EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

Like dokumenter
EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

Lee A. Bygrave, Senter for rettsinformatikk Person(opplsynings)vernforordningens bestemmelser om innebygget person(opplysnings)vern

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Stordata og offentlige tjenester personvernutfordringer?

GDPR. Advokat Kari Gimmingsrud

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Ny actionserie fra EU: «General Data Protection Regulation»! Behovet for regelendringer

EUs kommende (?) personvernforordning:

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Big Data, kommersialisering og eierskap til informasjon

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Trust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Public roadmap for information management, governance and exchange SINTEF

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Kampanje Event EU GDPR Advokat Rune Opdahl

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

GDPR og ny lov om personvern

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

Personvern og bransjeutfordringer. Nye «økosystemer» for bruk og utveksling av persondata. Advokat Arve Føyen. Sett inn bilde/illustrasjon

GDPR og test. Advokat Eva Jarbekk

Personvern i skyen Medlemsmøte i Cloud Security Alliance

GDPR hva nå? Johnny

Aibel Vår tilnærming til GDPR. Elin H Madell HR System Owner

Bruk av produksjonsdata til testing

Unit Relational Algebra 1 1. Relational Algebra 1. Unit 3.3

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Uninett, Tromsø

Finans Norges bransjenormer. PwC 1

Ny personvernlovgivning er på vei

Prosjektet Digital kontaktinformasjon og fullmakter for virksomheter Digital contact information and mandates for entities

Bestemmelsen i GDPR art. 25 om innebygd personvern

6350 Månedstabell / Month table Klasse / Class 1 Tax deduction table (tax to be withheld) 2012

Vanlige spørsmål om GDPR og helseforskning

Kartlegge og analysere IT: Simen Sommerfeldt Bouvet

Skjema for spørsmål og svar angående: Skuddbeskyttende skjold Saksnr TED: 2014/S

Ny personvernlovgivning er på vei

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

Ny personvernlovgivning er på vei

Hvordan komme i kontakt med de store

Ny personvernforordning

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

Personvern og elektronisk billettering. advokat Eva I. E. Jarbekk

Fullmakt. Fornavn Etternavn. Statsborgerskap Fødselsdato. DUF Sted/Dato. Signatur søker Signatur verge (hvis søkeren er under 18 år)

Erfaringer fra en Prosjektleder som fikk «overflow»

Gol Statlige Mottak. Modul 7. Ekteskapsloven

Blir du klar til mai 2018?

EN Skriving for kommunikasjon og tenkning

FLAGGING NOT FOR DISTRIBUTION OR RELEASE, DIRECTLY OR FLAGGING. eller "Selskapet"). 3,20 pr aksje:

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Blockchain 2/22/2019. Hva er Blockchain for Business. IBMs platform & løsninger. Hvordan komme igang? Hva er det og hvordan komme igang?

Ny personvernforordning. ny hverdag for bransjen?

Barns personvern spesielt samtykke til behandling av personopplysninger

Personvernforordning i EU

EUs personvernforordning (GDPR)

FREMTIDENS SIKKERHETS- UTFORDRINGER

NYE PERSONVERNREGLER BETYDNING FOR IT-KONTRAKTER

Slope-Intercept Formula

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013

Åpen tilgang til forskningsresultater Plan S som virkemiddel

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Hvordan føre reiseregninger i Unit4 Business World Forfatter:

Personvernforordning i EU Nok en ny lov eller nye muligheter?

UNIVERSITETET I OSLO

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Trigonometric Substitution

HONSEL process monitoring

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Innovasjonsvennlig anskaffelse

EMPIC MEDICAL. Etterutdanningskurs flyleger 21. april Lars (Lasse) Holm Prosjektleder Telefon: E-post:

Bakgrunnen for forslaget er blant annet gjennomføring av EUs reviderte betalingstjenestedirektiv gjerne kalt PSD 2.

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

KROPPEN LEDER STRØM. Sett en finger på hvert av kontaktpunktene på modellen. Da får du et lydsignal.

We are Knowit. We create the new solutions.

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

Vi blir "smartere og smartere", snart er nesten alt tilknyttet alt, alltid. Det stiller store krav til sikkerhet og personvern

Ole Isak Eira Masters student Arctic agriculture and environmental management. University of Tromsø Sami University College

JBV DSB godkjenninger

HØRINGSSVAR EU -KOMMISJONENS FORSLAG TIL NYE PERSONVERNREGLER

IOT SIKKERHET ELLER OVERVÅKING

BRITHA RØKENES, AVDELINGSLEDER/ADVOKAT ANTIDOPING NORGE OSLO,

Den som gjør godt, er av Gud (Multilingual Edition)

5 E Lesson: Solving Monohybrid Punnett Squares with Coding

GDPR krav til innhenting av samtykke

Vår komplette personvernpolicy finner du her

Lee A. Bygrave, Senter for rettsinformatikk. Rettslig grunnlag og samtykke sett fra EU

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Ny personvernforordning - noen hovedpunkter. 9. juni 2016 Advokatfullmektig Cecilie Rønnevik

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Transkript:

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling? Nettverksmøte 22. mars 2017 i Bergen Kim Knudsen Kim.knudsen@ca.com Continuous Delivery Manager Norway

Emerging Themes TRUST PROTECTING DATA SECURITY GLOBAL DATA FLOWS ROLE OF TECHNOLOGY: IDENTITY, IAM, APIs, CLOUD, IOT

GDPR NEW REQUIREMENTS WITH NEW RIGHTS/ SIGNS TO USERS TECHNOLOGY STRATEGY STRONG ROLE FOR IDENTITY Data protection by design/default. Data protection impact assessments. Data protection officers. Certifications/seals/ codes of conduct. Data breach notification. Right to be forgotten/erasure. Companies will need to understand where there data is, how they collect it, and who can touch it. Strong, transparent, and enforceable identity policies and tools for authorization and authentication to ensure compliance.

Hva har skjedd og hva kommer til å skje? Hva er det General Data Protection Regulation - GDPR omhandler? Personopplysninger. Det er snakk om å styrke rettighetene og lage et felles regelverk for EU/EØS. 14 april 2016 vedtok EU parlamentet Regulativet (EU) 2016/679 General Data Protection Regulation Regulativet ble aktivt 24 mai 2016 Regulativet skal være innført senest 25 mai 2018 Ny personvernforordning utarbeides nå - Justis- og beredskapsdepartementet

Hvorfor bør/må jeg bry meg? En rekke nye krav og som følge av det prosesser så må forandres Beskytte data og sikkerhet er/blir særdeles viktig og som en følge av det også dokumentasjon og compliance Definisjonen av personopplysninger og bruken av disse vil forandres Bøter: Opptil 20 mill Euro eller 4% av WW omsetning.

Datatilsynet er på ballen

Utfordringen for test 1. Man trenger å vite at testere har tillatelse til å benytte data til test 2. Man trenger derfor å vite nøyaktig hvor personopplysninger finnes. Utfordringen er at veldig mange datamodeller er vanskelig å forstå og testere deler og lagrer informasjon ad hoc/tilfeldig 3. Man trenger å forstå eksakt hvilke konsekvens GDPR vil ha ovenfor nåværende test data management praksis sånn som maskering av data. 4. Personopplysninger kan kun benyttes i den sammenheng de er innhentet i.

Hvordan mange gjør det i dag Cloning Produksjon Utvikling/Test Og kan man fortsette slik?

Hvordan sørger vi for å imøtekomme kravene som EU GDPR stiller til oss som er utviklere og testere?

What does it mean to Pseudonymize data To mask data so that it can be processed in testing in a way compatible with the purpose for which consent was given Under the GDPR, this does not require that data is wholly anonymous, but that it is not directly identifying : All direct identifiers must be removed so that the data subject could only be identified using external information Mechanisms and organizational measures must be in place to keep the additional information separate

Anonymiserings konsepter Maskere Syntetiske data Hybrid/kombinasjon Datatilsynet sier: Å teste på anonyme data er ok - kom igjen. Å teste på pseudonymiserte data må personopplysningsloven følges (ikke fritt fram). For der har du en nøkkel tilbake til identiteten. For mer info les Datatilsynets veileder «Anonymisering av personopplysninger»

Spørsmål??

Del 2 Analyse («Gap») av hvordan din organisasjon kan begynne å arbeide med og oppfylle kravet til ny personvernsforordning/eu GDPR?

Ansvar Hvor ligger ansvaret for å etterleve ny personvernsforordning? Ledelsen Men IT, da også test og utvikling må veilede

Juridiske betraktinger Konsesjon? Andre lover og regelverk, f.eks. finansloven? Avtaler med 3. part, dataansvarlig og databehandler mange avtaler bør gås igjennom på nytt (databehandleravtaler finnes dette og hvordan er de laget og formulert)

Organisasjon hvordan bør organisasjonen se ut? Data Protection Officer IT Sikkerhetsavdelingen Compliance officer Igjen test og utvikling må veilede

Nye krav I The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual's intervention to an indefinite number of natural persons. (Article 25)

Nye krav II Rett til å bli glemt (artikkel 19) Rett til å bli slettet (artikkel 17) Rett til portabilitet (artikkel 20) Rutiner ved brudd på regelverk inklusiv lekkasjer 72 timers frist Tillatelse må gis på en skikkelig måte (artikkel 25) Bruk av personopplysninger kun i den sammenheng de er innsamlet i (artikkel 5) Hva innebærer alle disse kravene og hvordan må vi forholde oss til det?

Analyse og vurdering Analyse av nå situasjonen Konsekvensutredning Hva må til for å komme i mål i henhold til ny personvernsforordning? Ting som typisk må på plass: Beredskapsplan Sikkerhetsstrategi Risikovurdering Håndtering av avvik Informasjonshåndtering

Analyse og vurdering for test og utvikling I Data profilering, forstå hvordan dataene blir brukt, datamodeller, hvor personopplysningene ligger, hvem som har adgang etc. Hvilke krav stilles til personopplysninger og bruken av disse. Hva har test lov til og hva har man ikke lov til. Hvilke virkemidler finnes for å kunne bruke «personopplysningslignende» informasjon i test

Analyse og vurdering for test og utvikling II Forstå forskjellen mellom de forskjellige virkemidlene Klar forståelse av hva som trengs å anonymiseres Tas de riktige grepene så vil man innenfor test «slippe unna/ikke bli rammet» av EU GDPR.

Hvordan skal test se på EU GDRP? Et regulativ som må oppfylles eller en mulighet til å optimalisere hele testprosessen

Optimalisering av test data I Generell utfordring: Tilgang til riktige test data med skikkelig kvalitet Kontinuerlig tilgang til test data (ingen ventetid) Se på EU GDPR som en mulighet til å optimalisere test data Riktig og god kvalitet på test data Mulighet til å generere test data som dekker alle behov Negativ testing Ekstrem caser Ting man ikke finner i produksjonsdataene Mangelfull eller dårlig testdekning Ingen ventetid for å få test data

Optimalisering av test data II Automasjon må på plass og da ende til ende automasjon Automasjon av test caser (Test casene genereres automatisk) Automasjon av test data (Test data genereres automatisk) Automasjon av test gjennomføringen/kjøringen av testen

Etablering av prosjekt for EU GDPR - Data for test og utviklings Eierskap Klar definisjon for bruken av personopplysninger ifm test Prosjekteier Målsetning Prosess, virkemiddel og verktøy Dokumentasjon og etterlevelse

Eksempel på en generell EU GDPR prosjektplan fra PWC Lars Erik Fjørtoft

Spørsmål? CA partnere innenfor området: Ciber Lemontree KnowIT Sogeti Sopra Steria Atea

Kim Knudsen Continuous Delivery Manager Norway Kim.knudsen@ca.com ca.com

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding