Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Personvern og etterlevelse av GDPR i Admincontrol

291 views

Published on

Tips og råd for etterlevelse av ny personvernforordning og hvordan dette er jobbet med i Admincontrol

Published in: Business
  • Be the first to comment

Personvern og etterlevelse av GDPR i Admincontrol

  1. 1. Admincontrol Tips & Råd for etterlevelse av GDPR Ole Martin Refvik Security Manager & Data Protection Officer Admincontrol AS 1
  2. 2. Agenda 2 1. Om Admincontrol 2. Forberedelser til GDPR 3. Endringer vi har gjort 4. Mer informasjon 5. Spørsmål Admincontrol og GDPR
  3. 3. Om Admincontrol 3  Norsk bedrift etablert i 2005  Produkter:  Styre- og ledelsesportal  Virtuelle Data Room  Kontorer i Norge, Sverige, Danmark, Finland og UK  Høyt fokus på sikkerhet – med lagring i Norske datasentre  98 % av kundene våre fornyer sitt abonnent hvert år  Over 2 000 kunder og over 40 000 brukere globalt  Visma eid siden oktober 2017  Abelia medlem Admincontrol og GDPR
  4. 4. Admincontrol benyttes ofte på tvers av virksomheten 4Admincontrol og GDPR
  5. 5. Sikkerhet, kontroll og effektive prosesser 5Admincontrol og GDPR
  6. 6. Våre kunders behov 6 • Brukervennlig samhandlingsplatform for deling av sensitiv informasjon • Strenge krav til sikkerhet • Deling av (børs)-sensitiv informasjon Admincontrol og GDPR
  7. 7. Agenda 7 1. Kort om Admincontrol 2. Forberedelser til GDPR 3. Endringer vi har gjort 4. Mer informasjon 5. Spørsmål Admincontrol og GDPR
  8. 8. GDPR forberedelser Admincontrol og GDPR 8 Få oversikt over all behandling av personopplysninger Vurder hvilke personopplysninger du behøver Etabler sikkerhetstiltak Gå igjennom dokumentasjon Etabler prosesser for behandling av personopplysninger Vurder å opprette personvernombud
  9. 9. Internkontroll / ledelsessystem for informasjonssikkerhet 9 Kartlegging Implementer ledelsessystem Utarbeid rutinerDokumenter Oppfølging og avvikshåndtering Admincontrol og GDPR
  10. 10. Skaff oversikt 10  Sjekk med alle deler av organisasjonen - Hvor behandles personopplysninger? - Hvilke formål? Har vi tilstrekkelig grunnlag for behandling? • Berettiget interesse • For å opprettholde en avtale • Lovmessig krav • Samtykke - Hvor er de lagret? • Norge / EU / USA? - Hvilke sikkerhetstiltak eksister? • Dokumentasjon på sikkerhetstiltak • ISAE / SOC 2 rapporter, penetrasjonstesting, ISO 27001 sertifisering. - Er databehandler avtale på plass? • Tips 1: EU Model Clauses • Tips 2: Datatilsynets mal for databehandleravtale Admincontrol og GDPR
  11. 11. Eksempel på oversikt over personopplysninger som behandles 11Admincontrol og GDPR https://www.da tatilsynet.no/re gelverk-og- skjema/veilede re/internkontro ll_informasjon ssikkerhet/
  12. 12. Utfør konsekvensvurdering 12 Skiller seg fra vanlig risikovurdering ved at den tar for seg personvern konsekvenser for de registrerte Veiledere er tilgjengelig fra Datatilsynet og Artikkel 29 gruppen. Tilpass eksisterende prosesser (ISO 27001) Utvidet vår Risikovurderings prosess til også å omhandle alle systemer og behandlinger som vi fant fra gjennomgangen Admincontrol og GDPR
  13. 13. Personvernerklæring 13  Alle nettsider må ha en oppdatert og lett tilgjengelig personvernerklæring  Må være forståelig  Bør være med: - Hvem som er behandlingsansvarlig - Formålet - Rettslig grunnlag for behandlingen - Beskrivelse av personopplysninger som behandles - Hvordan innhentingen foregår - Deling med 3. parter - Sletting og eventuell arkivering - Rettigheter til de registrerte - Hvordan opplysningene sikres - Kontaktinformasjon Admincontrol og GDPR
  14. 14. Forståelse og opplæring 14  Ansatte må læres opp i GDPR og personvern  Internopplæring både via web og videopresentasjoner - GDPR og personvern generelt - Vår rolle som databehandler  GDPR Quiz - Fungerer fint som både test og opplæring.  Data Protection Policy - Beskriver krav til håndtering av personopplysninger Admincontrol og GDPR
  15. 15. Hva med Personvernombud? 15  Alle kan frivillig opprette Personvernombud - Må meldes/søkes om via Datatilsynet - Anbefales  Følgende er påkrevd å ha Personvernombud - Offentlige virksomheter (med et fåtalls unntak, som domstolene) - Virksomheter med kjernevirksomhet i å regelmessig og systematisk overvåke personer i stort omfang - Virksomheter hvor kjernevirksomheten er å behandle sensitive personopplysninger i stort omfang, eller personopplysninger relatert til straffedommer og lovbrudd  Kompetanse - Ha god kunnskap og forståelse om personvern og lovverk - Bør ha kjennskap til hvordan moderne IT løsninger fungerer Admincontrol og GDPR
  16. 16. Personvernombudets rolle 16  Hovedoppgave: - Overvåke at personvern ivaretas og at personvernlovgivning følges  Involveres i alle forhold som omhandler behandling av personopplysninger  Rapporterer direkte til toppledelsen/styret  Skal gi råd og informere ansatte og ledelsen  Kontaktpunkt mellom Datatilsynet og virksomheten  Kan være intern eller ekstern - Viktig med god oversikt og forståelse om virksomhetens: • Forretningsprosesser • Bruk av personopplysninger Admincontrol og GDPR
  17. 17. Hva menes med stort omfang? 17  GDPR har ingen eksakt definisjon på hva som utgjør et stort omfang.  Beskrevet i retningslinjer fra Article 29 Working Party - Antall registrerte, enten som et eksakt antall eller som andel av en populasjon - Volum av data og/eller omfang av forskjellige datatyper som behandles - Lengde, eller varighet av behandlingen - Geografisk utbredelse av behandlingen Admincontrol og GDPR
  18. 18. Eksempler 18  Eksempler på behandlinger som utgjør et stort omfang: - Behandling av pasientopplysninger i den daglige driften av et sykehus - Behandling av reiseopplysninger for registrerte brukere av offentlig transport - Behandling av sanntid geo-lokalisering for en internasjonal matkjede til bruk for statistiske formål. - Behandling av kundeopplysninger i den daglige drift av et større selskap. - Behandling av personopplysninger for målrettet annonsering av en søkemotor.  Eksempler på behandlinger som ikke utgjør et stort omfang: - Behandling av helseopplysninger utført av en enkelt lege - Behandling av personopplysninger relatert til kriminelle forhold og lovbrudd av en enkelt advokat Admincontrol og GDPR
  19. 19. Innebygd personvern (Privacy by Design) 19  Vurder risiko i utviklingsprosessen - Opplæring i personvern og sikkerhet av ansatte - Vurdere risiko som en del av vanlig produktutvikling.  Personvern som standardinnstilling - Løsninger må utvikles slik at personvernet ivaretas • Endringsmuligheter • Portabilitet • Sikring av opplysninger Admincontrol og GDPR
  20. 20. Agenda 20 1. Kort om Admincontrol 2. Forberedelser til GDPR 3. Endringer vi har gjort 4. Mer informasjon 5. Spørsmål Admincontrol og GDPR
  21. 21. Ting vi har måttet endre 21  Lagd eksportfunksjonalitet i tjenesten - Portaleiere kan nå hente ut alle sine data lagret hos oss på egenhånd • Tilgjengeliggjort I originalformat I kryptert arkiv (Data Portability)  Konsekvensvurdering er nå standard i alle utviklingsprosjekter - Tilpassing av prosjektstyringsverktøy og maler - Opplæring av ansatte, slik at de får et forhold til det å vurdere risiko/konsekvens - Retningslinjer for vurdering av risiko og forskjellige nivåer  Sikkerhet - Høy fokus på sikkerhet hele tiden - Jobbes med kontinuerlig - ISO 27001 sertifisering Admincontrol og GDPR
  22. 22. Kontrakter 22  Nye kundekontrakter - Tilpasset krav I GDPR for databehandlere - Bedre klargjøring av underleverandører - Våre egne og underleverandørers forpliktelser - Spesifisering av kategorier av personopplysninger som behandles  Leverandørforhold – hvor vi er behandlingsansvarlig - Gjennomgang av kontrakter - Ikke alle avtaler hadde tilstrekkelig Databehandler avtale • Benyttet Model Clauses ved overføring til utlandet • I Noen tilfeller hadde leverandører dette allerede klart  Kontrakter med våre underleverandører – I rollen som databehandler - Egne Databehandleravtaler for å sikre oss og våre kunders behandling av personopplysninger - Underleverandører er pliktige å overholde krav fra behandlingsansvarlig  Eksisterende kundekontrakter - Jobbes med Admincontrol og GDPR
  23. 23. Erfaringer fra kontraktsarbeid 23  Juridisk assistanse - Nyttig  Integrert del av standard kontraktsmal  Datatilsynets Databehandleravtale mal  Sentrale elementer - God beskrivelse av behandlingens omfang og formål - Type personopplysninger som behandles - Tilfredstillende sikkerhet - Krav og plikter til retting/sletting - Krav til sikkerhetsinspeksjoner Admincontrol og GDPR
  24. 24. Utfordringer 24  Forståelse - Folk forstår at GDPR er viktig, men hva med det daglige? - Viktig å kommunisere personvern i praksis - Personvernombud er en nyttig ressurs for alle i bedriften  Oversikt - Få en prosess på plass for å holde oversikt over all behandling av personopplysninger  Kontraktsarbeidet - Vi har gjort gjennomlesingen selv - Fått hjelp av jurister til • Nye kontraktsmaler • Tilleggsavtaler Admincontrol og GDPR
  25. 25. Agenda 25 1. Kort om Admincontrol 2. Forberedelser til GDPR 3. Endringer vi har gjort 4. Mer informasjon 5. Spørsmål Admincontrol og GDPR
  26. 26. Nyttige ressurser 26  GPDR forordningen i indeksert form - http://www.privacy-regulation.eu/en/index.htm (Engelsk, Dansk, Svensk, m.fler) - https://gdpr-info.eu/ (Engelsk)  Datatilsynet sine veiledere - https://www.datatilsynet.no/  Retningslinjer og anbefalinger fra Artikkel 29-gruppen - Datatilsynets nettsider - http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083  GDPR Handbook - https://www.whitecase.com/publications/article/gdpr-handbook-unlocking-eu-general- data-protection-regulation - På Engelsk, nyttig for å se forskjeller mellom gammelt direktiv og ny forordning. Admincontrol og GDPR
  27. 27. Spørsmål?

×