GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Like dokumenter
Personvern i skyen Medlemsmøte i Cloud Security Alliance

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Policy for personvern

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

CRM-løsninger i skyen - hva har du lov til å lagre?

Implementering av det nye personvernregelverket ved UiB

Sjekkliste GDPR. Nye personvernregler Hva bør gjøres frem mot 25.mai

Ny personvernlovgivning

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Status personvern Hedmark og Oppland fylkeskommuner

OM PERSONVERN TRONDHEIM. Mai 2018

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Personvern - sjekkliste for databehandleravtale

GDPR Hva, hvordan og når

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

GDPR HVA ER VIKTIG FOR HR- DATA

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Bakgrunn. EU har vedtatt ny personvernforordning

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Perspektiver og planer ved Universitetet i Oslo

Forvaltningsrevisjon IKT sikkerhet og drift 2017

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Rusmiddeltesting i arbeidslivet et personvernperspektiv

GDPR Ny personvernforordning

Internkontroll og informasjonssikkerhet lover og standarder

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

De nasjonale e-helseløsningene i Direktoratet for e-helse og nye personvernregler. Maryke Silalahi Nuth Normkonferansen

Databehandleravtaler og GDPR. Kristin Lyng Kategorileder Anskaffelser / Delprosjektleder i Skatteetatens GDPR-prosjekt 6 september 2018

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

GDPR - viktige prinsipper og rettigheter

Endelig kontrollrapport

Databehandleravtale for NLF-medlemmer

Noen aktuelle tema for personvernombud i finans

Innføring av nytt personvernregelverk ved UiO

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

NINAs personverndokument

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Innebygd personvern og personvern som standard. 27. februar 2019

Databehandleravtaler. Tommy Tranvik Unit

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

GDPR i et nøtteskall

Bilag 14 Databehandleravtale

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Nye personvernregler fra mai 2018

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Informasjon interesseorganisasjoner

Til styret i Sunnaas sykehus HF. 18. desember Innføring General Data Protection Regulation (GDPR) - status

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Risikobasert etterlevelse av pvf

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

Til styret i Sunnaas sykehus HF. 21. september Sak 5318 Innføring av General Data Protection Regulation (GDPR) Forslag til vedtak

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

Endelig kontrollrapport

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

Personopplysningsvern med ProFundo som databehandler

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Nye personvernregler (GDPR)

Personvernerklæring for Webstep AS

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Personvernerklæring for Vesterålsprodukter AS

Transkript:

GDPR I Spekter, 13. desember 2017

Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern, personvernsikkerhet og personvernstyring). EU lov som erstatter eksisterende norsk personopplysningslov og forskrift (fra 25. mai 2018). Omfatter både fysiske og digitale personopplysninger Det er viktig å merke seg er at GDPR handler like mye om prosessadministrasjon som det handler om datasikkerhet For å være i samsvar med kravene til GDPR, og å kunne møte de registrertes krav til innsyn, må prosesser som behandler personopplysninger tilpasses eller utvikles Applikasjoner som behandler personopplysninger må gjennomgås og evt. oppdateres for å oppfylle kravene om innebygd personvern. Databehandleravtaler må tilpasses

De syv styrende prinsippene for behandling/håndtering av personopplysninger iht. GDPR 1. Lovlighet, rimelighet og transparens Personopplysninger skal behandles lovlig, rimelig og på en transparent måte. 2. Formålsbegrensning Personopplysningene skal kun registreres for det angitte formålet (kan ikke benyttes til andre formål enn de er innsamlet for). 3. Dataminimering Det skal ikke samles inn flere eller andre personopplysninger enn det som er nødvendig for det angitte formål. 4. Korrekthet Personopplysningene som virksomheten behandler skal være korrekte (må oppdateres om nødvendig). 5. Lagringsbegrensning Personopplysninger skal ikke lagres lenger enn nødvendig. Deretter skal opplysningene slettes. 6. Integritet og konfidensialitet Personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet. 7. Ansvarlighet Behandlingsansvarlige skal kunne dokumentere at disse prinsippene er overholdt og at ansvaret for dette er plassert.

Prosjektmodell for å sikre GDPR etterlevelse i DNO&B 1 mnd 2 mnd 1 mnd 1 mnd Mål og avgrensninger Kartlegging og krav for GDPR etterlevelse Risikohåndtering og rapportering Implementering av GDPR Avdekke modenhet Grunnlag for detaljert planlegging Mål Avgrensninger Mandat Databehandleravtaler Sikkerhetstiltak Personvernpolicy Organisasjon Vurdering av personvernrisiko Personvernombud og organisasjon Internkontroll Hendelseshåndtering 25. Mai 2018 Prosjektplan Dataflyt, formål, organisering, ansvar Policyer og retningslinjer Tiltaksplan Opplæring Holdningsskapende program 4

Noen sentrale spørsmål innledningsvis i kartleggingsfasen Hvilke prosesser og informasjonssystem behandler personopplysninger om ansatte, kunder og leverandører Hva benyttes personopplysningene til? Hvilke personopplysninger behandles og av hvilken kategori er de? Hvem har hvilke tilganger til personopplysningene? Hvordan er personopplysningene sikret? Hvor behandles og lagres personopplysningene (lokalt, sentralt, hos en driftsleverandør, i skyen)? Hvilke leverandører benyttet og hvilke avtaler er inngått om behandling av personopplysningene? Er det dokumentert et formål med behandlingen av personopplysningene og foreligger det samtykke fra de registrerte?

Kartlegging viser at DNOB har 29 fagsystemer med personopplysninger og behov for 21 nye databehandleravtaler Marked (11) Drift og sikkerhet (5) HR (3) Regnskap (2) Plan (3) Teknisk drift (2) Ballett (1) IKT (2) Billettsystem, nyhetsbrevverktøy, CRM mot kunde og sponsorer, www.operaen.no, bildelagring/gjenfinning, video løsning, kontaktog callsenter +++ Adgangskontroll, Videoovervåkning, Beredskapsverktøy, system for nøkkelkontroll, vaktjournal Lønn, personal, rekruttering Økonomi/Regnskap, økonomirapporter Plansystem, produksjonsdatabasen i Maconomy, integrering og Rapporteringssystem Timeregistrering, kompetanseprogram Helseoppfølgingssystem Arkivsystemet, fellesdisker/filområder

12 identifiserte gap mellom forordningens krav og dagens situasjon i DNOB Nummer Identifisert gap ift. etterlevelse av GDPR Anbefaling og tiltak 1 En ansvarlig person som sikrer etterlevelse av GDPR i selskapet kreves DNO&B må utpeke en personvernrådgiver 2 DNO&B mangler styringssystem for å håndtere lover og regler i henhold til GDPR (internkontroll) Et internkontrollsystem må tydeliggjøres og rutiner for hvordan GDPR etterleves må utarbeides

12 identifiserte gap mellom forordningens krav og dagens situasjon i DNOB Nummer Identifisert gap ift. etterlevelse av GDPR Anbefaling og tiltak 3 DNO&B har ikke en komplett oversikt over hvilke personopplysninger de har, hvordan de brukes og hvor de er lagret. En oversikt over personopplysninger som behandles av DNO&B må etableres. Verktøy for å vedlikeholde GDPR dokumentasjon bør anskaffes. 4 Det finnes ingen dokumentert metode for vurdering av personvernkonsekvens og risiko. DNO&B har noe behandling av sensitive personopplysninger (helsedata Ballett) Utarbeide metode for vurdering og forankring hos ledelsen, personvernrådgiver og systemeier

12 identifiserte gap mellom forordningens krav og dagens situasjon i DNOB Nummer Identifisert gap ift. etterlevelse av GDPR Anbefaling og tiltak 5 Kundedata benyttes i noen grad for profilering uten samtykke. Det må etableres prosedyrer for å sikre at personopplysningene som samles inn kun brukes som avtalt. 6 Manuelle rutiner øker risiko for ukorrekt data og data på avveie Prosedyrer for å holde personopplysninger korrekte og oppdaterte må etableres med tilstrekkelig sikkerhet. 7 Informasjon om ansatte blir registrert ved ansettelse men blir aldri slettet. Krav knyttet til lagringsbegrensning og sletting må beskrives og implementeres

12 identifiserte gap mellom forordningens krav og dagens situasjon i DNOB Nummer Identifisert gap ift. etterlevelse av GDPR Anbefaling og tiltak 8 DNO&B benytter seg av flere drifts- og tjenesteleverandører som behandler personopplysninger uten databehandleravtale. Databehandleravtaler må etableres og oppdateres for å etterleve GDPR artikkel 28. Prosedyre må etableres for å inngå databehandleravtaler som også inkludere underleverandører til leverandører. 9 Systemer skal ha en slettefunksjon for personopplysninger Retningslinjer for lagrings- og sletteregime må etableres. Systemer som ikke støtter sletteregime må oppdateres.

12 identifiserte gap mellom forordningens krav og dagens situasjon i DNOB Nummer Identifisert gap ift. etterlevelse av GDPR Anbefaling og tiltak 10 DNO&B har ikke etablert retningslinjer for å sikre innebygget personvern i IKTanskaffelser eller ved utvikling av IKTsystemene. Retningslinjer som sikrer at innebygget personvern blir ivaretatt ved anskaffelser må utarbeides.

12 identifiserte gap mellom forordningens krav og dagens situasjon i DNOB Nummer Identifisert gap ift. etterlevelse av GDPR Anbefaling og tiltak 11 DNO&B har ikke en dokumentert policy for informasjonssikkerhet med tilhørende styringssystem og ansvarliggjøring En felles informasjonssikkerhetspolicy må etableres og ansvar må fordeles til nøkkelroller som vil utgjøre en sikkerhetsorganisasjon. 12 DNO&B har ikke prosedyrer for hendelseshåndtering ved sikkerhetsbrudd som berører personopplysninger. DNO&B må etablere prosedyrer for hendelseshåndtering ved sikkerhetsbrudd, samt varsling til Datatilsynet innen 72 timer.

Prosjektmodell for å sikre GDPR etterlevelse i DNO&B 1 mnd 2 mnd 1 mnd 1 mnd Mål og avgrensninger Kartlegging og krav for GDPR etterlevelse Risikohåndtering og rapportering Implementering av GDPR Avdekke modenhet Grunnlag for detaljert planlegging Mål Avgrensninger Mandat Databehandleravtaler Sikkerhetstiltak Personvernpolicy Organisasjon Vurdering av personvernrisiko Personvernombud og organisasjon Internkontroll Hendelseshåndtering 25. Mai 2018 Prosjektplan Dataflyt, formål, organisering, ansvar Policyer og retningslinjer Tiltaksplan Opplæring Holdningsskapende program 13

Læringspunkter Kom i gang det er mer omfattende enn dere tror! Vurder ekstern bistand Ha minst like stort fokus på rutiner, prosesser og eierskap som på «det tekniske»

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding