Steinar Nørstebø, styreleder

Like dokumenter
Hva gjør så KiNS og KS med GDPR?

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Nye personvernregler fra mai 2018

Nye personvernregler fra 2018

Nye personvernregler (GDPR)

Nye personvernregler

Personvernombudsordningen etter GDPR

Personvernombudsordningen etter GDPR

Nye personvernregler (GDPR)

Nye personvernregler

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

GDPR - viktige prinsipper og rettigheter

Personvernlovgivningen ledelsens ansvar Pensjonskassekonferansen 14. mai 2019, Sandefjord. Ove Skåra - Datatilsynet

GDPR - PERSONVERN. Advokat Sunniva Berntsen

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Nye personvernregler fra mai 2018

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Nye personvernregler Gullik Gundersen juridisk rådgiver

Personvern - Hva er det

Informasjons sikkerhet. Først en øvelse: Hva er det første du tenker på når jeg sier:

Nye personvernregler fra mai 2018, hva nå?

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

OM PERSONVERN TRONDHEIM. Mai 2018

Nye personvernregler fra mai 2018, hva nå?

Personvern i digitalisering av forvaltningen

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Krav til informasjonssikkerhet i nytt personvernregelverk

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Skytjenester og nytt personvernregelverk

Rusmiddeltesting i arbeidslivet et personvernperspektiv

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Nye personvernregler fra mai Mars 2017

Nye personvernregler fra mai 2018

Nytt personvernregelverk GDPR e-kommunedagen Hordaland

Informasjonssikkerhet i forordningen

Nye personvernregler fra mai 2018

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Nye personvernregler

NORID - Registrarseminar 26. april 2017

EUs nye forordning for personvern

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Ansvarlighetsprinsippet og virksomhetens plikter

Personvern - vurdering av personvernkonsekvenser - DPIA

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Personvern og kundedata

Nye personvernregler fra 2018 hva betyr det for din virksomhet?

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Personvern i skyen Medlemsmøte i Cloud Security Alliance

EUs nye forordning for personvern

Personvern i digitaliseringens tid Kommuner og nytt regelverk

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Hva betyr det for din virksomhet?

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Nytt personvernregelverk på 1-2-3

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Vurdering av personvernkonsekvenser (DPIA)

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Databehandleravtale for NLF-medlemmer

Personvernforordningen

Nye personvernregler fra mai 2018, hva nå?

REKRUTTERING OG GDPR

GDPR HVA ER VIKTIG FOR HR- DATA

Sikkerhet og personvern i skole og klasserom

Personvernforordningen

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvernforordningen

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Hva er personvern, hvorfor er det viktig. Roller og ansvar Fylkeskommunale PVO. Seminar for skolesektoren 2. april 2019 Ove Skåra - Datatilsynet

Personvern i EPD-Norge

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Arbeidsgiverens behandling av personopplysninger om sine ansatte. Personvernforordningen i det daglige. Dana Jaedicke juridisk seniorrådgiver

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Databehandleravtale. Charlotte Lindberg Difi

GDPR Hva, hvordan og når

Implementering av det nye personvernregelverket ved UiB

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

Personvern-rett H2016

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

GDPR Prosjektgjennomføring Sjekkliste

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Perspektiver og planer ved Universitetet i Oslo

Personopplysningsvern med ProFundo som databehandler

Del 2. Fagdag GDPR - Arkiv Troms

Personvernforordningen en praktisk tilnærming

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Hvordan opprettholde DIGITALISERINGSFARTEN etter ny personvernforordning?

Transkript:

1 Steinar Nørstebø, styreleder steinar@kins.no Hva er KiNS Foreningen Kommunal Informasjonssikkerhet KiNS 2003 Over 200 kommuner/fylkeskommuner Samarbeider nært med KS, Datatilsynet, DiFi, NSM, ehelse, Senter for IKT i undervisningen. KiNS arrangerer årlig én stor konferanse KiNS arrangerer også regionale dags-/flerdags kurs gratis for medlemmer 1

Hva gjør så KiNS og KS med GDPR? (General Data Privacy Regulation) Hva gjør så KiNS og KS med GDPR? (General Data Privacy Regulation) KiNS og KS har startet et to-årig prosjekt Informere rådmennene Ansatte i alle kommuner som jobber med informasjonssikkerhet og personvern får 2-dagers introduksjon til vervet Bidragsytere er Datatilsynet, Difi, e-helse og Senter for IKT i Undervisningen 2

Kursinnhold dag 1 Hva må vi gjøre? Hva er personvern, Datatilsynet og det nye regelverket Grunnleggende jus Rettigheter Ansvarlighet, systematikk og informasjonssikkerhet Personvernombud etter nytt regelverk Kort om andre nyheter og spørsmål Kursinnhold dag 2 Hvordan gjør vi det? Presentasjon av sektorene i et informasjonssikkerhetsperspektiv Hva er informasjonssikkerhet? Krav til sikkerhet i helsesektoren Krav til sikkerhet i skolesektoren Styringssystem og internkontroll Risikovurderinger - DPIA Databehandleravtaler 3

Er to dager nok? Dypere dyktiggjøring som et studie eller annen læring Datatilsynet har samarbeid med flere høyskoler/universitet + evt private aktører KiNS etablerer virtuelt nettverk for kommunale personvernombud Regionale samlinger nasjonale fagdager 4

Hvor drar vi og når? Pilot: Tromsø 7-8. november Østlandet Gardermoen 11-12. desember Region Vest Bergen 8-9. januar Agderfylkene Kristiansand 15-16. januar Region Midt Trondheim 8-9. februar Region 1 Nord Bodø 14-15. februar Region 2 Nord Alta 12-13. mars Gardermoen 2 og oppsamling 19-20. mars Og nå over til. Hva dette egentlig er. Fagdirektør Ove Skåra, Datatilsynet 5

13.09.2017 11 Bakgrunn personvernregelverk Personopplysningsloven og personopplysningsforskriften 2001 Nye norske personvernregler 2018 1890 EUs personverndirektiv 1995 EUs personvernforordning 2016 12 6

Nye rammer for behandling av personopplysninger! (EU 2016/679) Vedtatt i EU 2016 og trer i kraft 25.05.2018 Hvorfor? Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrensene Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter Hvordan? Gjennom en forordning Erstatter nasjonal lovgivning Direkte gjeldende i EU/EØS Begrenset spillerom for nasjonale tilpasninger 13 Hva er nytt? For de registrerte: Informasjon og samtykke Retten til å bli glemt Retten til dataportabilitet Rett til å nekte profilering Barn gis styrkede rettigheter 14 For virksomhetene: Kraftigere sanksjoner (20 mill euro) og gruppesøksmål Likere regler i Europa Melde- og konsesjonsplikt faller bort Ansvarlighetsprinsippet mer selvstendighet og ansvar Databehandlere får selvstendige plikter og solidarisk ansvar for erstatning Personvernombud Innebygd personvern og personvern som standardinnstilling Utrede personvernkonsekvenser Rapportere sikkerhetsbrudd Til Datatilsynet Til registrerte 7

Gamle personvernprinsipper i ny drakt Lovlig, rimelig og gjennomsiktig Opplysningene skal behandles lovlig, rimelig og på en gjennomsiktig måte. Respekter de registrertes interesser og rimelige forventninger. Informasjon skal gis på en tilgjengelig og forståelig måte. Formålsbegrensning Opplysningene skal brukes til uttrykkelig angitte og legitime formål. Opplysningene skal ikke brukes til andre uforenlige formål Dataminimering Personopplysningene skal være tilstrekkelige, relevante og begrenset til hva som er nødvendig for formålet. (Artikkel 5) Korrekte og oppdaterte Opplysningene skal være korrekte og om nødvendig ajourførte. Ukorrekte eller utdaterte personopplysninger skal rettes eller slettes. Rutiner for lagring og sletting Det skal være rutiner som sikrer at det ikke er mulig å identifisere de registrerte lenger enn hva som er nødvendig for de formål de er samlet inn for. Integritet og konfidensialitet Personopplysninger sikres mot uautorisert eller ulovlig tilgang og mot utilsiktet tap, ødeleggelse eller skade. Det skal brukes egnede tekniske og organisatoriske tiltak. Ansvarlighet Den behandlingsansvarlige har ansvar for, og må kunne dokumentere, at personvernprinsippene blir etterlevd Informasjonsplikt (13,14) Artikkel 13: Når den registrerte bidrar med opplysninger Navn og kontaktinformasjon til behandlingsansvarlig Navn og kontaktinformasjon til ev. personvernombud Formål og rettslig grunnlag for behandlingen Ev berettigede interesser Eventuelle mottakere av personopplysningene Informasjon om hvor lenge dataene skal lagres, ev kriterier for lagringstid Rett til innsyn, korrigering, sletting, til å protestere mot behandling Rett til dataportabilitet Rett til å be om sletting Rett til å trekke tilbake et samtykke Rett til å fremme en klage til Datatilsynet Informasjon om ev. gjenbruk av data til annet formål Bruk av automatiserte avgjørelser og profilering Artikkel 14: Når personopplysningene ikke kommer fra den registrerte selv Som artikkel 13, men i tillegg: Hvilken kategori personopplysninger som samles inn Hvor dataene kommer fra og om dette er offentlig tilgjengelige data NÅR? Ved første gangs kommunikasjon med den registrerte, Eller ved første gangs utlevering til en tredjepart Men senest innen en måned etter innhenting av dataene 16 8

13.09.2017 Oversikt over behandlingsaktiviteter art. 30 Kontaktinformasjon til behandlingsansvarlig Formål Kategorier av registrerte og kategorier av personopplysninger Kategorier av mottakere Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkelig beskyttelse Tidsfrister for sletting Tekniske og organisatoriske sikkerhetstiltak Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige 17 Fra forhåndskontroll til risikobasert egenkontroll Risikovurderinger skal alltid foretas som en del av internkontroll jf. art. 32(1) Identifisere behandlinger som vil kunne medføre en høy risiko for personvernet Der behandlingen vil kunne resultere i høy risiko, plikter behandlingsansvarlig/databehandler å gjennomføre en vurdering av personvernkonsekvensene (DPIA) Den behandlingsansvarlige skal identifisere risikoreduserende tiltak Der risikoen ikke kan håndteres av den behandlingsansvarlig på en tilfredsstillende måte, skal forhåndsdrøftelser (prior consultation) igangsettes, jf. art 36 Gi råd Bruke andre virkemidler (pålegg, sanksjoner) Forby behandlingen 18 9

Vurdering av personvernkonsekvenser art. 35 Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang systematisk overvåking av offentlig område i stort omfang I tilfelle man er i tvil anbefaler vi å utføre en DPIA. Datatilsynet må publisere liste over når det er påkrevd. Datatilsynet kan publisere liste over når det ikke er påkrevd. 19 Hva skal beskyttes, hvordan ivareta etterrettelighet? Artikkel 5 (2) accountability Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at personvernprinsippene overholdes. Konfidensialitet Åpenhet Transparency Integritet Den registrertes perspektiv Mulighet til å gripe inn Intervenability Kan ikke kobles Unlinkability Tilgjengelighet Oversatt fra en artikkel om DPIA-prosessen: http://friedewald.website/wp-content/uploads/2016/06/apf2016.pdf 20 10

Alle skal bygge personvern i løsningene sine Ta hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Det er både kostnadsbesparende og mer effektivt enn å endre et ferdig system. Tekniske og organisatoriske tiltak F.eks. pseudonymisering, automatiske sletterutiner, dynamisk samtykke ol Utformet for å ivareta personvernprinsipper F.eks. minimalisering Det minst personverninngripende alternativet som standard: mengde omfang lagringstid tilgjengelighet 21 Informasjonssikkerhet og avviksmeldinger 11

Avviksmeldinger art. 33 Sikkerhetsbrudd (art. 4 (12)): «brudd på personopplysningssikkerheten» - er et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet Dette omhandler mer enn dagens 2-6 tredje ledd: «uautorisert utlevering av personopplysninger som krever konfidensialitet» 23 Avviksmeldinger art. 33 og 34 Behandlingsansvarlig må melde avvik innen 72 timer. Kan meldes trinnvis. Databehandler melder til behandlingsansvarlig Stilles krav til innholdet i avviksmeldingen. Vårt skjema i Altinn tar høyde for dette. Finnes en uttalelse fra Artikkel 29-gruppen (2014) som skal oppdateres i løpet av året. Berørte skal informeres så raskt som mulig, slik at de skal kunne foreta seg noe for å begrense skaden. 24 12

Alle kommuner skal ha personvernombud Viktigste endringer Fremhevet og lovregulert Skjerpede krav og tydeligere rolle Fra frivillig til obligatorisk for mange Artikkel 37, 38 og 39 i forordningen Retningslinjer fra WP29 26 13

Oppgaver Samle inn og ha oversikt over behandlingsaktiviteter Involvere seg tidlig, informere og gi råd Kontrollere overholdelse av personvernregelverket og interne retningslinjer, deriblant ansvarsfordeling, opplæring, holdningsskapende tiltak mv, Gi råd og delta ved vurdering av personvernkonsekvenser (DPIA) Være kontaktpunkt for de registrerte Være et kontaktpunkt for, og samarbeide med Datatilsynet Skal ha en risikobasert tilnærming til sitt arbeide Mao: En viktig støttende funksjon for å sikre behandlingsansvarliges etterlevelse av kravene i personvernlovgivningen, men PVO overtar ikke behandlingsansvarliges rolle eller ansvar! 27 Art. 39 Om utpeking av personvernombud Både behandlingsansvarlige og databehandlere er omfattet av reglene Konserner kan ha felles ombud for underliggende virksomheter og offentlige etater kan oppnevne felles ombud Må være forsvarlig mht tilgang til vedkommende, og mht struktur, størrelse på virksomhetene og omfang og kompleksitet Kan kjøpe PVO som ekstern tjeneste Ikke mer enn ett ombud i en og samme virksomhet Art. 37 28 14

Må finne balanse mellom flere ulike interessenter Toppledelse og mellomledere organisasjonsenheter og driftsmiljøer internt Databehandlere De registrerte (kunder, ansatte mv) Datatilsynsmyndigheter Sektormyndigheter 29 Hva slags kvalifikasjoner må ombudet ha? Faglige og formelle kvalifikasjoner bør stå i forhold til skala og kompleksitet Dybdekunnskap om personvernlovgivning og praksis på området Kjennskap til sektoren og forståelse av behandlingsaktivitetene, IT-systemer, informasjonssikkerhet mv. Evne til å utføre oppgavene Personlige kvaliteter og kunnskap Posisjon i virksomheten Personlig integritet og evne til å gjøre etiske vurderinger Evne til å kommunisere og stimulere resten av organisasjonen 30 Art. 37 15

Virksomhetens ansvar mht personvernombudet Skal sørge for at personvernombud blir utnevnt iht kravene Må involveres i prosesser Skal få ressurser og tilgang til informasjon og systemer Skal ha mulighet til å opprettholde sakkunnskap Respektere den uavhengige rollen. Skal ikke motta instrukser eller straffes Skal rapportere til høyeste ledelsesnivå Må ikke ha andre oppgaver som fører til interessekonflikt Kan ikke ha stilling som innebærer at ombudet skal bestemme formålet og metode for behandling av personopplysninger Art. 38 31 Datatilsynets rolle og planer Skal ikke lenger behandle søknader om ombud Skal få beskjed om hvem som er ombud Mål om å ha offentlig oversikt Tilpasset opplæring i 2017 og 2018(?) Er i kontakt med eksterne utdanningsaktører om fremtidig kursing Informasjon til ombud og virksomheter som må ha ombud 32 16

Hvordan komme i mål til mai 2018? Åtte steg til forberedelse 1. Gjør deg selv, øvrig ledelse og medarbeidere kjent med ny personvernlovgivning. 2. Få oversikt over hvilke personopplysninger dere behandler, med hvilket formål, rettslig grunnlag og med hvem dere deler disse videre med. 3. Hvem er ansvarlig internt for ulike behandlinger? 4. Behandler dere opplysninger som det knyttes særlig stor risiko til? Vurder personvernkonsekvensene! 5. Opprett personvernombud, hvorfor vente? 34 17

Åtte steg til forberedelse 6) Få rutiner på plass for å oppdage, rapportere og reparere avvik 7) Bygg personvern inn i løsninger som dere utvikler begynn likegodt nå 8) Tilrettelegg for de registrertes rettigheter Gir vi informasjon på et tilpasset, tydelig og enkelt språk, for eksempel via en personvernerklæring? Er rutinene for innhenting av samtykke ok? Hvordan er det med den registrertes rett til innsyn, retting, sletting og sperring? Dataportabilitet, reservasjon mot profilering, automatiske beslutninger 35 Datatilsynet.no/forordning 18

Takk for meg! Datatilsynet Ove Skåra, fagdirektør Tlf 22 39 69 30 Mobil 917 91 797 Epost osk@datatilsynet.no www.datatilsynet.no www.personvernbloggen.no Twitter.com/datatilsynet Husk å abonnere på nyhetsbrevene fra Datatilsynet og personvernbloggen! 19

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding