Ny personvernforordning Er vi alle forberedt?
GDPR - historikk 2012 2015 2016 25. mai 2018 Kommisjon fremlegger forslag De tre EUinstitusjoner blir enige om teksten Formell adopsjon Ikrafttredelse General Data Protection Regulation (GDPR) Trer i kraft som lov i alle medlemslandene samtidig Gis anvendelse for alle selskaper som yter tjenester mot borgere i Europa
GDPR formål Beskytte individers grunnleggende rettigheter og friheter i forbindelse med behandling av personopplysninger. Styrke borgernes grunnleggende rettigheter samtidig som den understøtter den digitale tidsalderen. Omfanget av behandling av personopplysninger øker betraktelig med digitalisering av kommunikasjon og tjenester. Økt digitalisering krever at personvernrisikoer vurderes og tiltak iverksettes slik at akseptabelt risikonivå opprettholdes.
GDPR gammelt konsept med ny vinkling Beskyttelse av retten til personvern er ikke et nytt konsept som først kommer med GDPR, mange krav er gamle og kjente... men flere sider av tenkemåten om personvern er ny. Beskyttelse av personvern må ivaretas mer helhetlig i en organisasjon GDPR må ses i sammenheng med spesiallovgivning fra forskjellige sektorer samt med eventuelle kontrakter
Drivere mot etterlevelse Overholde lover, forskrifter, kontrakter mv. Økte bøter og straffer Risiko for tap av kunder og markedsandel Vesentlige kostnader knyttet til brudd Forretningsmessige motivasjoner Bygge tillit Konkurransemessig fortrinn Beskytte fremtidige inntektskilder Forbedre omdømme Raskere/billigere utvikling Harmonisere forretningsprosedyrer Understøtte globale tjenester
GDPR vesentlige endringer fra personopplysningsloven EU-borgere gis mer kontroll over sine personopplysninger Globale selskaper rapporterer til én tilsynsmyndighet Flere organisasjoner vil trenge et personvernombud Felles regler for alle som yter tjenester I Europa Krav om «Privacy by design» Økt krav om «Accountability» Økt fokus på dataminimering Økt fokus på risikobasert tilnærming ved valg av tiltak Vesentlig endringer Tydeligere rettigheter til den enkelte «Right to be forgotten» Eksplisitt samtykke Data portabilitet Økt tilrettelegging for overføring mellom land Økt adgang til bøter Tydeliggjøring av databehandlers ansvar Hovedregel om frist på 72 timer til å rapportere brudd
Krav til accountability - dokumenterbarhet Accountability krever: Tiltak for å fremme og sikre ivaretakelse av kravene ved alle aktiviteter også over tid Være i stand til når som helst å dokumentere overholdelse av kravene til den registrerte, for allmennheten og til tilsynsmyndigheter
Utfordringer som bør adresseres i Kraftnæringen Roller og ansvar For å sikre god etterlevelse av nye forordning, må enhver organisasjon kartlegge, dokumentere og sikre tydelig ansvarsfordeling innen organisasjon og overfor tredjepartspartner. ---------------------------------------------------------------------------------------------- Er roller og ansvar tilstrekkelig dokumentert og forankret i organisasjonen? Har organisasjonen behov for et personvernombud? Hvor tydelig er roller og ansvar gjennom hele verdikjeden? For eksempel mellom: Nettselskap Elhub / Statnett Kraftomsetting Leverandørbytter Flytting
Utfordringer som bør adresseres i Kraftnæringen Sikring av data Bruk av detaljert informasjon om menneskers strømforbruk over tid stiller krav til tilfredsstillende informasjonssikkerhet, noe som bl.a. krever innsikt i sårbarheter som kan utnyttes. En risikovurdering vil bidra til å identifisere nødvendige og hensiktsmessige tiltak. ---------------------------------------------------------------------------------------------- Hvem er ansvarlig for sikring av data? Er det utførte en risikovurdering på tvers av hele verdikjeden og er behovet for sikkerhetstiltak identifisert? Er nødvendige tiltak for å sikre tilfredsstillende informasjon implementerte? Hvordan sikres «Privacy by design» i utviklings- og endringsprosessene? Er dokumentasjonen knyttet til informasjonssikkerhet tilgjengelig for relevante myndigheter, ansatte og forbrukere?
Utfordringer som bør adresseres i Kraftnæringen Innsynsretten Tillit til selskapet og deres omdømme i markedet er sentralt når det implementeres smarte målere. For å opprettholde kundens tillit må organisasjon informere kundene sine om hvordan personopplysninger er behandlet og for hvilket formål. ---------------------------------------------------------------------------------------------- Hvem ivaretar informasjonsplikten? Hvem ivaretar innsynsretten? Er rekkevidden av den enkeltes rettigheter avklart? For eksempel «The right to be forgotten»?
Utfordringer som bør adresseres i Kraftnæringen Arkivering og sletting Personopplysninger skal ikke oppbevares mer enn nødvendig for å fullføre formålet med behandlingen. Med mindre det finnes krav om oppbevaringsrett/plikt i særlovgivning. Slik avveiing av kryssende lovkrav kan være utfordrende å avveie ---------------------------------------------------------------------------------------------- Er formålet med behandling klargjort og tilhørende rett og plikt til oppbevaringstid avklart? Er det rutiner og løsninger på plass for å sikre etterlevelse av fastsatt oppbevaringstid til ulike formål?
Fallgruver Vi anbefaler ikke å starte forberedelsene for sent under- eller overvurdere omfanget av kravene anse personvern som noe personvernombudet eller en avdeling fikser på vegne av virksomheten å tro at personvernombudet fikser alt å gjøre dette til en IT-avdelingsoppgave, løsrevet fra forretningssiden
Suksesskriterier (1/2) Vi anbefaler å gjøre en innledende vurdering av hvilke nye krav som treffer egen virksomhet gjøre en vurdering av egen status snarest mulig slik at tiltak kan prioriteres i en fornuftig rekkefølge og mest mulig i sammenheng med andre pågående prosesser starte med å gjøre en første overordnet vurdering for å komme i gang, fremfor å bruke for mye tid på detaljerte dypdykk i en tidlig fase
Suksesskriterier (2/2) Vi anbefaler å gjenbruke eksisterende prosjekter, prosesser, utviklingsløp for hva det er verdt for eksempel når det gjelder: roller og ansvar virksomhetsstyring/rapporteringsløp utviklingsmetode/prosesser sikre bred involvering stikkord: tålmodighet dette er et område som krever modning og justering underveis skreddersy budskap/opplegg for ulike målgrupper sikre tydelig «tone from the top»
EY har lang erfaring med personvern og har publisert flere artikler innen området Lenker: GDPR-publikasjoner http://www.ey.com/publication/vwluassets/ey-can-privacyreally-be-protected-anymore/$file/ey-can-privacy-really-beprotected-anymore.pdf http://www.ey.com/publication/vwluassets/ey-eu-general-dataprotection-regulation-are-you-ready/$file/ey-eu-general-dataprotection-regulation-are-you-ready.pdf http://www.ey.com/publication/vwluassets/ey-globalinformation-security-survey-2015/$file/ey-global-informationsecurity-survey-2015.pdf https://iapp.org/media/pdf/resource_center/iapp-2016- GOVERNANCE-SURVEY-FINAL2.pdf