Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Digfo gdpr presentasjon 1.0

143 views

Published on

GDPR - Ny personvernlov. Hva er det, hva betyr det, hva gjør vi. En presentasjon fra DIGFO

Published in: Business
  • Be the first to comment

  • Be the first to like this

Digfo gdpr presentasjon 1.0

  1. 1. INFORMASJON, SYSTEM OG NETTVERKSSIKKERHET Som spesialister innen GDPR får vi din virksomhet i samsvar med den nye personvernloven.
  2. 2. NY PERSONVERNLOV GENERAL DATA PROTECTION REGULATION
  3. 3. DIGFO modellen Person Prosess Teknologi Agenda: GDPR – Ny personvernlov • Hva er det • Hva betyr det • Hva gjør vi
  4. 4. Tydelige krav til fremgangsmåte ved behandling av personopplysninger • Informasjon • Risikobasert tilnærming • Åpenhet og etterprøvbarhet
  5. 5. Alle virksomheter som behandler personopplysninger om egne ansatte, kunder, brukere eller andre må følge de nye reglene Alle virksomheter som har registrerte i EU/EØS får nye plikter • Man skal gi god informasjon om hvordan personopplysninger behandles • Vurdere risiko og personvernkonsekvenser • Bygge personvern inn i nye løsninger • Mange må opprette personvernombud • Databehandlere får nye plikter • Alle bør samarbeide i egne nettverk og følge bransjenormer • Alle får krav til avvikshåndtering • Alle må oppfylle borgernes nye rettigheter
  6. 6. EU • Belgia • Bulgaria • Danmark • Estland • Finland • Frankrike • Hellas • Irland • Italia • Kypros • Litauen • Latvia • Luxembourg • Malta • Island, • Liechtenstein • Norge EØS • Nederland • Polen • Portugal • Romania • Slovakia • Slovenia • Spania • Storbritannia • Sverige • Tsjekkia • Tyskland • Ungarn • Østerrike Når gjelder GDPR?
  7. 7. Antall ord
  8. 8. Definisjoner Behandlingsansvarlig: Den som definerer formål og grunnlag. Databehandler: Oppdragsmottaker. Registrerte: Personen/Kunden Tilsynsmyndighet: Rådgiver, Tilsyn, Bøter, Klage. Prossessering: Samle inn, bruke, overføre, slette/arkivere. (Manuelt/Automatisk) Personlig data: Opplysning/Informasjon som kan direkte eller indirekte identifisere en person
  9. 9. Hva er en personopplysning, og hva er sensitive personopplysninger? Personopplysninger er alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson.
  10. 10. Personopplysninger • Navn • Adresse • Telefonnummer • Epost • Fødelsnummer • Bilde • Lydopptak • Adferd • Personnummer Særlige kategorier (Sensitiv) • Politisk oppfatning • Religion • Filosofisk overbevisning • Fagforeningsmedlemskap • Helseopplysninger • Seksuelle forhold og legning • Straffedommer • Lovovertredelse • Genetiske og biometriske opplysninger
  11. 11. Dine rettigheter Artikkel 15. Rett til innsyn Artikkel 16. Rett til retting Artikkel 17. Rett til sletting Artikkel 18. Rett til begrensning Artikkel 20. Rett til dataportabilitet Artikkel 21. Rett til å protestere Artikkel 22. Rettigheter ved automatiserte avgjørelser
  12. 12. Personvern på arbeidsplassen • Relevant for alle – enten som arbeidsgiver eller arbeidstaker • Arbeidsgiver er behandlingsansvarlig • Arbeidstaker har rettigheter som en registrert • Personopplysningslovens generelle regler må overholdes • I tillegg noen særnorske regler som gjelder i arbeidsforhold
  13. 13. Virksomhetenes plikter 01. Fastsette formål 02. Ha behandlingsgrunnlag 03. Informasjon og åpenhet 04. Legge til rette for rettigheter 05. Retting og sletting 06. Personvernombud 07. Vurdering av personvernkonsekvenser og forhåndsdrøftelse 08. Innebygd personvern 09. Etablere internkontroll 10. Informasjonssikkerhet 11. Protokoll over behandlingsaktiviteter 12. Databehandleravtale 13. Håndtere avvik 14. Spesielt om overføring av opplysninger til utlandet
  14. 14. Sanksjoner – overtredelsesgebyr Brudd på behandlingsansvarliges (også databehandleres) forpliktelser 10 millioner euro, eller 2% årlig global omsetning Overtredelse av grunnprinsippene (inkludert samtykke) 20 millioner euro, eller 4% av årlig global omsetning Overtredelse av påbud fra Datatilsynet 20 millioner euro, eller 4% av årlig global omsetning
  15. 15. Samtykke Samtykket kan trekkes • Forhånds avkryssede "samtykkebokser " ikke lenger tillat • Person opplysninger skilles tydelig fra andre forhold Dataportabilitet Rett til å få utlevert personopplysninger • Rett til å gi dem videre til en ny leverandør • Overføres direkte mellom gammel og ny tjenesteyter Sletting Kreve å få informasjon slettet i registre • Underleverandører som har mottatt informasjon • Slette personopplysninger som ikke lenger er nødvendige Varsling Leverandør er pliktig å varsle innen 72 timer • Underleverandør er pliktig å varsle innen 72 timer
  16. 16. Hvordan oppnå samsvar? Hvor står vi Hvor skal vi Plan & innføring 1 2 3 Hvilken data lagres? Hvor mye data lagres? Hvorfor lagres det? GAP Analyse Risikostyring Konsekvensutredning Rutiner Prosesser Systemer Prosess
  17. 17. Hvordan oppnå samsvar med forordningen? 6 prinsipper: Artikkel 5 Paragraf 1 Løsning: 1. Lovlighet, rettferdighet og åpenhet. (a) Informere tydelig hva som blir innhentet og hvorfor. Transparens og Samsvar. 2. Formålsbegrensninger. (b) Innsamlet persondata kan kun brukes til avtalt formål. Nytt samsvar kreves for nytt bruk. 3. Data minimering. (c) Innhente minst mulig, skal være bregrenset til formålet. 4. Nøyaktighet. (d) Data skal kunne korrigeres/oppdateres og skal sikres. 5. Lagringsbegrensninger. (e) Data som muliggjør identifisering av den registrerte skal ikke lagres lengre enn nødvendig. Slett etter bruk. 6. Integritet og konfidensialitet. (f) Data skal vernes mot uatorisert/ulovlig behandling. Beskyttelse mot tap, ødeleggelse og skade.
  18. 18. Opprydding Klassifiser data med forretningsverdi Identifisere sensitiv og risikofylt informasjon Fjerne eldre veriløs data Strategisk informasjon
  19. 19. Geir André Strømsvold Daglig leder og fagansvarlig geir@digfo.no Følg oss: DIGFO.no Facebook LinkedIn Twitter

×