Nye personvernregler i Norge EUs personvernforordning - General Data Protection Regulation (GDPR) Maren Magnus Jegersberg Seniorrådgiver IT-direktørens stab
Nytt regelverk Trer i kraft 25. mai 2018 Felles regelverk for personvern i EU og EØS Skal styrke den europeiske borgers rettigheter Skal styrke tilliten til digitale tjenester Skal gjøre det lettere å utveksle personopplysninger over landegrenser Men stort og tungt regelverk med vanskelig språk 14.01.2019
Kilde: Datatilsynet 14.01.2019
Prosess frem mot mai 2018 Norge må ta regelverket inn i norsk lov via EØS-avtalen Lovforslag med norsk oversettelse av personvernforordninger har vært på høring Proposisjon fremmes mars 2018 Særlovgivning må gjennomgås Kan lage noen nasjonale tilpasninger 14.01.2019
Hovedtrekk i nytt regelverk Personvernrutiner får økt fokus og skal være innført i virksomheten Virksomhetene skal gjennomføre selvstendige vurderinger av personvernkonsekvenser forhåndsdrøftelser med Datatilsynet i særlige tilfeller jevnlige risikovurderinger bruke prinsippene for innebygd personvern Personvernombud blir obligatorisk for alle offentlige virksomheter Personvernerklæringer skal oppfylle nye krav, være på et forståelig språk og gi økt åpenhet Samtykke skal skilles tydelig fra øvrige brukervilkår 14.01.2019
Hovedtrekk i nytt regelverk fortsettelse Sikkerhetsbrudd skal varsles til Datatilsynet innen 72 timer Virksomheter som opererer i flere land behøver bare å forholde seg til datatilsynsmyndighetene i ett land Forbrukere får nye rettigheter: Dataportabilitet Retten til å bli glemt - sletterett Mulighet til å nekte profilering Overtredelsesgebyr øker Nytt EU-organ ("European Data Protection Board") skal opprettes skal avsi tolkningsuttalelser sørge for en enhetlig håndhevelse av det nye regelverket 14.01.2019
Økt dokumentasjonskrav Hovedregelen om at alle behandlinger må meldes faller bort Erstattes av et krav om at vi som virksomhet må kunne dokumentere behandlingene vi har ansvar for Virksomheten må klare å dokumentere at tekniske og organisatoriske tiltak fungerer Dokumentere at alle vurderinger er gjort Formålsvurdering Hjemmelsvurdering Risiko- og sårbarhetsvurderinger Personvernkonsekvenser Innebygd personvern 14.01.2019
Håndtering ved UiO Utdannings- og forskningsinstitusjon som behandler mye personopplysninger i mange ulike varianter Har vist seg utfordrende å ha en komplett oversikt Vi har mange og gode rutiner på plass og det har vært stort fokus på både personvern og IT-sikkerhet lenge Mange av kravene i GDPR finner vi allerede i gjeldene personvernregler 14.01.2019
Prosjekt for innføring av nytt regelverk Organisert som et UiO-prosjekt under IT-direktøren Tverrfaglig sammensatt prosjektgruppe Avdeling for fagstøtte Avdeling for administrativ støtte USIT Personvernombudet Det medisinske fakultet Stort omfang av interessenter Følger allerede etablerte nettverk og møtefora Beslutninger og oppfølging skal følge linjen 14.01.2019
Gjennomgå UiOs personvernsstrategi og foreslå revisjon som er i tråd med GDPR, herunder gjennomgå: Klassifisering av data Oversikt dataflyt Oversikt over type registrerte Internkontroll inkludert datasikkerhet 14.01.2019
Gjennomgå UiOs prosedyrer for etterlevelse av GDPR og foreslå endringer og /eller nye prosedyrer for håndtering av personopplysninger som sikrer at prosedyrene er i tråd med GDPR Personvernerklæring Samtykke Tilgangsprosedyrer Databrudd Overføring av personopplysninger 14.01.2019
Overlevere revidert personvernsstrategi med tilhørende rutiner til UiOs ledelse og systemeiere ved UiO Informere om kravene etter ny forordning og nye, vedtatte, retningslinjer ved UiO. Følge opp systemeierne i etterkant for å sikre at nye retningslinjer blir implementert og at eierskap er riktig plassert. 14.01.2019
Personvernkonsekvensanalyse Foreta personvernkonsekvensanalyse av UiOs personopplysninger. Utarbeide retningslinjer for når og hvordan slike analyser skal gjennomføres. Personvernombud Gjennomgå UiOs ordning for personvernombud og sikre at den er i tråd med GDPRs krav til DPO. Foreslå eventuelle nødvendige endringer. 14.01.2019
Forutsetninger for vellykket prosjekt Forankring Involvering Informasjon Opplæring 14.01.2019
Ønske/bestilling til Nettverk for administrative studieledere Gjennomgang av behandlinger av personopplysninger ved fakultetene Ny meldeapplikasjon: personvernsidene melde behandling Endringer i Nettskjema Bidra til svarene i den årlige internkontrollen Kartlegging til prosjektet 14.01.2019
14.01.2019
http://www.uio.no/for-ansatte/arbeidsstotte/prosjekter/gdpr/ gdpr-prosjekt@uio.no 14.01.2019