SlideShare a Scribd company logo

GDPR i offentlige anskaffelser

Kjell Steffner
Kjell Steffner

Hvordan påvirkes konkurransegrunnlag med kontrakt, databehandleravtale og kravspesifikasjon av GDPR?

Business
1 of 38
Download to read offline
GDPR &Offentlige anskaffelser Nima utdanning, morgenmøte 10. november advokat Kjell Steffner
Grunnlovens § 102 Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet. 2
GDPR • General Data Protection Regulation • Nye personvernregler 25. mai 2018 • Èn felles forordning for alle EU/EØS-land • Betydelig skjerping av reglene og mulighet for store bøter ved regelbrudd 3
Noen endringer i personvernlovgivningen • Strengere krav dokumentasjon av IT-systemer og sikkerhetsløsninger (art 28) • Bøter inntil 20.000.000 EURO eller 4% av selskapets omsetning (art 79) • Utilfredsstillende datasikkerhet for behandling av personopplysninger vil ha så høy finansiell risiko at det må rapporteres i års- og revisjonsrapporter 4
Betydningen av GDPR 1. Alle norske virksomheter får nye plikter 2. Alle skal gi god informasjon om hvordan de behandler personopplysninger 3. Alle skal vurdere risiko og personvernkonsekvenser 4. Alle skal bygge personvern inn i nye løsninger 5. Mange virksomheter må opprette personvernombud / personvernrådgiver 6. Reglene gjelder også virksomheter utenfor Europa 7. Alle databehandlere får nye plikter 8. Alle får nye krav til avvikshåndtering 9. Alle må kunne oppfylle borgernes nye rettigheter 5
6
7 Fungerer GDPR som en gulrot?
8 ...eller pisk?
Gode innkjøp, inkludert GDPR compliance • Opplæring – innkjøpere, behovshavere og kravsstillere må ”kunne” og følge regelverket i egen organisasjon – Det er vanskelig å stille gode krav til andre om noe man ikke kan selv • Sikkerhet, risiko og personvernkonsekvens 9
GDPR - Fremtredende rettigheter • Enklere tilgang til egne data (art 43) • Dataportabilitet, rett til innsyn og til å fritt overføre data til annen tjenestetilbyder (art 18) • Rett til korrigering (art 16) • Retten til å «bli glemt» (art 17) • Retten til å vite om din informasjon er utsatt for misbruk • Tjenestetilbydere; Kun forholde seg til èn tilsynsmyndighet for hele området (art 55-62) • «Data protection by design and by default» (art 25) 10
Fem viktige begreper 11Artikkel 4
Personopplysninger ”enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet, 12
Behandling ”enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke” f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, 13
Behandlingsansvarlig ”bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes” 14
Databehandler ”behandler personopplysninger på vegne av den behandlingsansvarlige” 15
Samtykke ”enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende” 16
17
GDPR er en kontinuerlig prosess ...du kommer aldri i mål
Konkurransegrunnlaget 19
Hva kan eller må få et snev av GDPR? • Kontraktsbestemmelsene (SSA) – Standardiserte ”bøter” (tilsv. dagbøter) for brudd, ikke følge rutiner? – Skadesløsholdelse, videreføre evt. bøter for brudd? • Databehandleravtalene – Adgang til sikkerhetsrevisjon - mulig ved tredjepart – Sikkerhet, hvor og hvordan data behandles – SLA på varsling av brudd? – Varsle / godkjenne endring av underleverandører (påvirker risiko) 20
Krav til ytelsene • Kravspesifikasjon – Funksjonelle krav - innebygget personvern – Sikkerhetskrav • Test med produksjonsdata (nei!) • Kvalifikasjonskrav • Evalueringskriterier 21 Bør introdusere elementer av risikostyring i prosessen for å produsere konkurransegrunnlaget
Privacy by design – innebygd personvern 22 ”gjennomføre egnede tekniske og organisatoriske tiltak (...) med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger”, jf. art 25
Risiko: Virkningen av usikkerhet på organisasjonens mål på en positiv eller negativ måte Virkningen er en kombinasjon av sannsynlighet for at hendelsen inntreffer og konsekvensen dersom den gjør det. Risikostyring er aktiviteter for å avdekke og kontrollere risiko i organisasjonen.
Sannsynlighet x Konsekvens = RISIKO 24
Vurdering av personvernkonsekvenser, art. 35 Dersom (...) behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet. 25 Data Protection Impact Assessment (DPIA)
DPIA - Vurderingen skal minst inneholde • en systematisk beskrivelse av de planlagte behandlingsaktivitetene og formålene med behandlingen, herunder, dersom det er relevant, den berettigede interessen som forfølges av den behandlingsansvarlige, • en vurdering av om behandlingsaktivitetene er nødvendige og står i rimelig forhold til formålene, • en vurdering av risikoene for de registrertes rettigheter og friheter som nevnt i nr. 1, og • de planlagte tiltakene for å håndtere risikoene, herunder garantier, sikkerhetstiltak og mekanismer for å sikre vern av personopplysninger og for å påvise at denne forordning overholdes, idet det tas hensyn til de registrertes og andre berørte personers rettigheter og berettigede interesser. 26
10 sikkerhetskrav fra NSM, del 1 1. Et etablert styringssystem for informasjonssikkerhet og sertifisering i henhold til internasjonale standarder, for eksempel ISO/IEC 27001:2017 2. Innsyn i sikkerhetsarkitekturen som benyttes for å levere tjenesten. 3. Utvikling av sikkerheten i tjenesteproduksjonen og hos leverandøren, i tråd med utvikling i teknologi og trusselbildet over tid. 4. En oversikt over hvem som skal ha innsyn i virksomhetens informasjon, hvor og hvordan denne skal behandles og lagres samt grad av mekanismer for segregering fra andre kunder. 5. Tilgangsstyring som inkluderer kryptering, aktivitetslogging, fysisk og logisk sikkerhet. 27
10 sikkerhetskrav fra NSM, del 2 6. Sikkerhetsovervåkning egnet til å avdekke hendelser og handlinger i tråd med virksomhetens trusselbilde og relevante trusselaktører. 7. Rutiner for hendelseshåndtering, avviks- og sikkerhetsrapportering. 8. Krise- og beredskapsplaner som skal harmonisere med virksomhetens egne planer. 9. At bruk av underleverandører og deres bruk av underleverandører skal godkjennes før iverksetting. 10.Hvilke aktiviteter som skal utføres ved terminering av kontrakten, blant annet tilbakeføring/flytting/sletting av virksomhetens informasjon. 28
Testdata, hvordan håndtere det? Skal håndteres iht. GDPR, altså: 1. Dokumentere all bruk av personopplysninger i testmiljø 2. Gjennomtenkt testprosedyre 1. Hvor kommer data fra? Hvor ender de opp? Eksponeres andre systemer utilsiktet? 3. ”pseudonomisering” av data 4. Unngå at uautorisert tilgang 5. Ikke bruk produksjonsdata i test 29
Prosessen frem mot mai 2018 30
Aktiviteter #1 1. Kartlegge bruk av personopplysninger Lage oppstilling for virksomhetens bruk av personopplysninger i ulike datasystemer, knytte til hjemmel, avdekke evt. avvik. 2. Databehandleravtaler Oppdatere databehandleravtaler iht. GDPR. 3. Risikovurdering Se forordningens artikler 32 og 40 31
Aktiviteter #2 4. Privacy policy Oppdatere erklæring om hvordan personopplysninger anvendes i virksomheten 5. Innebygget personvern Planlegge nye systemer og tilrettelegge dem for innebygget personvernfunksjonalitet 6. Dataportabilitet Vil noen enkeltpersoner kunne be om å få utlevert sine personopplysninger, evt. for overføring til ny leverandør? Hvilke formater vil bli benyttet for eksport? 32
Aktiviteter #3 7. Retten til å bli glemt Hvordan håndteres enkeltpersoners krav om sletting av sine personopplysninger? Hva trengs av opplysninger for å opprettholde offentligrettslige krav? 8. Varsling om brudd på regelverket Datatilsynet skal ha varsel innen 72 timer om brudd på regelverket for personvern. Hvordan håndteres dette? 9. Personvernombud Vurdering av behov. Utforming av arbeidsinstruks og rutiner 33
Hva bør gjøres nå? • Ha en oversikt over hvilke personopplysninger som behandles • Oppfylle dagens lovkrav • Finne ut av det nye regelverket • Lage rutiner tilpasset de nye reglene 34
Dagens lovkrav - 1 • Informasjonssystemer og sikkerhetstiltak skal dokumenteres (pol. § 13 og pof. § 2-16) • Dokumenterte internkontrolltiltak (pol. § 14) • Beskrivelse av sikkerhetsmål og sikkerhetsstrategi (pof. § 2-3) • Jevnlig gjennomgang av bruk av IT-systemer, som skal dokumenteres (pof. § 2-3) • Fastlegge kriterier for akseptabel risiko (pof. § 2-4) • Gjennomføre og dokumentere risikovurderinger (pof. § 2-4) • Gjennomføre og dokumentere sikkerhetsrevisjoner (pof. § 2-5) • Melde ifra til Datatilsynet ved visse sikkerhetsbrudd (pof. § 2-6) 35
Dagens lovkrav - 2 • Etablere ansvar- og myndighetsstrukturer for bruk av IT-systemet (pof. § 2-7) • Konfigurerer IT-systemer for å oppnå tilfredsstillende sikkerhet (pof. § 2-7) • Etablere tilgangskontroll og autorisasjoner (pof. § 2-8) • Lære opp og trene personell i forsvarlig bruk av IT-systemer (pof. § 2-8) • Fysiske tiltak mot uautorisert tilgang til IT-systemer (pof. § 2-10) • Dokumentere tiltak mot autorisert innsyn i konfidensielle opplysninger (pof. § 2-11) 36
Dagens lovkrav - 3 • Krypteringsløsninger ved overføring av konfidensielle opplysninger (pof. § 2-11) • Sikre nødvendig tilgjengelighet av opplysninger (pof. § 2-12) • Forsvarlige backuprutiner (pof. § 2-12) • Sikkerhetstiltak for å hindre uautorisert bruk og tiltak for å kunne oppdage slike forsøk (pof. § 2-14) • Tiltak mot uautoriserte endringer av opplysninger (pof. § 2- 13) • Tiltak mot ødeleggende programvare (pof. § 2-13) • Riktig bruk av cookies /infokapsler (ekomloven § 2-7b) 37
LYNX advokatfirma DA Hieronymus Heyerdahls gate 1 N-0160 Oslo Kjell Steffner ks@lynx.law Tlf 905 11 901 http://lynxlaw.no/menneskene/kjell-steffner/ 38

Recommended

GDPR datainnsamling på web
GDPR datainnsamling på webGDPR datainnsamling på web
GDPR datainnsamling på webKjell Steffner
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernEva Jarbekk
 
GDPR-helsesjekk
GDPR-helsesjekkGDPR-helsesjekk
GDPR-helsesjekkKjell Steffner
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Eva Jarbekk
 
EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? Kristian Foss
 
Personvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolPersonvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolOle Martin Refvik
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxEva Jarbekk
 

Recommended

GDPR datainnsamling på web
GDPR datainnsamling på webGDPR datainnsamling på web
GDPR datainnsamling på webKjell Steffner
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernEva Jarbekk
 
GDPR-helsesjekk
GDPR-helsesjekkGDPR-helsesjekk
GDPR-helsesjekkKjell Steffner
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Eva Jarbekk
 
EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? Kristian Foss
 
Personvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolPersonvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolOle Martin Refvik
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxEva Jarbekk
 
Nye anskaffelsesregler - heldagskurs fra Nima
Nye anskaffelsesregler - heldagskurs fra NimaNye anskaffelsesregler - heldagskurs fra Nima
Nye anskaffelsesregler - heldagskurs fra NimaKjell Steffner
 
2017 10 26 webinar - gdpr final
2017 10 26 webinar - gdpr final2017 10 26 webinar - gdpr final
2017 10 26 webinar - gdpr finalBrian Matteson, CISSP CISA
 
Splunk: How Machine Data Supports GDPR Compliance
Splunk: How Machine Data Supports GDPR ComplianceSplunk: How Machine Data Supports GDPR Compliance
Splunk: How Machine Data Supports GDPR ComplianceMarketingArrowECS_CZ
 
Will the GDPR Kibosh EU-US Discovery?
Will the GDPR Kibosh EU-US Discovery? Will the GDPR Kibosh EU-US Discovery?
Will the GDPR Kibosh EU-US Discovery? Logikcull.com
 
Using GDPR to Transform Customer Experience
Using GDPR to Transform Customer ExperienceUsing GDPR to Transform Customer Experience
Using GDPR to Transform Customer ExperienceMongoDB
 
Doing Business in Europe? GDPR: What you need to know and do
Doing Business in Europe? GDPR: What you need to know and doDoing Business in Europe? GDPR: What you need to know and do
Doing Business in Europe? GDPR: What you need to know and doPatric Dahse
 
GDPR From the Trenches - Real-world examples of how companies are approaching...
GDPR From the Trenches - Real-world examples of how companies are approaching...GDPR From the Trenches - Real-world examples of how companies are approaching...
GDPR From the Trenches - Real-world examples of how companies are approaching...Ardoq
 
Vuzion Love Cloud GDPR Event
Vuzion Love Cloud GDPR Event Vuzion Love Cloud GDPR Event
Vuzion Love Cloud GDPR Event Vuzion
 
How is GDPR relevant for US companies
How is GDPR relevant for US companies How is GDPR relevant for US companies
How is GDPR relevant for US companies Patric Dahse
 
DevOpsDaysRiga 2017: Edward van Deursen - GDPR in DevOps for Dummies
DevOpsDaysRiga 2017: Edward van Deursen - GDPR in DevOps for DummiesDevOpsDaysRiga 2017: Edward van Deursen - GDPR in DevOps for Dummies
DevOpsDaysRiga 2017: Edward van Deursen - GDPR in DevOps for DummiesDevOpsDays Riga
 
GDPR en Cloud security
GDPR en Cloud securityGDPR en Cloud security
GDPR en Cloud securityDelta-N
 
Profiling, Big Data & Consent Under the GDPR [TrustArc Webinar Slides]
Profiling, Big Data & Consent Under the GDPR [TrustArc Webinar Slides]Profiling, Big Data & Consent Under the GDPR [TrustArc Webinar Slides]
Profiling, Big Data & Consent Under the GDPR [TrustArc Webinar Slides]TrustArc
 
Ensuring GDPR Compliance - A Zymplify Guide
Ensuring GDPR Compliance - A Zymplify GuideEnsuring GDPR Compliance - A Zymplify Guide
Ensuring GDPR Compliance - A Zymplify GuideZymplify
 
Geek Sync | Tackling Key GDPR Challenges with Data Modeling and Governance
Geek Sync | Tackling Key GDPR Challenges with Data Modeling and GovernanceGeek Sync | Tackling Key GDPR Challenges with Data Modeling and Governance
Geek Sync | Tackling Key GDPR Challenges with Data Modeling and GovernanceIDERA Software
 
GDPR: Your Journey to Compliance
GDPR: Your Journey to ComplianceGDPR: Your Journey to Compliance
GDPR: Your Journey to ComplianceCobweb
 
The AI Rush
The AI RushThe AI Rush
The AI RushJean-Baptiste Dumont
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGThorbjørn Værp
 
Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Jermund Ottermo
 
Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Geir André Strømsvold
 
Open Banking og personvern
Open Banking og personvernOpen Banking og personvern
Open Banking og personvernNTNU Accel
 
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikSenter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler
Personvern og databehandleravtaler Personvern og databehandleravtaler
Personvern og databehandleravtaler Senter for IKT i utdanningen, redaksjon
 

More Related Content

Viewers also liked

Nye anskaffelsesregler - heldagskurs fra Nima
Nye anskaffelsesregler - heldagskurs fra NimaNye anskaffelsesregler - heldagskurs fra Nima
Nye anskaffelsesregler - heldagskurs fra NimaKjell Steffner
 
Splunk: How Machine Data Supports GDPR Compliance
Splunk: How Machine Data Supports GDPR ComplianceSplunk: How Machine Data Supports GDPR Compliance
Splunk: How Machine Data Supports GDPR ComplianceMarketingArrowECS_CZ
 
Will the GDPR Kibosh EU-US Discovery?
Will the GDPR Kibosh EU-US Discovery? Will the GDPR Kibosh EU-US Discovery?
Will the GDPR Kibosh EU-US Discovery? Logikcull.com
 
Using GDPR to Transform Customer Experience
Using GDPR to Transform Customer ExperienceUsing GDPR to Transform Customer Experience
Using GDPR to Transform Customer ExperienceMongoDB
 
Doing Business in Europe? GDPR: What you need to know and do
Doing Business in Europe? GDPR: What you need to know and doDoing Business in Europe? GDPR: What you need to know and do
Doing Business in Europe? GDPR: What you need to know and doPatric Dahse
 
GDPR From the Trenches - Real-world examples of how companies are approaching...
GDPR From the Trenches - Real-world examples of how companies are approaching...GDPR From the Trenches - Real-world examples of how companies are approaching...
GDPR From the Trenches - Real-world examples of how companies are approaching...Ardoq
 
Vuzion Love Cloud GDPR Event
Vuzion Love Cloud GDPR Event Vuzion Love Cloud GDPR Event
Vuzion Love Cloud GDPR Event Vuzion
 
How is GDPR relevant for US companies
How is GDPR relevant for US companies How is GDPR relevant for US companies
How is GDPR relevant for US companies Patric Dahse
 
DevOpsDaysRiga 2017: Edward van Deursen - GDPR in DevOps for Dummies
DevOpsDaysRiga 2017: Edward van Deursen - GDPR in DevOps for DummiesDevOpsDaysRiga 2017: Edward van Deursen - GDPR in DevOps for Dummies
DevOpsDaysRiga 2017: Edward van Deursen - GDPR in DevOps for DummiesDevOpsDays Riga
 
GDPR en Cloud security
GDPR en Cloud securityGDPR en Cloud security
GDPR en Cloud securityDelta-N
 
Profiling, Big Data & Consent Under the GDPR [TrustArc Webinar Slides]
Profiling, Big Data & Consent Under the GDPR [TrustArc Webinar Slides]Profiling, Big Data & Consent Under the GDPR [TrustArc Webinar Slides]
Profiling, Big Data & Consent Under the GDPR [TrustArc Webinar Slides]TrustArc
 
Ensuring GDPR Compliance - A Zymplify Guide
Ensuring GDPR Compliance - A Zymplify GuideEnsuring GDPR Compliance - A Zymplify Guide
Ensuring GDPR Compliance - A Zymplify GuideZymplify
 
Geek Sync | Tackling Key GDPR Challenges with Data Modeling and Governance
Geek Sync | Tackling Key GDPR Challenges with Data Modeling and GovernanceGeek Sync | Tackling Key GDPR Challenges with Data Modeling and Governance
Geek Sync | Tackling Key GDPR Challenges with Data Modeling and GovernanceIDERA Software
 
GDPR: Your Journey to Compliance
GDPR: Your Journey to ComplianceGDPR: Your Journey to Compliance
GDPR: Your Journey to ComplianceCobweb
 

Viewers also liked (16)

Nye anskaffelsesregler - heldagskurs fra Nima
Nye anskaffelsesregler - heldagskurs fra NimaNye anskaffelsesregler - heldagskurs fra Nima
Nye anskaffelsesregler - heldagskurs fra Nima
 
2017 10 26 webinar - gdpr final
2017 10 26 webinar - gdpr final2017 10 26 webinar - gdpr final
2017 10 26 webinar - gdpr final
 
Splunk: How Machine Data Supports GDPR Compliance
Splunk: How Machine Data Supports GDPR ComplianceSplunk: How Machine Data Supports GDPR Compliance
Splunk: How Machine Data Supports GDPR Compliance
 
Will the GDPR Kibosh EU-US Discovery?
Will the GDPR Kibosh EU-US Discovery? Will the GDPR Kibosh EU-US Discovery?
Will the GDPR Kibosh EU-US Discovery?
 
Using GDPR to Transform Customer Experience
Using GDPR to Transform Customer ExperienceUsing GDPR to Transform Customer Experience
Using GDPR to Transform Customer Experience
 
Doing Business in Europe? GDPR: What you need to know and do
Doing Business in Europe? GDPR: What you need to know and doDoing Business in Europe? GDPR: What you need to know and do
Doing Business in Europe? GDPR: What you need to know and do
 
GDPR From the Trenches - Real-world examples of how companies are approaching...
GDPR From the Trenches - Real-world examples of how companies are approaching...GDPR From the Trenches - Real-world examples of how companies are approaching...
GDPR From the Trenches - Real-world examples of how companies are approaching...
 
Vuzion Love Cloud GDPR Event
Vuzion Love Cloud GDPR Event Vuzion Love Cloud GDPR Event
Vuzion Love Cloud GDPR Event
 
How is GDPR relevant for US companies
How is GDPR relevant for US companies How is GDPR relevant for US companies
How is GDPR relevant for US companies
 
DevOpsDaysRiga 2017: Edward van Deursen - GDPR in DevOps for Dummies
DevOpsDaysRiga 2017: Edward van Deursen - GDPR in DevOps for DummiesDevOpsDaysRiga 2017: Edward van Deursen - GDPR in DevOps for Dummies
DevOpsDaysRiga 2017: Edward van Deursen - GDPR in DevOps for Dummies
 
GDPR en Cloud security
GDPR en Cloud securityGDPR en Cloud security
GDPR en Cloud security
 
Profiling, Big Data & Consent Under the GDPR [TrustArc Webinar Slides]
Profiling, Big Data & Consent Under the GDPR [TrustArc Webinar Slides]Profiling, Big Data & Consent Under the GDPR [TrustArc Webinar Slides]
Profiling, Big Data & Consent Under the GDPR [TrustArc Webinar Slides]
 
Ensuring GDPR Compliance - A Zymplify Guide
Ensuring GDPR Compliance - A Zymplify GuideEnsuring GDPR Compliance - A Zymplify Guide
Ensuring GDPR Compliance - A Zymplify Guide
 
Geek Sync | Tackling Key GDPR Challenges with Data Modeling and Governance
Geek Sync | Tackling Key GDPR Challenges with Data Modeling and GovernanceGeek Sync | Tackling Key GDPR Challenges with Data Modeling and Governance
Geek Sync | Tackling Key GDPR Challenges with Data Modeling and Governance
 
GDPR: Your Journey to Compliance
GDPR: Your Journey to ComplianceGDPR: Your Journey to Compliance
GDPR: Your Journey to Compliance
 
The AI Rush
The AI RushThe AI Rush
The AI Rush
 

Similar to GDPR i offentlige anskaffelser

GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGThorbjørn Værp
 
Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Jermund Ottermo
 
Open Banking og personvern
Open Banking og personvernOpen Banking og personvern
Open Banking og personvernNTNU Accel
 
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikSenter for IKT i utdanningen, redaksjon
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Advokatfirmaet Haavind
 
Bekk Teknologiradar 2018 - Plan for håndtering av rapporterte sikkerhetsfeil
Bekk Teknologiradar 2018 - Plan for håndtering av rapporterte sikkerhetsfeilBekk Teknologiradar 2018 - Plan for håndtering av rapporterte sikkerhetsfeil
Bekk Teknologiradar 2018 - Plan for håndtering av rapporterte sikkerhetsfeilØyvind Nerbråten
 
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxEva Jarbekk
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserEva Jarbekk
 
Sikkerhetsdugnad 2019
Sikkerhetsdugnad 2019 Sikkerhetsdugnad 2019
Sikkerhetsdugnad 2019 Bouvet ASA
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Eva Jarbekk
 

Similar to GDPR i offentlige anskaffelser (20)

GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCG
 
Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?
 
Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0
 
Open Banking og personvern
Open Banking og personvernOpen Banking og personvern
Open Banking og personvern
 
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
 
Personvern og databehandleravtaler
Personvern og databehandleravtaler Personvern og databehandleravtaler
Personvern og databehandleravtaler
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?
 
Bekk Teknologiradar 2018 - Plan for håndtering av rapporterte sikkerhetsfeil
Bekk Teknologiradar 2018 - Plan for håndtering av rapporterte sikkerhetsfeilBekk Teknologiradar 2018 - Plan for håndtering av rapporterte sikkerhetsfeil
Bekk Teknologiradar 2018 - Plan for håndtering av rapporterte sikkerhetsfeil
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
 
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
 
Bdo kraftbransjen defo
Bdo kraftbransjen defoBdo kraftbransjen defo
Bdo kraftbransjen defo
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
 
Sikkerhetsdugnad 2019
Sikkerhetsdugnad 2019 Sikkerhetsdugnad 2019
Sikkerhetsdugnad 2019
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011
 
Kvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget husKvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget hus
 
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhetInternkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
 
Personvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtalerPersonvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtaler
 
Regler om personvern og avtaler 13102015
Regler om personvern og avtaler 13102015 Regler om personvern og avtaler 13102015
Regler om personvern og avtaler 13102015
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
 
Databehandleravtaler
DatabehandleravtalerDatabehandleravtaler
Databehandleravtaler
 

More from Kjell Steffner

Investorer engler eller togrøvere
Investorer engler eller togrøvereInvestorer engler eller togrøvere
Investorer engler eller togrøvereKjell Steffner
 
Endringer i kontraktsperioden
Endringer i kontraktsperiodenEndringer i kontraktsperioden
Endringer i kontraktsperiodenKjell Steffner
 
Nye regler for offentlige anskaffelser
Nye regler for offentlige anskaffelserNye regler for offentlige anskaffelser
Nye regler for offentlige anskaffelserKjell Steffner
 
Nye spilleregler offentlige anskaffelser difi
Nye spilleregler offentlige anskaffelser difiNye spilleregler offentlige anskaffelser difi
Nye spilleregler offentlige anskaffelser difiKjell Steffner
 
Risikostyring av kontrakter
Risikostyring av kontrakterRisikostyring av kontrakter
Risikostyring av kontrakterKjell Steffner
 
It-kontrakter for løsningsarkitekter
It-kontrakter for løsningsarkitekterIt-kontrakter for løsningsarkitekter
It-kontrakter for løsningsarkitekterKjell Steffner
 
Inngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterInngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterKjell Steffner
 
Legal risk management: Hvordan styre risiko i kontrakter
Legal risk management: Hvordan styre risiko i kontrakterLegal risk management: Hvordan styre risiko i kontrakter
Legal risk management: Hvordan styre risiko i kontrakterKjell Steffner
 
Risikostyring og kravspesifikasjon
Risikostyring og kravspesifikasjonRisikostyring og kravspesifikasjon
Risikostyring og kravspesifikasjonKjell Steffner
 
Risikostyring av it-kontrakter
Risikostyring av it-kontrakterRisikostyring av it-kontrakter
Risikostyring av it-kontrakterKjell Steffner
 
Inngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterInngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterKjell Steffner
 
Risikoanalyse av it-kontrakter
Risikoanalyse av it-kontrakterRisikoanalyse av it-kontrakter
Risikoanalyse av it-kontrakterKjell Steffner
 
Kontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekterKontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekterKjell Steffner
 
Nima - Intensjonskunngjøring av ikt-anskaffelser
Nima - Intensjonskunngjøring av ikt-anskaffelserNima - Intensjonskunngjøring av ikt-anskaffelser
Nima - Intensjonskunngjøring av ikt-anskaffelserKjell Steffner
 
Intensjonskunngjøring
IntensjonskunngjøringIntensjonskunngjøring
IntensjonskunngjøringKjell Steffner
 
Nima NHO Hvordan selge til det offentlige
Nima NHO Hvordan selge til det offentligeNima NHO Hvordan selge til det offentlige
Nima NHO Hvordan selge til det offentligeKjell Steffner
 
Kontrakten som verktøy for prosjektledere
Kontrakten som verktøy for prosjektledereKontrakten som verktøy for prosjektledere
Kontrakten som verktøy for prosjektledereKjell Steffner
 

More from Kjell Steffner (20)

Investorer engler eller togrøvere
Investorer engler eller togrøvereInvestorer engler eller togrøvere
Investorer engler eller togrøvere
 
Endringer i kontraktsperioden
Endringer i kontraktsperiodenEndringer i kontraktsperioden
Endringer i kontraktsperioden
 
Nye regler for offentlige anskaffelser
Nye regler for offentlige anskaffelserNye regler for offentlige anskaffelser
Nye regler for offentlige anskaffelser
 
Nye spilleregler offentlige anskaffelser difi
Nye spilleregler offentlige anskaffelser difiNye spilleregler offentlige anskaffelser difi
Nye spilleregler offentlige anskaffelser difi
 
Risikostyring av kontrakter
Risikostyring av kontrakterRisikostyring av kontrakter
Risikostyring av kontrakter
 
It-kontrakter for løsningsarkitekter
It-kontrakter for løsningsarkitekterIt-kontrakter for løsningsarkitekter
It-kontrakter for løsningsarkitekter
 
Contract management
Contract managementContract management
Contract management
 
Inngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterInngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakter
 
Legal risk management: Hvordan styre risiko i kontrakter
Legal risk management: Hvordan styre risiko i kontrakterLegal risk management: Hvordan styre risiko i kontrakter
Legal risk management: Hvordan styre risiko i kontrakter
 
Risikostyring og kravspesifikasjon
Risikostyring og kravspesifikasjonRisikostyring og kravspesifikasjon
Risikostyring og kravspesifikasjon
 
Kravspesifikasjon
KravspesifikasjonKravspesifikasjon
Kravspesifikasjon
 
Forhandlingsteknikk
ForhandlingsteknikkForhandlingsteknikk
Forhandlingsteknikk
 
Risikostyring av it-kontrakter
Risikostyring av it-kontrakterRisikostyring av it-kontrakter
Risikostyring av it-kontrakter
 
Inngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterInngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakter
 
Risikoanalyse av it-kontrakter
Risikoanalyse av it-kontrakterRisikoanalyse av it-kontrakter
Risikoanalyse av it-kontrakter
 
Kontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekterKontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekter
 
Nima - Intensjonskunngjøring av ikt-anskaffelser
Nima - Intensjonskunngjøring av ikt-anskaffelserNima - Intensjonskunngjøring av ikt-anskaffelser
Nima - Intensjonskunngjøring av ikt-anskaffelser
 
Intensjonskunngjøring
IntensjonskunngjøringIntensjonskunngjøring
Intensjonskunngjøring
 
Nima NHO Hvordan selge til det offentlige
Nima NHO Hvordan selge til det offentligeNima NHO Hvordan selge til det offentlige
Nima NHO Hvordan selge til det offentlige
 
Kontrakten som verktøy for prosjektledere
Kontrakten som verktøy for prosjektledereKontrakten som verktøy for prosjektledere
Kontrakten som verktøy for prosjektledere
 

GDPR i offentlige anskaffelser

  • 1. GDPR &Offentlige anskaffelser Nima utdanning, morgenmøte 10. november advokat Kjell Steffner
  • 2. Grunnlovens § 102 Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet. 2
  • 3. GDPR • General Data Protection Regulation • Nye personvernregler 25. mai 2018 • Èn felles forordning for alle EU/EØS-land • Betydelig skjerping av reglene og mulighet for store bøter ved regelbrudd 3
  • 4. Noen endringer i personvernlovgivningen • Strengere krav dokumentasjon av IT-systemer og sikkerhetsløsninger (art 28) • Bøter inntil 20.000.000 EURO eller 4% av selskapets omsetning (art 79) • Utilfredsstillende datasikkerhet for behandling av personopplysninger vil ha så høy finansiell risiko at det må rapporteres i års- og revisjonsrapporter 4
  • 5. Betydningen av GDPR 1. Alle norske virksomheter får nye plikter 2. Alle skal gi god informasjon om hvordan de behandler personopplysninger 3. Alle skal vurdere risiko og personvernkonsekvenser 4. Alle skal bygge personvern inn i nye løsninger 5. Mange virksomheter må opprette personvernombud / personvernrådgiver 6. Reglene gjelder også virksomheter utenfor Europa 7. Alle databehandlere får nye plikter 8. Alle får nye krav til avvikshåndtering 9. Alle må kunne oppfylle borgernes nye rettigheter 5
  • 6. 6
  • 7. 7 Fungerer GDPR som en gulrot?
  • 9. Gode innkjøp, inkludert GDPR compliance • Opplæring – innkjøpere, behovshavere og kravsstillere må ”kunne” og følge regelverket i egen organisasjon – Det er vanskelig å stille gode krav til andre om noe man ikke kan selv • Sikkerhet, risiko og personvernkonsekvens 9
  • 10. GDPR - Fremtredende rettigheter • Enklere tilgang til egne data (art 43) • Dataportabilitet, rett til innsyn og til å fritt overføre data til annen tjenestetilbyder (art 18) • Rett til korrigering (art 16) • Retten til å «bli glemt» (art 17) • Retten til å vite om din informasjon er utsatt for misbruk • Tjenestetilbydere; Kun forholde seg til èn tilsynsmyndighet for hele området (art 55-62) • «Data protection by design and by default» (art 25) 10
  • 12. Personopplysninger ”enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet, 12
  • 13. Behandling ”enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke” f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, 13
  • 14. Behandlingsansvarlig ”bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes” 14
  • 15. Databehandler ”behandler personopplysninger på vegne av den behandlingsansvarlige” 15
  • 16. Samtykke ”enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende” 16
  • 17. 17
  • 18. GDPR er en kontinuerlig prosess ...du kommer aldri i mål
  • 20. Hva kan eller må få et snev av GDPR? • Kontraktsbestemmelsene (SSA) – Standardiserte ”bøter” (tilsv. dagbøter) for brudd, ikke følge rutiner? – Skadesløsholdelse, videreføre evt. bøter for brudd? • Databehandleravtalene – Adgang til sikkerhetsrevisjon - mulig ved tredjepart – Sikkerhet, hvor og hvordan data behandles – SLA på varsling av brudd? – Varsle / godkjenne endring av underleverandører (påvirker risiko) 20
  • 21. Krav til ytelsene • Kravspesifikasjon – Funksjonelle krav - innebygget personvern – Sikkerhetskrav • Test med produksjonsdata (nei!) • Kvalifikasjonskrav • Evalueringskriterier 21 Bør introdusere elementer av risikostyring i prosessen for å produsere konkurransegrunnlaget
  • 22. Privacy by design – innebygd personvern 22 ”gjennomføre egnede tekniske og organisatoriske tiltak (...) med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger”, jf. art 25
  • 23. Risiko: Virkningen av usikkerhet på organisasjonens mål på en positiv eller negativ måte Virkningen er en kombinasjon av sannsynlighet for at hendelsen inntreffer og konsekvensen dersom den gjør det. Risikostyring er aktiviteter for å avdekke og kontrollere risiko i organisasjonen.
  • 25. Vurdering av personvernkonsekvenser, art. 35 Dersom (...) behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet. 25 Data Protection Impact Assessment (DPIA)
  • 26. DPIA - Vurderingen skal minst inneholde • en systematisk beskrivelse av de planlagte behandlingsaktivitetene og formålene med behandlingen, herunder, dersom det er relevant, den berettigede interessen som forfølges av den behandlingsansvarlige, • en vurdering av om behandlingsaktivitetene er nødvendige og står i rimelig forhold til formålene, • en vurdering av risikoene for de registrertes rettigheter og friheter som nevnt i nr. 1, og • de planlagte tiltakene for å håndtere risikoene, herunder garantier, sikkerhetstiltak og mekanismer for å sikre vern av personopplysninger og for å påvise at denne forordning overholdes, idet det tas hensyn til de registrertes og andre berørte personers rettigheter og berettigede interesser. 26
  • 27. 10 sikkerhetskrav fra NSM, del 1 1. Et etablert styringssystem for informasjonssikkerhet og sertifisering i henhold til internasjonale standarder, for eksempel ISO/IEC 27001:2017 2. Innsyn i sikkerhetsarkitekturen som benyttes for å levere tjenesten. 3. Utvikling av sikkerheten i tjenesteproduksjonen og hos leverandøren, i tråd med utvikling i teknologi og trusselbildet over tid. 4. En oversikt over hvem som skal ha innsyn i virksomhetens informasjon, hvor og hvordan denne skal behandles og lagres samt grad av mekanismer for segregering fra andre kunder. 5. Tilgangsstyring som inkluderer kryptering, aktivitetslogging, fysisk og logisk sikkerhet. 27
  • 28. 10 sikkerhetskrav fra NSM, del 2 6. Sikkerhetsovervåkning egnet til å avdekke hendelser og handlinger i tråd med virksomhetens trusselbilde og relevante trusselaktører. 7. Rutiner for hendelseshåndtering, avviks- og sikkerhetsrapportering. 8. Krise- og beredskapsplaner som skal harmonisere med virksomhetens egne planer. 9. At bruk av underleverandører og deres bruk av underleverandører skal godkjennes før iverksetting. 10.Hvilke aktiviteter som skal utføres ved terminering av kontrakten, blant annet tilbakeføring/flytting/sletting av virksomhetens informasjon. 28
  • 29. Testdata, hvordan håndtere det? Skal håndteres iht. GDPR, altså: 1. Dokumentere all bruk av personopplysninger i testmiljø 2. Gjennomtenkt testprosedyre 1. Hvor kommer data fra? Hvor ender de opp? Eksponeres andre systemer utilsiktet? 3. ”pseudonomisering” av data 4. Unngå at uautorisert tilgang 5. Ikke bruk produksjonsdata i test 29
  • 31. Aktiviteter #1 1. Kartlegge bruk av personopplysninger Lage oppstilling for virksomhetens bruk av personopplysninger i ulike datasystemer, knytte til hjemmel, avdekke evt. avvik. 2. Databehandleravtaler Oppdatere databehandleravtaler iht. GDPR. 3. Risikovurdering Se forordningens artikler 32 og 40 31
  • 32. Aktiviteter #2 4. Privacy policy Oppdatere erklæring om hvordan personopplysninger anvendes i virksomheten 5. Innebygget personvern Planlegge nye systemer og tilrettelegge dem for innebygget personvernfunksjonalitet 6. Dataportabilitet Vil noen enkeltpersoner kunne be om å få utlevert sine personopplysninger, evt. for overføring til ny leverandør? Hvilke formater vil bli benyttet for eksport? 32
  • 33. Aktiviteter #3 7. Retten til å bli glemt Hvordan håndteres enkeltpersoners krav om sletting av sine personopplysninger? Hva trengs av opplysninger for å opprettholde offentligrettslige krav? 8. Varsling om brudd på regelverket Datatilsynet skal ha varsel innen 72 timer om brudd på regelverket for personvern. Hvordan håndteres dette? 9. Personvernombud Vurdering av behov. Utforming av arbeidsinstruks og rutiner 33
  • 34. Hva bør gjøres nå? • Ha en oversikt over hvilke personopplysninger som behandles • Oppfylle dagens lovkrav • Finne ut av det nye regelverket • Lage rutiner tilpasset de nye reglene 34
  • 35. Dagens lovkrav - 1 • Informasjonssystemer og sikkerhetstiltak skal dokumenteres (pol. § 13 og pof. § 2-16) • Dokumenterte internkontrolltiltak (pol. § 14) • Beskrivelse av sikkerhetsmål og sikkerhetsstrategi (pof. § 2-3) • Jevnlig gjennomgang av bruk av IT-systemer, som skal dokumenteres (pof. § 2-3) • Fastlegge kriterier for akseptabel risiko (pof. § 2-4) • Gjennomføre og dokumentere risikovurderinger (pof. § 2-4) • Gjennomføre og dokumentere sikkerhetsrevisjoner (pof. § 2-5) • Melde ifra til Datatilsynet ved visse sikkerhetsbrudd (pof. § 2-6) 35
  • 36. Dagens lovkrav - 2 • Etablere ansvar- og myndighetsstrukturer for bruk av IT-systemet (pof. § 2-7) • Konfigurerer IT-systemer for å oppnå tilfredsstillende sikkerhet (pof. § 2-7) • Etablere tilgangskontroll og autorisasjoner (pof. § 2-8) • Lære opp og trene personell i forsvarlig bruk av IT-systemer (pof. § 2-8) • Fysiske tiltak mot uautorisert tilgang til IT-systemer (pof. § 2-10) • Dokumentere tiltak mot autorisert innsyn i konfidensielle opplysninger (pof. § 2-11) 36
  • 37. Dagens lovkrav - 3 • Krypteringsløsninger ved overføring av konfidensielle opplysninger (pof. § 2-11) • Sikre nødvendig tilgjengelighet av opplysninger (pof. § 2-12) • Forsvarlige backuprutiner (pof. § 2-12) • Sikkerhetstiltak for å hindre uautorisert bruk og tiltak for å kunne oppdage slike forsøk (pof. § 2-14) • Tiltak mot uautoriserte endringer av opplysninger (pof. § 2- 13) • Tiltak mot ødeleggende programvare (pof. § 2-13) • Riktig bruk av cookies /infokapsler (ekomloven § 2-7b) 37
  • 38. LYNX advokatfirma DA Hieronymus Heyerdahls gate 1 N-0160 Oslo Kjell Steffner ks@lynx.law Tlf 905 11 901 http://lynxlaw.no/menneskene/kjell-steffner/ 38