1
Hva er KiNS Foreningen Kommunal Informasjonssikkerhet KiNS 2003 Over 200 kommuner/fylkeskommuner Samarbeider nært med KS, Datatilsynet, DiFi, NSM, ehelse, Senter for IKT i undervisningen. KiNS arrangerer årlig én stor konferanse KiNS arrangerer også regionale dags-/flerdags kurs gratis for medlemmer
Hva gjør så KiNS og KS med GDPR? KiNS har startet et to-årig prosjekt Nye personvernombud får en 2-dagers introduksjon til vervet Bidragsytere er Datatilsynet ehelse Senter for IKT i Undervisningen IKT-senteret Difi * KiNS
Kursinnhold dag 1 Datatilsynet Hva er et personvernombud Hva er Informasjonssikkerhet Juridisk del
Kursinnhold dag 2 De nye personvernombudene trenger å komme i gang med de grunnleggende aktivitetene: Informasjonssikkerhet fortsetter Hvordan sette opp oversikt over behandlingene? Kravspec ved innkjøp - samsvar med GDPR Hva finnes av rutiner, veiledere og treningsprogrammer Hvordan foreta ROS-analyser og påfølgende tiltaksplaner Verktøykassen for Personvernombudet
Er to dager nok? Dypere dyktiggjøring som et studie eller annen læring Datatilsynet har samarbeid med flere høyskoler/universitet + evt private aktører KiNS etablerer virtuelt nettverk for kommunale personvernombud Regionale samlinger nasjonale fagdager
Hvor drar vi og når? Pilot: Tromsø 7-8. november Østlandet Gardermoen 11-12. desember Region Vest Bergen 8-9. januar Agderfylkene Kristiansand 15-16. januar Region Midt Trondheim 8-9. februar Region 1 Nord Bodø 14-15. februar Region 2 Nord Alta 12-13. mars Østlandet og oppsamling Gardermoen 19-20. mars
Og nå over til.
Nye personvernregler fra mai 2018 29. juni 2017
Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem og til hvilke formål 10
Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679
Bakgrunn personvernregelverk Personopplysningsloven og personopplysningsforskriften 2000 (2001) Nye norske personvernregler 2018 EUs personverndirektiv 1995 EUs personvernforordning 2016
Bakgrunn Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter 13
Overordnede krav i forordningen Krav i regelverket: Innebygd personvern og personvern som standardinnstilling Vurdering av personvernkonsekvenser Tydeligere krav til informasjon og samtykke Strengere sanksjoner Strategier for etterlevelse av regelverket: Obligatorisk med personvernombud Risikobasert tilnærming Forhåndsdrøftelser Bransjenormer og sertifisering Europeisk samarbeid 14
Alle norske virksomheter får nye plikter Alle må finne ut hva regelverket betyr Nye rutiner er et ledelsesansvar Alle ansatte skal følge nye rutiner 15
Alle skal ha en forståelig personvernerklæring Informasjonen skal være lett tilgjengelig Klart språk som er tilpasset leserens nivå Stilles krav til hvilke opplysninger som skal gis 16
Mange virksomheter må opprette personvernombud Disse må ha ombud: Alle offentlige virksomheter (unntatt domstoler) Virksomheter som har som kjerneaktivitet å gjøre følgende i stor skala: regelmessig og systematisk overvåke personer behandle sensitive personopplysninger eller opplysninger om straffbare forhold 17
Strengere krav til personvernombudene Krav til kompetanse Skal involveres og rapportere til høyeste ledelsesnivå Ombudet skal ikke instrueres eller straffes Oppgavene omfatter å gi råd, overvåke etterlevelse og være kontaktpunkt 18
Alle må kunne oppfylle borgernes nye rettigheter Retten til å bli glemt Rett til at personopplysninger begrenses Systemer må oppfylle krav til dataportabiliet Strengere regler for automatiserte avgjørelser Håndtere henvendelser fra borgere innen 1 måned 19
Alle får nye krav til avvikshåndtering Strengere regler enn i dag Melde avvik innen 72 timer Stilles krav til innholdet i avviksmeldingen De berørte skal varsles i klart språk 20
Alle databehandlere får nye plikter Egne rutiner for behandling av personopplysninger Si ifra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Kan bli erstatningspliktige 21
Alle skal bygge personvern i løsningene sine Ta hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Det er både kostnadsbesparende og mer effektivt enn å endre et ferdig system. Tekniske og organisatoriske tiltak pseudonymisering Utformet for å ivareta personvernprinsipper minimalisering Det minst personverninngripende alternativet som standard: mengde omfang lagringstid tilgjengelighet 22
Alle skal vurdere risiko og personvernkonsekvenser I tillegg til en risikovurdering skal man utrede tiltak med stor personvernrisiko Ved høy risiko, som ikke kan begrenses, skal Datatilsynet involveres i forhåndsdrøftelser Forordningen stiller krav til vår behandlingstid Vi kan veilede eller forby behandlingen Eksempler på spørsmål ved kartlegging: Hvilke personopplysninger skal applikasjonen få tilgang til, samle inn eller overføre? Hvordan kan dette berøre brukerne? Dokumenter at innsamlingen har et legitimt formål, og i hvilken grad du er berettiget til å samle inn slike data. Hvilke følger kan det få for en bruker av applikasjonen dersom data skulle bli misbrukt? Hvor presist og hvor enkelt kan en spesifikk person eller enhet identifiseres basert på disse opplysningene? Hvor lenge skal personopplysningene lagres? Er applikasjonen rettet mot barn? Hvor lett er det for brukeren å slette personopplysningene eller brukerkonti? 23
Datatilsynets forventninger til dere 1. Vet dere hvem «deres registrerte» er? 2. Vet dere noe om hvordan de verdsetter sitt personvern? 3. Vet dere hvilke opplysninger dere har om de registrerte og hvor disse opplysningene kommer fra? 4. Vet dere hvorfor dere trenger akkurat disse opplysningene om de registrerte? 5. Vet dere om dere kan gjennomføre oppgavene med færre opplysninger? 6. Vet dere hvem i deres organisasjon som beslutter om opplysninger skal slettes/rettes Vet dere hvem som teknisk sett kan gjennomføre endringene? Vet dere hvor lang tid det tar å endre eller slette? 7. Vet dere hvor dere finner informasjon om deres internkontrollsystem og rutiner for informasjonssikkerhet og hvordan dette kan hjelpe dere i arbeidshverdagen? 24
Hva bør alle virksomheter gjøre nå? Sørge for å ha oversikt over hvilke personopplysninger de behandler Sørge for å oppfylle dagens lovkrav Sette seg inn i det nye regelverket Lage rutiner for å følge de nye reglene «Driveren bak dette er muligheten for at Datatilsynene kan ilegge veldig store gebyrer etter det nye regelverket» Vi håper driveren skal være respekten for den enkeltes personvern 25
og ja Det er mange ting å ta tak i, men om man.. har oversikt over hvilke opplysninger man forvalter og behandler har oversikt over hvor de er og hvem som har tilgang har et tilstrekkelig internkontrollsystem har rutiner for informasjonssikkerhet har en realistisk oppfatning av de fleste særkrav i GDPR..så ligger man godt an. Er man der, så er ikke veien til compliance etter forordningen så lang. 26
Datatilsynet.no/forordning