EUs personvernforordning: Krav til leverandører og kan vi designe oss rundt
Personvern og etterlevelse av GDPR i Admincontrol
1. Admincontrol
Tips & Råd for etterlevelse av GDPR
Ole Martin Refvik
Security Manager & Data Protection Officer
Admincontrol AS
1
2. Agenda
2
1. Om Admincontrol
2. Forberedelser til GDPR
3. Endringer vi har gjort
4. Mer informasjon
5. Spørsmål
Admincontrol og GDPR
3. Om Admincontrol
3
Norsk bedrift etablert i 2005
Produkter:
Styre- og ledelsesportal
Virtuelle Data Room
Kontorer i Norge, Sverige, Danmark, Finland og UK
Høyt fokus på sikkerhet – med lagring i Norske datasentre
98 % av kundene våre fornyer sitt abonnent hvert år
Over 2 000 kunder og over 40 000 brukere globalt
Visma eid siden oktober 2017
Abelia medlem
Admincontrol og GDPR
6. Våre kunders behov
6
• Brukervennlig samhandlingsplatform for deling av sensitiv informasjon
• Strenge krav til sikkerhet
• Deling av (børs)-sensitiv informasjon
Admincontrol og GDPR
7. Agenda
7
1. Kort om Admincontrol
2. Forberedelser til GDPR
3. Endringer vi har gjort
4. Mer informasjon
5. Spørsmål
Admincontrol og GDPR
8. GDPR forberedelser
Admincontrol og GDPR 8
Få oversikt over all behandling av personopplysninger
Vurder hvilke personopplysninger du behøver
Etabler sikkerhetstiltak
Gå igjennom dokumentasjon
Etabler prosesser for behandling av personopplysninger
Vurder å opprette personvernombud
9. Internkontroll / ledelsessystem for
informasjonssikkerhet
9
Kartlegging
Implementer
ledelsessystem
Utarbeid rutinerDokumenter
Oppfølging og
avvikshåndtering
Admincontrol og GDPR
10. Skaff oversikt
10
Sjekk med alle deler av organisasjonen
- Hvor behandles personopplysninger?
- Hvilke formål?
Har vi tilstrekkelig grunnlag for behandling?
• Berettiget interesse
• For å opprettholde en avtale
• Lovmessig krav
• Samtykke
- Hvor er de lagret?
• Norge / EU / USA?
- Hvilke sikkerhetstiltak eksister?
• Dokumentasjon på sikkerhetstiltak
• ISAE / SOC 2 rapporter, penetrasjonstesting, ISO 27001 sertifisering.
- Er databehandler avtale på plass?
• Tips 1: EU Model Clauses
• Tips 2: Datatilsynets mal for databehandleravtale
Admincontrol og GDPR
11. Eksempel på oversikt over personopplysninger
som behandles
11Admincontrol og GDPR
https://www.da
tatilsynet.no/re
gelverk-og-
skjema/veilede
re/internkontro
ll_informasjon
ssikkerhet/
12. Utfør konsekvensvurdering
12
Skiller seg fra vanlig
risikovurdering ved at
den tar for seg
personvern
konsekvenser for de
registrerte
Veiledere er tilgjengelig
fra Datatilsynet og
Artikkel 29 gruppen.
Tilpass eksisterende
prosesser (ISO 27001)
Utvidet vår
Risikovurderings
prosess til også å
omhandle alle systemer
og behandlinger som vi
fant fra gjennomgangen
Admincontrol og GDPR
13. Personvernerklæring
13
Alle nettsider må ha en oppdatert og lett tilgjengelig personvernerklæring
Må være forståelig
Bør være med:
- Hvem som er behandlingsansvarlig
- Formålet
- Rettslig grunnlag for behandlingen
- Beskrivelse av personopplysninger som behandles
- Hvordan innhentingen foregår
- Deling med 3. parter
- Sletting og eventuell arkivering
- Rettigheter til de registrerte
- Hvordan opplysningene sikres
- Kontaktinformasjon
Admincontrol og GDPR
14. Forståelse og opplæring
14
Ansatte må læres opp i GDPR og personvern
Internopplæring både via web og videopresentasjoner
- GDPR og personvern generelt
- Vår rolle som databehandler
GDPR Quiz
- Fungerer fint som både test og opplæring.
Data Protection Policy
- Beskriver krav til håndtering av personopplysninger
Admincontrol og GDPR
15. Hva med Personvernombud?
15
Alle kan frivillig opprette Personvernombud
- Må meldes/søkes om via Datatilsynet
- Anbefales
Følgende er påkrevd å ha Personvernombud
- Offentlige virksomheter (med et fåtalls unntak, som domstolene)
- Virksomheter med kjernevirksomhet i å regelmessig og systematisk overvåke personer
i stort omfang
- Virksomheter hvor kjernevirksomheten er å behandle sensitive personopplysninger i
stort omfang, eller personopplysninger relatert til straffedommer og lovbrudd
Kompetanse
- Ha god kunnskap og forståelse om personvern og lovverk
- Bør ha kjennskap til hvordan moderne IT løsninger fungerer
Admincontrol og GDPR
16. Personvernombudets rolle
16
Hovedoppgave:
- Overvåke at personvern ivaretas og at personvernlovgivning følges
Involveres i alle forhold som omhandler behandling av personopplysninger
Rapporterer direkte til toppledelsen/styret
Skal gi råd og informere ansatte og ledelsen
Kontaktpunkt mellom Datatilsynet og virksomheten
Kan være intern eller ekstern
- Viktig med god oversikt og forståelse om virksomhetens:
• Forretningsprosesser
• Bruk av personopplysninger
Admincontrol og GDPR
17. Hva menes med stort omfang?
17
GDPR har ingen eksakt definisjon på hva som utgjør et stort omfang.
Beskrevet i retningslinjer fra Article 29 Working Party
- Antall registrerte, enten som et eksakt antall eller som andel av en populasjon
- Volum av data og/eller omfang av forskjellige datatyper som behandles
- Lengde, eller varighet av behandlingen
- Geografisk utbredelse av behandlingen
Admincontrol og GDPR
18. Eksempler
18
Eksempler på behandlinger som utgjør et stort omfang:
- Behandling av pasientopplysninger i den daglige driften av et sykehus
- Behandling av reiseopplysninger for registrerte brukere av offentlig transport
- Behandling av sanntid geo-lokalisering for en internasjonal matkjede til bruk for
statistiske formål.
- Behandling av kundeopplysninger i den daglige drift av et større selskap.
- Behandling av personopplysninger for målrettet annonsering av en søkemotor.
Eksempler på behandlinger som ikke utgjør et stort omfang:
- Behandling av helseopplysninger utført av en enkelt lege
- Behandling av personopplysninger relatert til kriminelle forhold og lovbrudd av en enkelt
advokat
Admincontrol og GDPR
19. Innebygd personvern (Privacy by Design)
19
Vurder risiko i utviklingsprosessen
- Opplæring i personvern og sikkerhet av ansatte
- Vurdere risiko som en del av vanlig produktutvikling.
Personvern som standardinnstilling
- Løsninger må utvikles slik at personvernet ivaretas
• Endringsmuligheter
• Portabilitet
• Sikring av opplysninger
Admincontrol og GDPR
20. Agenda
20
1. Kort om Admincontrol
2. Forberedelser til GDPR
3. Endringer vi har gjort
4. Mer informasjon
5. Spørsmål
Admincontrol og GDPR
21. Ting vi har måttet endre
21
Lagd eksportfunksjonalitet i tjenesten
- Portaleiere kan nå hente ut alle sine data lagret hos oss på egenhånd
• Tilgjengeliggjort I originalformat I kryptert arkiv (Data Portability)
Konsekvensvurdering er nå standard i alle utviklingsprosjekter
- Tilpassing av prosjektstyringsverktøy og maler
- Opplæring av ansatte, slik at de får et forhold til det å vurdere risiko/konsekvens
- Retningslinjer for vurdering av risiko og forskjellige nivåer
Sikkerhet
- Høy fokus på sikkerhet hele tiden
- Jobbes med kontinuerlig
- ISO 27001 sertifisering
Admincontrol og GDPR
22. Kontrakter
22
Nye kundekontrakter
- Tilpasset krav I GDPR for databehandlere
- Bedre klargjøring av underleverandører
- Våre egne og underleverandørers forpliktelser
- Spesifisering av kategorier av personopplysninger som behandles
Leverandørforhold – hvor vi er behandlingsansvarlig
- Gjennomgang av kontrakter
- Ikke alle avtaler hadde tilstrekkelig Databehandler avtale
• Benyttet Model Clauses ved overføring til utlandet
• I Noen tilfeller hadde leverandører dette allerede klart
Kontrakter med våre underleverandører – I rollen som databehandler
- Egne Databehandleravtaler for å sikre oss og våre kunders behandling av
personopplysninger
- Underleverandører er pliktige å overholde krav fra behandlingsansvarlig
Eksisterende kundekontrakter
- Jobbes med
Admincontrol og GDPR
23. Erfaringer fra kontraktsarbeid
23
Juridisk assistanse
- Nyttig
Integrert del av standard kontraktsmal
Datatilsynets Databehandleravtale mal
Sentrale elementer
- God beskrivelse av behandlingens omfang og formål
- Type personopplysninger som behandles
- Tilfredstillende sikkerhet
- Krav og plikter til retting/sletting
- Krav til sikkerhetsinspeksjoner
Admincontrol og GDPR
24. Utfordringer
24
Forståelse
- Folk forstår at GDPR er viktig, men hva med det daglige?
- Viktig å kommunisere personvern i praksis
- Personvernombud er en nyttig ressurs for alle i bedriften
Oversikt
- Få en prosess på plass for å holde oversikt over all behandling av personopplysninger
Kontraktsarbeidet
- Vi har gjort gjennomlesingen selv
- Fått hjelp av jurister til
• Nye kontraktsmaler
• Tilleggsavtaler
Admincontrol og GDPR
25. Agenda
25
1. Kort om Admincontrol
2. Forberedelser til GDPR
3. Endringer vi har gjort
4. Mer informasjon
5. Spørsmål
Admincontrol og GDPR
26. Nyttige ressurser
26
GPDR forordningen i indeksert form
- http://www.privacy-regulation.eu/en/index.htm (Engelsk, Dansk, Svensk, m.fler)
- https://gdpr-info.eu/ (Engelsk)
Datatilsynet sine veiledere
- https://www.datatilsynet.no/
Retningslinjer og anbefalinger fra Artikkel 29-gruppen
- Datatilsynets nettsider
- http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
GDPR Handbook
- https://www.whitecase.com/publications/article/gdpr-handbook-unlocking-eu-general-
data-protection-regulation
- På Engelsk, nyttig for å se forskjeller mellom gammelt direktiv og ny forordning.
Admincontrol og GDPR
1. Map the company's personal information
Get an overview of where all stored personal information throughout the company originates and document what you use the information for. Identify where information is available, who has access to them and if they are exposed to any risk in sharing etc.
2. Determine which personal information you must keep
Do not keep more information than you need, and remove all information that is not used.
If the company collects massive data for no specific purpose, you will not be able to continue with this when GDPR enters into force. GDPR encourages a more disciplined processing of personal data.
In the cleanup process you should ask yourself:
Exactly why do we save this information instead of deleting them?
Why do we store all this information?
What are we trying to accomplish by collecting all these categories of personal information?
Is the financial gain of erasing this information greater than by encrypting it?
3. Establish security measures
Implement and take action to secure the infrastructure and prevent data interruption. This involves getting in place routines to quickly alert individuals and authorities in case of burglary.
Be sure to check this with your suppliers. Outsourcing does not release you from liability. You must check that they also have the correct safety guidelines in place.
4. Review your documentation
Under the GDPR, individuals must give an active consent to the purchase and processing of their own personal data. This means that a predefined field is not sufficient for a valid consent to be said. You must review all privacy statements and information and adjust them where necessary.
5. Establish processes for managing personal information
As mentioned earlier, individuals have more basic rights according to GDPR.
You must establish guidelines and procedures for dealing with each of these situations.
For example:
How can individuals give a legal consent?
What is the process if an individual wishes to delete personal information?
How can you be sure that this is done on all platforms and that the information is really deleted?
If an individual wishes to transfer his personal information, how do you do this?
How can you confirm that the person who asked for the personal information to be transferred is who he or she claims to be?
What is the communication plan if you should be exposed to a data break?