Hvilke forberedelser kræver EUpersondataforordningen? Klaus Kongsted, Dubex A/S, 11. juni 2015

Størrelse: px

Starte visningen fra side:

Download "Hvilke forberedelser kræver EUpersondataforordningen? Klaus Kongsted, kka@dubex.dk Dubex A/S, 11. juni 2015"

August Steensen
8 år siden
Visninger:

1 Hvilke forberedelser kræver EUpersondataforordningen? Klaus Kongsted, Dubex A/S, 11. juni 2015

2 Agenda Hvordan ser det ud i dag? Hvem vedrører forordningen? Skal min organisation gøre noget? - Hvad? - Hvornår? Kan/skal vi forberede os nu? Er der nogle vi kan lære af? Roadmap

3 Hvordan ser det ud i dag? Den nuværende persondatalov Fra år 2000, løbende smårevisioner Bunder hovedsaglig i et EU-direktiv Tre niveauer af personoplysninger Følsomme oplysninger (lovovertrædelser, helbred, seksualitet, religion mm.) Oplysninger om rent private forhold Ikke-følsomme oplysninger Som udgangspunkt anmeldelsespligt for registre Lang række undtagelser Bliver i stort omfang ikke fulgt, sanktioner stærkt begrænsede...

niveauer af personoplysninger Følsomme oplysninger (lovovertrædelser, helbred, seksualitet, religion mm.

4 Sanktioner?

5 Den nye forordning, med EU-Parlamentets ændringer Forordning direkte lovgyldighed i alle lande Ensartede regler i hele EU / EØS samt one-stop myndighedsudøvelse Retten til at få slettet oplysninger (ikke kun til at blive glemt ) Kun registrering ved aktivt samtykke Ingen forhåndsgodkendelse af registre (til myndighed) Breach Notification Som udgangspunkt inden for 24 timer Data Protection Officer (databeskyttelsesansvarlig) SMV er som udgangspunkt undtaget (< 250 ansatte) Obligatorisk Privacy Impact Assesment SMV er som udgangspunkt undtaget (< 250 ansatte) Store bøder (højeste af EUR 100 mio eller 2% / 5% af omsætning)

registre (til myndighed) Breach Notification Som udgangspunkt inden for 24 timer Data Protection Officer (databeskyttelsesansvarlig) SMV er som udgangspunkt

6 Roadmap EU-Kommisionens oprindelige forslag 25/ LIBE giver OK EU s kommite for Borgernes Rettigheder og Retlige og Indre Anliggender (LIBE) giver OK for videre fremdrift 22/ Ministerrådsvedtagelse Helt grundlæggene ændringer kan ikke foretages uden at genstarte processen. Endelig, fuld gyldighed Ikke flere overgangsbestemmelser /18 Høringsrunde Politikere og høringsberretigede organisationer i alle EUlande kunne kommentere EU-parlamentsvedtagelse ændringer. Vedtaget 12/ Delvis ikræfttrædelse Overgangsordninger på op til to år de indgående elementer

Endelig, fuld gyldighed Ikke flere overgangsbestemmelser 2012 2013 2014 2015 2016 2017/18 Høringsrunde Politikere og høringsberretigede organisationer

Forberedelse Forberedelsen starter NU: Dokumentér databehandlingssystemer Lav baseline Log adgang Kryptér data også data i transit Stil krav

7 Forberedelse Forberedelsen starter NU: Dokumentér databehandlingssystemer Lav baseline Log adgang Kryptér data også data i transit Stil krav til tredjeparts-databehandlere Identificér risikofaktorer Forbered Data Privacy Impact Assessments Lav plan for DPO er tag udgangspunkt i ISO 2700x

i transit Stil krav til tredjeparts-databehandlere Identificér

8 Er vi forberedte?

9 Myndighedsudøvelse, jurisdiktion One-stop myndighedsudøvelse Organisationerne er som udgangspunkt kun underlagt deres egen nationale datamyndighed (men overnationalt tilsyn) Ikke-EU/EØS-virksomheder, der udbyder varer/ydelser til EU-borgere/- virksomheder, er også underlagt. Også gratis -ydelser!

datamyndighed (men overnationalt tilsyn) Ikke-EU/EØS-virksomheder, der

10 Lobby-arbejde fra landene - eksempel Hvis nogen stadig skulle være i tvivl om hvem der bestemmer i EU:

11 Lobby-arbejde fra landene - eksempel Hvis nogen stadig skulle være i tvivl om hvem der bestemmer i EU:

12 Data Protection Officers Refererer direkte til ledelsen Udpeget for fire år, beskyttet mod afskedigelse (sammenligneligt med sikkerhedsrepræsentanter) eksternt sourcede dog to år SMV er (< 250 ansatte) kun hvis databehandling er kernevirksomhed * dog alle offentlige myndigheder ** Få lande har i dag tvungne DPO er Tyskland er tættest på Formentlig ofte ekstern Find dem snart der bliver rift om dem! *: Og/eller behandler over 5000 data-subjekter/år **: der foregår kraftigt lobbyarbejde mod dette i Ministerrådet

alle offentlige myndigheder ** Få lande har i dag tvungne DPO er Tyskland er tættest på Formentlig ofte ekstern Find dem snart

13 Hvem er DPO erne? Skal have ekspertkendskab til: Relevant lovgivning (Data Protection Act) Databeskyttelse Privacy Assesments hvor mange har den kombination? Må ikke have interessekonflikter (?) Ansvarlig for forordningens overholdelse i organisationen Point-of-contact for data-subjekter og myndigheder Ansvarlig for procedurer, risikovurderinger, dokumentation, DPIA mm. Klageansvarlig Ansvarlig over for revision Potentielt under strafansvar

hvor mange har den kombination? Må ikke have interessekonflikter (?

14 Informeret samtykke og right-to-be-erased Informeret samtykke Eksplicit samtykke for registrering Som udgangspunkt en rettighed for borgeren Ikke kun opt-out Kræver i praksis formentlig afkrydsningsbokse eller lignende Breach Notification-krav (se senere) Right to be erased EU-Parlamentets udvidelse fra right-to-be-forgotten EU-domstolen har yderligere stadfæstet princippet Naturligvis ikke absolut (kriminalregistre etc.) Som udgangspunkt en rettighed for borgeren Store konsekvenser tænk på gamle backups Og så har borgerne ret til at få deres data flyttet til anden udbyder ( Right to data portability )

fra right-to-be-forgotten EU-domstolen har yderligere stadfæstet princippet Naturligvis ikke absolut (kriminalregistre etc.

15 Breach Notification Inden for 24 timer (under visse omstændigheder 72) Også hvis data ligger hos tredjepart Både til myndigheder og berørte borgere Krav til mængden af information Tidspunkt Karakter af lækket data Hvor mange entiteter der er omfattet Undtagelser hvis det kan påvises data er ubrugelige (effektivt krypterede) Overstiger allerede vedtagne krav til TelCos Ligner eksisterende krav i Tyskland og Frankrig Kræver i praksis effektive loghåndteringssystemer og IAM Kræver i praksis 7x24 beredskab eget eller SOC-leverandør

hvis det kan påvises data er ubrugelige (effektivt krypterede) Overstiger allerede vedtagne krav til TelCos Ligner eksisterende krav

Data Protection Impact Assessment Ofte kaldet Privacy Impact Assessment (PIA) Obligatorisk når der er særlige risici Erstatter anmeldelsespligten til

myndigheder undtaget, hvis behandlingen er et EU-krav Risikobaseret tilgang ledelsen burde juble Der findes en del frameworks tilgængelige Vigtigt at få

16 Data Protection Impact Assessment Ofte kaldet Privacy Impact Assessment (PIA) Obligatorisk når der er særlige risici Erstatter anmeldelsespligten til national myndighed (dog foreslået undtagelse ved stoe konkrete risici ) SMV er (< 250 ansatte) kun hvis databehandling er kernevirksomhed * Offentlige myndigheder undtaget, hvis behandlingen er et EU-krav Risikobaseret tilgang ledelsen burde juble Der findes en del frameworks tilgængelige Vigtigt at få sat i system, og integreret del af projektplaner Stort erfaringsgrundlag i de angelsaksiske lande (AU, CA, NZ, UK, US)! *: Og/eller behandler over 5000 data-subjekter/år

17 Hvad indeholder en (D)PIA? Risikovurdering med udgangspunkt i datasubjekterne! Dokumentation Organisatoriske foranstaltninger Tekniske foranstaltninger Compliance i forhold til forordningen Evt. høring af datasubjekter Evt. høring af myndigheder (ved forøget risiko) Evt. foretagen begrænsning af risici Konsekvensanalyser Yderligere dokumentationskrav uden for (D)PIA Formål Kontaktoplysninger Evt. tilladelser/hjemmel Klageadgang Kontrolforanstaltninger Subjekttyper, datatyper, modtagere, sletningskrav, evt. overførsler

høring af datasubjekter Evt. høring af myndigheder (ved forøget risiko) Evt.

18 Hvornår skal (D)PIA laves? Forordningens artikel 33 om konsekvensanalyse: Foretages når behandlingen af personoplysninger kan indebære specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af behandlingens karakter, omfang eller formål Eksempler kunne være indsamling/behandling af oplysninger om personers: Sygdom Økonomi Seksualitet Etnicitet Alle former for vaner/aktioner, der måtte opfattes som personlige

specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af behandlingens karakter,

19 Hvordan laver man en (D)PIA? Beskrivelse af den/det påtænkte behandling/system Risikoanalyse Høring blandt (potentielt) registrerede Konsekvensanalyse Eventuelle afhjælpningsforanstaltninger Sikkerhedsforanstaltninger Dokumentér processer og efterlevelse

Høring blandt (potentielt) registrerede Konsekvensanalyse

20 PIA frameworks - eksempler

21 Yderligere henvisninger Fact-sheet om EU-Parlamentets ændringer til Kommissionens forslag 2_en.pdf Samlet oversigt over Parlamentets ændringer og Ministerrådets nuværende positioner (tungt!) 4column-2015.pdf DI ITEK s skabelon for Privacy Impact Assessment 20skabelon%20for%20Privacy%20Impact%20Assessment.p df

22 TAK! For mere information kontakt Klaus Kongsted

Relaterede dokumenter

Security & Risk Management Summit

Security & Risk Management Summit Søborg 6. november 2014 Partnere: Roadmap til håndtering af EU-persondataforordningen Klaus Kongsted, CEO, Dubex Søborg, den 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT