GDPR presentation Tomas Sunde NCG
Download as PPTX, PDF1 like138 views
GDPR presentasjon holdt på Office365 User Group Agder meetup 22.november 2017 i Kristiansand.
![Andre Lover og forskrifter
• IKT-forskriften - «risiko styres innenfor akseptable grenser i forhold til
foretakets virksomhet» § 3
• Arkivloven - «ordna og innretta slik at dokumenta er tryggja som
informasjonskjelder for samtid og ettertid» § 6
• Arbeidsmiljøloven - på alle plan i virksomheten, herunder ved varsling
• Produktansvarsloven - «den sikkerhet som en bruker eller allmennheten
med rimelighet kunne vente» § 2-1
• Helseregisterloven - «databehandlingsansvarlige og databehandler skal
gjennom planlagte og systematiske tiltak sørge for tilfredsstillende
informasjonssikkerhet» § 21
• Bokføringsloven - «betryggende sikret mot ødeleggelse, tap og endring» §
13
• Aksjeloven - «(1) [...]. Styret skal sørge for forsvarlig organisering av
virksomheten.» § 6-12](https://image.slidesharecdn.com/gdprpresentationtomassundencg-171123083512/85/GDPR-presentation-Tomas-Sunde-NCG-15-320.jpg)
More Related Content
Similar to GDPR presentation Tomas Sunde NCG (20)
More from Thorbjørn Værp (20)
GDPR presentation Tomas Sunde NCG
- 3. Noen sentrale personvern begreper • Personopplysning – En eller flere opplysninger som hver for seg eller samlet kan knyttes til en enkeltperson - herunder ved bruk av dataprosessering eller andre tilgjengelige metoder • Sensitive personopplysninger – Opplysninger om rasemessige eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger • Registrert – Den fysiske personen en eller flere opplysninger kan knyttes til • Behandling av personopplysning – Enhver befatning / bruk av personopplysning, f.eks innsamling, registrering, sammenstilling, lagring og utlevering • Behandlingsansvarlig – Den som bestemmer formålet med behandling • Databehandler – En som behandler personopplysning på vegne av behandlingsansvarlig – kan ikke gå utenfor instruksene fra behandlingsansvarlig • Databehandleravtale – Avtale som skal foreligge mellom den behandlingsansvarlige og databehandler senest når databehandlers behandling begynner. Fastlegger formålet med behandlingen, rettigheter, plikter og begrensninger
- 4. Kultur for sikkerhet • Med nesten daglige oppslag om hackerangrep mot norske og utenlandske bedrifter, skjønner de fleste at datasikkerhet er avgjørende for mange virksomheter. • Alle bedrifter og virksomheter bør derfor tenke på sin organisering for å klare å etterleve EUs nye personvernkrav. • Statoil-hendelsene, NRK (https://www.nrk.no/norge/indiske-it-arbeidere-mister- tilganger-pa-statoils-oljeplattformer-1.13282643)
- 6. Hva sier så GDPR om organisatorisk og kulturell sikkerhet? • Kravet om tilfredsstillende sikkerhet, ved bruk av «appropriate technical or organisational measures» fremgår art. 5. • Det viktigste av disse er: – krav om lovlig behandlingsgrunnlag; samtykke eller lovhjemmel; – angitt og legitimt formål med behandlingen; – begrensning av behandlingen til det nødvendige («minimeringsprinsippet»); – opprettholdelse av korrekte data – tilfredsstillende sikkerhet
- 7. Hva skal personvernerklæringen inneholde? • Hvem er behandlingsansvarlig? • Hva er formålet? • Hva er det rettslige grunnlaget? • Hvilke personvern opplysninger behandles? • Hvor hentes opplysningene fra? • Er det frivillig å gi fra seg opplysningene? • Utleveres opplysningen til 3. part? • Hvordan slettes og arkiveres opplysningene? • Hvilke rettigheter har den registrerte og hvilket lands lovverk gjelder? • Hvordan sikres opplysningene? • Kontaktinformasjon
- 8. Eksempel på hvordan Datatilsynets personvernopplysning • https://www.datatilsynet.no/om- datatilsynet/personvernerklaering-nettsidene/
- 9. Hva sier hovedregelen om informasjonssikkerhet? Privacy by design • For å gi et inntrykk av kompleksiteten i EU-forordningen, siterer jeg hele den ordrike setningen i GDPR art. 32 (67 ord!): • «1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk,........
- 10. ….... videre • I bunn og grunn koker kravet til tilfredsstillende sikkerhetstiltak ned til et aktsomhetskrav. • Kravet til «state of the art» betyr at moderne teknologi og metode må vurderes når sikkerhetskravet skal fastlegges
- 11. Bygge en sikkerhetskultur • Opplæring – både i hva reglene betyr, og hvorfor. • Belønning – skape positive incentiver til riktig adferd. • Sanksjoner – som støttetiltak til opplæring og belønning
- 12. Hva må dokumenteres? • At rutiner er utarbeidet og instrukser gitt, er enkelt å dokumentere. At eget og innleid personell kjenner, forstår og oppfører seg i henhold til reglene, er mer utfordrende. – Hvordan har adferden endret seg fra år til år? – Virker tiltakene? – Har en sikkerhetskultur oppstått? • Kravet i art. 24 betyr at virksomheten må klare å dokumentere at de organisatoriske tiltakene fungerer. – Hva angår for eksempel kulturbygging, finnes egne selskaper som spesialiserer seg på verktøy for kulturbygging og måling av denne.
- 14. Nye rettigheter for den registrerte • Rett til å få flyttet data mellom tilbydere – dataportabilitet • Rett til å nekte profilering og automatiserte avgjørelser • Rett til å motsette seg en behandling • Rett til å begrense en behandling • Retten til å bli glemt styrkes
- 15. Andre Lover og forskrifter • IKT-forskriften - «risiko styres innenfor akseptable grenser i forhold til foretakets virksomhet» § 3 • Arkivloven - «ordna og innretta slik at dokumenta er tryggja som informasjonskjelder for samtid og ettertid» § 6 • Arbeidsmiljøloven - på alle plan i virksomheten, herunder ved varsling • Produktansvarsloven - «den sikkerhet som en bruker eller allmennheten med rimelighet kunne vente» § 2-1 • Helseregisterloven - «databehandlingsansvarlige og databehandler skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet» § 21 • Bokføringsloven - «betryggende sikret mot ødeleggelse, tap og endring» § 13 • Aksjeloven - «(1) [...]. Styret skal sørge for forsvarlig organisering av virksomheten.» § 6-12
Editor's Notes
- #5: forårsaket evakuering, produksjonsstans, nedstengning og tap av kritiske værdata, viser betydningen av god sikkerhetskultur. Kritiske deler av driften ble som følge av problemene besluttet flyttet tilbake til Statoils egne ansatte, som gjennom flere tiår har bygget opp en solid sikkerhetskultur.
- #6: Tøffe krav om informasjon om hva personlig data skal benyttes til, og hvem som er behandlingsansvarlig. SprÃ¥ket skal være lett og forstÃ¥lig. Særdeles viktig mht barn, funsjonshemmede osv Om du skal melde eller søke konsesjon avhenger av hvilke opplysninger du skal behandle. Hovedregelen er atÌýbehandling avÌýsensitive personopplysninger er konsesjonspliktig.
- #7: Krav til organisatoriske tiltak gjennomsyrer forordningen; Fra grunnprinsippene iÌýGDPR art. 5, via krav til innebygget personvern iÌýGDPR art. 25 og sikkerhetskravene iÌýGDPR art. 32, Til vurderingskriteriene for de brutale bøtene beskrevet iÌýGDPR art. 83. Fellesnevneren for alle er krav til «appropriate technical and organisational measures» – «tilfredsstillende tekniske og organisatoriske tiltak».
- #8: Hvem erÌýbehandlingsansvarlig?ÌýOppgi hvem som er hovedansvarlig for behandlingen av personopplysningene. Dette kan være en person eller en virksomhet med utgangspunkt i hvem som bestemmer formÃ¥let og hvordan opplysningene behandles. Hvis den behandlingsansvarlige har delegert myndighet,ÌýskalÌývirksomheten oppgi hvem som har det daglige ansvaret. Hva er formÃ¥let?ÌýForklar formÃ¥let med behandlingen av personopplysningene, det vil si hvorfor opplysningene behandles. Hva er det rettslige grunnlaget?ÌýOppgi hva som er behandlingsgrunnlaget for hver enkelt behandling, det vil si virksomhetens hjemmel for Ã¥ behandleÌýpersonopplysningene. Hvilke personopplysninger behandles?ÌýGi en beskrivelse av hvilke typer personopplysninger som samles inn. Hvor hentes opplysningene fra?ÌýGi informasjon om hvor personopplysningene hentes fra. ErÌýdet frivillig Ã¥ gi fra seg opplysningene?ÌýHvis opplysningene hentes direkte fraÌýden registrerte, mÃ¥ virksomheten opplyse omÌýdet er frivillig for vedkommende Ã¥ oppgi personopplysningene. Utleveres opplysningene til tredjeparter?ÌýOpplys hvilke type opplysninger som utleveres og hvilke tredjeparter som er mottakere, dersom opplysningene utleveres til andre. Hvordan slettes ogÌýarkiveres opplysningene?ÌýBeskriv hvilke rutiner virksomheten har for Ã¥ slette og arkivere personopplysningene. Hvilke rettigheter har den registrerte og hvilket lands lovverk gjelder?ÌýBeskriv hvilke rettigheter og plikter allmennheten og den registrerte har etter personopplysningsloven. Dette gjelder retten til innsyn i egne personopplysninger, samt krav om retting eller sletting av mangelfulle eller uriktige opplysninger. Det bør komme tydelig frem hvilket lands lovverk som gjelder. Hvordan sikres opplysningene?ÌýBeskriv hvilke sikringstiltak virksomheten har ved behandling av personopplysningene, sÃ¥ langt Ã¥penhet om dette ikke svekker sikkerheten. Kontaktinformasjon.ÌýOppgi kontaktinformasjon og eventuelt skjema for innsyn, retting eller sletting, slik at brukeren enkelt kan ta kontakt ved behov.
- #10: Kravet er altså noe så diffust som tilfredsstillende sikkerhet. For en ikke-jurist blir det nesten like presist som å si til tenåringen sin at du må være hjemme «passe tidlig». Vi skal her forsøke å å få litt mer kjøtt på beinet. Først; «tilfredsstillende» brukes fordi risikoen kan variere så enorm. En kiosk som stort sett bare skal holde styr på sine fem ansatte, har liten risiko fordi ansettelsforholdet er lite sensitivt (allerede offentlig) og antallet er lavt. Dermed skal det lite til før sikkerheten er tilfredsstilende. Tinder, Sukker eller andre datingtjenester, på den annen side, behandler store mengder følsome data. Da blir risikoen høyere, fordi konsekvensene av et brudd kan blir store.
- #11: Uaksomhet er en såkalt rettslig norm, som det finnes rik rettspraksis på. I forordningen detaljeres og skjerpes kravet til slik aktsomhet. Men uansett gir bakgrunnsretten oss hjelp til å forstå hva som kreves. Bestemmelsen innebærer med andre ord et krav om å følge med på den teknologiske utviklingen i samfunnet generelt og sin bransje spesielt.
- #12: Siden økt sikkerhet – og ikke rutiner i seg selv – er målet, stiller GDPR art. 32 eksplisitte krav om at tiltakene skal måles og vurderes
- #14: Tilatelse fra Datatilsynet. Innenfor EØS/EU ok Om du skal melde eller søke konsesjon avhenger av hvilke opplysninger du skal behandle. Hovedregelen er atÌýbehandling avÌýsensitive personopplysninger er konsesjonspliktig.