EU-dataforordningen hvad er formålet og hvad skal du gøre? IDA Driving IT 4. november 2016 Birgitte Kofod Olsen, partner, Ph.d., Carve Consulting Vi skaber muligheder & realiserer potentialet sammen
Præsentation Birgitte Kofod Olsen Jurist (1991) med Ph.D.-grad i biometri og privatlivsbeskyttelse (1998) Partner og medejer af Carve Consulting CSR-chef i Tryg 2009-14 Vicedirektør, afdelingsleder og forsker i Institut for menneskerettigheder 1994-2009 Ekstern lektor, gæsteforelæser, censor og PhD-bedømmer på Københavns Universitet, Roskilde Universitet, Århus Universitet, Ålborg Universitet, Copenhagen Business School, BI Norwegian Business School 1999- Forskningssamarbejde med DTU og SDU, 2016 Medlem af repræsentantskabet i Foreningen Nordea Liv og Pension, 2016- Modtog prisen som Årets Erhvervskvinde i 2014 Medlem af Ligebehandlingsnævnet 2015- Optaget i Kraks Blå Bog i 2013. Medstifter af tænke-handle-tanken Dataethics 2015 Formand for Rådet for Digital Sikkerhed 2012-2015 Bestyrelsesformand for Ungdomsbyen 2016, næstformand 2007-15 Bestyrelsesformand for teatrene Danskdansk og Teatergrad 2012-2
3
Dataethic 4
EU Dataforordningens formål 5
IMPLEMENTERING Datasubjektet har ret til kontrol med egne data Jeg bestemmer over min krop mine ting mine penge data om mig Retten til respekt for privatliv Enhver har ret til respekt for sit privatliv, familieliv,hjem og korrespondance Retten til beskyttelse af data Enhver har ret til beskyttelse af persondata, der vedrører ham eller hend Derfor skal du spørge mig om lov, hvis du vil bruge mine data fortælle, hvorfor og til hvad, mine data skal bruges til fortælle, hvem der ellers ser dem fortælle, hvis du mister dem -
IMPLEMENTERING af persondatabeskyttelse som grundrettighed EU direktiv om persondatabeskyttelse 1995 EU Charter for grundlæggende rettigheder 2000 EU Traktaten Lissabon 2009 EU forordning om persondatabeskyttelse 2018 Persondataloven 1995 Registerlovene 1978/79 Grundloven 1849 72 FN s Konvention om civile og politiske rettigheder 1966 FN s Verdenserklæring 1948 Europarådets Konvention om databeskyttelse 1981 Europarådets Europæiske Menneskerettighedskonvention 1953 OECD retningslinjer for persondata- Beskyttelse 1980 7
TILLID Oplevelse af manglende egen-kontrol 67% europæere er bekymrede over ikke at have kontrol over de oplysninger de afgiver online
VÆKST Et Forretningstilpasset perspektiv Forretningsudvikling Regelforenkling Konkurrenceforhold Fokus på risiko
KONCEPT Grundprincipper for databeskyttelse EU persondataforordningen er baseret på fire grundprincipper: Databeskyttelse som rettighed: Beskyttelsesværnet er givet til individet i form af kunden, forbrugeren og medarbejderen. Den enkelte person skal kunne kontrollere sine egne data og som udgangspunkt bestemme, hvad data om vedkommende kan anvendes til. Livscyklus: Databeskyttelsen skal være effektiv fra indsamling til sletning Individets rettigheder Information Valg og samtykke Adgang til data Retten til at blive glemt Kontrol med informationer Informationssikkerhed Kvalitet Evaluering Kontrol Data livscyklus Indsamling Brug og opbevaring Videregivelse Sletning Ledelse Risikostyring Administration Monitorering Håndhævelse Kontrol: Den dataansvarlige og databehandlere skal sikre dataenes integritet, troværdighed, tilgængelighed og kvalitet Ledelse: Den dataansvarlige og databehandlere skal sørge for organisatorisk og teknisk parathed og robusthed
Hvad gør du? Kortlæg Vurdér Implementér Evaluér Tilpas 11
4 FOKUSOMRÅDER Databeskyttelsespolitik Adfærdskodeks Retningslinjer Procedurer and processer Dokumentation Databehandleraftale Databeskyttelsesrådgiver Konsekvensanalyse - Data Protection Impact Assessment, DPIA Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende intereseer Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Adgang Sikkerhed Dataansvarlighed Datarettigheder
DATAANSVARLIGHED Opfylder vi kravet om lovlig, rimelig og transparent databehandling? Til passende organisatoriske og tekniske foranstaltninger? Og hvordan kontrollerer vi det? KULTUR Parathed gennem information og uddannelse DOKUMENTATION af behandlingsaktiviteterne Behovet for DATABESKYTTELSES- RÅDGIVER DPIA KOMPETENCER Kendskab til behandlingskravene LEVERANDØRER Styring via databehandleraftaler, kravsspecifikationer og kontrol INTERN REGULERING Politik Procedurer Processer Kontroller AMBITION Niveaet for compliance, robusthed og dataetik LEDELSE Styring af risiko, monitorering og håndhævelse REGULERING Anvendte standarder
DATABEHANDLING Har vi styr på opfyldelse af behandlingskravene? FORMÅL Data må kun indsamles til bestemte formål MINIMERING Data skal være nødvendige, tilstrækkelige og relevante RIGTIGHED Data skal være opdaterede og korrekte SLETNING Data må kun opbevares så længe, det er nødvendigt LOVLIGT GRUNDLAG Data må kun behandles, hvis der er samtykke, lovkrav eller andet lovligt grundlag
DATARETTIGHEDER Kan vi imødekomme datasubjektets krav om brug af vedkommendes datarettigheder?
BEHANDLINGSSIKKERHED Hvad er passende tekniske og organisatoriske foranstaltninger og et passende sikkerhedsniveau hos os? Beskyttelse Beredskab Selvevaluering Hvilke sikkerhedstiltag er relevante? Hvordan sikrer vi vores behandlingssystemer i forhold til: Hvordan sikrer vi at vores tekniske og organisatoriske foranstaltninger er effektive? EU-GDPR Pseudonymisering Fortrolighed Afprøvning Anonymisering Integritet Vurdering Kryptering Tilgængelighed Evaluering Robusthed
KOM GODT I GANG Få styr på dine dataflows og din risiko! 17
KORTLÆGNING AF DATAFLOWS Hvilke data indhenter vi i de enkelte forretningsområder/funktionsområder? Hvilke datatyper behandler vi? er de almindelige, kumulerede eller følsomme? Hvem videregiver vi data til? bruger vi leverandører? kender vi deres underleverandører? Overfører vi data til tredjeland? er behandlings eller opbevaringsfunktionen outsourcet? Mail Samtale Office 365 Rekruttering Personlighedstest Online registrering HR Brug af headhunter Click trace Annoncering Modtagelse af ansøging Forretningsområde Funktionsområde Proces Sys
DPIA: RISIKOVURDERING Hvad er risikoen for, at vi påvirker datasubjektet negativt gennem vores databehandling? Hvad er sandsynligheden for, at risikoen indtræder? Hvad kan vi gøre for at eliminere, reducere eller forebygge risikoen? Direkte negativ effekt for datasubjektet Fysisk, materiel eller moralsk skade Diskrimination Identitetstyveri og bedrageri Finansielle tab Skade på omdømme Tab af fortrolighed Økonomiske eller sociale ulemper Begrænsning i udøvelsen af rettigheder og friheder Begrænsning i udøvelse af kontrol over persondata Indirekte negativ effekt for datasubjektet Afdækning af oplysninger om race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, medlemskab af fagforening og om sundhed, sexliv samt strafbare forhold Profilering til forudsigelse af fx arbejdsindsats, økonomisk situation, sundhed, personlige præferencer eller interesser, troværdighed og adfærd, lokation eller bevægelser Behandling af persondata om udsatte grupper, herunder børn Behandling af data i stor skala, der har effekt I forhold til et stort antal datasubjekter Negativ effekt pga sikkerhedshændelse Uautoriseret afpseudonymisering Hændelig eller ulovlig destruktion, tab eller ændring af data Uautoriseret offentliggørelse af persondata Uautoriseret adgang til persondata under transmission, opbevaring eller anden behandling 19
20
Redskaber PrivacyKompasset - Indeholder test med 34 spørgsmål - Giver adgang til at generere en privatlivspolitik https://privacykompasset.erhvervsstyrelsen.dk/ DI Vejledning Persondataforordningen implementering i danske virksomheder https://digital.di.dk/sitecollectiondocuments/vejledninger/persondataforord ningen/vejledning%20om%20persondataforordningen%20med%20bilag.pdf Digitaliseringsstyrelsens Guide til konsekvensvurdering af privatlivsbeskyttelsen file:///c:/users/bko/downloads/guide%20til%20konsekvensvurdering%20af %20privatlivsbeskyttelsen_ver3%20(6).pdf ControlManager redskab til monitorering af informationssikkerhed http://siscon.dk/ 21
Læsestof Whitepaper: EU s forordninge om persondatabeskyttelse Whitepaper: Kend dine dataflows http://dataethics.eu/viden/analyser/ 22
Kontakt information Birgitte Kofod Olsen Partner, phd Carve Consulting Nørre Voldgade 11, 2. sal 1358 København K +45 25 26 09 03 bko@carve.dk Carve.dk 23