Persondatakonference for offentlige myndigheder 19. APRIL 2018 BLIV KLAR TIL DEN NYE FORORDNING I 2018 T I L M E L D D I G PÅ W W W. J U C. D K /POM18 I SAMARBEJDE MED 1
PRAKTISK INFORMATION 19. APR. 7 LEKT. KR. 4.995 ekskl. moms Afholdes kl. 09.00 17.00 på Copenhagen Marriott Hotel, Kalvebod Brygge 5,1560 København V w TALERLISTE TILMELD DIG PÅ WWW.JUC.DK/POM18 Anders Valentiner-Branth Advokat og partner, Nielsen Nørager Ordstyrer og indlægsholder på hovedspor og juridisk spor Jesper Husmer Vang Kontorchef Datatilsynet Peter Fogh Knudsen International chef Datatilsynet Jakob Spangsberg Lundsager Kontorchef, Databeskyttelseskontoret Justitsministeriet Henning Mortensen Formand, Rådet for Digital Sikkerhed Ordstyrer og indlægsholder på IT-sporet Helle Uldbæk Sørensen Databeskyttelsesrådgiver, DPO Statens IT Frederik Helweg-Larsen Expert Director, Risk & Security Devoteam Gaffri Johnson GDPR Ekspert fortconsult Malene Møller Ruszkai Chefjurist, Københavns Kommune Teknik- og Miljøforvaltningen Rasmus Blaabjerg Advokat Nielsen Nørager Jens Møller Kommitteret Folketingets Ombudsmand Hanne Marie Motzfeldt Lektor, adjunkt Juridisk Institut, Aarhus Universitet 2
Torsten Nordfjeld Conference Manager E-mail: tn@juc.dk Direkte: 27 12 67 69 BLIV KLAR TIL DEN NYE DATABESKYTTEL- SESFORORDNING I MAJ 2018 FÅ KONKRETE VÆRKTØJER OG IMPLEMENTERBAR VIDEN TIL ARBEJDET MED DEN NYE FORORDNING! Justitsministeriets forslag til en ny databeskyttelseslov viser sammen med databeskyttelsesforordningen, at offentlige myndigheder skal være opmærksomme på at implementere de nye regler på en helt anden måde, end det var tilfældet med den tidligere persondatalov. Offentlige myndigheder er blandt andre krav, forpligtet til selv at anmelde et eventuelt databrud til Datatilsynet, hvorfor opdagelsesrisikoen er meget høj, samtidig med at overtrædelse af reglerne kan være forbundet med særdeles hårde sanktioner og bøder til myndighederne. Konferencen adresserer derfor de complianceøvelser i multidisciplinen mellem ledelse, jura og IT, som er relevante for offentlige myndigheder. De udvalgte indlæg og emner centrerer sig om de problemstillinger, der i praksis giver udfordringer for offentlige myndigheder med dertilhørende løsninger. Indlægsholdere med fokus på multidisciplinen Alle indlægsholdere er nøje udvalgte, og repræsenterer enten lovgiver-, praktiker- eller forskersiden. Dette skal sikre en 360-graders behandling samt en opdateret værktøjskasse til implementeringen af forordningens krav i din organisation. Det er din garanti for at få belyst de nye regler med specialistviden. Flere spor Konferencen er inddelt i to spor, så din mulighed for at opnå målrettet viden er størst mulig. I år har vi desuden oprustet IT-sporet og gjort det endnu mere konkret, så i kan få flere værktøjer med tilbage til organisationen. Du kan læse mere på side 5-11. Vi glæder os til at byde dig velkommen på konferencen. Med venlig hilsen Torsten Nordfjeld JUC 3
OM KONFERENCEN FORMÅL Konferencen klæder dig på til at efterleve de krav, der stilles for at blive klar til den nye databeskyttelsesforordning. Konferencen tager en praktisk tilgang til implementeringen af forordningen i offentlige myndigheder, der anskues både fra et juridisk og et IT-teknisk perspektiv. MÅLGRUPPE Konferencen er målrettet alle, som arbejder med persondata til daglig. Hvad enten du arbejder med persondata i begrænset omfang eller på et teknisk avanceret niveau, så har du mulighed for at lade dig oplyse og inspirere ved at håndplukke dine egne indlæg. Deltagere er typisk offentlige myndigheder eller rådgivere til eller for disse, herunder jurister, IT-teknikere og andre, der har en opgave i at få offentlige myndigheder til at leve op til de krav, der stilles i den nye databeskyttelsesforordning, og efterleve de danske særregler. INDHOLD: Den nye databeskyttelsesforordning og implementering i offentlige myndigheder Databeskyttelsesforordningen får virkning fra den 25. maj 2018. For offentlige myndigheder betyder det, at der skal implementerbar viden og konkrete værktøjer til for at løse de mange complianceøvelser. Det kan være svært at komme rundt om de mange problemstillinger. Derfor retter konferencen blikket mod de væsentligste problemstillinger, som offentlige myndigheder står over for, og i erkendelsen af, at man er nødt til at prioritere indsatsen, er indlæg, temaer m.v. valgt ud fra de områder, hvor det er særligt vigtigst at blive klar. Der præsenteres derfor bl.a. cases og specifikke initiativer, som kan tænkes ind i organisationens implementeringsarbejde. Vælg de indlæg som passer dig Ud over konferencens HOVEDSPOR kan du vælge mellem to forskellige spor relateret til databeskyttelse: SPOR 1: Juridiske udfordringer SPOR 2: IT-sikkerhed og complianceøvelser Det giver dig en enestående mulighed for at tilpasse niveau og emner til din profil. Vi har inviteret en lang række specialiserede indlægsholdere, som giver dig svar på gråzonerne og de svære problemstillinger. Til hvert af de to spor er der et formiddags- og eftermiddagsforløb, og det er muligt løbende at vælge mellem sporene Dialog Der vil være mulighed for at indgå i dialog om emnerne, så du som deltager har mulighed for at få svar på lige netop de udfordringer, du sidder med. I slutningen af konferencen har du ligeledes mulighed for 1-1 dialog og networking med indlægsholdere og konferencedeltagere. 4
PROGRAM FOR KONFERENCENS HOVEDSPOR 08.30 Ankomst, registrering og morgenmad 09.00 09.20 10.00 10.30 10.50 Velkomst Ordstyrer Anders Valentiner-Branth, introducerer dagen og giver en status på de største udfordringer lige nu Anders Valentiner-Branth, Nielsen Nørager Seneste nyt og hvad skal vi fokusere på? Status fra Datatilsynet Jesper Husmer Vang Datatilsynet fortæller om status for arbejdet med gennemførelse af databeskyttelsesforordningen. Herudover belyses tilsyn og sanktioner efter forordningens ikrafttrædelse Status fra Datatilsynet - Nyt fra EU Peter Fogh Knudsen Her belyses databeskyttelsesrettens håndhævelse i et EU-perspektiv og dens indvirkning på offentlige myndigheder i Danmark Pause Klokken 10.50 vælges ét af to spor Programmet er delt op i to faglige spor, som alle tager udgangspunkt i arbejdet med den nye databeskyttelsesforordning for offentlige myndigheder. På side 7-10 kan du læse mere om konferencens forskellige spor. SPOR 1 Juridiske udfordringer SPOR 2 IT-sikkerhed og complianceøvelser 12.00 13.00 Frokost Status fra Justitsministeriet Jakob Lundsager Nyt fra Justitsministeriets databeskyttelseskontor samt det fremtidige arbejde med forordningens indvirkning på offentlige myndigheder i Danmark 5
HOVEDSPORET FORTSAT... 13.30 14.00 Databehehandleraftaler og uberettiget behandling af personoplysninger Hanne Marie Motzfeldt, Aarhus Universitet Nye krav til DPOen - et forslag til en praktisk guideline som forener Jura og IT Pause 14.20 Klokken 14.20 vælges igen ét af de to spor Programmet er delt op i to faglige spor, som alle tager udgangspunkt i arbejdet med den nye databeskyttelsesforordning for offentlige myndigheder. På side 7-10 kan du læse mere om konferencens forskellige spor. SPOR 1 Juridiske udfordringer SPOR 2 IT-sikkerhed og complianceøvelser 15.30 15.50 16.30 17.00 Pause Key takeaways og opsummering Anders Valentiner-Branth, Nielsen Nørager og Jens Møller, Folketingets Ombudsmand Opsummering på konferencen og sporene: Hvad skal vi tage med tilbage til organisationen og hvad skal vi fokusere på fremadrettet? Mød indlægsholderne, networking Farvel og tak for i dag *Der tages forbehold for evt. ændringer i programmet, så dette er så relevant som muligt på afholdelsesdagen. Det er samtidig din garanti for, at alle indlæg er helt opdaterede. 6
SPOR 1 JURIDISKE UDFORDRINGER Ordstyrer: Anders Valentiner-Branth 10.50 Implementering af forordningens krav i Københavns Kommune Malene Møller Ruszkai, Københavns Kommune, Teknik- og Miljøforvaltningen Få indsigt i hvordan Københavns Kommune har arbejdet med at implementere persondataforordningen. Borgerne og medarbejderne skal have tillid til myndighedernes behandling af personoplysninger, og kommunerne behandler mange personoplysninger på mange forskellige områder. Teknik- og Miljøforvaltningen arbejder målrettet med netop dette og er ved at implementere de nye forordningskrav i organisationerne. Op til forordningens ikrafttrædelse vil Københavns Kommune være nået langt med implementeringen og vil på oplægget præsentere nogle af de mest centrale erfaringer, de har gjort sig i deres arbejde med implementeringen, samt hvordan de har styrket organisationen. Oplægget vil tage en case-baseret tilgang og behandle emner som Balancen mellem compliance og overimplementering - evaluering Hvordan får vi multidisciplinen til at give mening i dagligdagen? 11.20 11.30 Mulighed for sporskifte Oplysningspligten, indsigtsretten og fortegnelseskravet Rasmus Blaabjerg, Nielsen Nørager Oplægget har fokus på dels indholdet af forordningens oplysningspligt, indsigtsretten og kravet om fortegnelse over behandlingsaktiviteter, dels hvordan det i praksis sikres, at man som offentlig myndighed lever op til disse krav. 7
SPOR 1 FORTSAT... 12.00-14.20 Frokost, hovedspor og pause 14.20 14.50 15.00 Implementering af complianceprojekter i det offentlige - en køreplan til implementeringsarbejdet Anders Valentiner-Branth, Nielsen Nørager På dette oplæg belyses de juridiske implikationer,som der bør tages højde for i arbejdet med den praktiske implementering af complianceprojekter. Ydermere ses der på erfaringer og konkrete løsningsforslag til brug for en køreplan til implementeringsarbejdet. Mulighed for sporskifte Hvornår har vi tilstrækkelig hjemmel til at behandle personoplysninger? Jens Møller, Folketingets Ombudsmand Med den nye databekyttelseslov og persondataforordningen ændres hjemmelskravene. Det betyder, at offentlige myndigheder skal behandle personoplysninger på et nyt retligt grundlag. Oplægget vil b.la belyse Ændringer hvad forbliver, og hvad ændres? Hvornår har man tilstrækkelig hjemmel under forordningen? 8
SPOR 2 IT-SIKKERHED OG COMPLIANCEØVELSER Ordstyrer: Henning Mortensen 10.50 Databeskyttelse by design Henning Mortensen, Rådet for Digital Sikkerhed, Databeskyttelse gennem design er et nyt begreb i den europæiske persondatalovgivning. Det er også et af de begreber, som i høj grad har både et teknisk og juridisk indhold. Der foreligger kun en meget begrænset praksis på dette område, og derfor er det også vanskeligt at bestemme, hvilke tiltag der skal i værksættes under dette begreb, så det giver mening i hverdagen. I dette indlæg vil begrebet blive præciseret med tilhørende praktiske bud på et materielt indhold. 11.20 11.30 Mulighed for sporskifte Cloudbaserede-tjenester Helle Uldbæk Sørensen, DPO i Statens It Det ses på efterspørgslen, at cloudbaserede-tjenester vinder større indpas, når offentlige myndigheder skal tænke persondata ind i organisationen. Men hvilke juridiske overvejelser skal offentlige myndigheder gøre sig ifm. udvælgelse og implementeringen af disse tjenester? Hvilke grundlæggende udfordringer støder man oftest på og hvordan tackles disse - hvordan er rækkefølgen i forhold til overvejelserne ved den tekniske implementering? Dette oplæg vil bl.a. omsætte persondataretlige udfordringer ved cloud til en stepby-step plan, for hvordan man i praksis får multidisciplinen til at tale sammen i den rigtige rækkefølje, når der skal implementeres cloudtjenester i offentlige myndigheder. 12.00-14.20 Frokost, hovedspor og pause 9
SPOR 2 FORTSAT... 14.20 Compliance og operationalisering Frederik Helweg-Larsen, Devoteam Målrettet implementering af forordningens krav kræver forståelse for multidisciplinen og snitfladerne mellem forretning, jura og IT. Det er essentielt at de hårde juridiske krav oversættes til håndterbar viden, som får snitfladerne til at mødes i praksis. Oplægget lægger tryk på den korte frist til forordningens ikræfttrædelse og belyser kritiske punkter som Stillingtagen til complianceniveauet - hvor går snittet i organisationen? Hvordan får vi enderne til at mødes? 14.50 Mulighed for sporskifte 15.00 Sikkerhedsbrud og efterlevelse af krav Gaffri Johnson, fortconsult Mange offentlige myndigheder vil have godt styr på forordningens krav og være i stand til at efterleve disse efter maj 2018. Men hvad betyder et sikkerhedsbrud for organisationen og er der overblik over de nødvendige kapaciteter og kompetencer, som det kræver at håndtere et sikkerhedsbrud? Her belyses også udfordringer ifm. lækket af oplysninger i Kalundborg Kommune. Dette oplæg får dig som konferencedeltager til at reflektere over sikkerhedsniveauet i din organisation, og vil danne ramme for en tjekliste til at holde din organisation compliant i fremtiden. 10
JUC KONFERENCER JUC er en specialiseret kursusvirksomhed, der blev etableret i 2001. Vi er førende på det danske marked, når det kommer til kurser, netværk samt konferencer med højaktuelt indhold. Vi har specialiseret os i at formidle jura og fagspecifikt indhold på forskellige niveauer hvad enten modtageren er praktiker eller specialiseret advokat. Vi afholder hvert år arrangementer for mere end 5.000 deltagere, fordelt på +150 forskellige faglige kurser, +40 faglige netværk samt +10 konferencer i Skandinavien. Alle konferencer hos JUC er meritgivende som obligatorisk efteruddannelse. Samtidig arbejder vi tæt med nogle af de skarpeste eksperter. De fungerer som faglige garanter for det endelige konferenceprogram. Det er vigtigt for os, at vi kun inviterer de bedste og største kapaciteter inden for branchen og ikke går på kompromis. Axelborg Vesterbrogade 4a 1620 København V tlf: 7020 8260 juc@juc.dk www.juc.dk cvr: 35391304 11