VEIEN TIL GDPR: PLANLEGG DINE NESTE 12 MÅNEDER Gjermund Vidhammer Avdelingsleder Governance, risk & compliance
Agenda Hvordan påvirker GDPR arbeid med informasjonssikkerhet Etterlevelse: plan for de neste 12 månedene
HVORDAN GDPR VIL PÅVIRKE INFORMASJONSSIKKERHETEN
Personvernombud vs. sikkerhetsansvarlig: arbeidsoppgaver DPO CISO Skal bidra til etterlevelse av forordningen og policy Skal informere og gi råd Gi råd og bidra i risikovurderinger Samarbeide med datatilsynet Bidra til etterlevelse av policy Skal informere og gi råd Gi råd og bidra i risikovurderinger Samarbeide med tilsyn, myndigheter, intr. organisasjoner Personvern Informasjonssikkerhet
Personvernombud vs. sikkerhetsansvarlig: organisering DPO CISO Skal være helt uavhengig Skal være faglig kvalifisert til å utføre oppgavene Skal rapportere til øverste ledelsesnivå Skal være bundet av taushetsplikt Skal ikke være interessekonflikt ift. andre oppgaver Bør være uavhengig Bør være faglig kvalifisert til å utføre oppgavene Bør rapportere til øverste ledelsesnivå Bør være bundet av taushetsplikt Bør ikke være interessekonflikt ift. andre oppgaver
Personvernombud: organisering Datatilsynet DPO Behandlingsansvarlig Ansatt Databehandler Databehandler Underleverandør Underleverandør
Hvorfor er GDPR bra for informasjonssikkerhet? Forbedret etterlevelse og arbeid med personvern Tydeliggjør roller og ansvar: organisasjon, personvernombud, databehandlere Personvernombud: bidrag til sikkerhet -Bygger personvern in i nye løsninger -Bidra til internkontroll: personvern og informasjonssikkerhet Styrende dokumenter Revisjoner og konsekvensanalyser (PIA) Krav i avtaler/kontrakter og oppfølging av leverandører Avvikshåndtering -Ressurs for personvern for CISO og resten av organisasjonen Endringer i lover og regler: eprivacy
NEDTELIG MOT MAI 2018
387 Source: iapp.org/resources/topics/eu-gdpr/
Hva bør vi gjøre? Plan Kartlegge GAP Risiko Implementer Opplæring Etterlev
Plan Kartlegge GAP Risiko Implementer Opplæring Etterlev Forankring Behandling PO i organisasjonen Dagens krav Risikovurdering Policy Bevissthet og opplæring Rammeverk internkontroll Organisering Fase 1 - n GDPR Personvern konsekvens Personvern ombud Prosesseiere Evtavklaringer Datatilsynet Lokale ansvarlige Andre ansatte Tiltak i prosesser og systemer Prosedyrer Kontrakter og databehandlerav taler
Plan Aktivitet Q2 2017 Q3 2017 Q4 2017 Q1 2018 Q2 2018 Forankring ledelse og organisering Kartlegge behandling av personopplysninger Gjennomføre GAP-analyse Gjennomføre risikovurdering for behandling av personopplysninger Lage detaljert plan for implementering Implementere tiltak for å etterlever kravene Bevissthet og opplæring av prosesseiere og ansatte Etabler rammeverk for internkontroll
Kartlegge Hvem: gjennomføring Hvor: skal du starte og gjøre kartlegging? Hvordan: maler og verktøy Erfaringer og typiske utfordringer: -Manglende modenhet og kunnskap om personvern -Forankring og prioritering
GAP-analyse Area Question Article Control Answer Compliance status ISO27002 1. SCOPE 1.1 Is the company subject to the Regulation? 1.2 Is the information that the company wants to process, subject to the Regulation; is the information considered as personal data? Article 3 (territorial scope) and 27 (representatives) Article 4, section 1, subsection 1 (personal data) The company shall determine whether it is subject to the GDPR The company shall determine whether it is to process personal data as defined in the Regulation Compliant Compliant A.18.1.4 (l) (compliance with Privacy and protection of personally identifiable information) A.8.2.1 (classification of information) 2.1 What categories of personal data does the company want to process? Article 6 (common personal data) and 9 (sensitive data) The company shall determine which categories of data it wants to process Compliant A.8.2.1 (classification of information) 2.2 What kind of processing does the company want to make? Article 4, section 1, subsection 2 (processing) The company shall clarify which kind of processing it wishes to make of the various personal data In progress A.8.1.3 (acceptable use of assets) 2. PROCESSING OF PERSONAL DATA 2.3 Does the company play a role as controller or processor in relation to the specific processing operations? 2.4 Does the company have a legal basis to process the requested categories of personal data? 2.5 Which SA does the company interact with? Article 4, section 1, subsection 7 (controller) Article 4, section 1, subsection 8 (processor) Article 6 (common person data -lawfulness of processing), 9 (sensitive data), 85 (processing and freedom of expression and information (journalistic, academic, artistic and literary purpose)), 86 (public access to official documents), 87 (national identification number), 88 (employment), 89 (public interest, scientific, historical and statistical purposes) and 90 (secrecy) Article 4, section 1, subsection 16 (main establishment), 60 (cooperation between supervisory authorities, one-stopshop and the consistency mechanism) and 55 (competence of the supervisory authority) The company shall determine for which processings it is controller The company shall determine for which processings it is processor The company shall clarify whether it may find a legal basis for processing the desired categories of personal data. In this context, it should also be clarified whether specific national rules shall be taken into consideration Deviation Deviation In progress A.18.1.4 (l) (compliance with Privacy and protection of personally identifiable information) A.18.1.4 (l) (compliance with Privacy and protection of personally identifiable information) A.18.1.4 (l) (compliance with Privacy and protection of personally identifiable information) The company shall determine with which supervisory authority in Europe, it is to interact Deviation A.6.1.3 (contact with authorities)
Risikovurdering Gjennomføre risikovurderinger før behandling av personopplysninger Vurdere hvilke konsekvenser behandlingen får for personvernet -gjelder særlig når behandlingen vil utgjøre høy risiko for personers rettigheter. -hvis risikoen er stor og vanskelig å redusere, skal Datatilsynet involveres.
Opplæring Bruke eksisterende prosesser for informasjon og opplæring Tilpasset informasjon og opplæring for ulike roller Gjør opplæringen relevant og moro
Etterlev Internkontroll og rapportering Oppdatert oversikt over behandling av PO Personal Impact Assesments for ny løsninger Avtaler og kontrakter med nye leverandører
Informasjon fra Datatilsynet
Oppsummering og spørsmål: Plan Kartlegge GAP Risiko Implementer Opplæring Etterlev Forankring Behandling PO i organisasjonen Dagens krav Risikovurdering Policy Bevissthet og opplæring Rammeverk internkontroll Organisering Fase 1 - n GDPR Personvern konsekvens Personvern ombud Prosesseiere Evt. avklaringer Datatilsynet Tiltak i prosesser og systemer Andre ansatte Prosedyrer Kontrakter og databehandlerav taler
Takk for meg!