Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Relaterede dokumenter
N. Zahles Skole Persondatapolitik

Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

Standardvilkår. Databehandleraftale

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Persondatapolitik Vordingborg Gymnasium & HF

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Introduktion til persondataforordning

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitik for Aabenraa Statsskole

DANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitik for Tørring Gymnasium 2018

Velkommen til seminar om Persondataforordningen. Den 16. maj 2018.

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

GDPR og arkivloven. Poul Olsen, DPO, Rigsarkivet

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik på Gentofte Studenterkursus

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Vilkår for behandling af personoplysninger

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Præsentation Tid +/- 25 minutter i praktik

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Aftale vedrørende fælles dataansvar

Behandling af personoplysninger

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Persondatapolitik for Odense Katedralskole

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

PERSONDATAPOLITIK FOR AXIS

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

GML-HR A/S CVR-nr.:

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

Velkommen til. Informationsmøde om. Persondataforordningen 2018

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

LOKALFORENINGER OG KLUBBER DATABESKYTTELSESLOVGIVNINGEN

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

BILAG 3.2 FÆLLES DATAANSVARSAFTALE

EU Persondataforordning GDPR

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Persondataforordningen. Hvad kan vi bruge KITOS til?

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

POLITIK FOR DATABESKYTTELSE

Ny Persondataforordning mv.

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

PERSONDATAPOLITIK FOR Slagelse Børneklub

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

PERSONDATAPOLITIK FOR FANCONI ANÆMI DANMARK

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Persondatapolitik for Ehlers-Danlos Foreningen i Danmark

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Retningslinjer om brud på persondatasikkerheden

Retningslinje om fortegnelser over behandlingsaktiviteter

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

PERSONDATAPOLITIK FOR ORDET OG ISRAEL

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

Ordliste begreber om håndtering af personoplysninger til patientbehandling og forskningsbrug

Retningslinje om fortegnelser over behandlingsaktiviteter

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Retningslinjer om brud på persondata

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Lector ApS CVR-nr.:

B EUROPA-PARLAMENTETS

Databeskyttelsesforordningen og dansk forskning. v/ chefkonsulent Kim Taasby & jurist Anahita Khatam-Lashgari 24. maj 2018

Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?

Overblik over persondataforordningen

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 2.0 af 30. maj 2018

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

PERSONDATAFORORDNING PERSONALEADMINISTRATION. 4. og 9. april 2018 Kolding

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Plan og Handling CVR-nr.:

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

Formålet med denne retningslinje er at sikre, at Ringkjøbing Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Persondatapolitik for Landsforeningen for Marfan Syndrom i Danmark

Brud på datasikkerheden

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Retningslinjer om brud på persondatasikkerheden

Databehandlervilkår. 1: Baggrund, formål og definitioner

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede

RETNIGSLINJER OM SIKRING AF REGISTREREDES RETTIGHEDER

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

September Indledning

ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 BEHANDLINGSGRUNDLAG... 3 KONTROL OG DOKUMENTATION... 8

Persondata Opdateringskursus

Komiteen for Sundhedsoplysning CVR-nr.:

Transkript:

Vandforsyningens håndtering af den kommende persondataforordning Danske Vandværker

Praktiske spørgsmål vi modtog Hvem har ansvaret for beskyttelse af forbrugernes persondata? Er medlemslister i ringbindsmapper også persondata som skal beskyttes? Hvilke persondata må vandforsyningen være i besiddelse af? Hvordan skal de beskyttes? Hvordan kan persondata og overholdelse af den kommende lovgivning bedst håndteres af vandforsyningens personale, og eksterne samarbejdspartnere?

Spørgsmål 1 Hvem har ansvaret for beskyttelse af forbrugernes persondata?

Dataansvarlig»dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret.

Spørgsmål 2 Er medlemslister i ringbindsmapper også persondata som skal beskyttes?

Hvad er en personoplysning?»personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

Hvornår er en personoplysning følsom? Race eller etnisk oprindelse Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssigt tilhørsforhold Genetiske eller biometriske data med det formål entydigt at identificere en fysisk person Helbredsoplysninger Seksuelle forhold eller seksuelle orientering (Samt straffedomme og lovovertrædelser, der kun må behandles under kontrol af en offentlig myndighed / hjemlet ved lov) Særregler for CPR nummer (vedtages ved national lovgivning jfr. artikel 87)

Hvad betyder persondataforordningen for mig? (privatperson) Langt strammere håndhævelse af rettighederne og nye rettigheder Oplysningspligt ( hvad gør I med mine data og hvorfor? ) Ret til berigtigelse ( det der står er forkert ) Ret til at blive glemt ( slet mig også fra backup!) Ret til begrænsning af behandling ( stop! ) Ret til dataportabilitet ( jeg flytter, hjælp mig ) Ret til indsigelse ( det er ikke ok, det I gør )

Inden spørgsmål 3 De grundlæggende krav

Grundlæggende krav til lovlig behandling Krav om dokumentation for at man lever op til forordningens krav. Lovlig, rimelig og gennemsigtig behandling af personoplysninger Udtrykkelige formål for behandlingen Dataminimering ift. nødvendighed Ajourførte data ( ethvert rimeligt skridt ) ift. behandlingens formål Anonymiseres / slettes når data ikke længere er nødvendige Sikres tilstrækkeligt (både mod lækage, sletning og beskadigelse) Både teknisk og organisatorisk. Ansvarlighed påvise at ovenstående overholdes

Spørgsmål 3 Hvilke persondata må vandforsyningen være i besiddelse af?

Hjemmel for behandlingen Hvornår må man behandle almindelige personoplysninger? Samtykke skal kunne trækkes tilbage, så let som det gives! Nødvendig pga. aftale med den registrerede (eller af hensyn til samme) Retlig forpligtelse (lovgivning) Beskyttelse af vitale interesser Nødvendig for samfundets interesse (lovgivning) Forfølgelse af en legitim interesse med mindre den registreredes interesser/rettigheder går forud herfor

Hjemmel for behandlingen Hvornår må man behandle særlige ( følsomme ) personoplysninger? Udtrykkeligt samtykke til et eller flere specifikke formål skal kunne trækkes tilbage, så let som det gives! Arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder (lovgivning) Beskyttelse af vitale interesser i tilfælde, hvor den registrerede fysisk eller juridisk ikke er i stand til at give samtykke Behandling foretages af en stiftelse, en sammenslutning eller et andet organ, som ikke arbejder med gevinst for øje, og hvis sigte er af politisk, filosofisk, religiøs eller fagforeningsmæssig art, som led i organets legitime aktiviteter og med de fornødne garantier, og på betingelse af at behandlingen alene vedrører organets medlemmer, tidligere medlemmer eller personer, der på grund af organets formål er i regelmæssig kontakt hermed, og at personoplysningerne ikke videregives uden for organet uden den registreredes samtykke. Personoplysninger, som tydeligvis er offentliggjort af den registrerede. Nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares. Nødvendig for væsentlige samfundsinteresser (lovgivning) Nødvendig i forbindelse med medicinsk diagnose, behandling eller sundhedsomsorg (lovgivning) Nødvendig for samfundsinteresser på folkesundhedsområdet (lovgivning) Nødvendig til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1 (lovgivning)

Spørgsmål 4 Hvordan skal de beskyttes?

Hvilke sikkerhedskrav vil man forventeligt have til et vandværks behandling af personoplysninger? sikrer tilstrækkelig sikkerhed mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«). Risikovurdering (overvej brug af konsekvensanalyse/dpia) I praksis betyder ovenstående at man skal vurdere hver behandlingsaktivitet og sikre den til det niveau man mener er tilstrækkeligt og dokumentere hvorfor og hvordan man gør det.

Normal forventelig sikkerhed Uddannelse af personale Styr på adgangsrettigheder (både mennesker og IT systemer) Så få personer som muligt må have adgang til personoplysninger I papirform er styring af adgangsrettigheder = lås Logning af forgæves adgangsforsøg og blokering af adgang ved flere forsøg Kryptér persondata når det er muligt (både ved overførsel og lagring) Backup Opdater software Firewall og antivirus/antimalware Procedure for sletning/makulering

Spørgsmål 5 Hvordan kan persondata og overholdelse af den kommende lovgivning bedst håndteres af vandforsyningens personale, og eksterne samarbejdspartnere?

Brug af databehandlere

Hvornår er en underleverandør databehandler?»databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.

Når man vælger underleverandører Den dataansvarlige har pligt til at: udelukkende at benytte databehandlere, der [...] gennemføre de passende tekniske og organisatoriske foranstaltninger [ ] opfylder kravene [ ] beskyttelse af den registreredes rettigheder. Databehandleren må ikke gøre brug af en anden databehandler uden forudgående [ ] godkendelse fra den dataansvarlige Kontrakt [ ] genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder

Hvad SKAL databehandleren Som databehandler har man pligt til at kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige [ ] medmindre det kræves i henhold til [ ] ret, som databehandleren er underlagt. sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har [ ] tavshedspligt iværksætter alle foranstaltninger, som kræves i henhold til artikel 32 (behandlingssikkerhed) bistår den dataansvarlige [ ] med opfyldelse af den dataansvarliges forpligtelse [ ] de registreredes rettigheder bistår den dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af artikel 32-36 (hele pakken fra behandlingssikkerhed, anmeldelse til datatilsyn, underretning af brud på sikkerhed, konsekvensanalyser og evt. forudgående høring af datatilsynet) efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysninger til den dataansvarlige stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne artikel, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige

Erfaringer

Forudsætninger for compliance med persondataforordningen Overblik over behandlingsaktiviteter der indeholder personoplysninger Formkrav til oplysning til de registrerede Procedurer for håndtering af rettigheder (indsigtsanmodninger, sletning, etc.) Hjemmel for behandlingen hvis samtykke, er det gyldigt? (formkrav) Særlige krav vedr. børns personoplysninger Procedurer for anmeldelse af brud på persondatasikkerheden (72 timer) Risikovurdering (konsekvensanalyse/dpia) Indtænke databeskyttelse i processer og IT systemer (ingen krav til ændring af eksisterende IT systemer dog skal indstillinger justeres, hvis man kan) Styr på databehandlere Skal I have en DPO? (Ønsker I en DPO, hvis nu det ikke er et krav?) Internationale overførsler koncernstruktur databehandlere udenfor EU

Learnings Fokuser i starten på at få overblik over behandlingsaktiviteterne (artikel 30) Identificer hurtigst muligt de behandlingsaktiviteter, hvor hjemlen er samtykke, disse tekster skal sandsynligvis opdateres og samtykke derfor genindhentes fra alle! Vælg et solidt framework til at støtte jeres governance arbejde vi valgte ISO 27001 for at komme hele vejen rundt inkl. undervisning af medarbejdere. Sørg for de rette kompetencer er med i projekt teamet. Lav procedurer og overvej hvor understøttelse med IT skaber værdi. Hvordan sletter man en persons oplysninger? (backup?) Hvordan sikres ajourføring af personoplysninger? (evt. integration med offentlige datakilder)

Det var noget af en mundfuld! Håndbøger og skabelonerne indeholder vores erfaringer og struktur fra alle projekterne! -husk: man spiser elefanter én bid ad gangen

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback