Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Like dokumenter
Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Sikkerhet og personvern i skole og klasserom

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Nye personvernregler

Nye personvernregler

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Nye personvernregler fra 2018

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Nye personvernregler (GDPR)

Nye personvernregler (GDPR)

Informasjonssikkerhet i forordningen

Krav til informasjonssikkerhet i nytt personvernregelverk

Ny personvernforordning Konsekvenser. Tommy Tranvik

Personvern - sjekkliste for databehandleravtale

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Databehandleravtaler. Tommy Tranvik Unit

EUs nye forordning for personvern

GDPR. Advokat Kari Gimmingsrud

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Personopplysningsloven (GDPR) 5. desember 2017

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Nye personvernregler Gullik Gundersen juridisk rådgiver

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Nye personvernregler fra mai 2018

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvern - Hva er det

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Nytt personvernregelverk på 1-2-3

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Ansvarlighetsprinsippet og virksomhetens plikter

Skytjenester og nytt personvernregelverk

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Den nye personvernforordningen (GDPR)

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Nye personvernregler fra mai 2018

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Perspektiver og planer ved Universitetet i Oslo

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

POWEL DATABEHANDLERAVTALE

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvern-rett H2016

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Personvern i praksis, GDPR personvernforordningen erfaringer

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Ny personvernlovgivning

Bestemmelsen i GDPR art. 25 om innebygd personvern

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Personvern i skyen

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

Retningslinjer for databehandleravtaler

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Steinar Nørstebø, styreleder

Nye personvernregler fra mai 2018

Skytjenester bruk dem gjerne, men bruk dem riktig

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Risikobasert etterlevelse av pvf

Personvernforordningen

OM PERSONVERN TRONDHEIM. Mai 2018

Hva gjør så KiNS og KS med GDPR?

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Personvernmessige utfordringer ved sammenslåing av kommuner Den nye personvernforordningen

Nye personvernregler fra mai Mars 2017

GDPR Nye personvernregler i 2018

Ny actionserie fra EU: «General Data Protection Regulation»! Behovet for regelendringer

Databehandleravtale for NLF-medlemmer

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Kan du legge personopplysninger i skyen?

Nye personvernregler fra mai 2018, hva nå?

Ny personvernforordning trer i kraft i mai 2018

Lee A. Bygrave, Senter for rettsinformatikk Person(opplsynings)vernforordningens bestemmelser om innebygget person(opplysnings)vern

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

NORID - Registrarseminar 26. april 2017

Status personvern Hedmark og Oppland fylkeskommuner

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Transkript:

Ny EU-forordning: informasjonssikkerhet Tommy Tranvik

Utgangspunkt Hovedkonklusjon informasjonssikkerhet tillegges større vekt enn tidligere, både kvalitativt og kvantitativt Agenda gjennomgå hovedreglene om informasjonssikkerhet i forordningen Finnes noen flere regler om informasjonssikkerhet enn de som gjennomgås her

EU-forordningen Den nye personvernforordningen erstatter EUs personverndirektiv fra 1995 personopplysningsloven med forskrift Forordningen ble vedtatt av EU i april 2016 Gjelder som norsk lov fra 25. mai 2018 Ikke oversatt til norsk enda

Oversikt 11 kapitler, 99 artikler kapittel 1: generelle regler kapittel 2: prinsipper kapittel 3: den registrertes rettigheter kapittel 4: behandlingsansvarlig og databehandlers plikter kapittel 5: overføring av personopplysninger til utlandet kapittel 6 og 7: tilsyn oppgaver og samordning kapittel 8: sanksjoner kapittel 9: spesielle behandlingssituasjoner kapittel 10 og 11: administrative bestemmelser

Sikkerhet som grunnkrav Nytt at informasjonssikkerhet er et grunnkrav ved behandling av personopplysninger (artikkel 5) tilfredsstillende teknisk og organisatorisk informasjonssikkerhet mht. konfidensialitet og integritet ( ) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures ( integrity and confidentiality ) Krav til dokumentasjon av informasjonssikkerheten

Design og default Nye krav til innebygd personvern og personvernvennlige standardinnstillinger (artikkel 25) Innebygd personvern inkluderer krav til innebygd informasjonssikkerhet, for eksempel pseudonymisering Personvernvennlige standardinnstilling inkluderer krav til at standardinnstillinger skal ivareta informasjonssikkerheten, spesielt konfidensialiteten (offentlig publisering)

Databehandlere Mer detaljerte krav til bruk av databehandlere (artikkel 28 og 29) databehandleravtaler, spesifiserer krav til innhold tydeliggjør ansvarsdeling informasjonssikkerhet hos leverandører og underleverandører overføring til utlandet varslingsplikt (avvik og sikkerhetsbrudd) Databehandlere får større selvstendig ansvar for informasjonssikkerheten Databehandlere kan nå bli ilagt sanksjoner ved brudd på sikkerhetsreglene

Hovedbestemmelsen Gjelder for behandlingsansvarlig og databehandler (artikkel 32) Konfidensialitet, integritet, tilgjengelighet og robusthet («resilience») Risikostyrt prosess Rettslig standard tilfredsstillende informasjonssikkerhet Pseudonymisering og kryptering nevnes spesielt Kontinuitet og beredskap Testing og evaluering av sikringstiltak Organisatoriske sikringstiltak (rutiner og retningslinjer) ( ) the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk

Avvik varsling til Datatilsynet Varslingsplikt til Datatilsynet ved sikkerhetsbrudd (artikkel 33) innen 72 timer krav til innholdet i varslingen unntak for mindre sikkerhetsbrudd Krav til dokumentasjon årsaken til sikkerhetsbruddet og gjenopprettende tiltak

Avvik varsling til de berørte Varslingsplikt til de berørte ved alvorlige sikkerhetsbrudd (artikkel 34) hver enkelt berørt («registrert») umiddelbart etter at bruddet blir kjent krav til tydelighet (forståelig språk) krav til innholdet i varslingen Unntak for mindre alvorlige sikkerhetsbrudd dersom effektive sikringstiltak allerede er iverksatt Hvis varsling til hver enkelt berørt er særlig vanskelig eller kostnadskrevende, kan dette skje via offentlige bekjentgjørelser

Andre særlig relevante bestemmelser Artikkel 3 virksomheter utenfor EØS Artikkel 24 og 30 dokumentert internkontroll Artikkel 35 Privacy Impact Assessment Artikkel 37-39 personvernombud Artikkel 40-43 sertifiseringer og bransjenormer

Sanksjoner Ved regelbrudd kan straffen maksimalt bli 10 mill. euro, alternativt to prosent av årsomsetningen, eller 20 mill. euro, alternativt fire prosent av årsomsetningen Avhenger blant annet av hvilke regler som brytes

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding