COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

Like dokumenter
GDPR hva nå? Johnny

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Personvern i skyen Medlemsmøte i Cloud Security Alliance

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Gjør deg klar. En veiledning til personvernforordningen (GDPR) elavon.no

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Verdipapirfondenes forening. Ny personvernforordningen GDPR

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

GDPR og ny lov om personvern

Datasikkerhetshåndbok for Saferoad Group

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Prosedyre for personvern

GDPR Hva, hvordan og når

OM PERSONVERN TRONDHEIM. Mai 2018

GDPR Ny personvernforordning

POWEL DATABEHANDLERAVTALE

Blir du klar til mai 2018?

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

NINAs personverndokument

Personvern i Amento AS

Personvern i EPD-Norge

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Databehandleravtale for NLF-medlemmer

Personopplysningsloven (GDPR) 5. desember 2017

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

Personopplysningsvern med ProFundo som databehandler

Databehandleravtale for Visma Avendo Webtime

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvern i Otrera AS

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Skytjenester. Forside og Databehandleravtale. Telenor Norge

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Ny personvernforordning Er vi alle forberedt?

Krav til informasjonssikkerhet i nytt personvernregelverk

Ny personvernlovgivning

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

Digital protokoll over behandlinger

EUs personvernforordning (GDPR)

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

DIN DIGITALE PARTNER

Etterlevelse av personvernforordningen (GDPR) sett opp mot ISO hva er nytt/viktig? Anders Bergman Greenfinger AB

GDPR General Data Protection Regulativ

Personvernerklæring i NOAH AS

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Kunden er behandlingsansvarlig Unifaun er databehandler

Nytt i personopplysningsloven (trer i kraft i mai 2018)

Nye personvernregler fra 2018

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Nye personvernregler

Databehandleravtaler. Tommy Tranvik Unit

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Databehandleravtale etter personopplysningsloven

Arbeidsgivers personvernplikter

Nye personvernregler

Nye personvernregler

Nytt regelverk, nye muligheter og masse avviksmeldinger!

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Personvern i Skjervøy Arbeidssamvirke AS

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Registrerte og personopplysninger som behandles

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Personvern - sjekkliste for databehandleravtale

Personvern i Konstali Helsenor AS

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Personvernforordning i EU Nok en ny lov eller nye muligheter?

Nye personvernregler fra mai 2018

NYE PERSONVERNREGLER BETYDNING FOR IT-KONTRAKTER

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

GDPR - hva betyr det for din bedrift?

GDPR i et nøtteskall

Hva betyr det for din virksomhet?

EUs nye forordning for personvern

Transkript:

COMPLIANCE GENERAL DATA PROTECTION REGULATION Johnny Berntsen ISO/IEC 27001 Master Knowit

Hva er GRDP? GDPR står for General Data Protection Regulation og er erstattningen og oppdatering av EU s 20 år gamle Data Protection Directive. Har vært arbeidet på siden januar 2012 Det endelige forslaget ble ratifisert 15. desember 2015 Skal vedtas av EU parlamentet tidlig 2016 Trer i kraft i 2018!

Hvilke utfordringer skal GDPR løse? Erstatter Data Protection Directive Fastsetter minimumskrav til datalovgiving i medlemslandene! Medlemslandene kan gjøre som de vil så lenge de oppfyller minstekravene. Har ført til et lappeteppe av datalovgiving fra veldig strenge lover til noen ganske unike lover.

Hva skjer når GDPR blir vedtatt? GDPR blir en EU lov når vedtatt Fastsetter en felles, uniformt regime for IT sikkerhetslovgivning i EU Ikke behov for å endre eksisterende lovgiving - GDPR blir automatisk en del av lovverket til EU medlemslandene når vedtatt av EU parlamentet.

Hva med Norge og GDPR? Som følge av EØS avtalen blir GDPR grunnlaget for Ny Norsk Person Opplysningslov (POL)! Må vedtas som lov i Stortinget! Ikrafttredelse i 2018!

Hovedpunkter i GDPR Virkeområde...også utenfor EU! Må forholde seg til datatilsynet i flere land! Innebygd personvern! Større kontroll med egne persondata! Retten til å bli slettet!

Hovedpunkter i GDPR Accountebility! Eksplisitt samtykke fra den som blir behandlet! Frister for varsling av brudd...72 timer! Egne Sikkerhetsansvarlige lokalisert i EU! Økte bøter for brudd..opptil 4% av brutto omsetning!

Virkeområde Er beskrevet i helhet i artikkel 3 og definerer hvor loven er i virke, helt enkelt kan det sies slik: Enhver bedrift som markedsfører varer eller tjenester til borgere av EU er underlagt GDPR, uavhengig om selskapet er lokalisert eller bruker utstyr innenfor EU eller ikke!

Må forholde seg til Data Protection Authority i flere land! Den som behandler data må forholde seg til flere lands DPA, Data Protection Authority Må dokumentere hvilke lovgivninger som er i bruk Ett European Data Protection Board som koordinerer DPA, Data Protection Authority

Innebygd personvern Artikkel 23 Forretningsprosesser og datasystemer som behandler persondata skal ha innebygd personvern i designet, og alle personsikkerhetsvalg skal være satt til høy sikkert som standard.

Større kontroll med egne persondata Artikkel 30, 39, 58, 63a Dataeiere og databehandlere er pålagt å iverksette hensiktsmessige tekniske og organisatoriske tiltak som tar hensyn til kostnadene ved implementering, hvilke type data, scope, kontekst og formål med behandlingen sammen med risiko og konsekvenser for individets frihet og rettigheter.

Større kontroll med egne persondata GDPR gir konkrete forslag til sikkerhetsteknikker som ansees som passende i henhold til risiko, dette kan f.eks være Evnen til å sikre konfidensialitet, integritet, tilgjengelighet og fleksibilitet av systemer og tjenester som behandler personopplysninger. Evnen til å gjenopprette tilgjengelighet og tilgang til data på en riktig måte i tilfelle en fysisk eller teknisk hendelse Pseudonymisation og kryptering av personopplysninger. Prosess for regelmessig testing, vurdering og evaluering på effekten av tekniske og organisatoriske tiltak har for å sikre sikkerheten av behandlingen.

Rett til sletting Artikkell 17 GDPR har nedfelt rett for den som er registrert til å be om å bli slettet.

Accountebility Artikkell 5 I GDPR er det en formell ide om accountability Dette betyr at Databehandler er er ansvarlig for - og skal være i stand til å vise samsvar med loven

Eksplisitt samtykke Artikkel 4 og 7 En av de viktigste endringene i GDPR er samtykke fra den som blir behandlet. Dette skal være ett aktivt samtykke der det ikke er nok med ferdig utfylte skjemaer som skal trykkes ok på. Samtykket kan når som helst trekkes tilbake.

Frister for varsling av sikkerhetsbrudd Artikkel 31 og 32 Under GDPR, er et "personlig datainnbrudd" et sikkerhetsbrudd fører til tilfeldig eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av, eller tilgang til, personlige data som overføres, lagret eller behandlet på annen måte. I tilfelle av et personlig datainnbrudd, må den behandlingsansvarlige varsle den aktuelle tilsynsmyndighet "uten ugrunnet opphold, og der det er mulig, ikke senere enn 72 timer etter å ha blitt klar over det." Hvis ikke er gjort varsel innen 72 timer, må den behandlingsansvarlige gi en "begrunnet rettferdiggjørelse" for forsinkelsen

Frister for varsling av sikkerhetsbrudd Artikkel 32 Når en databehandler opplever en personlig datainnbrudd, må den behandlingsansvarlige varsles, men har utover dette ingen andre varsling eller rapporteringsplikt under GDPR. Om den behandlingsansvarlige har fastslår at det personlige datainnbruddet "sannsynligvis resultere i en høy risiko for rettigheter og frihet til enkeltpersoner," må også formidles informasjon om det personlige datainnbruddet til de berørte registrerte. I henhold til artikkel 32, må dette skje "uten ugrunnet opphold".

Data Protection Officer Artikkel 35 Hvis kjernevirksomheten til selskapet involverer "systematisk overvåking av personer (Data Subjects) i større skala", eller behandling av spesielle kategorierav data - rase eller etnisk opprinnelse, politiske oppfatninger, religiøs eller filosofisk overbevisning, biometriske data, helse, sexliv eller seksuell legning - da er du pålagt å ha en DPO. Med større skala menes over 5000 Data Subjects i løpet av 12 mnd

Bøter for brudd Artikkel 28, 31,32,33 I GDPR er det lagdelt struktur for bøter Et selskap bli bøtelagt opp til 2% av global omsetning for ikke å ha dokumentasjonen i orden (artikkel 28), ikke varsle tilsynsmyndighet (DPA) og personer ( Data Subjects) om brudd (artiklene 31, 32), eller ikke gjennomfører konsekvensutredninger (artikkel 33).

Bøter for brudd Artikkel 5 og 7 Alvorligere overtredelser kan bli bøtlagt med opptil 20.000.000.- eller 4% av brutto global omsetning. Dette omfatter brudd på grunnleggende prinsipper knyttet til datasikkerhet (artikkel 5) og vilkår for samtykke (artikkel 7) - disse er i hovedsak brudd på Privacy by design konseptet i loven.

Hva så med Safe Harbour? Glem Safe Harbour! Det er ventet at EU kommisjonen vil komme med en midlertidig avtale i slutten av januar. GDPR Artikkel 3 vil ta over for midlertidig avtale

GDPR og Ny POL Disse to vil ha innvirkning på foretningen Start NÅ!... To år går fort!!

Hva nå? Start ett forprosjekt med Forretning, IT, Sikkerhet/Juridisk for å få oversikt over hva dette betyr for forretningen. Vurder å ansette/leie Sikkerhetsansvarlig

Hva nå? Implementer rettningslinjene i Privacy By Design for nye systemer. Kartlegg eksisterende systemer Hvilke systemer må bygges om for å møte kravene?

Hva nå? Vurder ISO/IEC 27001 ISMS eller tilsvarende ISO/IEC 27001 Information Security Management System vil sammen med Privacy By Design dekke mange av kravene i GDPR/POL

Hva nå? Finn ut hvilke data som samles inn Hvor kommer disse dataene fra? Hvorfor samles disse dataene? Hvordan brukes de?

Hva nå? Har forretningen rett til å bruke disse dataene? Stopp å samle data du ikke har rett til Stopp å bruke data du ikke har rett til å bruke

Hva nå? Relasjoner til tredjeparts leverandører må gjennomgåes og sikres, slik at disse relasjonen ikke fører til brudd på GDPR eller POL.

Takk for oppmerksomheten johnny.berntsen@knowit.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding