GDPR: GAP-analyse Randi Hognestad, Legal Counsel, SKAGEN AS VFF Compliance-seminar

Like dokumenter
Personopplysningsvern med ProFundo som databehandler

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Nye personvernregler Gullik Gundersen juridisk rådgiver

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

GDPR - PERSONVERN. Advokat Sunniva Berntsen

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

OM PERSONVERN TRONDHEIM. Mai 2018

CRM-løsninger i skyen - hva har du lov til å lagre?

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Personvern i Amento AS

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Policy for personvern

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Personvern - vurdering av personvernkonsekvenser - DPIA

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Nye personvernregler fra mai 2018

Nytt personvernregelverk på 1-2-3

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

GDPR Ny personvernforordning

Arbeidsgivers personvernplikter

Nye personvernregler

Personvern i EPD-Norge

Nye regler om personvern. Halvor E. Sigurdsen, NHO

Rusmiddeltesting i arbeidslivet et personvernperspektiv

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Hva betyr det for din virksomhet?

Nye personvernregler (GDPR)

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvernforordningen

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

GDPR Prosjektgjennomføring Sjekkliste

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

PERSONVERNERKLÆRING FORUM SECURITIES AS

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET JUDICIA DA

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Personvernforordningen

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvern i Otrera AS

REKRUTTERING OG GDPR

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Perspektiver og planer ved Universitetet i Oslo

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

EUs nye forordning for personvern

Nye personvernregler

Sjekkliste GDPR. Nye personvernregler Hva bør gjøres frem mot 25.mai

Nye personvernregler fra 2018

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

Personvernerklæring i NOAH AS

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Personvern - sjekkliste for databehandleravtale

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Personverndokument NLT

Seminar for Norids forhandlere

Nye personvernregler

Nye personvernregler (GDPR)

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

Vurdering av personvernkonsekvenser (DPIA)

FRA A TIL Å: HVA DU MÅ VITE OM GDPR

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Personvern i Konstali Helsenor AS

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Prosedyre for personvern

Personvern i skolen. Skolelederkonferansen 24. oktober Leder forretningsjuridisk/ advokat Hege Stensland Sveen

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Personvernombudsordningen etter GDPR

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Implementering av det nye personvernregelverket ved UiB

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Personvern i skyen Medlemsmøte i Cloud Security Alliance

GDPR- hva betyr dette for NTNU

Til styret i Sunnaas sykehus HF. 21. september Sak 5318 Innføring av General Data Protection Regulation (GDPR) Forslag til vedtak

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

GDPR HVA ER VIKTIG FOR HR- DATA

Personvern-rett H2016

Personvernperspektivet og oppbevaring av intervjumateriale

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

GDPR for regnskapsførere

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvernkonsekvensvurderinger

Personvern - Hva er det

Smarte bygg og personvern

SUSANNE HELLAND FLATØY PUBLIC & HEALTHCARE SOLUTIONS. Få oversikt og kontroll, sikre etterlevelse av kravene i GDPR

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

GDPR Hva, hvordan og når

Transkript:

GDPR: GAP-analyse Randi Hognestad, Legal Counsel, SKAGEN AS VFF Compliance-seminar 18.09.2017

Overveldet? 2

Kort om SKAGEN Fondsforvaltningsselskap etablert i 1993. 16 fond med en forvaltningskapital på nærmere NOK 80 milliarder (31.07.2017). Over 138.000 privatkunder, hvorav over 92% er hjemmehørende i Norge og nærmere 6 % i Europa for øvrig. 135 ansatte, fordelt på kontorer i Norge, Sverige, Danmark, Nederland og Storbritannia. Behandling av personopplysninger finner i all hovedsak sted i Norge. Ikke noe utenfor Europa. Litt om meg: Juridisk fagansvar for personvernområdet, personvernombud, GDPR prosjekt-team 3

Vårt utgangspunkt Omfattende prosedyredokument, understøttet av rutiner og prosesser for alle avdelinger Register over IT-systemer og behandlingsgrunnlag Fokus på IT-sikkerhet Personvernombud siden 2010 Internkontroll/CMP, EasyRisk Egenutviklede systemer, inkl. CRM-system Godt posisjonert, men betydelig innsats påkrevd 4

GDPR berører alle deler av virksomheten Styret og ledelsen Juridisk Risk og compliance HR Økonomi Salgssiden Andelseieroppgjør Kommunikasjon IT/Infrastruktur Bevisstgjøring Involvering Ansvarliggjøring Hjelpe dem til å forstå kravene Kjerneteam fra Legal/ Compliance og IT/Infrastruktur Alle avdelinger har dedikert personer til prosjektet som trekkes inn ved behov 5

Hovedelementer i GDPR-prosjektet Forstudie Implementering Drift GAP-analyse, inkl. - systemkartlegging og dataflyt - livssyklus personopplysninger fra innhenting til sletting Vurdering av personvern- konsekvenser (Privacy Impact Assessment - PIA) Konkretisering av tiltak Planlegging av implementering Roller/ansvarsforhold Oppdatering av prosedyredokument og register Innebygd personvern: - Oppdatering/etablering av rutiner, prosessbeskrivelser - Oppgradering av IT-systemer IT-sikkerhet Kommunisere ny/oppdatert informasjon om registrertes rettigheter Oppfyllelse av de registrertes rettigheter Oppdatere/inngå databehandleravtaler Opplæring Løpende oppfølging av kravene Dokumentere at kravene er oppfylt Internkontroll 6

Ekstern rådgiver internt ansvar SKAGEN har bistand av et rådgivningsfirma - Eksternt perspektiv - Erfaring og sammenligningsgrunnlag Men; kan ikke sette bort dette arbeidet. Forutsetter aktiv deltagelse i forberedelse og gjennomføring - Kjennskap til virksomheten. Lete og borre. - Kvalitet på input. Sikre at analysen går tilstrekkelig i dybden. Skaffe oversikt over og gjennomgå dokumentasjon på prosedyrer, rutiner, etc. Etterleves dette i praksis? Hva er utdatert? Hva mangler vi? Forberedelse og gjennomføring av intervjuer/workshops med representanter for alle avdelinger. Ansvar for oversikt over sine respektive systemer og rutiner, fornyet vurdering av hvilke personopplysninger som behandles og til hvilke formål, bevissthet rundt oppbevaring og sletting, etc. Gir mye verdifull informasjon for juridisk fagansvarlig/personvernombud og compliance 7

Kunder Ansatte GDPR berører alle deler av virksomheten Styret og ledelsen Juridisk Risk og compliance HR Økonomi Salgssiden Andelseieroppgjør Kommunikasjon IT/Infrastruktur Bevisstgjøring Involvering Ansvarliggjøring Hjelpe dem til å forstå kravene Kjerneteam fra Legal/ Compliance og IT/Infrastruktur Alle avdelinger har dedikerte personer til prosjektet som trekkes inn ved behov 8

GAP-analyse: Fokusområder Virksomhetsstyring Rapportering IT Prosesser Juridisk Roller og ansvar Personvernombud Oppdatering av styringsdokumenter/policy, rutiner og instrukser Avvikshåndtering og -rapportering Oppfyllelse av de registrertes rettigheter. Innebygd personvern: Begrense behandling av personopplysninger IT-sikkerhet Register over behandling av personopplysninger, inkl. mapping av dataflyt/livssyklus (kunder, ansatte) Oppfyllelse av de registrertes rettigheter. Innebygd personvern. Utredning av personvernkonsekvenser (DPIA) Samtykke innhenting og dokumentasjon Informasjon til de registrerte om deres rettigheter Forretningsvilkår Databehandleravtaler og andre avtaler med element av databehandling 9

Skjema for GAP-analyse GDPR artikkelnr Tekst Implikasjon Nåværende håndtering GAP Relatert til Tiltak Risiko Omfang Konsekvens x Innta relevant tekst fra forordningen Konkretiser hva kravene innebærer i praksis Angi om/ hvordan dette ivaretas av foretaket i dag Identifiser gap ift GDPR Virksom hetsstyring Prosess IT Spesifiser nødvendige tiltak Juridisk 10

Eksempel: Utfylling av skjema for GAP-analyse GDPR artikkelnr Tekst Implikasjon Nåværende håndtering GAP Relatert til Tiltak Risiko Omfang Konsekvens 9 1. 1. Behandling Behandling av av Behandling av personopplysninger om rase eller etnisk opprinnelse, politisk, religiøs eller filosofisk overbevisning eller medlemskap i fagforening samt behandling av genetiske eller biometriske opplysninger som har til formål å identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt. sensitive personopplysninger, dvs. opplysninger om etnisitet, religion eller seksuell legning m.v. er forbudt. Ikke fremlagt dokumentasjon på at selskapet har rutiner for håndtering av opplysninger om rase eller etnisk opprinnelse e.l. Manglende rutiner. Prosesser Juridisk Utarbeide retningslinjer for hva som er sensitive opplysninger og hvordan disse skal håndteres. 11

Systemkartlegging/dataflyt Personopplysninger kan være lagret i flere systemer. Ivaretagelse av de registrertes rettigheter forutsetter god oversikt over dataflyt. 12

Livsløp personopplysninger - kunder Innhente Behandle Dele Innsyn/rette/supplere Dataportabilitet Slette/glemme Personvernprinsippene Brukere av Interessenter hjemme- (prospects) siden/ sosial medier (cookies, profilering) Etablering av kundeforhold - Hvitvaskingskontroll - Lydopptak investeringsrådgivning Løpende kundeforhold Eksempel sensitiv opplysning: Umyndiggjøring Opphør av behandlingsgrunnlag (formål bortfalt/ samtykke trukket) Avslutning kundeforhold Lovpålagt oppbevaringsplikt (5 år/ 10 år/hvitvaskingsregelverk) Informasjon: Lett tilgjengelig, lettfattelig, klart og enkelt språk 13

Livsløp personopplysninger - ansatte Innhente Behandle Dele Innsyn/rette/supplere Dataportabilitet Slette/glemme Rekrutteringsprosess Intervjuer, tester Intern håndtering Ekstern rådgiver (databehandler) Ansettelse Avtale Personal- håndbok Personvernprinsippene Ansettelsesforholdet Lønnsutbetaling Evaluering Sykdom (inkl. familie) Nedbemanning Opphør av behandlingsgrunnlag (formål bortfalt/ samtykke trukket) Avslutning av ansettelsesforholdet Informasjon: Lett tilgjengelig, lettfattelig, klart og enkelt språk Lovpålagt oppbevaringsplikt (5 år/ 10 år) 14

Noen problemstillinger: Innebygd personvern: Hva kreves egentlig? Avveining: Finne riktig balanse mellom IT-løsninger og manuelle prosesser. Standardinnstilling: Minst inngripende som «default» innstilling. Minimering. Utredning av personvernkonsekvenser: Faller vi under kategorien som er forpliktet til dette? E-poster. Har rutiner for sletting når ansatte slutter, men har vi gode nok rutiner for løpende sletting? Excel-ark. Vanskelig å få 100% oversikt. Bevisstgjøring og ansvarliggjøring av ansatte. Sletting: Hva må til for å anse at noe er slettet? Er deaktivering/stengt tilgang tilstrekkelig? Må slette også i backup? Forutsetter full oversikt over systemer/dataflyt; sikre at alle forekomster fanges opp. Nedbemanningsprosess: Håndtering av sensitive personopplysninger. Når må de slettes? Hvitvasking: Rapporteringspliktige må forholde seg til både de generelle reglene i personopplysningsloven og unntak og presiseringer i den kommende hvitvaskingsloven. Profilering: Lovfestes rett til informasjon og innsigelsesrett. Konsekvenser for markedsføring. Cookies: Nå må alle forteller hvilke personopplysninger de faktisk registrerer og hva faktisk brukes til Salgsprosess: Innhenter vi personopplysninger som er «nice to know» - og noe som ikke er lov til å lagre i det hele tatt? Viktig med bevissthet rundt dette. Databehandlere: God oversikt over rene databehandleravtaler, men større arbeid for å avdekke alle avtaler med elementer av databehandling. Dataportabilitet. Bransjenorm? 15

GDPR art. 25: Innebygd personvern og personvern som standardinnstilling Skal sikre at det som standard («default») bare behandles personopplysninger som er nødvendige for hvert spesifikke formål med behandlingen Skal ivaretas på tidspunktet for fastsettelse hvilke midler som skal brukes og under selve behandlingen Kombinasjon av tekniske og organisatoriske tiltak Hvordan dette skal løses i praksis beror på en avveining mellom en rekke forhold: - Den tekniske utviklingen - Gjennomføringskostnadene - Behandlingens art, omfang, formål og sammenhengen den utføres i - Risikovurdering av sannsynlighets- og alvorlighetsgrad for personers rettigheter (hva kan gå galt, og hvor galt kan det gå) Får konsekvenser for mengden personopplysninger, omfanget av behandlingen, lagringstid og tilgjengelighet 16

Veiledning Datatilsynet: Innebygd personvern https://www.datatilsynet.no/regelverk-og-skjema/veiledere/programvareutvikling-med-innebygd-personvern/ 17

Takk for oppmerksomheten, og lykke til! 25. mai 2018 raho@skagenfondene.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding