GDPR – fra teori til virkelighet Sikkerhet og Sårbarhet, Trondheim 9-10.mai 2017
Veien til GDPR compliance Vi skal snakke om de praktiske tingene som alle må gjøre fram til GDPR trer i kraft om ganske nøyaktig ett år. Vi vil spesielt vise til hvilke aktiviteter man må gjennom hvor det er hjelp å få fra enten juridisk hold eller eventuelle driftspartnere
UTNEVN EN DPO DPO: Data Protection Officer / Personvernombud Må jeg ha et personvernombud? Hvem bør jeg velge? Skal jeg eie eller leie et personvernombud? Utnevn og lær opp ditt personvernombud nå, og la vedkommende lede/bidra til ditt GDPR-prosjekt! Din driftspartner må nødvendigvis ha et personvernombud selv Hvem er personvernombud i ditt kundeforhold? Eva først: Hvem bør være DPO? Hva er spesielt for rollen? Esten: Også dine leverandører og partnere vil ha DPO’er. Etabler relasjoner tidlig
KARTLEGG DINE DATA HVA ER EGENTLIG PERSONOPPLYSNINGER? Vanlige PO - alt som direkte eller indirekte kan identifisere en person Sensitive PO – som i dag, med tillegg av Genetiske data Biometriske data Esten: Eksempler: IP-adresser, identifikatorer det er teknisk mulig i dag, eller i fremtiden, å knytte til ett individ
KARTLEGG DINE DATA KARTLEGG OG DOKUMENTER: Hvilke personopplysninger samles inn, og hvorfor? Hvor lagres dataene? Hvor, og hvordan overføres de til andre? Hvor lenge skal de beholdes? Vurder risiko Din driftspartner må bistå i din kartlegging Gjør gjennomgangen pr. system/tjeneste! Esten - Må gjøres for alle tjenester som lagrer persondata - Lagring. Ofte motstrid mellom andre lovverk og GDPR…
KLARGJØR ROLLER HVEM ER: Behandlingsansvarlig (den som bestemmer hva personopplysningene skal brukes til og derfor også hvorfor opplysningene samles inn) Databehandler (er den som behandler personopplysninger på vegne av den behandlingsansvarlige) Benytter databehandler underleverandører? Lagres persondata i skyen? Innenfor eller utenfor EU? Hvem er ansvarlig for skytjenesten? Søk juridisk bistand ved behov Esten Viktig å tidlig finne ut av dette. Også her kan det være lurt å tenke på dette for hvert system eller tjeneste
UTFØR DPIA (Data Protection impact assessments) DPIA må gjennomføres når: Behandlingen medfører vesentlig risiko for personvernet Behandlingen skjer i stort omfang DPIA er en konsekvensanalyse som: Baserer seg på din kartlegging og prioritering Identifiser risiko og mitigerende tiltak Bør gjennomføres sammen med dine leverandører Esten
INNGÅ AVTALER DATABEHANDLERAVTALE: Inngås mellom behandlingsansvarlig og databehandler(e) Gjelder også skytjenester! Hvem er juridisk ansvarlig for en tjeneste i skyen; du eller din driftspartner? Esten
INNGÅ AVTALER PRIVACY SHIELD: MODELLAVTALE: Kun USA Databehandleravtale/modellavtale kreves i tillegg! MODELLAVTALE: Alle tredjeland Eva
UtVIKLE LØSNINGER DINE APPLIKASJONER MÅ SØRGE FOR: Innebygget personvern Default personvern Funksjoner for sletting/flytting av data Innhenting av samtykke fra brukere DRIFTSLEVERANDØR MÅ: Dokumentere (sertifisere) sin generelle informasjonssikkerhet Sørge for innebygd personvern i driftsløsninger og verktøy Besørge nødvendig sikkerhetsovervåkning Esten
Utarbeid operative rutiner DU TRENGER RUTINER FOR: Innhente samtykke Innsyn i data, dataflyt og behandling Sletting av persondata Utlevering/flytting av data Imøtekomme krav om begrenset behandling Sammen med Driftsleverandør: Rutine for avviksbehandling og rapportering Solide driftsrutiner Esten
SIST, MEN IKKE MINST…. DokumentÉr! Hvert steg, underveis. Esten: Hvorfor dokumentasjon? Du må kunne bevise hva du gjør, og hvordan, om du vil unngå store bøter fra datatilsynet, eller gruppesøksmål Eva: sanksjoner og gruppesøksmål
LYST PÅ MER? BF-SIRT Blog: blog.basefarm.com Artikler på www.basefarm.com http://evajarbekk.blogg.no/ Takk for oss