SMART LIBRARIES OG PERSONDATAFORORDNINGEN

Relaterede dokumenter
GDPR NÅR FORORDNINGEN MØDER VIRKELIGHEDEN

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

Persondataforordningen

Regler om persondata Koordinatormøde den 28. nov. 2017

Præsentation Tid +/- 25 minutter i praktik

Persondataforordningen og offentlige organisationer

Dansk Selskab for GCP. Persondatareglerne

Gå-hjem-møde Persondataforordning

Workshop om teatrenes arbejde med persondataforordningen

Overblik over persondataforordningen

BIG DATA OG PERSONDATABESKYTTELSE

Persondataforordningen...den nye erklæringsstandard

Data protection impact assessment

VEJLEDNING. om specialklubbernes håndtering af medlemmernes personoplysninger

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Målrettet arbejde med persondataforordningen for

Europaudvalget EUU Alm.del EU Note 27 Offentligt

Foreninger i Tønder Kommune GDPR November 2018

Målrettet arbejde med persondataforordningen for

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondataforordningen og lokalforeningen

Ny persondataforordning

Europabevægelsens Privatlivspolitik

EU Persondataforordningen, skærpet krav til sikkerheden om data

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Per Løkken, Partner. CAMPUS November 2018

PERSONDATA & PERSONDATAORDBOG

DATAFLOWANALYSE. Indmeldelsen på Aka.dk. Formular på hjemmesiden, hvor kommende medlemmer melder sig ind Akademikernes A-kasse

Ma lrettet arbejde med persondataforordningen for

General Data Protection Regulation

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

Det skal du have styr pa inden 2018

Forslag til nye felter i OS2-kitos til understøttelse af GDPR-arbejdet

Er du klar til den nye Persondataforordning?

I det følgende kan du læse hvordan vi håndterer dine personoplysninger.

Velkommen til seminar om Persondataforordningen. Den 16. maj 2018.

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

Persondatapolitik for Jesperhus Legindvej 30, 7900 Nykøbing Mors

Gå-hjem-møde Persondataforordning

EU Persondataforordning GDPR

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Privatlivspolitik. Odense LMU

Målrettet arbejde med persondataforordningen for

Privatlivspolitik. for Odense LM

Ordliste begreber om håndtering af personoplysninger til patientbehandling og forskningsbrug

NY PERSONDATALOV (GDPR) HVAD BETYDER DET FOR DIN VIRKSOMHED?

PERSONDATAFORORDNINGEN. DRF s årsmøde, april 2017

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Behandling af personoplysninger

Behandling af personoplysninger

Må lrettet årbejde med persondåtåforordningen for

Gahrn-Jensen har to fysiske butikker der sælger tøj til kvinder. Gahrn-Jensen har ydermere stor webshop.

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

Vejledning til. GDPR General Data Protection Regulation. GDPR - General Data Protection Regulation

Svanningevej 2 DK-9220 Aalborg Øst Tel

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Behandling af personoplysninger

Privatlivspolitik for

Databeskyttelsespolitik for Medictinedic ApS

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

Ma lrettet arbejde med persondataforordningen for

Privatlivspolitik for Falck Healthcare A/S

Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

Behandling af personoplysninger

Privatlivspolitik og sikkerhed i Green Volcano

Behandling af personoplysninger

Persondatapolitik Gældende pr. 25. maj 2018

Generel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS

Databeskyttelsespolitik

Fortrolighedspolitik. 22. oktober 2018

Den nye persondataforordning. 2. februar 2017

Her skal angives, hvilke personoplysninger der indsamles i relation til elever, deres værger og evt. andre pårørende.

EU S PERSONDATAFORORDNING & CLOUD COMPUTING

Security & Risk Management Summit

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

Ilisimatusarfik 11. maj Privatlivsbeskyttelse og Informationssikkerhed i Grønland

Målrettet arbejde med persondataforordningen for Østermarie Vandværk

Kährs Groups databeskyttelsespolitik

Persondatapolitik for behandling af gæste-, kunde- og leverandøroplysninger

persondataforordningen

Plesner Certifikat i Persondataret

Side 2 af 15

Tjekliste når du bruger apps og tjenester

Behandling af personoplysninger hos Popermo Forsikring G/S

PERSONDATAPOLITIK FOR Slagelse Børneklub

IT-Ansvar God skik og ansvarlighed. Persondataforordningen. Jørgen Granborg

GDPR Compliance Persondataforordning

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Selskabet har efter lovgivningen pligt til at informere dig om, hvordan Selskabet behandler og videregiver personoplysninger.

Persondataforordningen. Henrik Aslund Pedersen Partner

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Den dataansvarlige organisation for behandling af dine personoplysninger er:

Persondatapolitik for behandling af gæste-, kunde- og leverandøroplysninger

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

Persondataforordningen. Hvad kan vi bruge KITOS til?

Retningslinjer for frivilliggrupper. Persondata

Datapolitik/databehandlingsrapport

Transkript:

SMART LIBRARIES OG PERSONDATAFORORDNINGEN - EN PRAGMATISK GUIDE Mads Schaarup Andersen Senior Usable Security Expert, Ph.d. Smart Library seminar, 3/10-2017

Alexandra Instituttet er en non-profit virksomhed, der arbejder med anvendt forskning, udvikling og innovation inden for it Vi er sat i verden for at skabe værdi, vækst og velfærd i det danske samfund. 26/10/2017 Side 2

HJÆÆÆÆLP!!! FORORDNINGEN KOMMER!!! Persondataforordningen ændrer alt! Persondataforordningen kommer til at koste os en masse penge! Hvis ikke vi overholder persondataforordningen falder der brænde ned!... men er det nu helt så slemt? 26/10/2017 Side 3

HVORFOR PERSONDATAFORORDNINGEN? Gratis services er rigtigt meget værd. Gennemsnitsbrugeren har ingen ide om hvad der foregår. Virksomheder ved heller ikke helt hvad der foregår. Everything goes... Det vilde vesten 26/10/2017 Page 4

HVORDAN TJENER MAN PENGE PÅ DATA? Data 26/10/2017 Page 5

TAKEAWAYS Hold formålet med forordningen for øje. Tænk over hvorfor I indsamler data. Tænk over hvilken type data I behandler. Få styr på data og dataflow. Dokumenter jeres indsats og overvejelser. 26/10/2017 Side 6

HVEM ER JEG? Privacy entusiast. Ph.d. i lokations privacy. Vil gerne udbrede privacy og sikkerhedsløsninger der virker for alle. Er i gang med at undersøge danske virksomheders udfordringer med GDPR. 26/10/2017 Page 7

HVAD KAN JEG FORTÆLLE JER I DAG Jeg kan fortælle jer nogen af de ting man skal være opmærksom på. Jeg kan fortælle jer lidt om hvad I kan tænke over i forhold til forordningen. Jeg kan ikke fortælle jer hvordan man skal tolke juraen i forordningen. Jeg kan ikke fortælle jer præcis hvordan det ender med at blive implementeret i dansk lov. 26/10/2017 Page 8

SÅ HVAD ER "TILSTRÆKKELIGE FORANSTALTNINGER? Juridisk kan jeg ikke svare...... men det handler i stor grad om at tænke over og argumenterer for at man har overvejet det. Flere andre eksempler i forordningen som fx: informeret samtykke, Generelt: Dokumenter overvejelser! 26/10/2017 Side 9

MEN HVORFOR PERSONDATAFORORDNINGEN? Beskytte individets rettigheder. Privacy er ofte ikke en ting der bliver tænkt over. Men også en mulig: Få styr på hvilke data man indsamler og er i besiddelse af. Åbenhed fører til tillid. Gøre tingene ordentligt. 26/10/2017 Side 10

HVAD ER DET NYE I FORORDNINGEN? Meget af det folk tror er nyt eksisterer allerede i persondataloven. Mange overholder i dag ikke loven(!) Mere fokus på overholdelse og sanktioner end i dag. Stadig uklart hvordan offentlige organisationer vil blive sanktionerede. Pragmatisk: Meget af det er nyt for de fleste! 26/10/2017 Side 11

OFFENTLIG VS PRIVAT ORGANISATION Der er forskel på offentlig og privat. Mange offentlige myndigheder har fx pligt til at gemme data. Dvs. man ikke nødvendigvis har ret til at blive slettet. Overholder man ISO27001 er man godt på vej. 26/10/2017 Side 12

PERSONHENFØRBARE DATA OG HVAD SÅ? Skærpede krav til håndtering af personhenførbare data: Dataminimalisering. Nye regler for samtykker. Transparens om databehandling. Individet får stærkere rettigheder. Dokumentation og impact assessments. 26/10/2017 Side 13

VÆK FRA DATA-HORDER MENTALITETEN 26/10/2017 Side 14

DATAMINIMALISERING Hvad er formålet med indsamling af data? Hvor meget (lidt!) data har vi brug for til det pågældende formål? I hvilken grad har vi brug for at kunne binde data til et individ? 26/10/2017 Side 15

EKSEMPEL: TÆLLING AF BESØGENDE Full blown: Mads Andersen, Jens Pedersen, Anne Larsen... var i møderum 4 på DOKK1 mellem 9:30 og 15. Medium: Der var 20 unikke besøgende på rampen mellem kl 9:30 og 15. Minimal data: Der var 100 besøgende på DOKK1 mellem 9:30 og 15. 26/10/2017 Side 16

ANONYMISERET DATA Data der ikke kan bindes til en bestemt person. Der skal være taget tilstrækkelige foranstaltninger for at undgå re-identifikation. Dokumenter hvorfor I mener det ikke er tilfældet. Anonymiseret data er ikke personhenførbart og derfor gælder forordningen ikke! 26/10/2017 Side 17

PERSONHENFØRBAR DATA Al information der kan sættes i forbindelse med et individ. Fx adresse, IP-adresse, telefonnummer, biblioteksbrugsmønster. Kan gøres ved at aggregere data. 10 personer i område X, i stedet for hvilke 10 personer der opholder sig i område X. Særligt følsomme persondata: Religion, etnisk oprindelse, fagforeningstilhørsforhold. DNA, biometrisk data. 26/10/2017 Side 18

SAMTYKKE ELLER EJ? Er der lovlig hjemmel til at indhente og behandle persondata uden samtykke? Er det legitime formål? Eller: er det rimeligt forventeligt at I bruger persondata til et bestemt formål? Eksempel: En navigations app bruger lokation til at vise vej, men er det ok den også bruger det til at reklamerer for et produkt den mener du er interesseret i? 26/10/2017 Side 19

SAMTYKKER I PERSONDATAFORORDNINGEN Der skal opnås aktive, specifikke og informerede samtykker. En implicit privacy policy ikke er nok. Et samtykke gælder ét formål. Der skal kunne argumenteres for at samtykket er givet på informeret grundlag. Samtykker skal kunne trækkes tilbage. Og husk: børn kan ikke give samtykke! (13 år) Samtykker skal indhentes ved forældrene. 26/10/2017 Side 20

TRANSPARENS OM DATABRUG Fortæl hvad I laver. Kan være på hjemmeside/i app/på papir. Find inspiration til at designe privacy notices: https://www.usenix.org/conference/soups2 015/proceedings/presentation/schaub 26/10/2017 Side 21

RETTEN TIL AT BLIVE GLEMT OG FÅ RETTET DATA Individet har ret til at blive glemt og få data slettet (der er undtagelser). Dette gælder også hos eventuelle underleverandører. Der er store (uafklarede) udfordringer i forbindelse med hvordan dette håndteres i backup. Selvom man ikke skal slette data skal man stadig understøtte ændringer i backup! 26/10/2017 Side 22

DATAINDSIGT OG PORTABILITET Individer har ret til at få indsigt i hvilken data der ligger om dem. Der er i mange tilfælde også ret til at få udleveret data i standardiseret format. Tænk det ind i systemerne fra start! 26/10/2017 Side 23

ER DER STYR PÅ DATA HOS JER? Hvilke data ligger der i systemet? Hvem har adgang til persondata? Bliver data videregivet? Hvilke systemer kører der? Bliver data slettet? Bliver data beskyttet? 26/10/2017 Side 24

VIDEREGIVELSE AF DATA Er der styr på databehandleraftaler hvis 3. parts leverandører/værtøjer bruges? Er Google Analytics eller Google Docs OK at bruge? Sendes der data til udlandet og ud af EU? 26/10/2017 Side 25

IMPACT ASSESSMENTS Der skal laves en risikovurdering af persondata. Hjælper med at finde ud af hvor sensitivt det data man har er. Man kan finde inspiration i DIs guide. 26/10/2017 Side 26

HVEM HAR ANSVARET? Offentlige myndigheder og offentlige organer skal altid udpege en databeskyttelsesrådgiver, hvad enten de er dataansvarlige eller databehandlere. Det er vigtigt at have sætte ressourcerne af. Det kan være nødvendigt at se på datakulturen. 26/10/2017 Side 27

CASE: INDHENTNING AF SENSORDATA 26/10/2017 Side 28

HVORFOR SAMLES DER DATA IND? 26/10/2017 Side 29

HVAD MED DATA? Skal der opnås nye samtykker for at bruge data på en ny måde? Hvor gemmes data? Benyttes der 3. parts leverandører af services? Er der styr på hvornår og hvordan data slettes? 26/10/2017 Side 30

ER DER TILSTRÆKKELIG SIKKERHED? Hvem har adgang til data? Ligger data på devices og er de krypterede? Sender de eventuelt data? Kan man læse data ud ved at forbinde til et device der sidder i miljøet? 26/10/2017 Side 31

ANDRE SMART LIBRARY PROBLEMSTILLINGER Hvordan og hvor gemmer man observationsdata? Hvis der tænkes andre typer biblioteksdata sammen med nye data, er det så lovligt og skal der opnås nye samtykker? Hvis der benyttes eksterne personer skal de også leve op til jeres krav, da I er dataansvarlige. Video, lydoptagelser af interview og nedskrivning der ikke er anonymiserede er personhenførbare data og skal behandles som sådant. 26/10/2017 Side 32

RESSOURCER TIL VIDEN [1] Plan for justitsministeriets vejledninger om forordningen - http://justitsministeriet.dk/sites/default/files/media/pressemeddelelser/pdf/2017 /plan_for_vejledninger_om_forordningen.pdf [2] Justitsministeriets vejledning om databeskyttelsesansvarlige - https://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/publikationer/v ejledning_dpo.pdf [3] DIs vedledning til data protection impact assessment - https://digital.di.dk/sitecollectiondocuments/vejledninger/vejledning-dpia- 2016-Final.pdf Søg på: persondataforordning og få inspiration. 26/10/2017 Side 33

Tak for opmærksomheden!

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback