EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

Like dokumenter
EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

Lee A. Bygrave, Senter for rettsinformatikk Person(opplsynings)vernforordningens bestemmelser om innebygget person(opplysnings)vern

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

GDPR. Advokat Kari Gimmingsrud

Stordata og offentlige tjenester personvernutfordringer?

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Ny actionserie fra EU: «General Data Protection Regulation»! Behovet for regelendringer

EUs kommende (?) personvernforordning:

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Big Data, kommersialisering og eierskap til informasjon

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Trust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting

Verdipapirfondenes forening. Ny personvernforordningen GDPR

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Public roadmap for information management, governance and exchange SINTEF

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Kampanje Event EU GDPR Advokat Rune Opdahl

GDPR og ny lov om personvern

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Personvern og bransjeutfordringer. Nye «økosystemer» for bruk og utveksling av persondata. Advokat Arve Føyen. Sett inn bilde/illustrasjon

Personvern i skyen Medlemsmøte i Cloud Security Alliance

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

GDPR hva nå? Johnny

GDPR og test. Advokat Eva Jarbekk

Aibel Vår tilnærming til GDPR. Elin H Madell HR System Owner

Unit Relational Algebra 1 1. Relational Algebra 1. Unit 3.3

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Uninett, Tromsø

Prosjektet Digital kontaktinformasjon og fullmakter for virksomheter Digital contact information and mandates for entities

Ny personvernlovgivning er på vei

Bestemmelsen i GDPR art. 25 om innebygd personvern

6350 Månedstabell / Month table Klasse / Class 1 Tax deduction table (tax to be withheld) 2012

Vanlige spørsmål om GDPR og helseforskning

Ny personvernlovgivning er på vei

Ny personvernlovgivning er på vei

Ny personvernforordning

Erfaringer fra en Prosjektleder som fikk «overflow»

Fullmakt. Fornavn Etternavn. Statsborgerskap Fødselsdato. DUF Sted/Dato. Signatur søker Signatur verge (hvis søkeren er under 18 år)

Finans Norges bransjenormer. PwC 1

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

Bruk av produksjonsdata til testing

Hvordan komme i kontakt med de store

Blir du klar til mai 2018?

FLAGGING NOT FOR DISTRIBUTION OR RELEASE, DIRECTLY OR FLAGGING. eller "Selskapet"). 3,20 pr aksje:

EN Skriving for kommunikasjon og tenkning

Blockchain 2/22/2019. Hva er Blockchain for Business. IBMs platform & løsninger. Hvordan komme igang? Hva er det og hvordan komme igang?

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Ny personvernforordning. ny hverdag for bransjen?

Personvernforordning i EU

Barns personvern spesielt samtykke til behandling av personopplysninger

Gol Statlige Mottak. Modul 7. Ekteskapsloven

Skjema for spørsmål og svar angående: Skuddbeskyttende skjold Saksnr TED: 2014/S

NYE PERSONVERNREGLER BETYDNING FOR IT-KONTRAKTER

Slope-Intercept Formula

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013

Personvernforordning i EU Nok en ny lov eller nye muligheter?

Kartlegge og analysere IT: Simen Sommerfeldt Bouvet

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

Trigonometric Substitution

HONSEL process monitoring

Personvern og elektronisk billettering. advokat Eva I. E. Jarbekk

FREMTIDENS SIKKERHETS- UTFORDRINGER

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Innovasjonsvennlig anskaffelse

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Åpen tilgang til forskningsresultater Plan S som virkemiddel

EMPIC MEDICAL. Etterutdanningskurs flyleger 21. april Lars (Lasse) Holm Prosjektleder Telefon: E-post:

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Bakgrunnen for forslaget er blant annet gjennomføring av EUs reviderte betalingstjenestedirektiv gjerne kalt PSD 2.

KROPPEN LEDER STRØM. Sett en finger på hvert av kontaktpunktene på modellen. Da får du et lydsignal.

Hvordan føre reiseregninger i Unit4 Business World Forfatter:

Ole Isak Eira Masters student Arctic agriculture and environmental management. University of Tromsø Sami University College

JBV DSB godkjenninger

Vi blir "smartere og smartere", snart er nesten alt tilknyttet alt, alltid. Det stiller store krav til sikkerhet og personvern

UNIVERSITETET I OSLO

HØRINGSSVAR EU -KOMMISJONENS FORSLAG TIL NYE PERSONVERNREGLER

IOT SIKKERHET ELLER OVERVÅKING

Den som gjør godt, er av Gud (Multilingual Edition)

5 E Lesson: Solving Monohybrid Punnett Squares with Coding

GDPR krav til innhenting av samtykke

Vår komplette personvernpolicy finner du her

Lee A. Bygrave, Senter for rettsinformatikk. Rettslig grunnlag og samtykke sett fra EU

Risikofokus - også på de områdene du er ekspert

Ny personvernforordning - noen hovedpunkter. 9. juni 2016 Advokatfullmektig Cecilie Rønnevik

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

EUs forordning om personopplysningsvern: En oversikt

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Bærekraftig FM til tiden/ Bærekraftig FM på tid

We are Knowit. We create the new solutions.

Resesjonsrisiko? Trondheim 7. mars 2019

Transkript:

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling? Nettverksmøte 25. januar 2017 i Oslo Kim Knudsen Continuous Delivery Manager Norway

Emerging Themes TRUST PROTECTING DATA SECURITY GLOBAL DATA FLOWS ROLE OF TECHNOLOGY: IDENTITY, IAM, APIs, CLOUD, IOT

GDPR NEW REQUIREMENTS WITH NEW RIGHTS/ SIGNS TO USERS TECHNOLOGY STRATEGY STRONG ROLE FOR IDENTITY Data protection by design/default. Data protection impact assessments. Data protection officers. Certifications/seals/ codes of conduct. Data breach notification. Right to be forgotten/erasure. Companies will need to understand where there data is, how they collect it, and who can touch it. Strong, transparent, and enforceable identity policies and tools for authorization and authentication to ensure compliance.

Hva har skjedd og hva kommer til å skje? Hva er det General Data Protection Regulation - GDPR omhandler? Personopplysninger. Det er snakk om å styrke rettighetene og lage et felles regelverk for EU/EØS. 14 april 2016 vedtok EU parlamentet Regulativet (EU) 2016/679 General Data Protection Regulation Regulativet ble aktivt 24 mai 2016 Regulativet skal være innført senest 25 mai 2018 Ny personvernforordning utarbeides nå - Justis- og beredskapsdepartementet

Hvorfor bør/må jeg bry meg? En rekke nye krav og som følge av det prosesser så må forandres Beskytte data og sikkerhet er/blir særdeles viktig og som en følge av det også dokumentasjon og compliance Definisjonen av personopplysninger og bruken av disse vil forandres Bøter: Opptil 20 mill Euro eller 4% av WW omsetning.

Datatilsynet er på ballen

Utfordringen for test 1. Man trenger å vite at testere har tillatelse til å benytte data til test 2. Man trenger derfor å vite nøyaktig hvor personopplysninger finnes. Utfordringen er at veldig mange datamodeller er vanskelig å forstå og testere deler og lagrer informasjon ad hoc/tilfeldig 3. Man trenger å forstå eksakt hvilke konsekvens GDPR vil ha ovenfor nåværende test data management praksis sånn som maskering av data. 4. Personopplysninger kan kun benyttes i den sammenheng de er innhentet i.

Hvordan mange gjør det i dag Cloning Produksjon Utvikling/Test Og kan man fortsette slik?

Hvordan sørger vi for å imøtekomme kravene som EU GDPR stiller til oss som er utviklere og testere?

What does it mean to Pseudonymize data To mask data so that it can be processed in testing in a way compatible with the purpose for which consent was given Under the GDPR, this does not require that data is wholly anonymous, but that it is not directly identifying : All direct identifiers must be removed so that the data subject could only be identified using external information Mechanisms and organizational measures must be in place to keep the additional information separate

Anonymiserings konsepter Maskere Syntetiske data Hybrid/kombinasjon

Optimalisering av test data Generell utfordring: Tilgang til riktige test data med skikkelig kvalitet Kontinuerlig tilgang til test data (ingen ventetid) Se på EU GDPR som en mulighet til å optimalisere test data Riktig og god kvalitet på test data Mulighet til å generere test data som dekker alle behov Negativ testing Ekstrem caser Ting man ikke finner i produksjonsdataene Ingen ventetid for å få test data

Spørsmål??

Del 2 Analyse («Gap») av hvordan din organisasjon kan begynne å arbeide med og oppfylle kravet til ny personvernsforordning/eu GDPR?

Ansvar Hvor ligger ansvaret for å etterleve ny personvernsforordning? Ledelsen Men IT, da også test og utvikling må veilede

Juridiske betraktinger Konsesjon? Andre lover og regelverk, f.eks. finansloven? Avtaler med 3. part, dataansvarlig og databehandler mange avtaler bør gås igjennom på nytt (databehandleravtaler finnes dette og hvordan er de laget og formulert)

Organisasjon hvordan bør organisasjonen se ut? Data Protection Officer IT Sikkerhetsavdelingen Compliance officer Igjen test og utvikling må veilede

Nye krav I The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual's intervention to an indefinite number of natural persons. (Article 25)

Nye krav II Rett til å bli glemt (artikkel 19) Rett til å bli slettet (artikkel 17) Rett til portabilitet (artikkel 20) Rutiner ved brudd på regelverk inklusiv lekkasjer 72 timers frist Tillatelse må gis på en skikkelig måte (artikkel 25) Bruk av personopplysninger kun i den sammenheng de er innsamlet i (artikkel 5) Hva innebærer alle disse kravene og hvordan må vi forholde oss til det?

Analyse og vurdering Analyse av nå situasjonen Konsekvensutredning Hva må til for å komme i mål i henhold til ny personvernsforordning? Ting som typisk må på plass: Beredskapsplan Sikkerhetsstrategi Risikovurdering Håndtering av avvik Informasjonshåndtering

Analyse og vurdering for test og utvikling I Data profilering, forstå hvordan dataene blir brukt, datamodeller, hvor personopplysningene ligger, hvem som har adgang etc. Hvilke krav stilles til personopplysninger og bruken av disse. Hva har test lov til og hva har man ikke lov til. Hvilke virkemidler finnes for å kunne bruke «personopplysningslignende» informasjon i test

Analyse og vurdering for test og utvikling II Forstå forskjellen mellom de forskjellige virkemidlene Klar forståelse av hva som trengs å anonymiseres Tas de riktige grepene så vil man innenfor test «slippe unna/ikke bli rammet» av EU GDPR.

Hvordan skal test se på EU GDRP? Et regulativ som må oppfylles eller en mulighet til å optimalisere hele testprosessen

Optimalisering av test data I Generell utfordring: Tilgang til riktige test data med skikkelig kvalitet Kontinuerlig tilgang til test data (ingen ventetid) Se på EU GDPR som en mulighet til å optimalisere test data Riktig og god kvalitet på test data Mulighet til å generere test data som dekker alle behov Negativ testing Ekstrem caser Ting man ikke finner i produksjonsdataene Mangelfull eller dårlig testdekning Ingen ventetid for å få test data

Optimalisering av test data II Automasjon må på plass og da ende til ende automasjon Automasjon av test caser (Test casene genereres automatisk) Automasjon av test data (Test data genereres automatisk) Automasjon av test gjennomføringen/kjøringen av testen

Etablering av prosjekt for EU GDPR - Data for test og utviklings Eierskap Klar definisjon for bruken av personopplysninger ifm test Prosjekteier Målsetning Prosess, virkemiddel og verktøy Dokumentasjon og etterlevelse

Spørsmål? CA partnere innenfor området: Ciber Lemontree KnowIT Sogeti Sopra Steria CA viser sine løsninger innen Test Data Management løsninger 7 mars. Kl 16.30 hos Sopra Steria

Kim Knudsen Continuous Delivery Manager Norway Kim.knudsen@ca.com ca.com

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding