Roadmap til håndtering af EU-persondataforordningen. Klaus Kongsted, Vejle, den 21. maj 2015

Størrelse: px

Starte visningen fra side:

Download "Roadmap til håndtering af EU-persondataforordningen. Klaus Kongsted, Vejle, den 21. maj 2015"

Sidsel Thøgersen
7 år siden
Visninger:

1 Roadmap til håndtering af EU-persondataforordningen Klaus Kongsted, Vejle, den 21. maj 2015 DUBEX SECURITY & RISK MANAGEMENT UPDATE 2015

2 Agenda Hvordan ser det ud i dag? Hvem vedrører forordningen? Skal min organisation gøre noget? - Hvad? - Hvornår? Kan/skal vi forberede os nu? Er der nogle vi kan lære af? Roadmap

3 Hvordan ser det ud i dag? Den nuværende persondatalov Fra år 2000, løbende smårevisioner Bunder hovedsaglig i et EU-direktiv Tre niveauer af personoplysninger Følsomme oplysninger (lovovertrædelser, helbred, seksualitet, religion mm.) Oplysninger om rent private forhold Ikke-følsomme oplysninger Som udgangspunkt anmeldelsespligt for registre Lang række undtagelser Bliver i stort omfang ikke fulgt, sanktioner stærkt begrænsede...

4 Sanktioner?

5 Den nye forordning, med EU-Parlamentets ændringer Forordning direkte lovgyldighed i alle lande Ensartede regler i hele EU / EØS samt one-stop myndighedsudøvelse Retten til at få slettet oplysninger (ikke kun til at blive glemt ) Kun registrering ved aktivt samtykke Ingen forhåndsgodkendelse af registre (til myndighed) Breach Notification Som udgangspunkt inden for 24 timer Data Protection Officer (databeskyttelsesansvarlig) SMV er som udgangspunkt undtaget (< 250 ansatte) Obligatorisk Privacy Impact Assesment SMV er som udgangspunkt undtaget (< 250 ansatte) Store bøder (højeste af EUR 100 mio eller 2% / 5% af omsætning)

6 Roadmap EU-Kommisionens oprindelige forslag 25/ LIBE giver OK EU s kommite for Borgernes Rettigheder og Retlige og Indre Anliggender (LIBE) giver OK for videre fremdrift 22/ Ministerrådsvedtagelse Helt grundlæggene ændringer kan ikke foretages uden at genstarte processen. Endelig, fuld gyldighed Ikke flere overgangsbestemmelser /18 Høringsrunde Politikere og høringsberretigede organisationer i alle EUlande kunne kommentere EU-parlamentsvedtagelse ændringer. Vedtaget 12/ Delvis ikræfttrædelse Overgangsordninger på op til to år for visse elementer

Forberedelse Forberedelsen starter NU: Dokumentér databehandlingssystemer Lav baseline Log adgang Kryptér data også data i transit Stil krav

7 Forberedelse Forberedelsen starter NU: Dokumentér databehandlingssystemer Lav baseline Log adgang Kryptér data også data i transit Stil krav til tredjeparts-databehandlere Identificér risikofaktorer Forbered Data Privacy Impact Assessments Lav plan for DPO er tag udgangspunkt i ISO 2700x

8 Er vi forberedte?

9 Myndighedsudøvelse, jurisdiktion One-stop myndighedsudøvelse Organisationerne er som udgangspunkt kun underlagt deres egen nationale datamyndighed Ikke-EU/EØS-virksomheder, der udbyder varer/ydelser til EU-borgere/- virksomheder, er også underlagt. Også gratis -ydelser!

10 Lobby-arbejde fra landene - eksempel Hvis nogen stadig skulle være i tvivl om hvem der bestemmer i EU:

11 Lobby-arbejde fra landene - eksempel Hvis nogen stadig skulle være i tvivl om hvem der bestemmer i EU:

12 Data Protection Officers Refererer direkte til ledelsen Udpeget for fire år, beskyttet mod afskedigelse (sammenligneligt med sikkerhedsrepræsentanter) eksternt sourcede dog to år SMV er (< 250 ansatte) kun hvis databehandling er kernevirksomhed * dog alle offentlige myndigheder Få lande har i dag tvungne DPO er Tyskland er tættest på Formentlig ofte ekstern Find dem snart der bliver rift om dem! *: Og/eller behandler over 5000 data-subjekter/år

13 Hvem er DPO erne? Skal have ekspertkendskab til: Relevant lovgivning (Data Protection Act) Databeskyttelse Privacy Assesments hvor mange har den kombination? Må ikke have interessekonflikter (?) Ansvarlig for forordningens overholdelse i organisationen Point-of-contact for data-subjekter og myndigheder Ansvarlig for procedurer, risikovurderinger, dokumentation, DPIA mm. Klageansvarlig Ansvarlig over for revision Potentielt under strafansvar

14 Informeret samtykke og right-to-be-erased Informeret samtykke Eksplicit samtykke for registrering Som udgangspunkt en rettighed for borgeren Ikke kun opt-out Kræver i praksis formentlig afkrydsningsbokse eller lignende Breach Notification-krav (se senere) Right to be erased EU-Parlamentets udvidelse fra right-to-be-forgotten EU-domstolen har yderligere stadfæstet princippet Naturligvis ikke absolut (kriminalregistre etc.) Som udgangspunkt en rettighed for borgeren Store konsekvenser tænk på gamle backups Og så har borgerne ret til at få deres data flyttet til anden udbyder ( Right to data portability )

15 Breach Notification Inden for 24 timer (under visse omstændigheder 72) Også hvis data ligger hos tredjepart Både til myndigheder og berørte borgere Krav til mængden af information Tidspunkt Karakter af lækket data Hvor mange entiteter der er omfattet Undtagelser hvis det kan påvises data er ubrugelige (effektivt krypterede) Overstiger allerede vedtagne krav til TelCos Ligner eksisterende krav i Tyskland og Frankrig Kræver i praksis effektive loghåndteringssystemer og IAM Kræver i praksis 7x24 beredskab eget eller SOC-leverandør

Offentlige myndigheder undtaget, hvis behandlingen er et EU-krav Risikobaseret tilgang ledelsen burde juble Der findes en

16 Data Protection Impact Assessment Ofte kaldet Privacy Impact Assessment (PIA) Obligatorisk når der er særlige risici Erstatter anmeldelsespligten til national myndighed SMV er (< 250 ansatte) kun hvis databehandling er kernevirksomhed * Offentlige myndigheder undtaget, hvis behandlingen er et EU-krav Risikobaseret tilgang ledelsen burde juble Der findes en del frameworks tilgængelige Vigtigt at få sat i system, og integreret del af projektplaner *: Og/eller behandler over 5000 data-subjekter/år

17 Hvad indeholder en (D)PIA? Risikovurdering med udgangspunkt i datasubjekterne! Dokumentation Organisatoriske foranstaltninger Tekniske foranstaltninger Compliance i forhold til forordningen Evt. høring af datasubjekter Evt. høring af myndigheder (ved forøget risiko) Evt. foretagen begrænsning af risici Konsekvensanalyser Yderligere dokumentationskrav uden for (D)PIA Formål Kontaktoplysninger Evt. tilladelser/hjemmel Klageadgang Kontrolforanstaltninger Subjekttyper, datatyper, modtagere, sletningskrav, evt. overførsler

18 PIA frameworks - eksempler

19 Yderligere henvisninger Fact-sheet om EU-Parlamentets ændringer til Kommissionens forslag 2_en.pdf Samlet oversigt over Parlamentets ændringer og Ministerrådets nuværende positioner (tungt!) 4column-2015.pdf DI ITEK s skabelon for Privacy Impact Assessment 20skabelon%20for%20Privacy%20Impact%20Assessment.p df

20 Tak! Kontakt for yderligere information

Relaterede dokumenter

Hvilke forberedelser kræver EUpersondataforordningen? Klaus Kongsted, kka@dubex.dk Dubex A/S, 11. juni 2015

Hvilke forberedelser kræver EUpersondataforordningen? Klaus Kongsted, kka@dubex.dk Dubex A/S, 11. juni 2015 Agenda Hvordan ser det ud i dag? Hvem vedrører forordningen? Skal min organisation gøre noget?