Roadmap til håndtering af EU-persondataforordningen. Klaus Kongsted, Vejle, den 21. maj 2015

Relaterede dokumenter
Hvilke forberedelser kræver EUpersondataforordningen? Klaus Kongsted, Dubex A/S, 11. juni 2015

Security & Risk Management Summit

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Forordningen: Data Protection Officer, jura og sikkerhed. Lars Boye, Dubex A/S ESL-efteruddannelsen, den 9. marts 2016

Persondataforordningen og offentlige organisationer

Persondataforordningen

Overblik over persondataforordningen

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

General Data Protection Regulation

Det skal du have styr pa inden 2018

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Persondataforordningen. Henrik Aslund Pedersen Partner

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Introduktion til persondataforordning

Regler om persondata Koordinatormøde den 28. nov. 2017

SMART LIBRARIES OG PERSONDATAFORORDNINGEN

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondataforordningen...den nye erklæringsstandard

Er I klar til den nye persondataforordning?

Workshop om teatrenes arbejde med persondataforordningen

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

Databeskyttelsesdagen

Data protection impact assessment

INTRO TIL PERSONDATAFORORDNINGEN. Væsentligste nyskabelser af relevans for IT-leverandører 8. juni 2016

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Overblik over persondataforordningen

Konsekvensanalyse/Data Protection Impact Assessment (DIA)

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Databeskyttelse INDSAMLER OPBEVARER BRUGER DU DATA? Hvad er personoplysninger? Bedre regler for små virksomheder. Januar 2017 DA

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

Den nye persondataforordning. 17. maj 2016

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Den nye persondataforordning. 2. februar 2017

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Den nye persondataforordning. Advokat Marie Albæk Jacobsen DEIC-konference, den 6. oktober 2015

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

! Databehandleraftale

EU Persondataforordning GDPR

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

Plesner Certifikat i Persondataret

Brud på datasikkerheden

Dansk Selskab for GCP. Persondatareglerne

NY PERSONDATALOV (GDPR) HVAD BETYDER DET FOR DIN VIRKSOMHED?

Håndtering af Persondataforordningen. Aarhus den 22. august 2017 Advokat Kamilla Mondrup

Forberedelser til implementering af EU forordningen om beskyttelse af personoplysninger

TEMAMØDE 16. MARTS 2016

PERSONDATAFORORDNINGEN. DRF s årsmøde, april 2017

Ma lrettet arbejde med persondataforordningen for

Ma lrettet arbejde med persondataforordningen for

Side 2 af 15

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Præsentation Tid +/- 25 minutter i praktik

Retningslinjer om brud på persondatasikkerheden

Plesner Certifikat i Persondataret

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed

Sådan bliver din virksomhed klar til at håndtere PERSONDATA. efter de nye regler!

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

EU-Persondataforordningen. Steen Okkels Nørby, Supply Chain Manager/Projektleder hos NOVAX, IT-branchen 20 år,

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde


Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Security & Risk Management Update 2017

Er du klar til den nye Persondataforordning?

DEN KOMMENDE EU-FORORDNING

BIG DATA OG PERSONDATABESKYTTELSE

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

EU GDPR Endnu en Guide

Målrettet arbejde med persondataforordningen for

PERSONDATAFORORDNINGSPROJEKTET

Persondataforordningen. Konsekvenser for virksomheder

Målrettet arbejde med persondataforordningen for

Europaudvalget EUU Alm.del EU Note 27 Offentligt

Persondataforordningen

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Målrettet arbejde med persondataforordningen for

Persondata, compliance og datasikkerhed. Ved Charlotte Bagger Tranberg

EU Persondataforordningen, skærpet krav til sikkerheden om data

Persondata fra en it-vinkel. Dansk Fjernvarme

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

Må lrettet årbejde med persondåtåforordningen for

Retningslinje om fortegnelser over behandlingsaktiviteter

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

HJULMANDKAPTAIN PERSONDATA REGLER OG IMPLEMENTERING. OPLÆG TIL DANSKE BUSVOGMÆND DEN 29. NOVEMBER 2017 Advokat Karina Søndergaard

DATABEHANDLERAFTALE. Omsorgsbemanding

Rigsarkivets konference 2. november 2016

PERSONDATAPOLITIK FOR ÅRHUS LÆRERFORENING Revideret 17. januar 2019

Forordningens sikkerhedskrav

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Nyt om persondata. Birgitte Toxværd, advokat

Retningslinje om fortegnelser over behandlingsaktiviteter

Transkript:

Roadmap til håndtering af EU-persondataforordningen Klaus Kongsted, kka@dubex.dk Vejle, den 21. maj 2015 DUBEX SECURITY & RISK MANAGEMENT UPDATE 2015

Agenda Hvordan ser det ud i dag? Hvem vedrører forordningen? Skal min organisation gøre noget? - Hvad? - Hvornår? Kan/skal vi forberede os nu? Er der nogle vi kan lære af? Roadmap

Hvordan ser det ud i dag? Den nuværende persondatalov Fra år 2000, løbende smårevisioner Bunder hovedsaglig i et EU-direktiv Tre niveauer af personoplysninger Følsomme oplysninger (lovovertrædelser, helbred, seksualitet, religion mm.) Oplysninger om rent private forhold Ikke-følsomme oplysninger Som udgangspunkt anmeldelsespligt for registre Lang række undtagelser Bliver i stort omfang ikke fulgt, sanktioner stærkt begrænsede...

Sanktioner?

Den nye forordning, med EU-Parlamentets ændringer Forordning direkte lovgyldighed i alle lande Ensartede regler i hele EU / EØS samt one-stop myndighedsudøvelse Retten til at få slettet oplysninger (ikke kun til at blive glemt ) Kun registrering ved aktivt samtykke Ingen forhåndsgodkendelse af registre (til myndighed) Breach Notification Som udgangspunkt inden for 24 timer Data Protection Officer (databeskyttelsesansvarlig) SMV er som udgangspunkt undtaget (< 250 ansatte) Obligatorisk Privacy Impact Assesment SMV er som udgangspunkt undtaget (< 250 ansatte) Store bøder (højeste af EUR 100 mio eller 2% / 5% af omsætning)

Roadmap EU-Kommisionens oprindelige forslag 25/1-2012 LIBE giver OK EU s kommite for Borgernes Rettigheder og Retlige og Indre Anliggender (LIBE) giver OK for videre fremdrift 22/10 2013 Ministerrådsvedtagelse Helt grundlæggene ændringer kan ikke foretages uden at genstarte processen. Endelig, fuld gyldighed Ikke flere overgangsbestemmelser 2012 2013 2014 2015 2016 2017/18 Høringsrunde Politikere og høringsberretigede organisationer i alle EUlande kunne kommentere EU-parlamentsvedtagelse 3000+ ændringer. Vedtaget 12/3 2014 Delvis ikræfttrædelse Overgangsordninger på op til to år for visse elementer

Forberedelse Forberedelsen starter NU: Dokumentér databehandlingssystemer Lav baseline Log adgang Kryptér data også data i transit Stil krav til tredjeparts-databehandlere Identificér risikofaktorer Forbered Data Privacy Impact Assessments Lav plan for DPO er tag udgangspunkt i ISO 2700x

Er vi forberedte? http://www.scmagazineuk.com/infosec-teams-unprepared-for-new-eu-data-protection-laws/article/394614/

Myndighedsudøvelse, jurisdiktion One-stop myndighedsudøvelse Organisationerne er som udgangspunkt kun underlagt deres egen nationale datamyndighed Ikke-EU/EØS-virksomheder, der udbyder varer/ydelser til EU-borgere/- virksomheder, er også underlagt. Også gratis -ydelser!

Lobby-arbejde fra landene - eksempel Hvis nogen stadig skulle være i tvivl om hvem der bestemmer i EU:

Lobby-arbejde fra landene - eksempel Hvis nogen stadig skulle være i tvivl om hvem der bestemmer i EU:

Data Protection Officers Refererer direkte til ledelsen Udpeget for fire år, beskyttet mod afskedigelse (sammenligneligt med sikkerhedsrepræsentanter) eksternt sourcede dog to år SMV er (< 250 ansatte) kun hvis databehandling er kernevirksomhed * dog alle offentlige myndigheder Få lande har i dag tvungne DPO er Tyskland er tættest på Formentlig ofte ekstern Find dem snart der bliver rift om dem! *: Og/eller behandler over 5000 data-subjekter/år

Hvem er DPO erne? Skal have ekspertkendskab til: Relevant lovgivning (Data Protection Act) Databeskyttelse Privacy Assesments hvor mange har den kombination? Må ikke have interessekonflikter (?) Ansvarlig for forordningens overholdelse i organisationen Point-of-contact for data-subjekter og myndigheder Ansvarlig for procedurer, risikovurderinger, dokumentation, DPIA mm. Klageansvarlig Ansvarlig over for revision Potentielt under strafansvar

Informeret samtykke og right-to-be-erased Informeret samtykke Eksplicit samtykke for registrering Som udgangspunkt en rettighed for borgeren Ikke kun opt-out Kræver i praksis formentlig afkrydsningsbokse eller lignende Breach Notification-krav (se senere) Right to be erased EU-Parlamentets udvidelse fra right-to-be-forgotten EU-domstolen har yderligere stadfæstet princippet Naturligvis ikke absolut (kriminalregistre etc.) Som udgangspunkt en rettighed for borgeren Store konsekvenser tænk på gamle backups Og så har borgerne ret til at få deres data flyttet til anden udbyder ( Right to data portability )

Breach Notification Inden for 24 timer (under visse omstændigheder 72) Også hvis data ligger hos tredjepart Både til myndigheder og berørte borgere Krav til mængden af information Tidspunkt Karakter af lækket data Hvor mange entiteter der er omfattet Undtagelser hvis det kan påvises data er ubrugelige (effektivt krypterede) Overstiger allerede vedtagne krav til TelCos Ligner eksisterende krav i Tyskland og Frankrig Kræver i praksis effektive loghåndteringssystemer og IAM Kræver i praksis 7x24 beredskab eget eller SOC-leverandør

Data Protection Impact Assessment Ofte kaldet Privacy Impact Assessment (PIA) Obligatorisk når der er særlige risici Erstatter anmeldelsespligten til national myndighed SMV er (< 250 ansatte) kun hvis databehandling er kernevirksomhed * Offentlige myndigheder undtaget, hvis behandlingen er et EU-krav Risikobaseret tilgang ledelsen burde juble Der findes en del frameworks tilgængelige Vigtigt at få sat i system, og integreret del af projektplaner *: Og/eller behandler over 5000 data-subjekter/år

Hvad indeholder en (D)PIA? Risikovurdering med udgangspunkt i datasubjekterne! Dokumentation Organisatoriske foranstaltninger Tekniske foranstaltninger Compliance i forhold til forordningen Evt. høring af datasubjekter Evt. høring af myndigheder (ved forøget risiko) Evt. foretagen begrænsning af risici Konsekvensanalyser Yderligere dokumentationskrav uden for (D)PIA Formål Kontaktoplysninger Evt. tilladelser/hjemmel Klageadgang Kontrolforanstaltninger Subjekttyper, datatyper, modtagere, sletningskrav, evt. overførsler

PIA frameworks - eksempler

Yderligere henvisninger Fact-sheet om EU-Parlamentets ændringer til Kommissionens forslag http://ec.europa.eu/justice/dataprotection/files/factsheets/factsheet_dp_plenary_vote_14031 2_en.pdf Samlet oversigt over Parlamentets ændringer og Ministerrådets nuværende positioner (tungt!) http://www.statewatch.org/news/2015/apr/eu-council-dp-reg- 4column-2015.pdf DI ITEK s skabelon for Privacy Impact Assessment http://itek.di.dk/sitecollectiondocuments/vejledninger/di's% 20skabelon%20for%20Privacy%20Impact%20Assessment.p df

Tak! Kontakt kka@dubex.dk for yderligere information

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback