Implementering af persondataforordningen på det kgl. bibliotek
•
1 like•229 views
Ole Holm, DPO, Det Kgl. Bibliotek: Om den praktiske implementering af persondataforordningen på KB (se også: https://goo.gl/PuMCTj )
More Related Content
More from LFF - Landsforeningen til bevaring af foto og film
More from LFF - Landsforeningen til bevaring af foto og film (20)
Implementering af persondataforordningen på det kgl. bibliotek
- 1. Implementering af persondataforordningen på Det Kgl. Bibliotek Ole Holm DPO, Det Kgl. Bibliotek LFF kursus Persondataforordningen Odense 24. januar 2018
- 2. Implementering af persondataforordningen på Det Kgl. Bibliotek Ole Holm Bibliotekar, IT projektleder, systemansvarlig og personaleleder Prince2 projektleder, DPO uddannet (Kammeradvokaten/Implement) DPO (Det Kgl. Bibliotek) IT sikringskoordinator (Det Kgl. Bibliotek København) Specialkonsulent (Københavns Universitetsbibliotek) januar 2018
- 3. Rammerne: Det Kgl. Bibliotek som nationalbibliotek Det Kgl. Bibliotek som universitetsbibliotek Det Kgl. Bibliotek som Nationalt Lånecenter og Overcentral Opgaverne: Trykt og digital kulturarv - adgang, formidling, forskning Informationsforsyning – adgang til trykte og elektroniske informationsressourcer Brugerne: Borgere (danske og udenlandske) Studerende og –ansatte (danske og udenlandske) Medarbejdere januar 2018 Implementering af persondataforordningen på Det Kgl. Bibliotek
- 4. Organisering Q4 2016 - Implementeringsansvar placeret hos administrationschefen (vicedirektør) Q4 2016 - DPO udpeget – afsæt i informationssikkerhed / ISO27001 Q2 2017 - Persondatagruppe etableret – klar opgave og klart mandat januar 2018 DIREKTØR DIREKTION . . .VICEDIREKTØR VICEDIREKTØR VICEDIREKTØR PERSONDATAGRUPPEN DPO IT sikkerhed / ISO27001 IT infrastruktur Jurister OMRÅDE OMRÅDE OMRÅDEOMRÅDE IT SIKKERHED Implementering af persondataforordningen på Det Kgl. Bibliotek
- 5. Persondataforordningen - essensen Persondataforordningen bygger på en risikobaseret tilgang til persondatabehandling. Compliance (overholdelse) med mange fællestræk med sikkerhedsstandarden ISO27001. Persondatabehandling skal ske lovligt og med fokus på nødvendighed: - behandlingen skal være berettiget, begrundet og begrænset mest muligt. Dokumentationskravet er omdrejningspunkt for al persondatabehandling. - herunder styr på interne roller og ansvar samt aftaler for ekstern databehandling Persondatasikkerhed skal indbygges i tekniske løsninger, processer og arbejdsgange. Registreredes rettigheder skal respekteres og overholdes. Databeskyttelsesrådgiver for offentlige virksomheder samt visse private virksomheder. januar 2018 Implementering af persondataforordningen på Det Kgl. Bibliotek
- 6. januar 2018 Kortlægning af (overordnede) behandlingsaktiviteter - digitale såvel som analoge aktiviteter Kortlægning af berørte informationsaktiver - ISO27001-kobling, roller, ansvar, sikkerhed Fortegnelse over behandlingsaktiviteter - aktiviteter, formål, hjemmel, kategorier (data, registrerede) - overførsler, slettefrister, sikkerhedsforanstaltninger Revision af hjemmelgrundlag - behandling på basis af lovgivning eller samtykke Handlingsplaner - dokumentation, sikkerhedsforanstaltninger - leverandørforhold og -aftaler, registreredes rettigheder Organisation - politikker, retningslinjer, reglementer Beredskab - henvendelser fra tilsyn og registrerede - håndtering af sikkerhedsbrist og anmeldelse ‘Driftsorganisation’ - løbende compliance, risikovurdering, kontrol, awareness Implementering af persondataforordningen på Det Kgl. Bibliotek
- 7. januar 2018 Implementering af persondataforordningen på Det Kgl. Bibliotek Kortlægning Behandlingsaktiviteter Indberetning Informationsaktiver (ISO27001) Handlingsplaner Konkrete opgaver og deadlines Fortegnelse / dokumentation Løbende opdatering
- 8. Erfaringer Implementering Håndtér som et projekt med roller, ansvar, faser, produkter, frister osv. Sørg for klar ledelsesforankring, tydelige opgaver og klart mandat for projektgruppen Kortlægning og GAP Kortlæg behandlingsaktiviteterne tidligst muligt - husk de analoge aktiviteter Adressér mangler og udeståender og aktiver organisationen tidligst muligt Engagement Pisk eller gulerod? vægt på den gode fortælling – awareness, motivation, medejerskab Compliance som konkurrenceparameter og værdiskabelse DPO Udpeg DPO når det er muligt - ikke som en forudsætning for implementering januar 2018 Implementering af persondataforordningen på Det Kgl. Bibliotek
- 9. Udfordringer Omfang og overblik Persondatabehandling sker løbende, i stort set alle sammenhænge og på alle niveauer af organisationen Komplekse organisationer = komplekse tekniske og faglige miljøer = kompleks implementering og compliance - Hvordan opnås og bevares det nødvendige overblik, klare roller og ansvar? Manøvrerum og fleksibilitet Behandling af personoplysninger skal være berettiget, begrundet og begrænset mest muligt Forudsætter øget formalisering og dokumentation af services, processer og arbejdsgange – også hvor man har været vant til friere rammer. - Hvordan påvirkes arbejdskulturer, brugeroplevelser og samarbejdsrelationer? januar 2018 Implementering af persondataforordningen på Det Kgl. Bibliotek
- 10. januar 2018 Implementering af persondataforordningen på Det Kgl. Bibliotek
- 11. Tak for opmærksomheden! Ole Holm Det Kgl. Bibliotek oho@kb.dk januar 2018 Implementering af persondataforordningen på Det Kgl. Bibliotek