Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

GDPR – fra teori til virkelighet

PublisertAage Nordli Endret for 4 år siden

Liknende presentasjoner

Presentasjon om: "GDPR – fra teori til virkelighet"— Utskrift av presentasjonen:

1 GDPR – fra teori til virkelighet
Sikkerhet og Sårbarhet, Trondheim 9-10.mai 2017

2 Veien til GDPR compliance
Vi skal snakke om de praktiske tingene som alle må gjøre fram til GDPR trer i kraft om ganske nøyaktig ett år. Vi vil spesielt vise til hvilke aktiviteter man må gjennom hvor det er hjelp å få fra enten juridisk hold eller eventuelle driftspartnere

3 UTNEVN EN DPO DPO: Data Protection Officer / Personvernombud
Må jeg ha et personvernombud? Hvem bør jeg velge? Skal jeg eie eller leie et personvernombud? Utnevn og lær opp ditt personvernombud nå, og la vedkommende lede/bidra til ditt GDPR-prosjekt! Din driftspartner må nødvendigvis ha et personvernombud selv Hvem er personvernombud i ditt kundeforhold? Eva først: Hvem bør være DPO? Hva er spesielt for rollen? Esten: Også dine leverandører og partnere vil ha DPO’er. Etabler relasjoner tidlig

4 KARTLEGG DINE DATA HVA ER EGENTLIG PERSONOPPLYSNINGER?
Vanlige PO - alt som direkte eller indirekte kan identifisere en person Sensitive PO – som i dag, med tillegg av Genetiske data Biometriske data Esten: Eksempler: IP-adresser, identifikatorer det er teknisk mulig i dag, eller i fremtiden, å knytte til ett individ

5 KARTLEGG DINE DATA KARTLEGG OG DOKUMENTER:
Hvilke personopplysninger samles inn, og hvorfor? Hvor lagres dataene? Hvor, og hvordan overføres de til andre? Hvor lenge skal de beholdes? Vurder risiko Din driftspartner må bistå i din kartlegging Gjør gjennomgangen pr. system/tjeneste! Esten - Må gjøres for alle tjenester som lagrer persondata - Lagring. Ofte motstrid mellom andre lovverk og GDPR…

6 KLARGJØR ROLLER HVEM ER:
Behandlingsansvarlig (den som bestemmer hva personopplysningene skal brukes til og derfor også hvorfor opplysningene samles inn) Databehandler (er den som behandler personopplysninger på vegne av den behandlingsansvarlige) Benytter databehandler underleverandører? Lagres persondata i skyen? Innenfor eller utenfor EU? Hvem er ansvarlig for skytjenesten? Søk juridisk bistand ved behov Esten Viktig å tidlig finne ut av dette. Også her kan det være lurt å tenke på dette for hvert system eller tjeneste

7 UTFØR DPIA (Data Protection impact assessments)
DPIA må gjennomføres når: Behandlingen medfører vesentlig risiko for personvernet Behandlingen skjer i stort omfang DPIA er en konsekvensanalyse som: Baserer seg på din kartlegging og prioritering Identifiser risiko og mitigerende tiltak Bør gjennomføres sammen med dine leverandører Esten

8 INNGÅ AVTALER DATABEHANDLERAVTALE:
Inngås mellom behandlingsansvarlig og databehandler(e) Gjelder også skytjenester! Hvem er juridisk ansvarlig for en tjeneste i skyen; du eller din driftspartner? Esten

9 INNGÅ AVTALER PRIVACY SHIELD: MODELLAVTALE: Kun USA
Databehandleravtale/modellavtale kreves i tillegg! MODELLAVTALE: Alle tredjeland Eva

10 UtVIKLE LØSNINGER DINE APPLIKASJONER MÅ SØRGE FOR:
Innebygget personvern Default personvern Funksjoner for sletting/flytting av data Innhenting av samtykke fra brukere DRIFTSLEVERANDØR MÅ: Dokumentere (sertifisere) sin generelle informasjonssikkerhet Sørge for innebygd personvern i driftsløsninger og verktøy Besørge nødvendig sikkerhetsovervåkning Esten

11 Utarbeid operative rutiner
DU TRENGER RUTINER FOR: Innhente samtykke Innsyn i data, dataflyt og behandling Sletting av persondata Utlevering/flytting av data Imøtekomme krav om begrenset behandling Sammen med Driftsleverandør: Rutine for avviksbehandling og rapportering Solide driftsrutiner Esten

12 SIST, MEN IKKE MINST…. DokumentÉr!
Hvert steg, underveis. Esten: Hvorfor dokumentasjon? Du må kunne bevise hva du gjør, og hvordan, om du vil unngå store bøter fra datatilsynet, eller gruppesøksmål Eva: sanksjoner og gruppesøksmål

13 LYST PÅ MER? BF-SIRT Blog: blog.basefarm.com
Artikler på Takk for oss

Laste ned ppt "GDPR – fra teori til virkelighet"

Liknende presentasjoner

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Nasjonale kvalitetsregistre

Nasjonale kvalitetsregistre
Presentasjon av UiOs mal for databehandleravtale, bruk av malen og oppfølging av arbeidet med behandlinger av personopplysninger.

Presentasjon av UiOs mal for databehandleravtale, bruk av malen og oppfølging av arbeidet med behandlinger av personopplysninger.
Instruktørkurs for kommuner Ansvar og avtaler (45 min)

Instruktørkurs for kommuner Ansvar og avtaler (45 min)
Inneholder din applikasjon personopplysninger?

Inneholder din applikasjon personopplysninger?
Om personopplysningslovens betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO.

Om personopplysningslovens betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO.
Fyrtårnprosjekt Individuell Plan Kongsvinger og Eidskog Kommune i samarbeid med Sykehuset Innlandet HF Kongsvinger.

Fyrtårnprosjekt Individuell Plan Kongsvinger og Eidskog Kommune i samarbeid med Sykehuset Innlandet HF Kongsvinger.
1 Nasjonalt introduksjonsregister NIR. Kommunal- og regionaldepartementet 2 NIR-forskriften Kapittel 1: Generelt om formål, virkeområde og definisjoner.

1 Nasjonalt introduksjonsregister NIR. Kommunal- og regionaldepartementet 2 NIR-forskriften Kapittel 1: Generelt om formål, virkeområde og definisjoner.
Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)

Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)
Diskusjon av mulig fremtidig regulering av biometri i Norge Dag Wiese Schartum, AFIN.

Diskusjon av mulig fremtidig regulering av biometri i Norge Dag Wiese Schartum, AFIN.
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN.
Om personopplysningslovens betydning for systemutvikling -grunnkrav Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN.

Om personopplysningslovens betydning for systemutvikling -grunnkrav Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN.
Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2 Prof. Dag Wiese Schartum, AFIN.

Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2 Prof. Dag Wiese Schartum, AFIN.
Databehandleravtaler ifm. HMN LØ RBU 31.08.15 HMN LØ 1.

Databehandleravtaler ifm. HMN LØ RBU HMN LØ 1.
Digital vurdering og eksamen Juridiske rammer Læringsfestivalen 2015 Maren Magnus Jegersberg Juridisk rådgiver IT-direktørens stab Universitetet i Oslo.

Digital vurdering og eksamen Juridiske rammer Læringsfestivalen 2015 Maren Magnus Jegersberg Juridisk rådgiver IT-direktørens stab Universitetet i Oslo.
Personopplysningslovens formål, grunnbegreper og virkeområde

Personopplysningslovens formål, grunnbegreper og virkeområde
Grunnleggende begreper i person-opplysningsloven og lovens virkeområde

Grunnleggende begreper i person-opplysningsloven og lovens virkeområde
Personvern, plikt og rett

Personvern, plikt og rett
Nytt personvernregelverk fra EU

Nytt personvernregelverk fra EU

Liknende presentasjoner

Annonser fra Google