Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Like dokumenter
Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Krav til informasjonssikkerhet i nytt personvernregelverk

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Nye personvernregler (GDPR)

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Nye personvernregler (GDPR)

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Nye personvernregler fra 2018

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Nytt personvernregelverk på 1-2-3

Personopplysningsloven (GDPR) 5. desember 2017

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Nye personvernregler fra mai 2018

Nye personvernregler

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Personvern - Hva er det

Nye personvernregler Gullik Gundersen juridisk rådgiver

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

GDPR HVA ER VIKTIG FOR HR- DATA

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Nye personvernregler

Nye personvernregler fra mai 2018

Databehandleravtale for NLF-medlemmer

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

Nye personvernregler fra mai Mars 2017

GDPR - viktige prinsipper og rettigheter

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Databehandleravtale. Charlotte Lindberg Difi

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Databehandleravtaler. Tommy Tranvik Unit

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

OM PERSONVERN TRONDHEIM. Mai 2018

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Nye personvernregler fra mai 2018

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Ansvarlighetsprinsippet og virksomhetens plikter

Personvern - sjekkliste for databehandleravtale

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Personvern i EPD-Norge

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

GDPR Hva, hvordan og når

NINAs personverndokument

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Steinar Nørstebø, styreleder

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Personvern - vurdering av personvernkonsekvenser - DPIA

REKRUTTERING OG GDPR

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Implementering av det nye personvernregelverket ved UiB

CRM-løsninger i skyen - hva har du lov til å lagre?

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Personvern i Amento AS

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvernforordningen

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Nye personvernregler frokostseminar for MedTek

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Risikobasert etterlevelse av pvf

GDPR i et nøtteskall

Nye personvernregler

Nytt regelverk, nye muligheter og masse avviksmeldinger!

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Nye personvernregler fra 2018 hva betyr det for din virksomhet?

Personopplysningsvern med ProFundo som databehandler

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Vurdering av personvernkonsekvenser (DPIA)

Personvernforordningen

POWEL DATABEHANDLERAVTALE

EUs nye forordning for personvern

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Sikkerhet og personvern i skole og klasserom

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Transkript:

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning Senioradvokat (PhD) Thomas Olsen Normkonferansen 30. november 2017 www.svw.no

GDPR viderefører personvernprinsippene Artikkel 5 Lovlighet, rettferdighet og gjennomsiktighet Formålsbegrensning Data minimering Riktighet Lagringsbegrensning Integritet og fortrolighet Ansvarlighet: den behandlingsansvarlige er ansvarlig for og skal kunne påvise at prinsippene overholdes side 2

Viktige endringer og nyheter Utvidet geografisk virkeområde "One stop shop" Forsterkede internkontrollplikter: Vurdering av personvernkonsekvenser (DPIA) Innebygd personvern (Data protection by design and by default) Data protection officer (DPO) obligatorisk for visse virksomheter Melde- og konsesjonsplikt bortfaller (konsultasjonsplikt i visse tilfeller) Nye og skjerpede rettigheter informasjon og samtykke dataportabilitet sletting ("right to be forgotten") varsling av registrerte ved sikkerhetsbrudd Strengere sanksjoner (20 M Euro / 4 % av årlig omsetning) side 3

Generelle plikter for behandlingsansvarlig Artikkel 24 Implementere tilfredsstillende tekniske og organisatoriske tiltak for å sikre etterlevelse dokumentere etterlevelse ("demonstrating compliance"), jf. også art 5 ("accountability") Tiltakene skal (om nødvendig) revideres og oppdateres Krav om adekvate interne retningslinjer (når forholdsmessig) Codes of conduct (art 40) og sertifiseringsmekanismer (42) kan være et element for å kunne dokumentere etterlevelse side 4

Økte dokumentasjonskrav etter GDPR Artikkel 5, 24, 30, 32 Behandlingsansvarlig (BA) Påvise etterlevelse av personvernprinsippene Konsekvensutredning dersom høy risiko (Data Protection Impact Assessment, DPIA) Innebygd personvern (Data protection by design and by default) Vedlikeholde oversikt over behandlinger Informasjonssikkerhet: risikovurdering og tilfredsstillende tekniske og organisatoriske tiltak Databehandler (DB) Vedlikeholde oversikt over behandlinger Informasjonssikkerhet: risikovurdering og tilfredsstillende tekniske og organisatoriske tiltak side 5

Konsekvensutredning (art. 35) Behandlingsansvarlig Trolig at behandlingen vil medføre en høy risiko for de registrertes rettigheter og friheter Vurdering av personlige aspekter; avgjørelser som har rettsvirkning/betydelig påvirker Storskala behandling av sensitive personopplysinger (Art 9 og 10) Veiledning fra Artikkel 29-gruppen (4. april 2017) Innføring av ny teknologi Innovativ bruk av eksisterende teknologi Evalueringer eller beregning av "score" basert på feks. adferd og preferanser Automatiserte avgjørelser Systematisk monitorering/overvåking Sensitive data Sårbar gruppe registrerte Overføring til tredjeland side 6

Konsultasjonsplikt (art. 36) Konsekvensutredningen viser at behandlingen vil medføre en høy risiko til tross for at den behandlingsansvarlige iverksetter tiltak for å prøve å begrense risikoen Det pålegges gjennom nasjonal lov side 7

Innebygd personvern Art 25 Data protection by design and by default Hensiktsmessige tekniske og organisatoriske tiltak designet for å implementere personvernprinsipper, slik som dataminimalitet (eks. ved pseudonymisering) For å etterleve kravene/ivareta registrertes rettigheter Ved valg av behandlingsmetode/hjelpemidler og hele behandlingsløpet Personvern som standardinnstilling ("by default") Bare behandle opplysninger som er nødvendig for formålet Omfang som innsamles Behandlingsomfang (grad av sammenstilling, videre bruk mv) Lagringstid Tilgang side 8

Oversikt over behandlingen BA Artikkel 30 a) Navn og kontaktopplysninger (evt. også til felles BA, BA's representant og DPO) b) Formålene for behandlingen c) Beskrivelse av kategorier av registrerte og kategorier av personopplysninger d) Kategorier av mottakere, inkl. i tredjeland eller internasjonale organisasjoner e) Spesifisering av overføring til tredjeland - Hensiktsmessige tiltak dersom overføring iht. interesseavveining (art. 49 (1) (2)) f) Hvis mulig, forespeilte slettefrister for ulike kategorier av opplysninger g) Hvis mulig, generell beskrivelse av tekniske og organisatoriske sikkerhetstiltak (jf. 32 (1)) side 9

Oversikt over behandlingen DB Artikkel 30 (2) a) Navn og kontaktopplysninger (evt. også til felles BA, BA's representant og DPO) b) Kategorier av behandling på vegne av hver BA c) Spesifisering av overføring til tredjeland - Hensiktsmessige tiltak dersom overføring iht. interesseavveining (art. 49 (1) (2)) d) Hvis mulig, generell beskrivelse av tekniske og organisatoriske sikkerhetstiltak (jf. 32 (1)) side 10

Krav til informasjonssikkerhet Art 32 BA and DB skal gjennom adekvate tekniske og organisatoriske tiltak sørge for tilfredsstillende informasjonssikkerhet, herunder gjennom: Pseudonymisering og kryptering Sikring av konfidensialitet, integritet, tilgjengelighet og robusthet (resilience) Prosess for å jevnlig teste, måle og vurdere effektiviteten av tiltakene Vurdering av sikkerhetsnivå skal særlig hensynta risikoen ved overføring, lagring og behandling side 11

Sikkerhetsbrudd Art. 4 (12) "et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet Brudd på konfidensialitet, integritet og tilgjengelighet (sml. gjeldende lov) "Utilsiktet eller ulovlig": det er tilstrekkelig at det foreligger brudd på virksomhetens egne sikkerhetstiltak Ikke krav om skyld omfatter også rene uhell Uavhengig av hvilke opplysninger som er berørt side 12

Sikkerhetsbrudd - meldeplikt til Datatilsynet Art. 33 Uten ugrunnet opphold Straks, med mindre det er konkrete legitime grunner for å avvente Krav om begrunnelse hvis senere enn 72 timer etter at bruddet ble oppdaget (rutiner!) Unntak: lite trolig at bruddet medfører risiko for fysiske personers rettigheter og friheter Vurderingen må dokumenteres og skal kunne etterprøves av Datatilsynet Konkrete minstekrav til innholdet i meldingen: Hva har skjedd, hva er sannsynlige konsekvenser, hvilke tiltak er eller blir iverksatt side 13

Sikkerhetsbrudd underretning til de registrerte Art. 34 Uten ugrunnet opphold, dersom bruddet sannsynligvis vil medføre en høy risiko for berørte personer Datatilsynet pålegger det Klar og tydelig individuell informasjon Via egnet kanal ikke krav om skriftlighet (bør evt. dokumenteres senere) Konkrete minstekrav til innholdet Unntak: Det er iverksatt sikkerhetstiltak, for eksempel kryptering eller remote sletting Uforholdsmessig innsats krav om kollektiv underretning (pressemelding el. lign.) side 14

Avsluttende bemerkninger Ny personopplysningslov (inkorporering av GDPR) erstatter dagens personopplysningslov og forskrift Mindre detaljerte krav til internkontroll og informasjonssikkerhet med GDPR Kan utfylles gjennom bransjepraksis Dagens praksis vedr. internkontroll kan være hensiktsmessig mht. å påvise etterlevelse side 15

Databehandlers ansvar Senioradvokat (PhD) Thomas Olsen Normkonferansen 30. november 2017 www.svw.no

Roller og ansvar Behandlingsansvarlig (BA) Bestemmer formål og hjelpemidler Kan være fastlagt i lov Har behandlingsgrunnlag Uttrykt utad/forventninger hos registrerte Databehandler (DB) Behandler personopplysninger på vegne av BA og etter instruks fra BA Grunnlaget for behandlingen følger av databehandleravtalen Ville normalt ellers ikke behandlet opplysningene NB! Anses som BA hvis benytter opplysningene for egne formål (Art 28 nr. 10) side 17

Ansvarlighetsprinsipp GDPR Art 5 nr. 2 Behandlingsansvarlig er ansvarlig for og skal kunne påvise at personvernprinsippene etterleves Gjelder også forsvarlig valg og oppfølgning av databehandlere (art. 28) Krav om databehandleravtale DPIA Risikovurdering Revisjon og styring side 18

Databehandlers ansvar I dag: selvstendig ansvar for informasjonssikkerhet GDPR Reglene om virkeområde Overføringsregler Informasjonssikkerhet Protokoll side 19

Innholdskrav databehandleravtale Art. 28 Beskrivelse av behandlingen: Hva avtalen gjelder (virkeområdet) Behandlingens varighet Behandlingens formål og art Opplysningstyper og kategorier av registrerte Fastslå instruksjonsmyndighet/rådighetsbegrensning for databehandler Kun behandle personopplysninger i henhold til dokumenterte instrukser fra BA Ikke overføre opplysninger til tredjeland uten etter samtykke fra behandlingsansvarlig side 20

Databehandlers plikter Art. 28 Taushetsplikt (lov/erklæring/avtale) Sikkerhetstiltak (selvstendige plikter for databehandler) Bistand til behandlingsansvarlig med å oppfylle de registrertes rettigheter, så langt rimelig og mulig med å oppfylle krav til informasjonssikkerhet Gi all informasjon som er nødvendig for å dokumentere etterlevelse for behandlingsansvarlig herunder tillate revisjon (evt. tredjepartsrevisjon) Slette eller overlate opplysningene til den behandlingsansvarlige ved forholdets opphør side 21

Databehandlers bruk av underleverandører Art 28 Bruk av underleverandører må reguleres Spesifikk tillatelse av hver underleverandør Generell tillatelse, forutsatt at behandlingsansvarlig varsles ved endringer, og gis anledning til å motsette seg endringen (evt. si opp avtalen) Underleverandøren må pålegges de samme forpliktelser Avtale som speiler avtalen med den behandlingsansvarlige (så langt relevant) Databehandleren svarer for underleverandørens behandling (overfor behandlingsansvarlig) side 22

Bøter som kan ilegges databehandler Art 83 nr. 4 (10 M Euro/2%), særlig: Informasjonssikkerhet Manglende overholdelse databehandleravtale Protokoll Art 83 nr. 5 (20 M Euro/4%), særlig: Overføringsregler Manglende overholdelse av pålegg side 23

Erstatning Art 82 Nytt at personvernreglene hjemler erstatningskrav direkte mot databehandler Vilkår Overtredelse av kravene som retter seg mot databehandler eller databehandleravtalen Ansvarsfrihet dersom kan påvise at "på ingen måte " er ansvarlig for skaden BA og DB solidarisk ansvarlige (art 82 nr. 4) Rett til å kreve regress iht. sin del av ansvaret for skaden (art 82. nr 5) side 24

Avsluttende bemerkninger Behandlingsansvarlig fremdeles hovedansvarlig Må gjøre forsvarlig valg og følge opp sine databehandlere Flere selvstendige plikter for databehandlere Økt fokus på fordeling av ansvar mellom kunde og leverandør Ikke mulig å avtale seg bort fra registrertes rettigheter Fokus på partenes oppgaver og ansvar; klare ansvarslinjer Ved skadesløsholdelse gi mulighet til å ha innvirkning på prosessen side 25

Takk for oppmerksomheten! Thomas Olsen Senioradvokat (PhD) tol@svw.no T: +47 21 95 57 55 M: +47 922 56 404 26

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding