personopplysningene som behandles skal være korrekte 5. Lagringsbegrensning Personopplysninger får en «holdbarhetsdato» og skal slettes etter dette 6. Integritet og konfidensialitet Personopplysninger skal beskyttes mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade («integritet og konfidensialitet») 7. Ansvarlighet Behandlingsansvarlige skal kunne dokumentere at disse prinsippene er overholdt

GDPR i skyen

Roller Informasjon om behandlingen Samtykke pr behandling Databehandleravtale Den registrerte Behandlingsansvarlige Databehandler Skyleverandørens kunde Skyleverandør Skyleverandør Artikkel 12 23 Artikkel 24 27 Artikkel 28 11

Den registrertes rettigheter Artikkel 12 23 Forståelig informasjon om behandlingen før den iverksettes Få innsyn om formålet med behandlingen, hvilke personopplysninger som omfattes, hvem som har tilgang Få uriktige personopplysninger rettet Sletting («retten til å bli glemt») Begrenset behandling (ved spørsmål til behandlingen) Dataportabilitet Protestere mot behandlingen (fx mot behandling med henblikk på markedsføring) Kreve å ikke være gjenstand for automatisert behandling Anmodninger fra den registrerte skal besvares innen 1 mnd 12

Behandlingsansvarliges ansvar Artikkel 24 27 Behandlingsansvarlige skal sikre at rettighetene til de registrerte blir ivaretatt og overholdt Datatilsynet har utarbeidet en sjekkliste på 17 punkter som behandlingsansvarlige må følge. Bl.a. Dokumentert protokoll over behandlingsaktiviteter Dokumentert formål og behandlingsgrunnlag for behandlingen Overholde informasjonsplikten mot de registrerte (åpen behandling) Gjennomføre vurdering av personvernkonsekvens Sikre innebygd personvern og personvern som standardinnstilling i applikasjoner og tjenester Etablere databehandleravtaler som setter klare rammer for hvordan databehandleren kan behandle personopplysninger Avviksbehandling i tilfelle brudd på personopplysningssikkerheten Rapport til Datatilsynet innen 72 timer ved sikkerhetsbrudd https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/sjekkliste/ 13

Skyleverandør (databehandler) Artikkel 28 Behandlingen skal være underlagt en avtale som regulerer hvordan databehandler kan behandle personopplysningene Databehandlers plikt til bistand for å kunne ivareta den registrertes rettigheter Informasjonsplikten Innsyn Sletting Dataportabilitet Databehandlerens bruk av underleverandører skal godkjennes skriftlig av behandlingsansvarlige og endringer skal også godkjennes Sikre at underleverandører er pålagt samme instrukser om behandlingen som databehandler er underlagt Treffe tiltak som er nødvendige for personopplysningssikkerheten Varsling til behandlingsansvarlige om brudd på personopplysningssikkerheten uten ugrunnet opphold Databehandleren skal kunne demonstrere etterlevelse av hele artikkel 28 14

15 Sporingsteknologi

Sporingsteknologi Enhver behandling av personopplysninger krever at det foreligger et behandlingsgrunnlag (Samtykke) Ekomloven dekker evt. behandling på brukerens utstyr (f.eks. plassering av informasjonskapsler) Opplysninger om en brukers adferd på et nettsted behandles hos leverandør av sporingsteknologi GDPR gjelder også for både direkte identifiserbare og indirekte identifiserbare opplysninger Kravene til samtykke og begrensningene i kreativ bruk av personopplysninger synes å våre lite kjent blant utviklere av sporingsteknologi Databehandlere har ofte liten kontroll på hvem som faktisk får tilgang til personopplysningene gjennom slik teknologi 16

Oppsummering

Oppsummering Hva må gjøres Utarbeide protokoll over behandlingsaktiviteter Etablere personvernorganisasjon Roller og ansvar: Linjeledere / informasjonseiere / prosesseiere/ systemeiere / personvernombud Gjennomføre vurdering av personvernkonsekvens for behandlingene Utarbeide informasjon om behandlingene (personvernerklæringer) til ansatte, kunder, medlemmer Etablere rutiner som sikrer håndtering av brudd på personopplysningssikkerheten Varsler Datatilsynet innen 72 timer dersom det er nødvendig Etablere rutiner og sikre at systemene kan imøtekomme de registrertes rettigheter ved anmodning om innsyn Svar innen 1 mnd. Sikre krav om innebygd personvern og personvern som standardinnstilling i programvare og tjenester Dokumentere vurderinger, forutsetninger og kommunikasjon med de registrerte 18

Ta utgangspunkt i BS 10012 Personal information management system ISO 27552 Privacy Information Management (extension to ISO 27001/ISO 27002) ISO 29134 Privacy Impact Assessment Veiledninger fra European Data Protection Board (https://edpb.europa.eu/) Veiledninger fra Datatilsynet (https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/) ISO 27017 Information security controls based on ISO 27002 for cloud services ISO 27018 Protection of Personally Identifiable Information in public clouds 19

Trond Ericson Sjefsrådgiver Trond.Ericson@devoteam.no +47 93 05 26 66

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding