Hvorfor er informationssikkerhed et ledelsesansvar?



Relaterede dokumenter
Persondataforordningen

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa

EU-FORORDNING OM PERSONDATA I UDKAST

Persondataretlig compliance - Hvordan bliver din organisation klar?

Den nye persondataforordning. Advokat Marie Albæk Jacobsen DEIC-konference, den 6. oktober 2015

Overblik over persondataforordningen

Rollen som DPO. September 2016

Databeskyttelse og cyber risk-forsikringer

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Big Data i fremtidens persondataret

Persondata, compliance og datasikkerhed. Ved Charlotte Bagger Tranberg

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Praktisk persondatacompliance

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

PERSONDATAKONFERENCEN - FORORDNINGENS DOKUMENTATIONSKRAV. Advokat Pia Kirstine Voldmester

WHISTLEBLOWERORDNINGER - IKKE KUN ET NØDVENDIGT ONDE Ved advokat Susanne Stougaard og. persondataspecialist, ph.d. Charlotte Bagger Tranberg

Persondataforordningen den 20. februar 2018

Persondataforordningen. Henrik Aslund Pedersen Partner

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Survey-rapport: Persondata og it-sikkerhed 1. Bech-Bruun Intelligence. Persondata og it-sikkerhed

Persondata og sikkerhedsbrud

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Databeskyttelsesdagen

Birgitte Toxværd Bruun & Hjejle

Overblik over persondataforordningen

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Retningslinje om fortegnelser over behandlingsaktiviteter

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

D A T A B E H A N D L E R A F T A L E

BILAG 1 DATABEHANDLERAFTALE Rambøll som databehandler

Bilag A Databehandleraftale pr

Brud på datasikkerheden

PERSONDATAREGLERNE MOCH STANDARDKURSUS. Persondata reglerne ET KURSUS OM BEHANDLING AF PERSONOPLYSNINGER

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Den nye persondataforordning. 17. maj 2016

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Introduktion til persondataforordning

Transkript:

Hvorfor er informationssikkerhed et ledelsesansvar? - EU-persondataforordningens konsekvenser Persondataspecialist, ph.d., Charlotte Bagger Tranberg

Informationssikkerhed er et ledelsesansvar Arbejdet med informationssikkerhed er en løbende proces, som skal integreres i det samlede arbejde med ledelse og styring af organisationen. Informationssikkerhed er et ledelsesansvar ligesom økonomistyring, arbejdsmiljø, service eller borgerbetjening. IT- og Telestyrelsen: Ledelsesforankret Informationssikkerhed med ISO/IEC 27001 (2011)

Persondata og informationssikkerhed Informationssikkerhed Persondata Persondata

Hvad siger forordningsudkastet om ledelsesforankring? Vedrørende den databebeskyttelsesansvarliges (DPO) stilling Den registeransvarlige eller registerføreren sikrer, at den databeskyttelsesansvarlige varetager sit hverv uafhængigt og ikke modtager instrukser med hensyn til udøvelsen af hvervet. Den databeskyttelsesansvarlige rapporterer direkte til ledelsen hos den registeransvarlige eller registerføreren (artikel 36, stk. 2) Ledelse DPO

Den korte version: Bøde op til 2% af den årlige globale omsætning Overtrædelsestype: Ingen fastlæggelse af ordninger for registreredes anmodninger Ej rettidig besvarelse heraf Ikke giver relevante oplysninger ved indsigtsanmodning Ikke sletter oplysninger Manglende ajourføring af dokumentation Behandler oplysninger uden hjemmel Ikke respekterer en indsigelse Ikke varsler tilsynet om brud på sikkerheden Ikke gennemfører konsekvensanalyser Ikke udpeger en DPO Overfører oplysninger til tredjelande uden hjemmel Bødeniveau: Op til 0,5% af den årlige globale omsætning Op til 1% af den årlige globale omsætning Op til 2% af den årlige globale omsætning

Den længere version Den dataansvarlige er virksomheden og dermed også ledelsen Persondataforordningens krav til den dataansvarlige er så omfattende, at behandlingen af personoplysninger skal (ikke bør) være forankret hos ledelsen Risikovurdering Prioritering af opgaver Svært at risikovurdere og prioritere noget som ingen ved hvad er/har overblik over

Group Dataflows i en simpel global koncern Legal Entity (Brazil) Parent Company (Denmark) Dataprocessor (CRM-system) Legal Entity (Germany) Legal Entity (Spain) Legal Entity (USA) Legal Entity (China) Examples on processed personal data: Employees Customers Suppliers Agents Roles: Data Controller Data Processor

Den længere version Nyt princip om ansvarlighed: Personoplysninger skal behandles under den dataansvarliges ansvar, og den dataansvarlige skal sikre og for hver behandlingsaktivitet påvise overensstemmelse med forordningen Indføre regler og gennemføre passende foranstaltninger med henblik på at sikre og være i stand til at påvise, at behandlingen af personoplysninger foretages i overensstemmelse med forordningen Opbevare af dokumentation for enhver behandling, der gennemføres under den dataansvarlige, herunder ved databehandlere Udpegning af DPO Gennemførelse af konsekvensanalyse vedr. databeskyttelse (PIA) Underretning af Datatilsynet i forbindelse med sikkerhedsbrud Samarbejde med tilsynsmyndigheden

Konsekvenser uden for forordningen Medierne har fået særligt fokus på persondata Det øgede fokus på beskyttelse af persondata skyldes, at læk og misbrug af data kan medføre forretningskritiske tab af image, kunder, samarbejdspartnere, investorer mv.

10 Kontakt Charlotte Bagger Tranberg Persondataspecialist Aarhus IP & Technology T +45 72 27 34 76 M +45 25 26 34 76 E cbt@bechbruun.com København Langelinie Allé 35 2100 København Ø Danmark Aarhus Frue Kirkeplads 4 8000 Aarhus C Danmark Shanghai, rep.kontor 83 Loushanguan Road, Suite 2635, 26/F Shanghai, Kina T +45 72 27 00 00 F +45 72 27 00 27 E info@bechbruun.com www.bechbruun.com

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback