NYE PERSONVERNREGLER BETYDNING FOR IT-KONTRAKTER

Like dokumenter
FORE! GOLF OG PERSONVERN

NY PERSONVERNFORODNING KONSEKVENSER FOR TRANSPORTBRANSJEN

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

REKRUTTERING OG GDPR

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

KUNDEN, slik angitt i ordrebekreftelse fra, eller annen avtale med, ABAX (Behandlingsansvarlig, heretter "Kunden")

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Personvernforordningens krav til bruk av databehandlere

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Databehandleravtale. Charlotte Lindberg Difi

DATABEHANDLERAVTALE. 1.3 Denne Databehandleravtalen erstatter alle tidligere avtaler og bestemmelser Partene imellom hva gjelder personvern.

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Nye personvernregler (GDPR)

Del 2. Fagdag GDPR - Arkiv Troms

Personopplysningsvern med ProFundo som databehandler

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

OM PERSONVERN TRONDHEIM. Mai 2018

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Wolters Kluwer Norge AS Østensjøveien Oslo

Personvern - sjekkliste for databehandleravtale

(1) [firma], et firma som er underlagt lovgivningen i [land], med organisasjonsnummer («Kunden» eller «Behandlingsansvarlig») og

Nye personvernregler fra 2018

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

POWEL DATABEHANDLERAVTALE

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".

Databehandleravtale for NLF-medlemmer

3 Omfattede typer av personopplysninger og kategorier av registrerte

Databehandler. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Krav til informasjonssikkerhet i nytt personvernregelverk

Nye personvernregler (GDPR)

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

AVTALE OM WEBSAK SYSTEM FOR ELEKTRONISK ADMINISTRATIV SAKSBEHANDLING OG ARKIV. Databehandleravtale. Arbeids-og velferdsdirektoratet

DATABEHANDLERAVTALE. 1. Bakgrunn

AVTALE OM [sett inn navn på oppdrag/tjeneste] Mal for Databehandleravtale. Arbeids- og velferdsetaten (NAV) [Virksomhetens navn]

Nye personvernregler fra mai 2018

GDPR Prosjektgjennomføring Sjekkliste

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Personopplysningsloven (GDPR) 5. desember 2017

Registrerte og personopplysninger som behandles

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

IOT SIKKERHET ELLER OVERVÅKING

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Kunden er behandlingsansvarlig Unifaun er databehandler

Nye personvernregler

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

GDPR Hva, hvordan og når

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I DE DIGITALE TJENESTENE FOR DE KOMMUNALE SOSIALE TJENESTENE. Databehandleravtale

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Databehandleravtaler og GDPR. Kristin Lyng Kategorileder Anskaffelser / Delprosjektleder i Skatteetatens GDPR-prosjekt 6 september 2018

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

Personvern - vurdering av personvernkonsekvenser - DPIA

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Perspektiver og planer ved Universitetet i Oslo

GDPR Nye personvernregler i 2018

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

Innføring av ny personvernforordning (GDPR) på universitetet

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

GDPR - viktige prinsipper og rettigheter

Personvern i EPD-Norge

PERSONVERN I C-ITS

Personvernforordningen

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Nye personvernregler fra mai 2018

Nye personvernregler

DATABEHANDLERAVTALE. [Virksomhetens navn] Kristiansand kommune

Databehandleravtale for Visma Avendo Webtime

Nytt personvernregelverk på 1-2-3

Transkript:

NYE PERSONVERNREGLER BETYDNING FOR IT-KONTRAKTER - Jan Sandtrø, DLA Piper 10. mai 2017 IT-kontraktsdagen 2017 5. september 2017 www.dlapiper.com 10. mai 2017 0

Kontekst General Data Protection Regulation (GDPR) - "Personvernforordningen" Ny personopplysningslov - trer i kraft (senest) 25. mai 2018 Erstatter personverndirektivet av 1995 og personopplysningsloven av 2000 Krav for behandlingsansvarlig Krav til databehandler (leverandør) Betydning for it-leveranser / it-kontrakter www.dlapiper.com 10. mai 2017 1

Problemstilling i to dimensjoner Personvernreglene stiller krav til: Behandlingsansvarliges egen behandling Krav til it-system Direkte: Informasjonssikkerhet og innebygd personvern/personvern som standardinnstilling Indirekte: Skal understøtte og ikke motvirke overholdelse av regulatoriske krav Behandling ved databehandler Krav til tjeneste Avtale med databehandler (databehandleravtale) Krav til databehandlers it-løsning Leverandør Behandlingsansvarlig Databehandler www.dlapiper.com 10. mai 2017 2

Oversikt Krav til behandling av personopplysninger for behandlingsansvarlig De registrertes rettigheter Internkontroll og informasjonssikkerhet Dataportabilitet Innbygd personvern og personvern som standardinnstilling Krav til databehandlere/databehandleravtalen Sanksjoner > Betydning for kontrakter som inngås www.dlapiper.com 10. mai 2017 3

Betydning for it-kontrakter Betydning for anskaffelse og kontrakt Anskaffelse Kravspesifikasjon, løsningsbeskrivelse og annen spesifisering av løsning Utforming, grensesnitt og design av løsning Informasjonsarkitektur / datastruktur Informasjonssikkerhet, herunder overføring til tredjeland Vedlikehold, forvaltning og videreutvikling www.dlapiper.com 10. mai 2017 4

Regulering i kontrakt Hvordan sikre at løsningen støtter opp under kravene i regelverket og ikke forhindrer etterlevelse av regelverket? Konkret utforming: Omgjøring av krav i regelverket til konkret løsning - hvem har ansvar for at løsningen er dekkende for kravet i regelverket? Problemene med generelt krav til leverandør Krav til prosess mellom leverandør og kunde løsningen? Senere endringer i regelverket endringer og forvaltning av løsning Hvem skal følge opp endringene i regelverket? Hvem skal dekke kostnader for utvikling og endringer? Krav til fremdrift i endringer og utvikling Ansvar for at løsningen ikke oppfyller kravene etter regelverket Forskjell i ansvar om løsningen er kundens eller om det er databehandlers løsning? www.dlapiper.com 10. mai 2017 5

Behandlingsansvarliges plikter, spesielt overfor de registrerte Systemene må muliggjøre / ikke forhindre at behandlingsansvarlig kan oppfylle pliktene i regelverket Spesielt for rettighetene til de registrerte som Informasjons- og innsynsrett (transparens i behandlingen) Rett til korrigering og oppdatering Rett til sletting (og «bli glemt») etter påkrav eller når grunnlag for behandling ikke foreligger lenger Avidentifiseres/pseudonymiseres eller anonymiseres Rett til begrensning av behandling Tilstrekkelig sikret mot tap, endring og uautorisert tilgang Innsigelsesrett mot behandling og automatiserte avgjørelser, herunder profilering www.dlapiper.com 10. mai 2017 6

Krav til internkontroll og informasjonssikkerhet Behandlingsansvarlig (og databehandler) skal implementere tilstrekkelige tekniske og organisatoriske tiltak Forholdsmessighet: Tiltakene skal sikre et passende sikkerhetsnivå mot risikoen ved å ta hensyn til: hva som er mulig ("the state of the art") og den tekniske utviklingen, kostnader ved implementering og art, omfang, kontekst og formål med behandlingen (særlige kategorier av personopplysninger) særlig hensyn til «risikoen forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring og ikke-autorisert utlevering av eller tilgang til personopplysninger» (les: konfidensialitet, integritet og tilgjengelighet) Tiltakene skal bli vurdert og oppdatert når nødvendig www.dlapiper.com 10. mai 2017 7

Dataportabilitet Rett til å "få med seg" data fra en behandlingsansvarlig f.eks. i forbindelse med bytte av leverandør Kun data den registrerte selv har avgitt, basert på samtykke eller oppfyllelse av avtale som grunnlag og som behandles automatisert Rett til å få data i et «strukturert, alminnelig, og maskinlesbart format» og også til å overføre fra en behandlings- ansvarlig til en annen Krav til informasjonsarkitektur, segregering av data mv. www.dlapiper.com 10. mai 2017 9

Innebygd personvern og personvern som standardinnstilling Privacy by design and default Vurderes ved planlegging og gjennomføring av behandlingen Hensynta tilgjengelig teknologi, behandlingens karakter og ressursforbruket Plikt til å gjøre det som er nødvendig for å sikre at forordningen overholdes, herunder til de registrertes rettigheter Pesudonymisering Dataminimering Betydning for valg av løsning, krav til løsning, vedlikehold og oppdatering (hensynta «den tekniske utviklingen» ( ) «ved behandlingen») Kan komme sertifisering Grunnleggende prinsipper for innebygd personvern 1. Vær i forkant, forebygg fremfor å reparere 2. Gjør personvern til en standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet (både og, ikke enten-eller) 5. Ende til ende sikkerhet full livssyklus sikkerhet 6. Åpenhet og transparens 7. Respekter brukernes personvern sørg for individuelle brukerløsninger www.dlapiper.com 10. mai 2017 10

Krav til bruk av databehandler Strengere krav til behandlingsansvarliges bruk av databehandler (supply chain management) Medføre mer bevissthet fra kunden ved valg av databehandler Større bevissthet på hvor personopplysninger behandles og informasjonssikkerheten Krav til leverandørens it-systemer for å understøtte behandlingsansvarliges oppfyllelse av plikter, som Sletting, endring og utlevering av personopplysninger Flytting av opplysninger (portabilitet) Innebygd personvern Varsling ved personvernbrudd Overholde Codes of Conduct og sertifiseringskrav Muligheter for leverandører som bidrar til å gjøre behandlingsansvarliges oppfyllelse av plikter enklere (transparens) www.dlapiper.com 10. mai 2017 11

Krav til databehandleravtale Skal foreligge databehandleravtale ved bruk av databehandler (art. 28 nr. 3) Avtalen må underbygge de krav behandlingsansvarlig har etter regelverket og overfor de registrerte Krav til avtalens innhold: Individualisering ved at følgende skal inntas: hensikten med behandlingen varigheten av behandlingen behandlingens formål og art typen personopplysninger og kategorier av registrerte som skal behandles den behandlingsansvarliges rettigheter og plikter personopplysningene skal kun behandles etter instruks fra den behandlingsansvarlige (som kan dokumenteres i ettertid) www.dlapiper.com 10. mai 2017 12

Krav til databehandleravtale Krav til avtalens innhold (forts.): ikke overføre personopplysninger til land utenfor EU/EØS (tredjeland) uten etter instruksjon fra den behandlingsansvarlige sikre at personer som er autorisert til å behandle personopplysningene har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt treffe alle tiltak som er nødvendig for sikkerhet ved behandlingen, og gjennomføring av tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som hensyntar relevant risiko ved behandlingen etter artikkel 32 i GDPR ikke engasjere en annen databehandler ("underdatabehandler") uten særlig eller generell skriftlig tillatelse fra den behandlingsansvarlige. www.dlapiper.com 10. mai 2017 13

Krav til databehandleravtale Krav til avtalens innhold (forts.): Etterkomme pålegg fra den behandlingsansvarlige om å slette eller tilbakelevere alle personopplysninger (inkludert kopier) etter at tjenestene knyttet til behandlingen er avsluttet, med mindre det foreligger lovkrav til at opplysningene skal fortsatt lagres gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene ovenfor er oppfylt for den behandlingsansvarlige, samt muliggjøre og bidra til revisjoner og inspeksjoner som gjennomføres av den behandlingsansvarlige eller annen på dennes vegne omgående underrette den behandlingsansvarlige dersom en instruks fra den behandlingsansvarlige er i strid med GDPR eller andre bestemmelser om vern av personopplysninger, som personopplysningsloven. www.dlapiper.com 10. mai 2017 14

Krav til databehandleravtale Krav til avtalens innhold (forts.): Databehandleren skal bistå den behandlingsansvarlige med oppfyllelse av plikter, som skal reguleres i databehandleravtalen: oppfylle pliktene til å svare på anmodninger som de registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i kapittel III i GDPR hensyntatt til behandlingens art og i den grad det er mulig ved hjelp av egnede tekniske og organisatoriske tiltak sikre overholdelse av forpliktelser etter artikkel 32 36, som er krav til sikkerhet ved behandlingen, melding til tilsynsmyndigheten (Datatilsynet) og eventuelt de registrerte om brudd på personopplysningssikkerheten, vurdering av personvernkonsekvenser (såkalte DPIAs) og ved forhåndsdrøftinger med Datatilsynet før behandling med høy risiko. www.dlapiper.com 10. mai 2017 15

Krav til databehandleravtale Avtalen bør også inkludere oppgaver og plikter som databehandleren har etter andre deler av GDPR, som: Databehandleren skal overholde godkjente atferdsnormer («Code of Conducts») etter artikkel 40 eller overholde en godkjent sertifiseringsmekanisme som nevnt i artikkel 42. Plikt til å føre skriftlig protokoll over alle kategorier av behandlingsaktiviteter som er utført på vegne av en behandlingsansvarlig (dersom plikten foreligger) Databehandler skal varsle behandlingsansvarlig uten ugrunnet opphold ved avvik (informasjonssikkerhetsbrudd) Databehandleravtalen skal være skriftlig, men den kan foreligge elektronisk Konsekvenser av manglende / mangler i databehandleravtalen www.dlapiper.com 10. mai 2017 16

Sanksjoner Dagens regime (POL 46): Datatilsynet kan ilegge overtredelsesgebyr Skjønnsmessige kriterier Maksimalsats: 10G (ca NOK 900.000) Objektivt ansvar (uavhengig av skyld) Nye regler Administrativt gebyr opp til EUR 10 mill. eller 2 % av global årlig omsetning Som for manglende dokumentasjon, ikke varslet tilsynsmyndighetene og personer ved avvik/brudd eller ikke gjennomført konsekvensutredninger (PIA) Alvorlige overtredelser EUR 20 mill. eller 4 % av global årlig omsetning Som for brudd på grunnleggende prinsipper knyttet til datasikkerhet og kravene til samtykke Pålegg om endringer www.dlapiper.com 10. mai 2017 17

Betydningen av administrative sanksjoner i kontrakter Kan ikke forsikre seg mot sanksjoner Kan behandlingsansvarlig (kunden) overføre ansvaret for sanksjoner til databehandler (leverandøren)? Tidligere: Unntatt for ansvarsbegrensning Nå: Innenfor ansvarsbegrensning + betydning for konfidensialitetsregulering www.dlapiper.com 10. mai 2017 18

DLA Piper og GDPR Data Protection Laws of the World: www.dlapiperdataprotection.com European General Data Protection Regulation Microsite: www.dlapiper.com/dataprotection DLA Piper s Data Protection Laws of the World Handbook is an extremely useful resource. It enables us to find an answer to complex multi-jurisdictional privacy law questions very quickly. - European Privacy Counsel, Pfizer Privacy Matters Blog: blogs.dlapiper.com/privacymatters/ Data Protection Officer Training Academy CyberTrak: Cyber Risk management tool www.dlapiper.com 10. mai 2017 19

Jan Sandtrø DLA Piper jan.sandtro@dlapiper.com +4799731934 linkedin.com/in/sandtro/ DLA Piper is a global law firm operating through various separate and distinct legal entities. Further details of these entities can be found at www.dlapiper.com. This publication is intended as a general overview and discussion of the subjects dealt with, and does not create a lawyer-client relationship. It is not intended to be, and should not be used as, a substitute for taking legal advice in any specific situation. DLA Piper will accept no responsibility for any actions taken or not taken on the basis of this publication. This may qualify as "Lawyer Advertising requiring notice in some jurisdictions. Prior results do not guarantee a similar outcome. Copyright 2017 DLA Piper. All rights reserved. www.dlapiper.com 10. mai 2017 20

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding