GDPR Automatiser prosessen med Sesam

Like dokumenter
SESAM GDPR PLATTFORM. Den enkleste og mest effektive løsningen når virksomheten skal etterleve de funksjonelle kravene med GDPR.

REKRUTTERING OG GDPR

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Ny personvernforordning trer i kraft i mai 2018

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Kährs Groups personvernpolicy

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET JUDICIA DA

Personvern i skyen Medlemsmøte i Cloud Security Alliance

PERSONVERNERKLÆRING FACE.NO

Personvernerklæring for Portal Travel AS

Policy for oppbevaring av ansattes personopplysninger

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

Personvernerklæring. Innledning. Om personopplysninger og regelverket

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

GDPR i et nøtteskall

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Personopplysningsvern med ProFundo som databehandler

Personvernerklæring for Clemco Norge AS

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

GDPR Prosjektgjennomføring Sjekkliste

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Personvernerklæring for Webstep AS

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

Nye personvernregler fra mai 2018

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

GDPR - viktige prinsipper og rettigheter

PERSONVERN I C-ITS

Personvern - vurdering av personvernkonsekvenser - DPIA

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

GDPR Hva, hvordan og når

Personvern - Hva er det

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Diabetesforbundet. Personvernerklæring

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Når det brukes "vi", "våre" eller "oss" nedenfor, menes det Norsk Byggtjeneste AS.

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

INFORMASJON OM BEHANDLING AV PERSONOPPLYSNINGENE DINE

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Personvern for mobilkunder hos Fjordkraft

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

PERSONVERNERKLÆRING FOR KUNDERS OG LEVERANDØRERS KONTAKTPERSONER

Personvernerklæring for Foreningen Grunnloven 112

Databehandleravtale for NLF-medlemmer

ØIE Eiendomsutvikling AS

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Registrerte og personopplysninger som behandles

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

PERSONVERNERKLÆRING. Innledning

24. mai 2018 Web telefonterror.co.no er forpliktet til å beskytte og respektere ditt privatliv

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Nye personvernregler (GDPR)

DATABEHANDLERAVTALE. 1.3 Denne Databehandleravtalen erstatter alle tidligere avtaler og bestemmelser Partene imellom hva gjelder personvern.

Personvernerklæring for MOOC

OM PERSONVERN TRONDHEIM. Mai 2018

Personvernerklæring for Brage

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Personvern - sjekkliste for databehandleravtale

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. behandlingsansvarlig

Personvernerklæring. Akasia Barnehage AS

Plassering og bevegelse

Nytt regelverk (GDPR) og IoT

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf)

Sammendrag Hvordan behandler Ticket Service dine personopplysninger?

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

INFORMASJON OM BEHANDLING AV PERSONOPPLYSNINGER VED REKRUTTERING AV NYANSATTE

BEHANDLING AV PERSONOPPLYSNINGER VED BRUK AV GATOR-KLOKKE

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

3. Databehandleravtale

Jeg vil se mappa mi!

Personvernforordningen

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Nye personvernregler fra mai 2018

Databehandleravtale. Etter den nye personvernloven og EUs personvernforordning (GDPR) av 25. mai mellom. Arrangøren Behandlingsansvarlig

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

GDPR (personopplysningsloven)

Personvernerklæring for Topps mobilapp Match Attax. Sist oppdatert: 24. september 2018

PERSONVERNERKLÆRING FOR LEXIT GROUP AS

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Vurdering av personvernkonsekvenser (DPIA)

PERSONVERN Personopplysninger som lagres Hvilke personopplysninger behandler vi

Etterlevelse av personvernforordningen (GDPR) sett opp mot ISO hva er nytt/viktig? Anders Bergman Greenfinger AB

Veileder for tillitsvalgt ved behandling av personopplysninger

Personvernerklæring. Museene i Akershus mia.no. Telefon: (+47) E-post: Postboks Strømmen. Org.nr:

Personvern i EPD-Norge

GDPR Veiledning. for. Visma Contracting. Oslo Mai Versjon 1.0

POWEL DATABEHANDLERAVTALE

Transkript:

GDPR Automatiser prosessen med Sesam Å etterleve den nye personvernsforordningen (GDPR) krever en innsats på tre hovedområder: mennesker, prosess og teknologi. Prosess og mennesker fordrer analyser, dokumentasjon og opplæring, mens teknologien kan automatiseres med et visst nivå av systemstøtte. Dette dokumentet forsøker å beskrive hovedhensikten bak de relevante artiklene i GDPR, definere de funksjonelle kravene som et teknisk system må oppfylle for å automatisere behandlingen av personopplysninger og forklare hvordan Sesam kan løse de funksjonelle kravene når GDPR innføres. Sesam kan skreddersys for å passe de spesifikke behovene til enhver virksomhet, personopplysningene virksomheten behandler og systemene til virksomheten.

Artikkel 25 Innebygd personvern Hovedformålet med denne artikkelen er å minimere innsamlingen og lagringen av personopplysninger. Dette må gjøres både på tidspunktet for innsamling av informasjon og ved all senere behandling av informasjonen. For å nå dette målet må man benytte en kombinasjon av dataminimering og anonymisering. Pseudonymisering er et risikoreduserende tiltak når det gjelder informasjonssikkerhet og beskrives ikke her, selv om det er noe Sesam også støtter. Dataminimering Minimering av personopplysninger fordrer et system som støtter sletting av personopplysninger innenfor systemet, men som også kan fjerne opplysningene på tvers av systemer, både internt og hos en tredjepart. Anonymisering En annen måte å løse dette på er å bruke anonymisering. Når man anonymiserer opplysninger i en ikke-gjenkjennelig form, kan man beholde en del av de innsamlede opplysningene, men de kobles fra den identifiserbare fysiske personen. Anonymisering skal ikke kunne reverseres. Sesam kan benyttes til å sikre dataminimering ved å kombinere sletting og anonymisering. Dataminimering Sesam støtter både sletting fra kilde og fjerning av opplysninger i andre systemer både internt og hos en tredjepart. Dette kan skje som en generell prosess, hvis det alltid skal gjøres, eller det kan skje automatisk basert på om samtykke fra den registrerte gis eller trekkes tilbake. Anonymisering Sesams plattform støtter et bredt utvalg av anonymiseringsmekanismer og presenterer en enkel struktur der du kan plugge inn ditt favorittverktøy for dataanonymisering. I tillegg har vi sørget for et ferdigpakket open source verktøy basert på ARX2 for enkelhets skyld.

Artikkel 15 Rett til innsyn En av de mest grunnleggende rettighetene i forordningen er at den registrerte har rett til å se alle personopplysningene som et selskap har lagret om dem. Hvis en registrert ber om sine data, har selskapet 30 dager på å gi den registrerte personopplysningene de behandler om vedkommende. For å automatisere denne prosessen kreves det at den registrerte kan identifiseres og gis mulighet til å logge inn på en portal på nett som gir tilgang til opplysningene. Innlogging For å automatisere den registrertes tilgang til sine opplysninger, må man ha en måte å identifisere den registrerte på og en tjeneste hvor de kan logge inn. Dette kan gjøres på flere måter, for eksempel ved å bruke brukernavn, e-postadresse, mobilnummer eller personnummer. Tilgangsportal En tilgangsportal er en nettside der den registrerte kan se alle personopplysninger som et selskap har samlet om vedkommende. Innlogging Sesam offers a complete solution to the data subject authentication requirements. It provides an out-of-the box integration with many of the common identification services, and an easy to use framework to connect additional services. Tilgangsportal Sesams tilgangsportal leverer alle personopplysninger som er relatert til en registrert. Opplysningene kan tilgjengeliggjøres sikkert til en identifisert registrert gjennom et standardisert, søkbart brukergrensesnitt. Grensesnittet kan konfigureres av behandlingsansvarlig.

Artikkel 20 Rett til dataportabilitet Alle personopplysninger som er innsamlet av et selskap og lagret elektronisk på bakgrunn av samtykke eller avtale, må kunne gjøres portabelt for den registrerte. Å gjøre opplysningene portable vil si å gjøre dem tilgjengelig for den registrerte slik at vedkommende kan hente dem ut og gi dem til et annet selskap. I artikkelen står det at opplysningene må leveres i et strukturert, alminnelig anvendt og maskinlesbart format. Dette kan virke uklart, men målet er klart: Opplysningene må leveres i et format som kan brukes elektronisk av den registrerte og/eller av andre selskaper. En PDF-fil vil derfor ikke være tilstrekkelig. En pålogging er nødvendig for å sikre autentisering av den registrerte og er også en måte for den registrerte å laste ned eller be om at opplysningene skal overføres til eller deles med et annet selskap. Sesam består av all funksjonalitet som kreves for å overholde dette kravet. Alle personopplysninger som er relatert til den registrerte tilgjengeliggjøres i tilgangsportalen, og utlevering av denne informasjonen i et portabelt format gjøres ved nedlastning på samme side. Den registrerte kan enkelt velge nedlastning i formatet RDF eller JSON. RDF (Ressursbeskrivelsesramme) er en kjent standard, bygget av samme standardiseringsbyrå som skapte internett (W3C), og RDF-formatet er bygget spesielt for datakompatibilitet.

Artikkel 16 Rett til korrigering Denne artikkelen gir den registrerte rett til å endre sine egne personopplysninger. Dette gjelder vanligvis kun de opplysningene som er samlet om den registrerte, ikke internt genererte støttedata, som interne identifikatorer etc. Forespørselen om korrigering bør ikke overskrive de opprinnelige personopplysningene direkte, men i stedet lagres som en forespørsel om utbedring. Ved endring skal de opprinnelige opplysningene overskrives. En tilgangsportal må støtte en prosess der man kan etterspørre korrigering av de relevante opplysningene. Siden de registrerte allerede er identifisert og autorisert, kan de redigere disse opplysningene direkte i portalen. Sesam tilbyr en komplett løsning for å fullstendig automatisere prosessen ved korrigering av personopplysninger. Sesam støtter redigering av de tilgjengeliggjorte opplysningene. Selskapet kan selv velge ut hvilke opplysninger som kan redigeres, i tillegg til de som er lovpålagt, som den registrerte deretter gis anledning til å redigere. Forespørselen vil bli lagret separat fra de opprinnelige opplysningene og kan vises separat i tilgangsportalen. Sesam kan da hente og distribuere korrigeringsforespørselen.

Artikkel 7 Samtykke De registrerte skal ha en klar og tydelig mulighet til både å gi og trekke tilbake samtykke til behandling av sine personopplysninger. Samtykket skal være like lett å trekke tilbake som det er å gi. Hvert formål skal ha et eget samtykke. Et samlet overordnede samtykke for alle formålene opplysningene skal behandles for skal derfor ikke brukes. Den registrerte skal få presentert alle sine samtykker som vedkommende har gitt til et selskap på en oversiktlig og forståelig måte. Brukergrensesnittet må støtte at den registrerte kan endre samtykkene sine når som helst. Når samtykke er oppdatert (gitt, endret eller trukket tilbake), må dette være det nye grunnlaget for behandlingen av personopplysningene til den registrerte. Oppdateringen av samtykke vil sannsynligvis utløse et sett med hendelser, f.eks. sletting eller anonymisering der samtykke er trukket tilbake. Endring av et samtykke som bor i ett system, må kunne videreformidles og oppdateres i alle systemer som benytter seg av opplysningene basert på dette samtykket. Sesam støtter å samle samtykker fra alle datasystemer, både interne og eksterne. Samtykkene kan vises i Sesams tilgangsportal, som er sikret og kun tilgjengelig for den registrerte. Brukergrensesnittet i Sesams tilgangsportal kan konfigureres til å presentere en komplett liste over alle formål og tilhørende samtykker som den registrerte har gitt til behandling av personopplysninger. Den registrerte har mulighet til å filtrere samtykkene, blant annet basert på formål, samt gi eller trekke tilbake sitt samtykke. Eventuell endring av samtykker kan hentes av Sesam, og vil da automatisk utløse oppdateringer hos alle datasystemer som behandler disse personopplysningene.

Artikkel 17 Rett til å bli glemt Denne artikkelen sier at selskapet er forpliktet til å slette personopplysninger så snart opplysningene ikke lenger er nødvendige for det opprinnelige formålet, eller den registrerte trekker samtykket til behandling. I tillegg må personopplysninger som ikke har lovlig behandlingsgrunnlag slettes. Slettingen inkluderer eventuelle tredjepartsmottakere. Informasjonen om mottakere som berøres av sletting, skal være tilgjengelig for den registrerte. man har lov til å lagre opplysningene eller av statusen til det gyldige behandlingsgrunnlaget. Hvis tidsfristen er utløpt eller statusen endres til at man ikke har gyldig behandlingsgrunnlag, må opplysningene slettes eller anonymiseres. Slettingen må være knyttet til kildesystemet og skal da utløse oppdateringen tilbake til mottakere av de opprinnelige opplysningene, uavhengig om de er interne eller eksterne. Kjernefunksjonen som trengs er en kontinuerlig overvåking av hvor lenge Sesam tilbyr en komplett løsning for å automatisere sletting av data fullt ut. Dette kan gjøres både ved ren fjerning av personopplysningene eller ved anonymisering. Enhver forutsetning for behandlingen kan automatisk lastes inn i Sesam, og enhver endring av statusen til forutsetningen, kan få Sesam til å utløse den nødvendige slettingen eller anonymiseringen. Datatilgangsportalen vil da også gjenspeile informasjonsoppdateringen til den registrerte slik at den registrerte kan se hvilke endringer/ slettinger som er gjort.

Artikkel 34 Underretning om brudd Dersom det skjer et brudd på personopplysningssikkerheten som tilsier en høy risiko for personvernet til den registrerte, skal alle de berørte varsles om dette så fort som mulig. Hvis personopplysningene er kryptert eller i en tilstand der det ikke kan misbrukes, må det ikke sendes meldinger. Det må finnes en mekanisme som raskt kan sende et varsel til alle registrerte personer som er berørt av bruddet. Systemet må kunne registrere nødvendig informasjon om bruddet, identifisere de berørte og sende advarselen på sms eller e-post, basert på hvilken kommunikasjonsadresse som er tilgjengelig på den registrerte. Varselen skal ikke inneholde detaljene om bruddet, men henvise til tilgangsportalen, der den registrerte kan identifiseres før vedkommende får tilgang til både detaljene rundt bruddet som er varslet om, samt inspisere opplysningene som har blitt vært utsatt for brudd. Portalen må informere den registrerte om kontaktinformasjonen til personvernombudet, hva som er konsekvensen av bruddet og tiltakene som er truffet for å håndtere bruddet. Sesam støtter sending av meldinger til en gruppe registrerte, ved bruk av e-post eller sms. Detaljer om brudd og berørte personopplysningskategorier kan samles av Sesam. Sesam vil distribuere all bruddinformasjon til tilgangsportalen for å sikre at de nødvendige personopplysningene er tilgjengelige for den registrerte det gjelder. Sesam vil også sende varsel til alle berørte registrerte, både via SMS og via e-post. Advarselen vil inneholde en kobling tilbake til tilgangsportalen, slik at den registrerte kan logge inn og se detaljene for bruddet.

Hvordan Sesam kan hjelpe deg med GDPR Kom i gang med GDPR-kompatibilitetsarbeidet ditt. Sesam har utviklet en teknisk løsning for å levere kjernefunksjonaliteten i GDPR. Ønsker du å snakke med oss eller få en demo av produktet vårt? Ikke nøl med å ta kontakt. Sesam kan hjelpe deg på ulike måter. Sammen kan vi identifisere dine GDPR-utfordringer og behov og finne en helhetlig løsning for å automatisere kjernefunksjonaliteten. Teamet vårt kan også gi dine arkitekter og utviklere den nødvendige kunnskapen for implementering. Fortell oss hva du trenger: Møte (1 hour) Demo (2 hour) Workshop (0.5 day) Ta kontakt Duy Dinh-Steffensen Business Development & Partner Engagement Kurs Arkitekter (1 day) Utviklere (2 days) sesam.io duy.dinh-steffensen@sesam.io (+47) 994 45 747

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding