Ny personvernforordning Er vi alle forberedt?

Like dokumenter
Ny personvernforordning Er vi alle forberedt?

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Nye personvernregler

Nye personvernregler

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

OM PERSONVERN TRONDHEIM. Mai 2018

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

GDPR - PERSONVERN. Advokat Sunniva Berntsen

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Nye personvernregler fra 2018

Krav til informasjonssikkerhet i nytt personvernregelverk

Personvern i skyen Medlemsmøte i Cloud Security Alliance

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Personvernforordningen

Personvern - vurdering av personvernkonsekvenser - DPIA

Nye personvernregler fra mai 2018

Nye personvernregler (GDPR)

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Nye personvernregler fra mai 2018

Nye personvernregler

Hva gjør så KiNS og KS med GDPR?

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Nye personvernregler (GDPR)

Personvernforordningen

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

REKRUTTERING OG GDPR

Personvern - Hva er det

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Finans Norges bransjenormer. PwC 1

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

EUs nye forordning for personvern

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Personvernforordningen

EUs personvernforordning (GDPR)

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

PERSONVERN I C-ITS

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

Databehandleravtale for NLF-medlemmer

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Innebygd personvern og personvern som standard. 27. februar 2019

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Evaluer & iverksett personvernarbeidet

NORID - Registrarseminar 26. april 2017

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvernforordning i EU

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Etterlevelse av personvernforordningen (GDPR) sett opp mot ISO hva er nytt/viktig? Anders Bergman Greenfinger AB

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Bakgrunn. EU har vedtatt ny personvernforordning

GDPR. Advokat Kari Gimmingsrud

NINAs personverndokument

Personvernforordning i EU Nok en ny lov eller nye muligheter?

Digital protokoll over behandlinger

Studieplan 2017/2018. PERSONVERN en grunnopplæring i personvernregelverk (2017) Studiepoeng: 15. Studiets nivå og organisering. Bakgrunn for studiet

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Implementering av det nye personvernregelverket ved UiB

Innføring av nytt personvernregelverk ved UiO

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

GDPR Prosjektgjennomføring Sjekkliste

Perspektiver og planer ved Universitetet i Oslo

GDPR Nye personvernregler i 2018

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Informasjonssikkerhet i forordningen

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

GDPR Ny personvernforordning

Plassering og bevegelse

Nye personvernregler fra mai 2018

Personvernforordningen en praktisk tilnærming

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nye personvernregler fra mai 2018

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

Personvern i praksis, GDPR personvernforordningen erfaringer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Transkript:

Ny personvernforordning Er vi alle forberedt?

GDPR - historikk 2012 2015 2016 25. mai 2018 Kommisjon fremlegger forslag De tre EUinstitusjoner blir enige om teksten Formell adopsjon Ikrafttredelse General Data Protection Regulation (GDPR) Trer i kraft som lov i alle medlemslandene samtidig Gis anvendelse for alle selskaper som yter tjenester mot borgere i Europa

GDPR formål Beskytte individers grunnleggende rettigheter og friheter i forbindelse med behandling av personopplysninger. Styrke borgernes grunnleggende rettigheter samtidig som den understøtter den digitale tidsalderen. Omfanget av behandling av personopplysninger øker betraktelig med digitalisering av kommunikasjon og tjenester. Økt digitalisering krever at personvernrisikoer vurderes og tiltak iverksettes slik at akseptabelt risikonivå opprettholdes.

GDPR gammelt konsept med ny vinkling Beskyttelse av retten til personvern er ikke et nytt konsept som først kommer med GDPR, mange krav er gamle og kjente... men flere sider av tenkemåten om personvern er ny. Beskyttelse av personvern må ivaretas mer helhetlig i en organisasjon GDPR må ses i sammenheng med spesiallovgivning fra forskjellige sektorer samt med eventuelle kontrakter

Drivere mot etterlevelse Overholde lover, forskrifter, kontrakter mv. Økte bøter og straffer Risiko for tap av kunder og markedsandel Vesentlige kostnader knyttet til brudd Forretningsmessige motivasjoner Bygge tillit Konkurransemessig fortrinn Beskytte fremtidige inntektskilder Forbedre omdømme Raskere/billigere utvikling Harmonisere forretningsprosedyrer Understøtte globale tjenester

GDPR vesentlige endringer fra personopplysningsloven EU-borgere gis mer kontroll over sine personopplysninger Globale selskaper rapporterer til én tilsynsmyndighet Flere organisasjoner vil trenge et personvernombud Felles regler for alle som yter tjenester I Europa Krav om «Privacy by design» Økt krav om «Accountability» Økt fokus på dataminimering Økt fokus på risikobasert tilnærming ved valg av tiltak Vesentlig endringer Tydeligere rettigheter til den enkelte «Right to be forgotten» Eksplisitt samtykke Data portabilitet Økt tilrettelegging for overføring mellom land Økt adgang til bøter Tydeliggjøring av databehandlers ansvar Hovedregel om frist på 72 timer til å rapportere brudd

Krav til accountability - dokumenterbarhet Accountability krever: Tiltak for å fremme og sikre ivaretakelse av kravene ved alle aktiviteter også over tid Være i stand til når som helst å dokumentere overholdelse av kravene til den registrerte, for allmennheten og til tilsynsmyndigheter

Utfordringer som bør adresseres i Kraftnæringen Roller og ansvar For å sikre god etterlevelse av nye forordning, må enhver organisasjon kartlegge, dokumentere og sikre tydelig ansvarsfordeling innen organisasjon og overfor tredjepartspartner. ---------------------------------------------------------------------------------------------- Er roller og ansvar tilstrekkelig dokumentert og forankret i organisasjonen? Har organisasjonen behov for et personvernombud? Hvor tydelig er roller og ansvar gjennom hele verdikjeden? For eksempel mellom: Nettselskap Elhub / Statnett Kraftomsetting Leverandørbytter Flytting

Utfordringer som bør adresseres i Kraftnæringen Sikring av data Bruk av detaljert informasjon om menneskers strømforbruk over tid stiller krav til tilfredsstillende informasjonssikkerhet, noe som bl.a. krever innsikt i sårbarheter som kan utnyttes. En risikovurdering vil bidra til å identifisere nødvendige og hensiktsmessige tiltak. ---------------------------------------------------------------------------------------------- Hvem er ansvarlig for sikring av data? Er det utførte en risikovurdering på tvers av hele verdikjeden og er behovet for sikkerhetstiltak identifisert? Er nødvendige tiltak for å sikre tilfredsstillende informasjon implementerte? Hvordan sikres «Privacy by design» i utviklings- og endringsprosessene? Er dokumentasjonen knyttet til informasjonssikkerhet tilgjengelig for relevante myndigheter, ansatte og forbrukere?

Utfordringer som bør adresseres i Kraftnæringen Innsynsretten Tillit til selskapet og deres omdømme i markedet er sentralt når det implementeres smarte målere. For å opprettholde kundens tillit må organisasjon informere kundene sine om hvordan personopplysninger er behandlet og for hvilket formål. ---------------------------------------------------------------------------------------------- Hvem ivaretar informasjonsplikten? Hvem ivaretar innsynsretten? Er rekkevidden av den enkeltes rettigheter avklart? For eksempel «The right to be forgotten»?

Utfordringer som bør adresseres i Kraftnæringen Arkivering og sletting Personopplysninger skal ikke oppbevares mer enn nødvendig for å fullføre formålet med behandlingen. Med mindre det finnes krav om oppbevaringsrett/plikt i særlovgivning. Slik avveiing av kryssende lovkrav kan være utfordrende å avveie ---------------------------------------------------------------------------------------------- Er formålet med behandling klargjort og tilhørende rett og plikt til oppbevaringstid avklart? Er det rutiner og løsninger på plass for å sikre etterlevelse av fastsatt oppbevaringstid til ulike formål?

Fallgruver Vi anbefaler ikke å starte forberedelsene for sent under- eller overvurdere omfanget av kravene anse personvern som noe personvernombudet eller en avdeling fikser på vegne av virksomheten å tro at personvernombudet fikser alt å gjøre dette til en IT-avdelingsoppgave, løsrevet fra forretningssiden

Suksesskriterier (1/2) Vi anbefaler å gjøre en innledende vurdering av hvilke nye krav som treffer egen virksomhet gjøre en vurdering av egen status snarest mulig slik at tiltak kan prioriteres i en fornuftig rekkefølge og mest mulig i sammenheng med andre pågående prosesser starte med å gjøre en første overordnet vurdering for å komme i gang, fremfor å bruke for mye tid på detaljerte dypdykk i en tidlig fase

Suksesskriterier (2/2) Vi anbefaler å gjenbruke eksisterende prosjekter, prosesser, utviklingsløp for hva det er verdt for eksempel når det gjelder: roller og ansvar virksomhetsstyring/rapporteringsløp utviklingsmetode/prosesser sikre bred involvering stikkord: tålmodighet dette er et område som krever modning og justering underveis skreddersy budskap/opplegg for ulike målgrupper sikre tydelig «tone from the top»

EY har lang erfaring med personvern og har publisert flere artikler innen området Lenker: GDPR-publikasjoner http://www.ey.com/publication/vwluassets/ey-can-privacyreally-be-protected-anymore/$file/ey-can-privacy-really-beprotected-anymore.pdf http://www.ey.com/publication/vwluassets/ey-eu-general-dataprotection-regulation-are-you-ready/$file/ey-eu-general-dataprotection-regulation-are-you-ready.pdf http://www.ey.com/publication/vwluassets/ey-globalinformation-security-survey-2015/$file/ey-global-informationsecurity-survey-2015.pdf https://iapp.org/media/pdf/resource_center/iapp-2016- GOVERNANCE-SURVEY-FINAL2.pdf

Ekstra slider ikke vist Page 16

Kartlegging av behandlinger (1/2) Alle virksomheter må etablere og vedlikeholde en oversikt over data som behandles, «Personal Data Inventory» En del av dokumentasjonen for å demonstrere accountability Skal bidra til å sikre etterlevelse og være utgangspunkt for kontroller Underlag for Risikovurderinger vurderinger av personvernkonsekvenser ved endringer og tilhørende tiltak; data protection by design/by default, Må kunne fremvises til tilsynsmyndighetene

Kartlegging av behandlinger (2/2)

Økt fokus på risikobasert tilnærming Risiko og verdivurdering for å identifisere nødvendige og hensiktsmessige tiltak for sikring av data. Vurdering av risiko og identifisering av nødvendige tiltak, herunder hensynta «Privacy by design» i utviklings- og endringsløp. Praktisk tilnærming og vedlikehold av risikovurderinger over tid Risikovurdering: Vurdering av risikoene ved en behandling, spesielt i form av risiko for ødeleggelse, tap, endring, uautorisert utlevering eller tilgang til personlige data som overføres, lagres eller på annen måte behandles. Privacy by design Risk Assessment Data Privacy Impact Assessment (DPIA) Privacy

Konsekvensvurdering (DPIA) og Privacy by Design Sikkerhetstiltak eksempler DPIA Vurdering av konsekvensene av den planlagte behandlingen for den enkeltes personvern: Beskrivelse av behandlingen Formål med behandlingen Vurdering av behovet for opplysninger mot formål Vurdering av risiko for den registrertes rettigheter Tiltak for å håndtere risiko Privacy by design Krav om å vurdere personvern gjennom alle faser av utvikling av et system/prosesser og implementere ivaretakelse av personvern som standard ved å gjennomføre hensiktsmessige tekniske og organisatoriske tiltak, for eksempel: Formålsbegrensning Dataminimering Personvernvennlige forhåndsinnstillinger Bruk av sikkerhetsstandarder fra start Pseudonymisering og kryptering Tilgjengelighet og tilgang til data i tråd med tjenstlig behov Regelmessig testing, vurdering og evaluering

Sletting vs. oppbevaringsrett/-plikt (1/2) Krav til oppbevaring av personopplysninger, samt avveiing mellom oppbevaringsrett/plikt i særlovgivning med krav til sletting når formålet er oppfylt. Avklare formål med behandling med tilhørende rett/plikt til oppbevaring i særlovgining og krav til sletting. Rutiner/løsning for å sikre etterlevelse i praksis. En god avveiing krever at virksomheten har oversikt over: Behandlinger, Alle lovkrav, Til hvilke formål informasjon behandles Hvilken gjenbruk til andre formål det foreligger et behandlingsgrunnlag for Opplysninger skal slettes når formålet er oppnådd og det ikke foreligger lovbestemt plikt eller rett til fortsatt oppbevaring. dette kan variere mellom sektorer og land

Sletting vs. oppbevaringsrett/-plikt (2/2) Hva tilsier formålet og gjenbruk til forenelige formål? Hva finnes av rett eller plikt til oppbevaring (minimum eller maksimumkrav) Lov(er) Forskrift(er) Konsesjonsvilkår bransjestandard? Skjæringspunkt for beregning? Riktig detaljeringsnivå? - Per formål vs enkeltelement? Gjelder formål/oppbevaringsplikt/rett én eller flere forekomster? Kontroll på lagringssteder? (epost, filserver, applikasjon, mellomlagring, backup mv) Om ikke oppbevaringsrett/plikt: Anonymisering (om godt nok utført) Sletting Faktisk sletting Manuelt vs maskinelt «Tagging»

Role of the privacy officer in GDPR monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor. to inform and advise the controller or the processor and the employees who are processing personal data of their obligations pursuant to this Regulation. to provide advice where requested as regards the data protection impact assessment and monitor its performance the data protection officer, due regard to the risk associated with the processing operations, take into account the nature, scope, context and purposes of the processing. to monitor responses to request from the supervisory authorities to act as the contact point for the supervisory authority. Including prior consultation.

Oppsummering Aktuelle tema som en virksomhet må ivareta Sikre klare rolle- og ansvarsforhold Utarbeide og vedlikeholde oversikt over lovkrav av betydning for den enkelte virksomhet Utarbeide oversikt over personopplysninger som behandles og tilhørende behandlingsgrunnlag og formål Iverksette tiltak for å sikre ivaretakelse av informasjonsplikt, den enkeltes rett til innsyn og begjæringer om retting og sletting mv. Identifisere opplysningenes beskyttelsesbehov og gjennomføre risikovurderinger for å vurdere behov for tiltak for å sikre tilfredsstillende informasjonssikkerhet Planlegge og iverksette systematiske tiltak for å sikre hensiktsmessig internkontroll over tid og dokumentere dette Slide 24

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding