SISCON årskonference 2016 Bella Sky Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Relaterede dokumenter
Konsekvensanalyser i praksis: hvorfor, hvornår og hvordan

EU-dataforordningen hvad er formålet og hvad skal du gøre?

VELKOMMEN TIL. ERFA-MØDE 14. juni 2016

Forstå de nye krav til databehandling og lær at afkræfte myter om persondata

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

GDPR projekt papirtiger Med det rette overblik

GDPR projekt papirtiger. - Med det rette overblik

VELKOMMEN TIL ERFA-MØDE 8. juni 2017

Struktureret Compliance. EU-GDPR eftersyn

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Privatlivspolitik for Vejle Rejser ApS.

Privatlivspolitik for Psykolog Stig Jensen

Politikken beskrivelser hvordan vi behandler persondata om vores medlemmer og netværk.

Privatlivspolitik. for SUN DESIGN A/S.

Persondataforordningen. Henrik Aslund Pedersen Partner

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Privatlivspolitik for

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Privatlivspolitik for Fyns Psykologpraksis

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Kortlægning af dataflows og konsekvensanalyse

September Indledning

Privatlivspolitik for Psykologisk Praksis Camilla Schrøder

Privatlivspolitik for Zieglersoft.

Privatlivspolitik for

Per Løkken, Partner. CAMPUS November 2018

EU Persondataforordning GDPR

Privatlivspolitik for LTECH A/S

Konsekvensanalyse vedrørende databeskyttelse

Overblik over persondataforordningen

Præsentation Tid +/- 25 minutter i praktik

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Ny persondataforordning

Persondataforordningen...den nye erklæringsstandard

Introduktion til persondataforordning

Privatlivspolitik for Presentiapsykologerne A/S

Privatlivspolitik for NEWWWEB ApS

Privatlivspolitik for Psykologcentret Trekanten I/S

N. Zahles Skole Persondatapolitik

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

Workshop om teatrenes arbejde med persondataforordningen

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Persondata politik for GHP Gildhøj Privathospital

PERSONDATAFORORDNING PERSONALEADMINISTRATION. 4. og 9. april 2018 Kolding

Kontaktoplysninger FysioDanmark Holstebro er dataansvarlig, og vi sikrer, at dine persondata behandles i overensstemmelse med lovgivningen.

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Privatlivspolitik for Lichen Sclerosus Foreningen

Persondataforordningen. Hvad kan vi bruge KITOS til?

PERSONDATAPOLITIK ekstern persondatapolitik til hjemmesiden

Privatlivsbeskyttelsespolitik for Lyngby- Taarbæk Kommune/ Ejendomskontor

Privatlivspolitik for Det Våde Får/Tolykkegård

Tilsyn med Databehandlere

POLITIK FOR DATABESKYTTELSE

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

One year with GDPR - one year to come

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Databeskyttelsespolitik

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

Tøystrup Gods udfører al håndtering af personlige data i overensstemmelse med gældende lovgivning.

Data protection impact assessment

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Privatlivspolitik for

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Standardvilkår. Databehandleraftale

Regler om persondata Koordinatormøde den 28. nov. 2017

PERSONDATAPOLITIK ekstern persondatapolitik til hjemmesiden

ERFA-MØDE 8. & 15. dec. 2016

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

PERSONDATAFORORDNINGEN APRIL 2018

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

GML-HR A/S CVR-nr.:

Privatlivspolitik og databehandling i Klinikken Psykolog Allan Blaabjerg

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

Wæde Consult ApS er dataansvarlig, og vi sikrer, at dine Persondata behandles i overensstemmelse med lovgivningen.

PRIVATLIVSPOLITIK FOR MATCHWORK, OFIR OG BRANDERO

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

Cookie- og Privatlivspolitik for Karen Rasmussens Rengøring ApS

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

EU-GDPR i ControlManager

Forslag til nye felter i OS2-kitos til understøttelse af GDPR-arbejdet

Kong Frederik den Syvendes Stiftelse paa Jægerspris

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Det skal du have styr pa inden 2018

PERSONDATAPOLITIK FOR Slagelse Børneklub

Skau Reipurth & Partnere Advokatpartnerselskab FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Udarbejdet: Næste revision:

Hillerød Spildevand A/S

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

Persondatapolitik for Aabenraa Statsskole

Brud på datasikkerheden

Vi sikrer, at dine personoplysninger behandles i overensstemmelse med gældende persondatalovgivning.

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Transkript:

SISCON årskonference 2016 Bella Sky Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting Vi skaber muligheder & realiserer potentialet sammen

Birgitte Kofod Olsen Jurist (1991) med Ph.D.-grad i biometri og privatlivsbeskyttelse (1998) Partner og medejer af Carve Consulting CSR-chef i Tryg 2009-14 Vicedirektør, afdelingsleder og forsker i Institut for menneskerettigheder 1994-2009 Ekstern lektor, gæsteforelæser, censor og PhD-bedømmer på Københavns Universitet, Roskilde Universitet, Århus Universitet, Ålborg Universitet, Copenhagen Business School, BI Norwegian Business School 1999- Medlem af repræsentantskabet i Foreningen Nordea Liv og Pension, 2016- Medlem af Ligebehandlingsnævnet 2015- Medstifter af tænke-handle-tanken Dataethics 2015 Formand for Rådet for Digital Sikkerhed 2012-2015 Formand for Ungdomsbyen 2016-, næstformand 2007-15 Formand i teatrene Danskdansk og Teatergrad 2012- Modtog prisen som Årets Erhvervskvinde i 2014 Optaget i Kraks Blå Bog i 2013. 2

3

Dataethic 4

I FOKUS I DAG: Risiko & databeskyttelse Data protection impact assessment, DPIA Dataflow analyse 5

Risiko & databeskyttelse 6

Jeg bestemmer over min krop mine ting mine penge data om mig Retten til respekt for privatliv Derfor skal du spørge mig om lov, hvis du vil bruge mine data fortælle, hvorfor og til hvad, mine data skal bruges til fortælle, hvem der ellers ser dem fortælle, hvis du mister dem - Retten til persondatabeskyttelse 7

Direkte negativ effekt for datasubjektet Fysisk, materiel eller moralsk skade Diskrimination Identitetstyveri og bedrageri Finansielle tab Skade på omdømme Tab af fortrolighed Økonomiske eller sociale ulemper Begrænsning i udøvelsen af rettigheder og friheder Begrænsning i udøvelse af kontrol over persondata Indirekte negativ effekt for datasubjektet Afdækning af oplysninger om race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, medlemskab af fagforening og om sundhed, sexliv samt strafbare forhold Profilering til forudsigelse af fx arbejdsindsats, økonomisk situation, sundhed, personlige præferencer eller interesser, troværdighed og adfærd, lokation eller bevægelser Behandling af persondata om udsatte grupper, herunder børn Behandling af data i stor skala, der har effekt I forhold til et stort antal datasubjekter Negativ effekt pga sikkerhedshændelse Uautoriseret afpseudonymisering Hændelig eller ulovlig destruktion, tab eller ændring af data Uautoriseret offentliggørelse af persondata Uautoriseret adgang til persondata under transmission, opbevaring eller anden behandling 8

Kundens/borgerens rettigheder Respekt for datasubjektets egen kontrol med data Service og kvalitet Data som aktiv Overholdelse af forordningen Retlige forpligtelse Datatilsynets kontrol Klager og krav fra kunder og borgere Økonomi Bødekrav 10 mio og op til 2% 20 mio og op til 4% Erstatning 9

Hvad: Data Protection Impact Assessment, artikel 35 (konsekvensanalyse) Hvornår: Når det er sandsynligt at databehandlingen indebærer en høj risko for den enkelte persons (datasubjektets) rettigheder og friheder Alle menneskerettigheder EU charter om grundlæggende rettigheder rummer 50 rettigheder og friheder Når risikoen ændrer sig. Hvad: Udførelse af en vurdering af konsekvenserne af databehandlingen for at især at evaluere risici-enes oprindelse, natur, egenart og alvorlighed. Hvem: Den dataansvarlige 10

Data protection impact assessment DPIA 11

Hvad skal DPIAen bruges til? 1. Resultatet af risikoanalysen skal danne baggrund for beslutningen om tilstrækkelige tekniske og organisatoriske foranstaltninger, som iværksættes for at dokumentere, at databehandlingen sker i overensstemmelse med forordningen. 2. Hvis DPIA-en viser at databehandlingen indebærer en høj risiko, som den dataansvarlige ikke har mulighed for at mitigere ved brug af tilstrækkelige foranstaltninger i form af tilgængelig teknologi og de involverede omkostninger, skal Datatilsynet konsulteres. DPIA Beslutning om foranstaltninger Dokumentation DPIA Egen mitigering Datatilsynet 12

EU s persondataforordning stiller krav om risikoanalyser ved bebehandling af data i stor skala og i andre særlige tilfælde: Behandling af følsomme data: race to etnisk oprindelse, politisk eller filosofisk overbevisning, religion, medlemskab af fagforening, genetiske og biometriske data, sundhed, sexliv og seksuel orientering. Behandling af data om strafbare forhold Behandling af data på nationalt, regionalt og supranationalt niveau, som berører et stort antal mennesker og indebærer høj risiko for deres følsomme data Overvågning af offentligt tilgængelige steder, især ved anvendelse af optisk-elektronisk teknologi Når der er høj risiko for at datasubjektet bliver begrænset i at udøve sine rettigheder eller gøre brug af en kontrakt eller en service Ved brug af nye teknologier Ved profilering, dvs systematisk og intensiv evaluering af enkeltpersoner med henblik på at træffe en beslutning, der vedrører vedkommende En dataansvarligs anvendelse af fælles applikation på tværs af sektorer eller brancher 13

Databehandling Sikkerhed Databeskyttelsespoliti Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesseer Overførsel til tredjeland Oplysninf om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Dataansvarlighed Datarettigheder 14

*Data Protection Impact and Risk Assessment Tool, DPIRAT, er udviklet af Carve Consulting til at understøtte vurderinger og analyser af de negative konsekvenser af persondatabehandling I forhold til datasubjektets rettigheder og friheder, herunder særligt retten til privatlivsbeskyttelse og persondatabeskyttelse. 15

fortrolighed Gap analyse politikker 3 2,5 2 1,5 1 0,5 0 leverandører tilgængelighed datainput datarettigheder behandling 16

Konsekvens integreret persondatabskyttelse Det er Carve Consultings vurdering, at princippet om integreret persondatabeskyttelse bør gives mere opmærksomhed i såvel VIRKSOMHED som hos leverandørerne. På grund af de anvendte datatyper og de risici, der knytter sig til behandlingen af dem, vil det være bedst stemmende med EU-forordningens formål at undersøge, om nogle datatyper kan udelades eller anvendes i et format, der sikrer effektiv persondatabeskyttelse. Konsekvens sletning Det er Carve Consultings vurdering, at der mangler kravsspecifikationer og/eller instrukser fra VIRKSOMHED til leverandørerne om, hvornår og hvordan der skal foretages sletning af persondata, der ikke længere er nødvendige i forhold til formålet med dataindsamlingen. Implementeringsniveau Sletning Bestemt formål 3 Nyt formål Opdatering Oplysning 2 1 Relevans og tilstrækkelighed Nødvendighed Andet lovligt grundlag Samtykke ved følsomme data Samtykke Integreret persondatabeskyttelse 17

Dataflow analyse 18

TEGNING & BESKRIVELSE IT arkitektur Systemkomponenter Software Algoritmer Interfaces Databaser Cloudløsninger Alle aktører eller løsninger, der håndterer data er relevante uanset, at de ikke har direkte adgang til at gøre sig bekendt med indholdet af data 19

1. Identifikation af forretningsområder, hvor databehandling er knyttet til funktionsområder eller til datasæt, der er afgrænset ved aftale. 2. Identifikation af leverandører, der leverer, modtager, opbevarer eller på anden måde håndterer persondata Dataindhetning Berigelse Validering Udvikling Databehandling Opbevaring Analyser Videregivelse vil tredjeparter if/uf EU Tredjepartscookies 20

De dataflows der knytter sig til kundekortet kortlægges og tegnes. Interne og eksterne komponenter til datainput og dataoutput identificeres. 21

Datakilde: CPR register, RKI Dataelement: navn, adresse, cpr, gæld Datatype: Almindelig, CPR, økonimiske forhold Funktionsområde eller datasæt Data output: Videregivelse - Tredjeparter - Leverandører - Myndigheder 22

Dataelementer: Felter, der indeholder oplysninger om identificerbare personer Eller sammen med: andre felter kan afdække oplysninger af privat karakter ved berigelse fra eksterne kilder kan afdække oplysninger af privat karakter 23

Opsummering 24

IT ARKITEKTUR FUNTKIONSOMRÅDER DATAFLOWS DPIA Skab overblik over IT landskabet Identificer relevante funktionsområder eller datasæt Beskriv dataflows: - datakilder - dataelementer - datayper - videregivelse af data Dataansvarlighed Databehandling Datarettigheder Datasikkerhed 25

EU forordning om persondatabeskyttelse stiller krav om: Beskrivelse af databehandlingen og den formål Vurdering af proportionalitet mellem formålet med databehandlingen og de data, der behandles Vurdering af de risici, datasubjektet udsættes for i forhold til negativ effekt på vedkommendes rettigheder og friheder Beskrivelse af de foranstaltninger, der iværksættes for at imødegå risikoen, herunder garantier og sikkerhedsmekanismer, der sikrer beskyttelsen af persondata Med DPIA-EN viser I, at I overholder EU s persondataforordning jeres databehandling tager hensyn til datasubjektet og andre berørte personers rettigheder og legitime interesser 26

DPIA processen og resultatet kan også anvendes til at: Identificere behovet for organisatoriske foranstaltninger, fx behov for politikker, procedurer og retningslinjer, adgangsrettigheder, kontroller og revision, artikel 24 Identificere behovet for at anvende redskaber til privacy by design og privacy by default, artikel 25 Føre kontrol med, at databehandlere opfylder forordningens krav, artikel 28 Opfyldelse af dokumentationskravet, art. 30 Identificere behovet for sikkerhedsmæssige foranstaltninger, fx brug af kryptering, anomymisering, psudunymisering, artikel 32 Udarbejde handlingsplaner til mitigering, eliminering og forebyggelse af sikkerhedsbrud Udarbejde beredskabsplaner 27

PrivacyKompasset - Indeholder test med 34 spørgsmål - Giver adgang til at generere en privatlivspolitik https://privacykompasset.erhvervsstyrelsen.dk/ DI Skabelon for Privacy Impact Assessment http://digital.di.dk/sitecollectiondocuments/vejledninger/di's%20skabelon%20for%20privacy%20impact%20assessm ent.pdf DI Vejledning Persondataforordningen implementering i danske virksomheder ControlManager Siscon.dk DPIRAT Carve Data Protection Impact and Risk Assessment Tool bko@carve.dk 28

29

Birgitte Kofod Olsen Partner, phd Carve Consulting Nørre Voldgade 11, 2. sal 1358 København K +45 25 26 09 03 bko@carve.dk Carve.dk 30

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback