www.pwc.dk Persondataforordningen Revision. Skat. Rådgivning.
Agenda Indledning Persondataforordningen udvalgte emner Hvad betyder Persondataforordningen for uddannelsesinstitutioner? Kom godt i gang Spørgsmål Privacy og Cybersikkerhed er ikke længere en it-udfordring men en ledelsesmæssig prioritering! 2
Indledning Der er sket et paradigmeskift i vores brug af teknologi vores generelle tillidsmodel virker ikke. En digital kopi forsvinder principielt aldrig Kriminaliteten vokser i den digitale verden Internet of Things etc. Social Media Sammensmeltning af teknologier Cloud Mobile Analytics 3
GDPR-introduktion Personoplysninger: Personoplysninger": enhver form for information om en identificeret eller identificerbar fysisk person ("den registrerede"); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet. Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt. 4
Definitioner Personoplysninger Eksisterende persondatalov Definition EU Persondata forordningen (GDPR) Eksempler Almindelige ikke-følsomme oplysninger Identifikationsoplysninger, såsom navn, adresse, fødselsdato og e-mail. Dette er de mest almindelige oplysninger, som virksomheder/organisationer kan behandle i det daglige arbejde, og som skal beskyttes på lige fod med andre interne oplysninger, som ikke videregives til udeforstående. Almindelige personoplysninger Kunde/ forbruger/ medarbejder informationer (e.g. navn og adresse) Følsomme oplysninger Fortrolige oplysninger Private forhold, såsom økonomiske og strafbare forhold, sociale problemer og lignende. Kravene for beskyttelse og behandling skærpes i denne kategori, fx oplysninger om indkomstforhold, familierelaterede oplysninger, medarbejderevalueringer, CPR-oplysninger. Race, religiøs og politisk overbevisning, helbredsmæssige og seksuelle forhold og lignende. Strengeste krav til beskyttelse og behandling, fx behandling af oplysninger om en pensionskundes kritiske sygdom eller behandling af en skades-/ulykkesag. Særlige kategorier af personoplysninger (som udgangspunkt ikke tilladt at indsamle/ behandle og kræver udtrykkeligt samtykke) CPR-nr. kombineret med persondata Oplysninger om lønindkomst Personalesager, fx helbredsoplysninger eller skade/ulykke, skilsmisse, opsigelser mv. Jobansøgninger og CV Profilering af kunder Elevvurderinger Karakterer og standpunkter mv. 5
Eksempel på persondata En oplysning i sig selv, som fx.: en elev har indlæringsvanskeligheder er ikke en følsom personhenførbar information, hvis personen ikke kan identificeres, eller informationen ikke kan henføres til én person. En oplysning, som fx: Magnus fra 1.X har indlæringsvanskeligheder vil omvendt være en følsom personhenførbar information, hvis Magnus kan identificeres af én eller flere personer. Tilsvarende vil kombinationen af en række informationer, som fx fornavn, skoleklasse og tilvalgsfag, tilsammen udgøre almindelige ikke-følsomme informationer, hvis en kreds af mennesker kan identificere eleven. Sættes sådanne informationer i forbindelse med en oplysning om, at eleven fx har en ADHD-diagnose, bliver informationerne følsomme. 6
Persondataforordningen 7
Persondataforordningen General Data Protection Regulation (GDPR) Hvad er nyt? Ingenting og så alligevel lidt det hele! Den registreredes rettigheder Dokumentationskrav Den registreredes rettigheder kommer mere i fokus Forordningen stiller krav om etablering af politikker om den registreredes rettigheder og håndteringen heraf. Anmeldelsesordningen under persondataloven afskaffes Dataansvarlige og databehandlere skal have dokumentation for de behandlingsaktiviteter som de er ansvarlige for eller deltager i. Risikoanalyse og ansvarlighed Forud for en persondatabehandling skal der gennemføres en risikoanalyse Introduktion af Privacy by Design og Privacy by Default. Konsekvensanalyse Hvis risikoanalysen viser, at behandlingen er særlig risikabel, skal der gennemføres en konsekvensanalyse (Data Privacy Impact Assessment/DPIA) Sikkerhedsbrud Nye krav til håndtering af sikkerhedsbrist introduceres, herunder bl.a. underretningskrav til tilsyn og den registrerede. Kontrol Pligt til at udføre kontrol og opfølgning Visse virksomheder skal udpege en Data Protection Officer Introduktion af one-stop-shop kompetenceregler for tilsynsmyndigheder. Sanktioner Mulighed for bødestraf på mellem 2-4 % af en virksomheds globale omsætning, eller op til 10-20 mio. Euro 8
Persondataforordningen General Data Protection Regulation (GDPR) Baggrunden var bl.a.: Bedre samhandelsmuligheder inden for EU Modernisering og standardisering af beskyttelse og behandling af persondata Udfase eksisterende persondatalov, som er > 20 år gammel Styrkelse af individernes ret til databeskyttelse. "Privacy handler dog ikke om at skulle skjule noget. Privacy handler om at blive beskyttet. Ellers kunne man på samme måde påstå, at man er ligeglad med ytringsfrihed, fordi man ikke har noget sige - Edward Snowden Hvad betyder det bl.a. for virksomheder? Skærpede regler for dataansvarlige og databehandlere At der er et overblik over hvilke persondata der indsamles og behandles Dokumentation Retten til at blive glemt Der er et retsligt grundlag for at indsamle og behandle personoplysninger Nye krav til samtykke Nye krav til dataportability. 9
Hvad betyder det i praksis? Udvalgte dele Den dataansvarliges pligter Behandle persondata i overensstemmelse med GDPR Beskyttelse gennem indstillinger dvs. at teknologisk skal løsningen reducere indgriben i privatlivet skal være aktiveret som standard At design skal kunne favne et kontinuerligt overblik over hvad og hvor indsamlede, behandlede og gemte persondata er, og hvordan de er beskyttet At retten til at blive glemt og dataoverførsel er indarbejdet i designet Logning og opfølgning på aktiviteter. Databehandlerens forpligtelser Databehandleren er forpligtet til at hjælpe den dataansvarlige Du skal gøre den dataansvarlige opmærksom på, hvis GDPR ikke overholdes eller er ulovlig. Privacy skal være en naturlig del af udviklingsprocessen og livscyklussen Tænk på privacy som business enabler Den tillid kunden viser os forpligter 10
Hvad betyder Persondataforordningen for uddannelsesinstitutioner? Eksempler 11
Ansvar Hvilke oplysninger behandler skolen? Ansvaret for beskyttelse af data ligger hos ledelsen på skolerne, da de formelt set er dataansvarlige. Dette ansvar kan ikke fraskrives eller outsources. Der skal være styr på fx: Hvordan behandles persondata både af skolen og af skolens ansatte Retningslinjer for datasikkerhed Minimum sikkerhedskrav (MSR) i henhold til forordningen Procedure for udarbejdelse, opbevaring og vedligeholdelse af dokumentation Procedure for udarbejdelse af konsekvensanalyser Kontroller til sikring af efterlevelsen samt effektiviteten af retningslinjer og procedurer Overblik over hvordan behandling foregår fx: Hvordan opbevarer vi elevmapper? Hvilke oplysninger spørger vi til ved indskrivning på skolen? Hvordan behandler og opbevarer vi personaleoplysninger? Hvor længe opbevarer vi oplysningerne? Har vi en procedure for sletning af unødvendige oplysninger? Har vi en procedure ved sikkerhedsbrist? 12
Opmærksomhedspunkter Eksempler på ændringer som skolen skal være opmærksom på Samtykkekrav Der skal gives et udtrykkeligt og formålsbegrænset samtykke til behandling af oplysninger. Hvis der ikke længere er noget formål, eller formålet ændres, mister samtykkeerklæringen sin gyldighed. Hvad med alumni, fx til en fest for gamle elever? Hvad med brug af elevbilleder på internettet mv.? Husk at Samtykkeerklæringen skal være tydeligt adskilt fra den øvrige tekst, og det skal oplyses at samtykket kan tilbagekaldes. Indsigt i egne oplysninger Den registrerede, eksempelvis en elev og dennes forældre, har ret til at blive informeret om hvordan deres oplysninger behandles og hvilke oplysninger skolen har. Egenkontrol Skolen skal løbende vurdere, hvorvidt skolen overholder forordningen. Dette skal ske som en del af dagligdagen Udover egenkontrol skal skolen gribe ind ved uregelmæssigheder, så de forebygger blotlæggelse af persondata. 13
Kom godt igang 14
Kom godt i gang Det skal sikres at der er større kontrol med organisationens behandling og beskyttelse af persondata, således at gældende krav opretholdes. Egenkontrol: Der skal udarbejdes dokumentation for gennemført behandling af persondata Populistisk sagt: Er behandlingen ikke dokumenteret, er den ikke udført! Hvad bør organisationerne gøre nu? 1. Fastlægge et strategisk afsæt 2. Kortlægge omfanget af persondata 3. Udarbejde en plan for efterlevelse af persondataforordningen og igangsætte implementeringen. 15
1. Fastlægge et strategisk afsæt Kravene i forordningen vil påvirke, hvordan organisationen skal organisere persondata- og informationssikkerhedsarbejdet, og der indføres mere egenkontrol, som en løbende proces gennem hele databehandlingslivscyklussen. Det påvirker fx: Afklaring af juridiske områder, fx i forhold til anden lovgivning Tilpasning af risiko- og konsekvensvurdering med sikkerhedsbrud Etabler en Privacy politik/ledestjerne Hvad ønsker vi at opnå udover at efterleve loven Brug fx en scenariebaseret tilgang til hvordan kravene i forordningen kan løses fx en tidligere elev ønsker sine data udleveret/slettet, hvad gør vi? Ønsker vi at arbejde efter en dataklassifikationsmodel? (se også ISO27001) Det anbefales at persondata bliver indarbejdet i den eksisterende strategi. 16
2. Kortlægge omfanget af persondata Skabe overblik over datastrømmene i forretningsgange processer og systemer: Gennemgang af arbejdsprocesser for at identificere hvilke persondata, som indsamles, behandles, opbevares og slettes. Hvad modtages og sendes til samarbejdspartere, kunder mv. Intern behandling, arkivering og bortskaffelse arbejdspraksis og risici Projektstyring og udviklingsprocessen privacy by design skal indarbejdes Gennemgang af adgangsstyring så persondata kan beskyttes i hele livscyklussen (Privacy by design) fx hvordan håndteres persondata i testsystemer? Tages der kopi af produktionsdata til testmiljøet? mv. Systemoversigt: Kan it-systemerne overholde GDPR? Logning, sletning, dataklassifikation og adgangsstyring, anonymisering eller pseudonymisering mv. 17
3. Udarbejde en plan for efterlevelse af persondataforordningen og igangsætte implementeringen En plan kan være meget forskellig i forhold til as-is (situationsbestemt). Uagtet dette skal der udarbejdes en prioriteret og realistisk plan for at blive klar til maj 2018. Hvor er den største risiko for blotlæggelse af persondata? Herunder er eksempler på de områder som bør indgå (er ikke komplet) ud over dem der er nævnt på de foregående sider: Juridisk koncernstruktur (hvis virksomheden består af flere selvstændige enheder) Etablering af en governance- og samarbejdsmodel Gennemgang af eksisterende aftaler (kontrakter, databehandleraftaler mv.) Revidering af eksisterende retningslinjer, forretningsgange, mv. Plan for at forandre og forankre systemændringer (prioritering og ressourcer) Awareness og uddannelse (kompetenceløft) Gennemgang af den fysiske indretning. 18
Kontakt os Claus Bartholin T: 2363 9921 E: cbt@pwc.dk Du er velkommen til at kontakte mig for yderligere information eller assistance PwC Kursus EU persondataforordning PwC Ydelser om persondata Lej en DPO hos PwC Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen. 2016 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer PwC til PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.