SlideShare ist ein Scribd-Unternehmen logo

Personvern og etterlevelse av GDPR i Admincontrol

Als PPTX, PDF herunterladen
Ole Martin Refvik
Ole Martin Refvik

Tips og råd for etterlevelse av ny personvernforordning og hvordan dette er jobbet med i Admincontrol

Business
1 von 27
Admincontrol Tips & Råd for etterlevelse av GDPR Ole Martin Refvik Security Manager & Data Protection Officer Admincontrol AS 1
Agenda 2 1. Om Admincontrol 2. Forberedelser til GDPR 3. Endringer vi har gjort 4. Mer informasjon 5. Spørsmål Admincontrol og GDPR
Om Admincontrol 3  Norsk bedrift etablert i 2005  Produkter:  Styre- og ledelsesportal  Virtuelle Data Room  Kontorer i Norge, Sverige, Danmark, Finland og UK  Høyt fokus på sikkerhet – med lagring i Norske datasentre  98 % av kundene våre fornyer sitt abonnent hvert år  Over 2 000 kunder og over 40 000 brukere globalt  Visma eid siden oktober 2017  Abelia medlem Admincontrol og GDPR
Admincontrol benyttes ofte på tvers av virksomheten 4Admincontrol og GDPR
Sikkerhet, kontroll og effektive prosesser 5Admincontrol og GDPR
Våre kunders behov 6 • Brukervennlig samhandlingsplatform for deling av sensitiv informasjon • Strenge krav til sikkerhet • Deling av (børs)-sensitiv informasjon Admincontrol og GDPR
Agenda 7 1. Kort om Admincontrol 2. Forberedelser til GDPR 3. Endringer vi har gjort 4. Mer informasjon 5. Spørsmål Admincontrol og GDPR
GDPR forberedelser Admincontrol og GDPR 8 Få oversikt over all behandling av personopplysninger Vurder hvilke personopplysninger du behøver Etabler sikkerhetstiltak Gå igjennom dokumentasjon Etabler prosesser for behandling av personopplysninger Vurder å opprette personvernombud
Internkontroll / ledelsessystem for informasjonssikkerhet 9 Kartlegging Implementer ledelsessystem Utarbeid rutinerDokumenter Oppfølging og avvikshåndtering Admincontrol og GDPR
Skaff oversikt 10  Sjekk med alle deler av organisasjonen - Hvor behandles personopplysninger? - Hvilke formål? Har vi tilstrekkelig grunnlag for behandling? • Berettiget interesse • For å opprettholde en avtale • Lovmessig krav • Samtykke - Hvor er de lagret? • Norge / EU / USA? - Hvilke sikkerhetstiltak eksister? • Dokumentasjon på sikkerhetstiltak • ISAE / SOC 2 rapporter, penetrasjonstesting, ISO 27001 sertifisering. - Er databehandler avtale på plass? • Tips 1: EU Model Clauses • Tips 2: Datatilsynets mal for databehandleravtale Admincontrol og GDPR
Eksempel på oversikt over personopplysninger som behandles 11Admincontrol og GDPR https://www.da tatilsynet.no/re gelverk-og- skjema/veilede re/internkontro ll_informasjon ssikkerhet/
Utfør konsekvensvurdering 12 Skiller seg fra vanlig risikovurdering ved at den tar for seg personvern konsekvenser for de registrerte Veiledere er tilgjengelig fra Datatilsynet og Artikkel 29 gruppen. Tilpass eksisterende prosesser (ISO 27001) Utvidet vår Risikovurderings prosess til også å omhandle alle systemer og behandlinger som vi fant fra gjennomgangen Admincontrol og GDPR
Personvernerklæring 13  Alle nettsider må ha en oppdatert og lett tilgjengelig personvernerklæring  Må være forståelig  Bør være med: - Hvem som er behandlingsansvarlig - Formålet - Rettslig grunnlag for behandlingen - Beskrivelse av personopplysninger som behandles - Hvordan innhentingen foregår - Deling med 3. parter - Sletting og eventuell arkivering - Rettigheter til de registrerte - Hvordan opplysningene sikres - Kontaktinformasjon Admincontrol og GDPR
Forståelse og opplæring 14  Ansatte må læres opp i GDPR og personvern  Internopplæring både via web og videopresentasjoner - GDPR og personvern generelt - Vår rolle som databehandler  GDPR Quiz - Fungerer fint som både test og opplæring.  Data Protection Policy - Beskriver krav til håndtering av personopplysninger Admincontrol og GDPR
Hva med Personvernombud? 15  Alle kan frivillig opprette Personvernombud - Må meldes/søkes om via Datatilsynet - Anbefales  Følgende er påkrevd å ha Personvernombud - Offentlige virksomheter (med et fåtalls unntak, som domstolene) - Virksomheter med kjernevirksomhet i å regelmessig og systematisk overvåke personer i stort omfang - Virksomheter hvor kjernevirksomheten er å behandle sensitive personopplysninger i stort omfang, eller personopplysninger relatert til straffedommer og lovbrudd  Kompetanse - Ha god kunnskap og forståelse om personvern og lovverk - Bør ha kjennskap til hvordan moderne IT løsninger fungerer Admincontrol og GDPR
Personvernombudets rolle 16  Hovedoppgave: - Overvåke at personvern ivaretas og at personvernlovgivning følges  Involveres i alle forhold som omhandler behandling av personopplysninger  Rapporterer direkte til toppledelsen/styret  Skal gi råd og informere ansatte og ledelsen  Kontaktpunkt mellom Datatilsynet og virksomheten  Kan være intern eller ekstern - Viktig med god oversikt og forståelse om virksomhetens: • Forretningsprosesser • Bruk av personopplysninger Admincontrol og GDPR
Hva menes med stort omfang? 17  GDPR har ingen eksakt definisjon på hva som utgjør et stort omfang.  Beskrevet i retningslinjer fra Article 29 Working Party - Antall registrerte, enten som et eksakt antall eller som andel av en populasjon - Volum av data og/eller omfang av forskjellige datatyper som behandles - Lengde, eller varighet av behandlingen - Geografisk utbredelse av behandlingen Admincontrol og GDPR
Eksempler 18  Eksempler på behandlinger som utgjør et stort omfang: - Behandling av pasientopplysninger i den daglige driften av et sykehus - Behandling av reiseopplysninger for registrerte brukere av offentlig transport - Behandling av sanntid geo-lokalisering for en internasjonal matkjede til bruk for statistiske formål. - Behandling av kundeopplysninger i den daglige drift av et større selskap. - Behandling av personopplysninger for målrettet annonsering av en søkemotor.  Eksempler på behandlinger som ikke utgjør et stort omfang: - Behandling av helseopplysninger utført av en enkelt lege - Behandling av personopplysninger relatert til kriminelle forhold og lovbrudd av en enkelt advokat Admincontrol og GDPR
Innebygd personvern (Privacy by Design) 19  Vurder risiko i utviklingsprosessen - Opplæring i personvern og sikkerhet av ansatte - Vurdere risiko som en del av vanlig produktutvikling.  Personvern som standardinnstilling - Løsninger må utvikles slik at personvernet ivaretas • Endringsmuligheter • Portabilitet • Sikring av opplysninger Admincontrol og GDPR
Agenda 20 1. Kort om Admincontrol 2. Forberedelser til GDPR 3. Endringer vi har gjort 4. Mer informasjon 5. Spørsmål Admincontrol og GDPR
Ting vi har måttet endre 21  Lagd eksportfunksjonalitet i tjenesten - Portaleiere kan nå hente ut alle sine data lagret hos oss på egenhånd • Tilgjengeliggjort I originalformat I kryptert arkiv (Data Portability)  Konsekvensvurdering er nå standard i alle utviklingsprosjekter - Tilpassing av prosjektstyringsverktøy og maler - Opplæring av ansatte, slik at de får et forhold til det å vurdere risiko/konsekvens - Retningslinjer for vurdering av risiko og forskjellige nivåer  Sikkerhet - Høy fokus på sikkerhet hele tiden - Jobbes med kontinuerlig - ISO 27001 sertifisering Admincontrol og GDPR
Kontrakter 22  Nye kundekontrakter - Tilpasset krav I GDPR for databehandlere - Bedre klargjøring av underleverandører - Våre egne og underleverandørers forpliktelser - Spesifisering av kategorier av personopplysninger som behandles  Leverandørforhold – hvor vi er behandlingsansvarlig - Gjennomgang av kontrakter - Ikke alle avtaler hadde tilstrekkelig Databehandler avtale • Benyttet Model Clauses ved overføring til utlandet • I Noen tilfeller hadde leverandører dette allerede klart  Kontrakter med våre underleverandører – I rollen som databehandler - Egne Databehandleravtaler for å sikre oss og våre kunders behandling av personopplysninger - Underleverandører er pliktige å overholde krav fra behandlingsansvarlig  Eksisterende kundekontrakter - Jobbes med Admincontrol og GDPR
Erfaringer fra kontraktsarbeid 23  Juridisk assistanse - Nyttig  Integrert del av standard kontraktsmal  Datatilsynets Databehandleravtale mal  Sentrale elementer - God beskrivelse av behandlingens omfang og formål - Type personopplysninger som behandles - Tilfredstillende sikkerhet - Krav og plikter til retting/sletting - Krav til sikkerhetsinspeksjoner Admincontrol og GDPR
Utfordringer 24  Forståelse - Folk forstår at GDPR er viktig, men hva med det daglige? - Viktig å kommunisere personvern i praksis - Personvernombud er en nyttig ressurs for alle i bedriften  Oversikt - Få en prosess på plass for å holde oversikt over all behandling av personopplysninger  Kontraktsarbeidet - Vi har gjort gjennomlesingen selv - Fått hjelp av jurister til • Nye kontraktsmaler • Tilleggsavtaler Admincontrol og GDPR
Agenda 25 1. Kort om Admincontrol 2. Forberedelser til GDPR 3. Endringer vi har gjort 4. Mer informasjon 5. Spørsmål Admincontrol og GDPR
Nyttige ressurser 26  GPDR forordningen i indeksert form - http://www.privacy-regulation.eu/en/index.htm (Engelsk, Dansk, Svensk, m.fler) - https://gdpr-info.eu/ (Engelsk)  Datatilsynet sine veiledere - https://www.datatilsynet.no/  Retningslinjer og anbefalinger fra Artikkel 29-gruppen - Datatilsynets nettsider - http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083  GDPR Handbook - https://www.whitecase.com/publications/article/gdpr-handbook-unlocking-eu-general- data-protection-regulation - På Engelsk, nyttig for å se forskjeller mellom gammelt direktiv og ny forordning. Admincontrol og GDPR
Spørsmål?

Empfohlen

Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
GDPR datainnsamling på web
GDPR datainnsamling på webGDPR datainnsamling på web
GDPR datainnsamling på webKjell Steffner
 
GDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserGDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserKjell Steffner
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernEva Jarbekk
 
EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? Kristian Foss
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Eva Jarbekk
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxEva Jarbekk
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Eva Jarbekk
 

Empfohlen

Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
GDPR datainnsamling på web
GDPR datainnsamling på webGDPR datainnsamling på web
GDPR datainnsamling på webKjell Steffner
 
GDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserGDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserKjell Steffner
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernEva Jarbekk
 
EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? Kristian Foss
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Eva Jarbekk
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxEva Jarbekk
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Eva Jarbekk
 
Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Jermund Ottermo
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGThorbjørn Værp
 
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxEva Jarbekk
 
Inngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterInngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterKjell Steffner
 
Digitaliseringsstrategi FT
Digitaliseringsstrategi FTDigitaliseringsstrategi FT
Digitaliseringsstrategi FTAnders Hoff
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserEva Jarbekk
 
Bdo kraftbransjen defo
Bdo kraftbransjen defoBdo kraftbransjen defo
Bdo kraftbransjen defoJanni Frederiksen Kalafatis
 
Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Geir André Strømsvold
 
GDPR-helsesjekk
GDPR-helsesjekkGDPR-helsesjekk
GDPR-helsesjekkKjell Steffner
 
Statens legemiddelverk - direktør Gro Ramsten Wesenberg
Statens legemiddelverk - direktør Gro Ramsten WesenbergStatens legemiddelverk - direktør Gro Ramsten Wesenberg
Statens legemiddelverk - direktør Gro Ramsten WesenbergVisma Consulting AS
 
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio Kristian Foss
 
It driftsperson fra mekaniker til kartleser og sjåfør
It driftsperson fra mekaniker til kartleser og sjåførIt driftsperson fra mekaniker til kartleser og sjåfør
It driftsperson fra mekaniker til kartleser og sjåførSimen Sommerfeldt
 
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikSenter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtalerSenter for IKT i utdanningen, redaksjon
 
Hvorfor personvern er viktig for kommunikasjon – med Eva Jarbekk
Hvorfor personvern er viktig for kommunikasjon – med Eva JarbekkHvorfor personvern er viktig for kommunikasjon – med Eva Jarbekk
Hvorfor personvern er viktig for kommunikasjon – med Eva Jarbekkwebdagene
 
Inngåelse og oppfølging av it-kontrakter
Inngåelse og oppfølging av it-kontrakterInngåelse og oppfølging av it-kontrakter
Inngåelse og oppfølging av it-kontrakterLYNX advokatfirma DA
 
Inngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterInngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterKjell Steffner
 
Personvern og databehandleravtaler Feide
Personvern og databehandleravtaler FeidePersonvern og databehandleravtaler Feide
Personvern og databehandleravtaler FeideSenter for IKT i utdanningen, redaksjon
 
Databehandleravtaler
DatabehandleravtalerDatabehandleravtaler
DatabehandleravtalerSenter for IKT i utdanningen, redaksjon
 
EUs personvernforordning: Krav til leverandører og kan vi designe oss rundt
EUs personvernforordning: Krav til leverandører og kan vi designe oss rundtEUs personvernforordning: Krav til leverandører og kan vi designe oss rundt
EUs personvernforordning: Krav til leverandører og kan vi designe oss rundtSimen Sommerfeldt
 

Weitere ähnliche Inhalte

Ähnlich wie Personvern og etterlevelse av GDPR i Admincontrol

Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Jermund Ottermo
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGThorbjørn Værp
 
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxEva Jarbekk
 
Inngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterInngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterKjell Steffner
 
Digitaliseringsstrategi FT
Digitaliseringsstrategi FTDigitaliseringsstrategi FT
Digitaliseringsstrategi FTAnders Hoff
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserEva Jarbekk
 
Statens legemiddelverk - direktør Gro Ramsten Wesenberg
Statens legemiddelverk - direktør Gro Ramsten WesenbergStatens legemiddelverk - direktør Gro Ramsten Wesenberg
Statens legemiddelverk - direktør Gro Ramsten WesenbergVisma Consulting AS
 
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio Kristian Foss
 
It driftsperson fra mekaniker til kartleser og sjåfør
It driftsperson fra mekaniker til kartleser og sjåførIt driftsperson fra mekaniker til kartleser og sjåfør
It driftsperson fra mekaniker til kartleser og sjåførSimen Sommerfeldt
 
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikSenter for IKT i utdanningen, redaksjon
 
Hvorfor personvern er viktig for kommunikasjon – med Eva Jarbekk
Hvorfor personvern er viktig for kommunikasjon – med Eva JarbekkHvorfor personvern er viktig for kommunikasjon – med Eva Jarbekk
Hvorfor personvern er viktig for kommunikasjon – med Eva Jarbekkwebdagene
 
Inngåelse og oppfølging av it-kontrakter
Inngåelse og oppfølging av it-kontrakterInngåelse og oppfølging av it-kontrakter
Inngåelse og oppfølging av it-kontrakterLYNX advokatfirma DA
 
Inngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterInngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterKjell Steffner
 
EUs personvernforordning: Krav til leverandører og kan vi designe oss rundt
EUs personvernforordning: Krav til leverandører og kan vi designe oss rundtEUs personvernforordning: Krav til leverandører og kan vi designe oss rundt
EUs personvernforordning: Krav til leverandører og kan vi designe oss rundtSimen Sommerfeldt
 

Ähnlich wie Personvern og etterlevelse av GDPR i Admincontrol (20)

Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCG
 
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
 
Inngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterInngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakter
 
Digitaliseringsstrategi FT
Digitaliseringsstrategi FTDigitaliseringsstrategi FT
Digitaliseringsstrategi FT
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
 
Bdo kraftbransjen defo
Bdo kraftbransjen defoBdo kraftbransjen defo
Bdo kraftbransjen defo
 
Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0
 
GDPR-helsesjekk
GDPR-helsesjekkGDPR-helsesjekk
GDPR-helsesjekk
 
Statens legemiddelverk - direktør Gro Ramsten Wesenberg
Statens legemiddelverk - direktør Gro Ramsten WesenbergStatens legemiddelverk - direktør Gro Ramsten Wesenberg
Statens legemiddelverk - direktør Gro Ramsten Wesenberg
 
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio
 
It driftsperson fra mekaniker til kartleser og sjåfør
It driftsperson fra mekaniker til kartleser og sjåførIt driftsperson fra mekaniker til kartleser og sjåfør
It driftsperson fra mekaniker til kartleser og sjåfør
 
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
 
Hvorfor personvern er viktig for kommunikasjon – med Eva Jarbekk
Hvorfor personvern er viktig for kommunikasjon – med Eva JarbekkHvorfor personvern er viktig for kommunikasjon – med Eva Jarbekk
Hvorfor personvern er viktig for kommunikasjon – med Eva Jarbekk
 
Inngåelse og oppfølging av it-kontrakter
Inngåelse og oppfølging av it-kontrakterInngåelse og oppfølging av it-kontrakter
Inngåelse og oppfølging av it-kontrakter
 
Inngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterInngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakter
 
Personvern og databehandleravtaler Feide
Personvern og databehandleravtaler FeidePersonvern og databehandleravtaler Feide
Personvern og databehandleravtaler Feide
 
Databehandleravtaler
DatabehandleravtalerDatabehandleravtaler
Databehandleravtaler
 
EUs personvernforordning: Krav til leverandører og kan vi designe oss rundt
EUs personvernforordning: Krav til leverandører og kan vi designe oss rundtEUs personvernforordning: Krav til leverandører og kan vi designe oss rundt
EUs personvernforordning: Krav til leverandører og kan vi designe oss rundt
 

Personvern og etterlevelse av GDPR i Admincontrol

  • 1. Admincontrol Tips & Råd for etterlevelse av GDPR Ole Martin Refvik Security Manager & Data Protection Officer Admincontrol AS 1
  • 2. Agenda 2 1. Om Admincontrol 2. Forberedelser til GDPR 3. Endringer vi har gjort 4. Mer informasjon 5. Spørsmål Admincontrol og GDPR
  • 3. Om Admincontrol 3  Norsk bedrift etablert i 2005  Produkter:  Styre- og ledelsesportal  Virtuelle Data Room  Kontorer i Norge, Sverige, Danmark, Finland og UK  Høyt fokus på sikkerhet – med lagring i Norske datasentre  98 % av kundene våre fornyer sitt abonnent hvert år  Over 2 000 kunder og over 40 000 brukere globalt  Visma eid siden oktober 2017  Abelia medlem Admincontrol og GDPR
  • 4. Admincontrol benyttes ofte på tvers av virksomheten 4Admincontrol og GDPR
  • 5. Sikkerhet, kontroll og effektive prosesser 5Admincontrol og GDPR
  • 6. Våre kunders behov 6 • Brukervennlig samhandlingsplatform for deling av sensitiv informasjon • Strenge krav til sikkerhet • Deling av (børs)-sensitiv informasjon Admincontrol og GDPR
  • 7. Agenda 7 1. Kort om Admincontrol 2. Forberedelser til GDPR 3. Endringer vi har gjort 4. Mer informasjon 5. Spørsmål Admincontrol og GDPR
  • 8. GDPR forberedelser Admincontrol og GDPR 8 Få oversikt over all behandling av personopplysninger Vurder hvilke personopplysninger du behøver Etabler sikkerhetstiltak Gå igjennom dokumentasjon Etabler prosesser for behandling av personopplysninger Vurder å opprette personvernombud
  • 9. Internkontroll / ledelsessystem for informasjonssikkerhet 9 Kartlegging Implementer ledelsessystem Utarbeid rutinerDokumenter Oppfølging og avvikshåndtering Admincontrol og GDPR
  • 10. Skaff oversikt 10  Sjekk med alle deler av organisasjonen - Hvor behandles personopplysninger? - Hvilke formål? Har vi tilstrekkelig grunnlag for behandling? • Berettiget interesse • For å opprettholde en avtale • Lovmessig krav • Samtykke - Hvor er de lagret? • Norge / EU / USA? - Hvilke sikkerhetstiltak eksister? • Dokumentasjon på sikkerhetstiltak • ISAE / SOC 2 rapporter, penetrasjonstesting, ISO 27001 sertifisering. - Er databehandler avtale på plass? • Tips 1: EU Model Clauses • Tips 2: Datatilsynets mal for databehandleravtale Admincontrol og GDPR
  • 11. Eksempel på oversikt over personopplysninger som behandles 11Admincontrol og GDPR https://www.da tatilsynet.no/re gelverk-og- skjema/veilede re/internkontro ll_informasjon ssikkerhet/
  • 12. Utfør konsekvensvurdering 12 Skiller seg fra vanlig risikovurdering ved at den tar for seg personvern konsekvenser for de registrerte Veiledere er tilgjengelig fra Datatilsynet og Artikkel 29 gruppen. Tilpass eksisterende prosesser (ISO 27001) Utvidet vår Risikovurderings prosess til også å omhandle alle systemer og behandlinger som vi fant fra gjennomgangen Admincontrol og GDPR
  • 13. Personvernerklæring 13  Alle nettsider må ha en oppdatert og lett tilgjengelig personvernerklæring  Må være forståelig  Bør være med: - Hvem som er behandlingsansvarlig - Formålet - Rettslig grunnlag for behandlingen - Beskrivelse av personopplysninger som behandles - Hvordan innhentingen foregår - Deling med 3. parter - Sletting og eventuell arkivering - Rettigheter til de registrerte - Hvordan opplysningene sikres - Kontaktinformasjon Admincontrol og GDPR
  • 14. Forståelse og opplæring 14  Ansatte må læres opp i GDPR og personvern  Internopplæring både via web og videopresentasjoner - GDPR og personvern generelt - Vår rolle som databehandler  GDPR Quiz - Fungerer fint som både test og opplæring.  Data Protection Policy - Beskriver krav til håndtering av personopplysninger Admincontrol og GDPR
  • 15. Hva med Personvernombud? 15  Alle kan frivillig opprette Personvernombud - Må meldes/søkes om via Datatilsynet - Anbefales  Følgende er påkrevd å ha Personvernombud - Offentlige virksomheter (med et fåtalls unntak, som domstolene) - Virksomheter med kjernevirksomhet i å regelmessig og systematisk overvåke personer i stort omfang - Virksomheter hvor kjernevirksomheten er å behandle sensitive personopplysninger i stort omfang, eller personopplysninger relatert til straffedommer og lovbrudd  Kompetanse - Ha god kunnskap og forståelse om personvern og lovverk - Bør ha kjennskap til hvordan moderne IT løsninger fungerer Admincontrol og GDPR
  • 16. Personvernombudets rolle 16  Hovedoppgave: - Overvåke at personvern ivaretas og at personvernlovgivning følges  Involveres i alle forhold som omhandler behandling av personopplysninger  Rapporterer direkte til toppledelsen/styret  Skal gi råd og informere ansatte og ledelsen  Kontaktpunkt mellom Datatilsynet og virksomheten  Kan være intern eller ekstern - Viktig med god oversikt og forståelse om virksomhetens: • Forretningsprosesser • Bruk av personopplysninger Admincontrol og GDPR
  • 17. Hva menes med stort omfang? 17  GDPR har ingen eksakt definisjon på hva som utgjør et stort omfang.  Beskrevet i retningslinjer fra Article 29 Working Party - Antall registrerte, enten som et eksakt antall eller som andel av en populasjon - Volum av data og/eller omfang av forskjellige datatyper som behandles - Lengde, eller varighet av behandlingen - Geografisk utbredelse av behandlingen Admincontrol og GDPR
  • 18. Eksempler 18  Eksempler på behandlinger som utgjør et stort omfang: - Behandling av pasientopplysninger i den daglige driften av et sykehus - Behandling av reiseopplysninger for registrerte brukere av offentlig transport - Behandling av sanntid geo-lokalisering for en internasjonal matkjede til bruk for statistiske formål. - Behandling av kundeopplysninger i den daglige drift av et større selskap. - Behandling av personopplysninger for målrettet annonsering av en søkemotor.  Eksempler på behandlinger som ikke utgjør et stort omfang: - Behandling av helseopplysninger utført av en enkelt lege - Behandling av personopplysninger relatert til kriminelle forhold og lovbrudd av en enkelt advokat Admincontrol og GDPR
  • 19. Innebygd personvern (Privacy by Design) 19  Vurder risiko i utviklingsprosessen - Opplæring i personvern og sikkerhet av ansatte - Vurdere risiko som en del av vanlig produktutvikling.  Personvern som standardinnstilling - Løsninger må utvikles slik at personvernet ivaretas • Endringsmuligheter • Portabilitet • Sikring av opplysninger Admincontrol og GDPR
  • 20. Agenda 20 1. Kort om Admincontrol 2. Forberedelser til GDPR 3. Endringer vi har gjort 4. Mer informasjon 5. Spørsmål Admincontrol og GDPR
  • 21. Ting vi har måttet endre 21  Lagd eksportfunksjonalitet i tjenesten - Portaleiere kan nå hente ut alle sine data lagret hos oss på egenhånd • Tilgjengeliggjort I originalformat I kryptert arkiv (Data Portability)  Konsekvensvurdering er nå standard i alle utviklingsprosjekter - Tilpassing av prosjektstyringsverktøy og maler - Opplæring av ansatte, slik at de får et forhold til det å vurdere risiko/konsekvens - Retningslinjer for vurdering av risiko og forskjellige nivåer  Sikkerhet - Høy fokus på sikkerhet hele tiden - Jobbes med kontinuerlig - ISO 27001 sertifisering Admincontrol og GDPR
  • 22. Kontrakter 22  Nye kundekontrakter - Tilpasset krav I GDPR for databehandlere - Bedre klargjøring av underleverandører - Våre egne og underleverandørers forpliktelser - Spesifisering av kategorier av personopplysninger som behandles  Leverandørforhold – hvor vi er behandlingsansvarlig - Gjennomgang av kontrakter - Ikke alle avtaler hadde tilstrekkelig Databehandler avtale • Benyttet Model Clauses ved overføring til utlandet • I Noen tilfeller hadde leverandører dette allerede klart  Kontrakter med våre underleverandører – I rollen som databehandler - Egne Databehandleravtaler for å sikre oss og våre kunders behandling av personopplysninger - Underleverandører er pliktige å overholde krav fra behandlingsansvarlig  Eksisterende kundekontrakter - Jobbes med Admincontrol og GDPR
  • 23. Erfaringer fra kontraktsarbeid 23  Juridisk assistanse - Nyttig  Integrert del av standard kontraktsmal  Datatilsynets Databehandleravtale mal  Sentrale elementer - God beskrivelse av behandlingens omfang og formål - Type personopplysninger som behandles - Tilfredstillende sikkerhet - Krav og plikter til retting/sletting - Krav til sikkerhetsinspeksjoner Admincontrol og GDPR
  • 24. Utfordringer 24  Forståelse - Folk forstår at GDPR er viktig, men hva med det daglige? - Viktig å kommunisere personvern i praksis - Personvernombud er en nyttig ressurs for alle i bedriften  Oversikt - Få en prosess på plass for å holde oversikt over all behandling av personopplysninger  Kontraktsarbeidet - Vi har gjort gjennomlesingen selv - Fått hjelp av jurister til • Nye kontraktsmaler • Tilleggsavtaler Admincontrol og GDPR
  • 25. Agenda 25 1. Kort om Admincontrol 2. Forberedelser til GDPR 3. Endringer vi har gjort 4. Mer informasjon 5. Spørsmål Admincontrol og GDPR
  • 26. Nyttige ressurser 26  GPDR forordningen i indeksert form - http://www.privacy-regulation.eu/en/index.htm (Engelsk, Dansk, Svensk, m.fler) - https://gdpr-info.eu/ (Engelsk)  Datatilsynet sine veiledere - https://www.datatilsynet.no/  Retningslinjer og anbefalinger fra Artikkel 29-gruppen - Datatilsynets nettsider - http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083  GDPR Handbook - https://www.whitecase.com/publications/article/gdpr-handbook-unlocking-eu-general- data-protection-regulation - På Engelsk, nyttig for å se forskjeller mellom gammelt direktiv og ny forordning. Admincontrol og GDPR

Hinweis der Redaktion

  1. Christian
  2. Christian
  3. 1. Map the company's personal information Get an overview of where all stored personal information throughout the company originates and document what you use the information for. Identify where information is available, who has access to them and if they are exposed to any risk in sharing etc. 2. Determine which personal information you must keep Do not keep more information than you need, and remove all information that is not used.  If the company collects massive data for no specific purpose, you will not be able to continue with this when GDPR enters into force. GDPR encourages a more disciplined processing of personal data. In the cleanup process you should ask yourself: Exactly why do we save this information instead of deleting them? Why do we store all this information? What are we trying to accomplish by collecting all these categories of personal information? Is the financial gain of erasing this information greater than by encrypting it? 3. Establish security measures Implement and take action to secure the infrastructure and prevent data interruption. This involves getting in place routines to quickly alert individuals and authorities in case of burglary. Be sure to check this with your suppliers. Outsourcing does not release you from liability. You must check that they also have the correct safety guidelines in place. 4. Review your documentation Under the GDPR, individuals must give an active consent to the purchase and processing of their own personal data. This means that a predefined field is not sufficient for a valid consent to be said. You must review all privacy statements and information and adjust them where necessary. 5. Establish processes for managing personal information As mentioned earlier, individuals have more basic rights according to GDPR. You must establish guidelines and procedures for dealing with each of these situations. For example: How can individuals give a legal consent? What is the process if an individual wishes to delete personal information? How can you be sure that this is done on all platforms and that the information is really deleted? If an individual wishes to transfer his personal information, how do you do this? How can you confirm that the person who asked for the personal information to be transferred is who he or she claims to be? What is the communication plan if you should be exposed to a data break?
  4. Christian
  5. Christian