Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Like dokumenter
GDPR. Advokat Kari Gimmingsrud

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

Stordata og offentlige tjenester personvernutfordringer?

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Nye personvernregler

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Nye personvernregler

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

Status personvern Hedmark og Oppland fylkeskommuner

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Erfaringer fra en Prosjektleder som fikk «overflow»

Personvern i skyen

EUs kommende (?) personvernforordning:

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

Vanlige spørsmål om GDPR og helseforskning

Kampanje Event EU GDPR Advokat Rune Opdahl

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Noen aktuelle tema for personvernombud i finans

EUs nye forordning for personvern

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Ny personvernlovgivning er på vei

Ny personvernforordning. ny hverdag for bransjen?

Ny actionserie fra EU: «General Data Protection Regulation»! Behovet for regelendringer

45 min om GDPR. Advokat Eva Jarbekk

Big Data, kommersialisering og eierskap til informasjon

GDPR og ny lov om personvern

Perspektiver og planer ved Universitetet i Oslo

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Krav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal

Ny personvernforordning Er vi alle forberedt?

GDPR Ny personvernforordning

Kartlegge og analysere IT: Simen Sommerfeldt Bouvet

Lee A. Bygrave, Senter for rettsinformatikk Person(opplsynings)vernforordningens bestemmelser om innebygget person(opplysnings)vern

Internkontroll og informasjonssikkerhet lover og standarder

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Aibel Vår tilnærming til GDPR. Elin H Madell HR System Owner

Ny personvernlovgivning er på vei

Personvernforordning i EU Nok en ny lov eller nye muligheter?

GDPR: GAP-analyse Randi Hognestad, Legal Counsel, SKAGEN AS VFF Compliance-seminar

Personvernforordningen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Kan du legge personopplysninger i skyen?

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

Frokostseminar Haavind 15. februar Kristin Tingberg Sandvik Legal Head and Compliance Officer Northern Europe

Lee A. Bygrave, Senter for rettsinformatikk EUs forordning om personopplysningsvern: Historikk, kontekst og hovedtrekk

ISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning

Ny personvernforordning - noen hovedpunkter. 9. juni 2016 Advokatfullmektig Cecilie Rønnevik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny personvernlovgivning er på vei

Fullmakt. Fornavn Etternavn. Statsborgerskap Fødselsdato. DUF Sted/Dato. Signatur søker Signatur verge (hvis søkeren er under 18 år)

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

Barns personvern spesielt samtykke til behandling av personopplysninger

Personvernforordning i EU

Personvernforordningen

Styret Helse Sør-Øst RHF 14. desember 2017

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Personvern og bransjeutfordringer. Nye «økosystemer» for bruk og utveksling av persondata. Advokat Arve Føyen. Sett inn bilde/illustrasjon

Etterlevelse av personvernforordningen (GDPR) sett opp mot ISO hva er nytt/viktig? Anders Bergman Greenfinger AB

SUSANNE HELLAND FLATØY PUBLIC & HEALTHCARE SOLUTIONS. Få oversikt og kontroll, sikre etterlevelse av kravene i GDPR

Grunnleggende personvern. Fagsamling 1: Personvern 18. januar 2017

EUs forordning om personopplysningsvern: En oversikt

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Prosjektet Digital kontaktinformasjon og fullmakter for virksomheter Digital contact information and mandates for entities

Personvern - sjekkliste for databehandleravtale

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Implementering av det nye personvernregelverket ved UiB

Deling av data i HBP: Problemstillinger rundt stordata i et stort EU-prosjekt

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Hva gjør så KiNS og KS med GDPR?

Ny personvernforordning

Cyberspace og implikasjoner for sikkerhet

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

GDPR-status fra en kommune

ISO-standarderfor informasjonssikkerhet

Personvernombudsrollen noen observerte erfaringer og utfordringer. KINS, personvernombudets dag, 6. juni 2019, Stavanger Ove Skåra, fagdirektør

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

buildingsmart Norge seminar Gardermoen 2. september 2010 IFD sett i sammenheng med BIM og varedata

NYE PERSONVERNREGLER BETYDNING FOR IT-KONTRAKTER

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Transkript:

VEIEN TIL GDPR: PLANLEGG DINE NESTE 12 MÅNEDER Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Agenda Hvordan påvirker GDPR arbeid med informasjonssikkerhet Etterlevelse: plan for de neste 12 månedene

HVORDAN GDPR VIL PÅVIRKE INFORMASJONSSIKKERHETEN

Personvernombud vs. sikkerhetsansvarlig: arbeidsoppgaver DPO CISO Skal bidra til etterlevelse av forordningen og policy Skal informere og gi råd Gi råd og bidra i risikovurderinger Samarbeide med datatilsynet Bidra til etterlevelse av policy Skal informere og gi råd Gi råd og bidra i risikovurderinger Samarbeide med tilsyn, myndigheter, intr. organisasjoner Personvern Informasjonssikkerhet

Personvernombud vs. sikkerhetsansvarlig: organisering DPO CISO Skal være helt uavhengig Skal være faglig kvalifisert til å utføre oppgavene Skal rapportere til øverste ledelsesnivå Skal være bundet av taushetsplikt Skal ikke være interessekonflikt ift. andre oppgaver Bør være uavhengig Bør være faglig kvalifisert til å utføre oppgavene Bør rapportere til øverste ledelsesnivå Bør være bundet av taushetsplikt Bør ikke være interessekonflikt ift. andre oppgaver

Personvernombud: organisering Datatilsynet DPO Behandlingsansvarlig Ansatt Databehandler Databehandler Underleverandør Underleverandør

Hvorfor er GDPR bra for informasjonssikkerhet? Forbedret etterlevelse og arbeid med personvern Tydeliggjør roller og ansvar: organisasjon, personvernombud, databehandlere Personvernombud: bidrag til sikkerhet -Bygger personvern in i nye løsninger -Bidra til internkontroll: personvern og informasjonssikkerhet Styrende dokumenter Revisjoner og konsekvensanalyser (PIA) Krav i avtaler/kontrakter og oppfølging av leverandører Avvikshåndtering -Ressurs for personvern for CISO og resten av organisasjonen Endringer i lover og regler: eprivacy

NEDTELIG MOT MAI 2018

387 Source: iapp.org/resources/topics/eu-gdpr/

Hva bør vi gjøre? Plan Kartlegge GAP Risiko Implementer Opplæring Etterlev

Plan Kartlegge GAP Risiko Implementer Opplæring Etterlev Forankring Behandling PO i organisasjonen Dagens krav Risikovurdering Policy Bevissthet og opplæring Rammeverk internkontroll Organisering Fase 1 - n GDPR Personvern konsekvens Personvern ombud Prosesseiere Evtavklaringer Datatilsynet Lokale ansvarlige Andre ansatte Tiltak i prosesser og systemer Prosedyrer Kontrakter og databehandlerav taler

Plan Aktivitet Q2 2017 Q3 2017 Q4 2017 Q1 2018 Q2 2018 Forankring ledelse og organisering Kartlegge behandling av personopplysninger Gjennomføre GAP-analyse Gjennomføre risikovurdering for behandling av personopplysninger Lage detaljert plan for implementering Implementere tiltak for å etterlever kravene Bevissthet og opplæring av prosesseiere og ansatte Etabler rammeverk for internkontroll

Kartlegge Hvem: gjennomføring Hvor: skal du starte og gjøre kartlegging? Hvordan: maler og verktøy Erfaringer og typiske utfordringer: -Manglende modenhet og kunnskap om personvern -Forankring og prioritering

GAP-analyse Area Question Article Control Answer Compliance status ISO27002 1. SCOPE 1.1 Is the company subject to the Regulation? 1.2 Is the information that the company wants to process, subject to the Regulation; is the information considered as personal data? Article 3 (territorial scope) and 27 (representatives) Article 4, section 1, subsection 1 (personal data) The company shall determine whether it is subject to the GDPR The company shall determine whether it is to process personal data as defined in the Regulation Compliant Compliant A.18.1.4 (l) (compliance with Privacy and protection of personally identifiable information) A.8.2.1 (classification of information) 2.1 What categories of personal data does the company want to process? Article 6 (common personal data) and 9 (sensitive data) The company shall determine which categories of data it wants to process Compliant A.8.2.1 (classification of information) 2.2 What kind of processing does the company want to make? Article 4, section 1, subsection 2 (processing) The company shall clarify which kind of processing it wishes to make of the various personal data In progress A.8.1.3 (acceptable use of assets) 2. PROCESSING OF PERSONAL DATA 2.3 Does the company play a role as controller or processor in relation to the specific processing operations? 2.4 Does the company have a legal basis to process the requested categories of personal data? 2.5 Which SA does the company interact with? Article 4, section 1, subsection 7 (controller) Article 4, section 1, subsection 8 (processor) Article 6 (common person data -lawfulness of processing), 9 (sensitive data), 85 (processing and freedom of expression and information (journalistic, academic, artistic and literary purpose)), 86 (public access to official documents), 87 (national identification number), 88 (employment), 89 (public interest, scientific, historical and statistical purposes) and 90 (secrecy) Article 4, section 1, subsection 16 (main establishment), 60 (cooperation between supervisory authorities, one-stopshop and the consistency mechanism) and 55 (competence of the supervisory authority) The company shall determine for which processings it is controller The company shall determine for which processings it is processor The company shall clarify whether it may find a legal basis for processing the desired categories of personal data. In this context, it should also be clarified whether specific national rules shall be taken into consideration Deviation Deviation In progress A.18.1.4 (l) (compliance with Privacy and protection of personally identifiable information) A.18.1.4 (l) (compliance with Privacy and protection of personally identifiable information) A.18.1.4 (l) (compliance with Privacy and protection of personally identifiable information) The company shall determine with which supervisory authority in Europe, it is to interact Deviation A.6.1.3 (contact with authorities)

Risikovurdering Gjennomføre risikovurderinger før behandling av personopplysninger Vurdere hvilke konsekvenser behandlingen får for personvernet -gjelder særlig når behandlingen vil utgjøre høy risiko for personers rettigheter. -hvis risikoen er stor og vanskelig å redusere, skal Datatilsynet involveres.

Opplæring Bruke eksisterende prosesser for informasjon og opplæring Tilpasset informasjon og opplæring for ulike roller Gjør opplæringen relevant og moro

Etterlev Internkontroll og rapportering Oppdatert oversikt over behandling av PO Personal Impact Assesments for ny løsninger Avtaler og kontrakter med nye leverandører

Informasjon fra Datatilsynet

Oppsummering og spørsmål: Plan Kartlegge GAP Risiko Implementer Opplæring Etterlev Forankring Behandling PO i organisasjonen Dagens krav Risikovurdering Policy Bevissthet og opplæring Rammeverk internkontroll Organisering Fase 1 - n GDPR Personvern konsekvens Personvern ombud Prosesseiere Evt. avklaringer Datatilsynet Tiltak i prosesser og systemer Andre ansatte Prosedyrer Kontrakter og databehandlerav taler

Takk for meg!

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding