Data protection impact assessment

Relaterede dokumenter
DI's skabelon for Privacy Impact Assessment

Interviewskema Udgangspunkt

Persondataforordningen. Konsekvenser for virksomheder

DI's skabelon for Data Protection Impact Assessment

Persondataforordningen. Fra papir til handling

Den nye persondataforordning. 2. februar 2017

Nyskabelser I persondataforording - DI's redskaber til compliance

Workshop om IT-sikkerhed. Tech trends, trusler og strukturerede løsninger

Konsekvensanalyse/Data Protection Impact Assessment (DIA)

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Overblik over persondataforordningen

Den nye persondataforordning. 17. maj 2016

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Overblik over persondataforordningen

BIG DATA OG PERSONDATABESKYTTELSE

Konsekvensanalyser i praksis: hvorfor, hvornår og hvordan

Det skal du have styr pa inden 2018

Persondataforordningen. Henrik Aslund Pedersen Partner

Ordliste begreber om håndtering af personoplysninger til patientbehandling og forskningsbrug

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

September Indledning

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

Er I klar til den nye persondataforordning?

Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?

Privacy initiativer. Henning Mortensen

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

Databeskyttelsesdagen

Plesner Certifikat i Persondataret

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Hvilke forberedelser kræver EUpersondataforordningen? Klaus Kongsted, Dubex A/S, 11. juni 2015

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk

Plesner Certifikat i Persondataret

Persondata, compliance og datasikkerhed. Ved Charlotte Bagger Tranberg

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

General Data Protection Regulation

Transkript:

Data protection impact assessment

Data protection impact assessment DPIA Den dataansvarlige skal gennemføres en DPIA under forudsætning af: Anvendelse af nye teknologier Betydeligt omfang, formålets karakter, m.v. Høje risici for datasubjekterne - især systematisk og bred evaluering af personer med henblik på profilering, store mængder (*) følsomme og semifølsomme oplysninger og systematisk overvågning af offentlige områder DPO'en skal inddrages DPA'en kan lave liste over behandlinger, hvor DPIA skal foretages (godkendes af EDPB) og en ditto hvor der ikke skal laves DPIA DPIA skal indeholde: beskrivelse af behandlinger, formål, legitim interesse hos dataansvarlig, vurdering af nødvendighed og proportionalitet af behandling i forhold til formål, vurdering af risici for datasubjekter og beskrivelse af sikkerhedstiltag Eventuel compliance med Code of Conduct Datasubjekterne kan eventuelt inddrages i evaluering Hvis DPIA viser høj risiko som ikke kan imødegås skal DPA konsulteres (*) store mængder data er mindst større end enkelte praktiserede læger eller en advokat, minimum en region 2

PIA - "definition" Definition Forordningen: " an assessment of the impact of the envisaged processing operations on the protection of personal data" En PIA er en vurdering af risici og mulig påvirkning, set fra et individs synspunkt, ved at en aktør behandler individets personoplysninger. Indhold PIA'en består af en analyse og af en proces. Analysen sikrer, at de rette spørgsmål bliver stillet og besvaret. Processen sikrer, at spørgsmål stilles og svar gives på dette rette tidspunkt i en teknologis livscyklus. 3

PIA-proces PIA-proces Idefase Planlægning og arkitektur Teknologivalg Implementering og test Drift og ændringer Idefase: Er der behov for PIA? (A) og compliance-betragtning (B) Planlægning og arkitektur: dataflowanalyse (C), datasubjektets risici (D) og planlægning af korrigerende foranstaltninger (E) Teknologivalg: Privacy Enhancing Technologies (G) Implementering og test: Information til datasubjekter (F) og anonymisere/slette Drift og ændringer: Følge op på PIA og implementere kontroller 4

Afklare behovet for PIA Gennemløb nedenstående model Afgræns mest muligt, så PIA bliver så fokuseret som muligt Udfordringer med pseudonymisering og ægte anonymisering jf. artikel 29-gruppen Forordningen: pseudonyme data er stadig personoplysninger 5

PIA - compliance Denne PIA skaber ikke compliance med alverdens lovgivning! Principper: Behandles der personoplysninger? Hvem er dataansvarlig og hvem er databehandler? Hvad er formålet med behandlingen? Er der andre formål? Indsamles for meget? Er personoplysningerne præcise? Skal der indhentes samtykke? Er datasubjektet informeret? Må data behandles? (religion, osv) Er personoplysningerne beskyttet efter god sikkerhedspraksis? Videregives data? På en lovlig måde? Håndteres data der ikke længere anvendes? Er der foretaget anmeldelse? 6

PIA - dataflowanalyse Hvilke personoplysninger vil blive behandlet? Hvilke typer af teknologier anvendes? Hvordan foregår indsamlingen af personoplysninger? Til hvilket formål behandles personoplysningerne? Andre formål? Ekstra data? Er det nødvendigt, at indhente samtykke til databehandlingen? Hvilken behandling finder sted? Hvem har adgang til data? Hvem har ansvaret for personoplysningernes sikkerhed? Hvordan ser dataflowet ud efter indsamling? Tegnet flowdiagram? Hvordan organiseres personoplysningerne? Videregives data til andre? 7

PIA - datasubjektets risici Behandles der personoplysninger der subjektivt set kan betragtes som følsomme? Indgår der behandling af kreditkortoplysninger? Fremtræder behandlingen af personoplysninger troværdig? (virker sikker?) Kan datasubjektet få indsigt i informationer om behandlingen af personoplysninger? Er der risiko for at personoplysninger spredes til uvedkommende? (hacking) Er der risiko for at data bruges til andre formål end dem, de er indsamlet til? Kobles der personoplysninger fra flere kanaler om datasubjektet uden datasubjektets viden? Kan der ske nogen skade på eller for datasubjektet, hvis personoplysningerne kommer til uvedkommendes kendskab? (økonomi, stigmatisering) Kan der ske utilsigtet ændring eller tilintetgørelse af personoplysningerne? Hvor stor er den gruppe af datasubjekter, som kan blive berørt? 8

PIA - korrigerende foranstaltninger Er der en sikkerhedsorganisation? Følges en sikkerhedsstandard? Er der fysisk adgangskontrol? Er der styring af brugeres rettigheder og adgang? Foretages der sikkerhedsopdateringer af styresystemer, databaser, m.v.? Logges adgang til personoplysninger? Er der adgang til personoplysninger fra bærbart udstyr? Kan der implementeres teknologier, som pseudonymiserer eller anonymiserer personoplysninger? Slettes eller anonymiseres data, når der ikke længere er brug for dem i henhold til formålet? Er der behov for at foretage anmeldelse af databehandlingen til myndighederne? 9

PIA - information Var datasubjektet orienteret før indsamlingen af personoplysninger fandt sted? Har datasubjektet mulighed for at samtykke til eller at afvise, at data behandles? Hvordan informeres datasubjekterne? Har datasubjekterne nogen grad af direkte kontrol med personoplysningerne? Har datasubjekterne et kontaktpunkt, som de kan henvende sig til? Er der en procedure for at datasubjekterne kan trække samtykke for behandling af personoplysninger tilbage? Er der en procedure for at vurdere om datasubjekterne skal orienteres, hvis deres data fortabes? 10

Privacy Enhancing Technologies Ingen definition Et kontinuum af løsninger fra rollebaseret adgangskontrol til anonymisering Pseudonymisering, på vej mod lidt mere sikkerhed (forordningen: reducere risiko) 11

Kontakt Henning Mortensen hem@di.dk 12

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback