Persondataforordningens betydning for it-leverandører
AGENDA 1. Lidt generelt om Persondataforordningen 2. Hvad betyder Persondataforordningen for dig som it-virksomhed 1. For din egen organisation 2. For arbejde og leverancer til dine kunder 3. Hvordan etableres compliance 4. Dataeksport og brug af off-shore ressourcer 5. Databehandleraftaler 6. Deltagelse i hybridløsninger til kunder 7. Privacy by design for it-leverandører 8. Spørgsmål og debat
Lidt generelt om Persondataforordningen
Hvorfor går så mange nu op i persondata compliance? Under den nye Databeskyttelsesforordning er man pligtig til at kunne påvise, at man overholder reglerne Under forordningen introduceres et sanktionsniveau på op til 20 mio. Euro eller 4 % af virksomhedens globale omsætning, hvad end der er højest. Under forordningen kan tilsynsmyndigheder forbyde fortsat behandling af personoplysnigner. Det får ledere til at tænke risikobaseret. Overlevelse for virksomheden og overlevelse for mig (ledelsesansvar)
Tilblivelseshistorien Ny forordning om persondata vedtaget i april 2016 og offentliggjort i Official Journal of the European Union den 4. maj 2016. Forordningen trådte i kraft den 25. maj 2016. Forordningen for dog først virkning fra den 25. maj 2018. Officielle titel er General Data Protection Regulation (GDPR) Forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger - Forordning 2016/679 (Databeskyttelsesforordningen) Forordningen gælder direkte og umiddelbart for alle EU medlemsstater. Forordningen erstatter 1995-direktivet og 28 medlemsstaters lovgivning Formål: Harmonisering minimumsregulering af medlemsstaternes regler, så der skabes reel fri bevægelighed for persondata.
Hvad er omfattet? Persondataforordningen regulerer Behandling af personoplysninger der helt eller delvis foretages ved hjælp af automatisk databehandling og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register Og hvor»personoplysninger«omfatter Enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
Hvad er omfattet? GENERELLE KRITERIER FOR AT EN PERSONDATABEHANDLING ER LOVLIG - Der skal være hjemmel til behandlingen - Behandlingen skal være i overensstemmelse med behandlingsreglerne/-principperne - Hjemmel til behandling og overholdelse af behandlingsregler skal kunne påvises
Overblik over forordningen Kapitel I Generelle bestemmelser Art. 1-4 Kapitel IV Dataansvarlig og databehandler Art. 24-43 Kapitel II Principper Art. 5-11 Kapitel V Overførelse af personoplysninger til tredjelande Art. 44-50 Kapitel III Den registreredes rettigheder Art. 12-23 Kapitel VI Uafhængige tilsynsmyndigheder Art. 51-59 Forordningen består af 99 artikler fordelt på 11 kapitler Kapitel VII Samarbejde og sammenhæng Art. 60-76 Kapitel VIII Retsmidler, ansvar og sanktioner Art. 77-84 Kapitel IX Bestemmelser vedrørende specifikke behandlingssituationer Art. 85-91 Kapitel X Delegerede retsakter Art. 92-93 Kapitel XI Afsluttende bestemmelser Art. 94-99
Databeskyttelsesforordningen DE VÆSENTLIGSTE BETYDNINGER AF DATABESKYTTELSESFORORDNINGEN Ansvarlighed Dokumentationspligt Rapporteringspligt Risiko- og konsekvensanalyser Databeskyttelse gennem design Portabilitet Fortegnelse over behandlingsaktiviteter (dokumentation) Databeskyttelsesrådgivere Bøder/sanktioner Alle er forskellige sider af sammen sag
Ansvarlighed GDPR Art. 5(2) Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).
Principper for behandling af personoplysninger /Ansvarlighed GDPR. Art. 24 - Den dataansvarliges ansvar 1.Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres. 2.Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker. 3.Overholdelse af godkendte adfærdskodekser som omhandlet i artikel 40 eller godkendte certificeringsmekanismer som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af den dataansvarliges forpligtelser.
Personoplysningssikkerhed GDPR. Art. 32 - Behandlingssikkerhed 1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant: [ ]
Dokumentationspligt VIRKSOMHEDENS HANDLEPLIGTER GDPR art. 33(5) Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel er overholdt.
Rapporteringspligt VIRKSOMHEDENS HANDLEPLIGTER GDPR art. 33 (1) Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til den tilsynsmyndighed, [ ], medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. [ ] Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden.
Rapporteringspligt VIRKSOMHEDENS HANDLEPLIGTER GDPR art. 34 Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.
Konsekvensanalyse VIRKSOMHEDENS HANDLEPLIGTER GDPR art. 35 Konsekvensanalyse vedrørende databeskyttelse Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici.
Risikoanalyse Ingen eksplicitte bestemmelser som regulerer risikoanalyser Men mange bestemmelser, som direkte forudsætter, at der løbende risikovurderes Risikovurdering er gennemgående og omdrejningspunkt i GDPR. Risikoanalyser gennemføres ud fra screening-spørgsmål og what-if spørgsmål.
Privacy by Design VIRKSOMHEDENS HANDLEPLIGTER GDPR art. 25 Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder
Portabilitet VIRKSOMHEDENS HANDLEPLIGTER GDPR art. 20 Den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, og har ret til at transmittere disse oplysninger til en anden dataansvarlig uden hindring fra den dataansvarlige, som personoplysningerne er blevet givet til, når: a) behandlingen er baseret på samtykke, jf. artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), eller på en kontrakt, jf. artikel 6, stk. 1, litra b), og b) behandlingen foretages automatisk.
Fortegnelse / dokumentation VIRKSOMHEDENS HANDLEPLIGTER GDPR art. 30 1. Hver dataansvarlig og hvis det er relevant, den dataansvarliges repræsentant fører fortegnelser over behandlingsaktiviteter under deres ansvar. 2. Hver databehandler og, hvis det er relevant, databehandlerens repræsentant fører fortegnelser over alle kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig, [ ] 5. De i stk. 1 og 2 omhandlede forpligtelser finder ikke anvendelse på et foretagende eller en organisation, der beskæftiger under 250 personer, medmindre den behandling, som den foretager, sandsynligvis vil medføre en risiko for registreredes rettigheder og frihedsrettigheder, behandlingen ikke er lejlighedsvis, eller behandlingen omfatter særlige kategorier af oplysninger, jf. artikel 9, stk. 1, eller personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10.
Databeskyttelsesrådgiver VIRKSOMHEDENS HANDLEPLIGTER GDPR art. 37 Den dataansvarlige og databehandleren udpeger altid en databeskyttelsesrådgiver, når: a) behandling foretages af en offentlig myndighed eller et offentligt organ, undtagen domstole, der handler i deres egenskab af domstol b) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller c) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, og personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10.
Bøder GDPR art. 83 Der kan pålægges bøder på op til 10 000 000 EUR, eller hvis det drejer sig om en virksomhed, med op til 2 % af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere, for overtrædelse af regler om - Børns samtykke - Behandling, der ikke kræver identifikation - PBD, databehandlere, fortegnelse over behandlingsaktiviteter, opretholdelse af behandlingssikkerhed, anmeldelse af brud/underretning, konsekvensanalyse, DPO
Bøder Der kan pålægges bøder på op til 20 000 000 EUR, eller hvis det drejer sig om en virksomhed, med op til 4 % af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere, for overtrædelse af regler om a) de grundlæggende principper for behandling, herunder betingelserne for samtykke, i artikel 5, 6, 7 og 9 b) de registreredes rettigheder i henhold til artikel 12-22 c) overførsel af personoplysninger til en modtager i et tredjeland eller en international organisation i henhold til artikel 44-49 d) eventuelle forpligtigelser i medfør af medlemsstaternes nationale ret vedtaget i henhold til kapitel IX e) manglende overholdelse af et påbud eller en midlertidig eller definitiv begrænsning af behandling eller tilsynsmyndighedens suspension af overførsel af oplysninger i henhold til artikel 58, stk. 2, eller manglende adgang i strid med artikel 58, stk. 1.
Sanktioner Datatilsynet kan bl.a. udtale kritik af en dataansvarlig eller en databehandler, hvis behandlingsaktiviteter har været i strid med denne forordning give den dataansvarlige eller databehandleren påbud om at imødekomme den registreredes anmodninger om at udøve sine rettigheder i henhold til denne forordning give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i overensstemmelse med bestemmelserne i denne forordning og, hvis det er hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist give den dataansvarlige påbud om at underrette den registrerede om et brud på persondatasikkerheden midlertidigt eller definitivt at begrænse, herunder forbyde, behandling.
Den nye forordning Hvad er nyt? Forordningen indeholder reelt kun få helt nye regler Materielle behandlingsregler overordnet de samme som de nugældende Særligt nyt er regler om proces og dokumentation Proces- og dokumentations principperne er alle kendte generelt set Men det præcise indhold forordningen tillægger dem, vides ikke med sikkerhed
Hvad betyder GDPR for dig som itvirksomhed?
Hvad betyder GDPR for dig som itvirksomhed? Medarbejdere Salg & Markedsføring Produkter og Services IT Samarbejdspartnere & Leverandører FOR DIN EGEN ORGANISATION For din egen organisation, skal der etableres en compliance model Tværgående emner
Hvad betyder GDPR for dig som itvirksomhed? Databehandleraftaler Sikkerhedsforanstalt ninger Tværgående emner FOR ARBEJDE OG LEVERANCER TIL KUNDER For kunderelationer og leverancer, skal der etableres en compliance model Produkter og Services
Hvad betyder GDPR for dig som itvirksomhed? Kortlægning af forpligtelser i kundeaftaler FOR ARBEJDE OG LEVERANCER TIL KUNDER Der bør foretages en systematisk kortlægning af forpligtelser og muligheder i forhold til kundeaftaler. Der bør foretages en vurdering af, om leverancemodel kan passe ind under disse forpligtelser og muligheder.
Hvad betyder GDPR for dig som itvirksomhed? Etablering af udviklings- og testmiljøer FOR ARBEJDE OG LEVERANCER TIL KUNDER Datatilsynets j.nr. 2011-631-0133 Ved test i forbindelse med program- og systemudvikling bør der efter Datatilsynets opfattelse anvendes egentlige testdata, dvs. oplysninger om fiktive personer, og ikke oplysninger om eksisterende personer. Der bør således ikke som testdata anvendes kopi af produktionsdata, medmindre der forinden er foretaget en effektiv anonymisering af disse.
Hvad betyder GDPR for dig som itvirksomhed? FOR ARBEJDE OG LEVERANCER TIL KUNDER Fastlæggelse af nødvendige sikkerhedsforanstaltninger Art. 32: Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
Sikkerhedsforanstaltninger Metoder og kontroller ISO 29100 ISO 29101 ISO 27001 ISO 27002 ISO31000 ISO29134 ISAE3000 ISAE3402 (Informationsteknologi Sikkerhedsteknikker - Arkitektur for beskyttelse af personfølsomme oplysninger) (Informationsteknologi Sikkerhedsteknikker Rammer for arkitektur for beskyttelse af personfølsomme oplysninger) (Informationsteknologi Sikkerhedsteknikker Ledelsessystemer for informationssikkerhed) (Informationsteknologi Sikkerhedsteknikker Regelsæt for styring af informationssikkerhed) (Risikoledelse - Principper og vejledning) (Informationsteknologi Sikkerhedsteknikker Konsekvensvurdering vedrørende persondatabeskyttelse (PIA) (Assurance Engagements Other than Audits or Reviews of Historical Financial Information) (Assurance reports on controls at a service organization)
IT sikkerhed persondata compliance Men IT-sikkerhed er en del af det at være complient You can have security without privacy but you cannot have privacy without security Sikkerhed og Privacy er et linjeansvar og ikke en funktion eller enkelt rolle
Hvad betyder GDPR for dig som itvirksomhed? FOR ARBEJDE OG LEVERANCER TIL KUNDER Tværgående forpligtelser Awareness Informationssikkerhed Besvarelse af henvendelser fra registrerede og Datatilsynet Beredskab for sikkerhedsbrug Mv.
Hvordan etableres compliance
Fastlæg niveau Efter den 25. maj 2018 vil der være 3 typer virksomheder Dem der ikke overholder reglerne Dem der overholder (behandlingsreglerne) reglerne i det store hele Dem der kan påvise at de overholder reglerne Vi skal fastsætte et ambitionsniveau Og vi kan ikke nødvendigvis være 100% compliant på alle områder til enhver tid
Ansvarlighed / compliance GDPR Art. 5(2) Kapitel II Principper Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«). GDPR Art. 24(1) jf. Art. 28(1) Kapitel IV Generelle forpligtelser Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres
Ansvarlighed Ansvarlighed og compliance indbefatter bl.a. Kortlægge forpligtelser efter forordningen, databeskyttelsesloven og særlovgivning (og aftaler) Implementere de fornødne tekniske og organisatoriske foranstaltninger, der sikrer, og viser, at du overholder reglerne. Dette kan omfatte implementering af interne databeskyttelses politikker, regler og procedurer uddannelse af personale / awareness interne revisioner af behandlingsaktiviteter Vedligeholde dokumentation for behandlingsaktiviteter Dokumentation for/på sikkerhedsbrud Kortlægge persondata der behandles Udpege en DPO hvor relevant Implementere Privacy by Design og Privacy by Default procedurer Implementere risikoanalyse og konsekvensvurdering Systematisere opgaver og dokumentation i et persondataprogram / privacy framework
Overordnede leverancer Compliance projektmodel Løsning og idriftsættelse Optimering af drift 1 2 3 4 5 6 Opstart Baseline Løsning Udrulning Kontrol Governance Kickoff og mobilisering Kortlæg data Scoping af løsning Uddannelse og awareness Metode til at sikre løbende efterlevelse Styring af framework Undervisning Kortlæg aktiviteter 1) Design af overordnet framwork Idriftsættelse af løsning Kontoller og dokumentation Justering af framwork Interviews og indblik Kortlæg standarder 2) Processer Håndtering af ad hoc problemløsning Scoping af analysetilgang A B GAP-analyse 3) Governance værktøjer Prioritering 4) Øvrige / ad hoc Opbygning af awareness
Persondata Compliance Framework Vedligehold en Governance struktur Vedligehold oversigt over Behandlingsaktiviteter Etabler persondata politik Vedligehold persondata notices Vedligehold Uddannelse og awareness program Risiko og konsekvens vurderinger Håndter Informations sikkerhed Håndter tredjeparts relationer Opstil procedurer for persondatabeskyttelse i virksomhedsdriften Besvar henvendelser og klager fra registrerede og tilsynsmyndigheder Vedligehold beredskab for sikkerhedsbrud Valider overholdelse af Framework Vedligehold compliance baseline
Medarbejdere Salg & Markedsføring Produkter & Services IT Samarbejdspartnere & Leverandører Tværgående emner
Eksemplificering
Eksemplificering
Projektmetode? Hvordan kommer vi fra 0 100 km/t? Planlægning fra A-Z og efterfølgende effektuering eller Etabler fundament og igangsæt implementering og aftestning af model i real-time
Projektmetode Hvordan kommer vi fra 0 100 km/t? Det handler om at komme i gang med opbygningsfasen af ens compliance model så hurtigt som muligt Modellen fintunes og justeres som en løbende del af compliance arbejdet Der er ingen quick-fix og der er ingen one-size-fitts-all
Vision/Mission Udform en vision/mission for virksomhedens persondatabehandling: Vision: En ønskværdig, fremtidig tilstand og den ledestjerne, som en virksomhed forfølger. Visionen har en længere horisont end missionen og fortæller om de langsigtede mål for virksomheden. Mission: En nutiden tilstand eller et mål for den kortere tidshorisont end visionen. Missionen sætter rammen for de redskaber, og holdninger, der gør det muligt at udleve missionen for virksomheden. Hvis man vil vide hvor man vil hen med ens persondatabehandling, skal man opsætte en vision/mission for fremtiden.
Vision/Mission Vision/mission bør forholde sig til i det mindste: Værdien virksomheden lægger i privacy De ønskede mål der tilstræbes Strategi for hvordan mål opnås Klarlægning af roller og ansvar
Return of Investment Er persondata compliance arbejde blot endnu en udgift? Hvad kan ROI /Return of Investment være?
Return of Investment - Calculating the ROI for preventing something bad from happening is a bit like trying to pin down a cloud - Using privacy to secure brand trust, contribute to the bottom line and gain competitive advantage, even get funding a few years back these may have seemed like quaint ideas, but with changing consumer perceptions, privacy is now a real driver https://iapp.org/media/pdf/resource_center/roi_whitepaper_final.pdf
Målepunkter Målepunkter Hvis der ikke opstilles målepunkter og måles, kan man ikke forbedre sig. Målepunkter virker derfor også som KPI er, som defineres i forhold til opnåelse af mål og formål. Målepunkter skal være: Målbare Meningsfulde klart definerede indikative for fremskridt/tilbageskridt være i stand til at besvare konkrete spørgsmål
Dataeksport og brug af off-shore ressourcer
Dataeksport Art. 44 fastsætter det generelle princip for overførsler af persondata til tredjelande. Enhver overførsel af personoplysninger, som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland [ ], må kun finde sted, hvis betingelserne i forordningens kapitel V [ ] opfyldes af den dataansvarlige og databehandleren. (hjemmel/overførselsgrundlag). - Overførsler baseret på Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveau - Overførsler omfattet af fornødne garantier - Bindende virksomhedsregler Persondataforordningens behandlingsregler skal herudover fortsat iagttages. (lovlig behandling)
Dataeksport Datatilsynets j.nr. 2007-214-0004: ATP ønskede at overføre oplysninger om sine medlemmer til databehandlere i Indien og Sydafrika. Datatilsynet udtalte bl.a., at der efter tilsynets opfattelse er tale om en overførsel til et tredjeland i persondatalovens 27 s forstand, selvom en databehandler udelukkende vil kunne se de oplysninger, der på et givent tidspunkt befinder sig på vedkommendes skærm, og selvom databehandleren ikke vil kunne lagre eller printe de pågældende oplysninger. I sagen bliver det således fastslået, at en såkaldt se-adgang til personoplysninger er nok til at udgøre en overførsel af personoplysninger til et tredjeland. Dette er i overensstemmelse med betænkning 1345 om Persondataloven.
Dataeksport Forslag til databeskyttelsesloven 3, stk. 9 krigsreglen Justitsministeren kan efter forhandling med vedkommende minister fastsætte regler om, at personoplysninger, der behandles i nærmere bestemte IT-systemer, og som føres af eller for den offentlige forvaltning, alene må opbevares her i landet.
Dataeksport GDPR Art. 14 oplysningsforpligtelse hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til en modtager i et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 46 eller 47 eller artikel 49, stk. 1, andet afsnit, litra h), henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.
Dataeksport Benyttelse af off-shore ressourcer kan være umuliggjort af databehandleraftalen Kunden kan have principielle interesser mod off-shoring tilgang til persondata Hjemmel skal cleares inden pris kan fastsættes
Databehandleraftaler
Databehandlere GDPR Art. 4(7) DEN DATAANSVARLIGE»dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, [ ] der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; [ ] Den dataansvarlige er den, der afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger
Databehandlere DATABEHANDLEREN GDPR Art. 4(8)»databehandler«: en fysisk eller juridisk person, en offentlig myndighed, [ ], der behandler personoplysninger på den dataansvarliges vegne Databehandleren er den, der behandler personoplysninger på vegne af den dataansvarlige
Databehandlere Efter Persondataforordningen er det et krav at der etableres en databehandleraftale som mindst fastsætter at databehandleren a) kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser b) sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt c) iværksætter alle foranstaltninger, som kræves i henhold til artikel 32
Databehandlere d) opfylder de betingelser, der er omhandlet i stk. 2 og 4, for at gøre brug af en anden databehandler e) under hensyntagen til behandlingens karakter, så vidt muligt bistår den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i kapitel III f) bistår den dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren
Databehandlere g. efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, og sletter eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne h. stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne artikel, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige. For så vidt angår første afsnit, litra h), underretter databehandleren omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
Databehandlere TYPISKE PROBLEMSTILLINGER - Hvad udgør instruksen? Hvordan formuleres den? Leverandøren bemyndiges med indgåelse af Databehandleraftalen til at foretage behandling af personoplysninger på Kundens vegne som led i udførelse af de aftalte itydelser under Leveranceaftalen. Behandlingen skal ske på de vilkår, som er indeholdt i Databehandleraftalen og Leveranceaftalens punkt ** (Instruks). - Ændring af instruks? Medfører ændringen, at der skal foretages yderligere/ændrede sikkerhedsforanstaltninger? Hvornår gælder ændringen fra? Økonomiske konsekvenser?
Databehandlere TYPISKE PROBLEMSTILLINGER - Ændring af typer behandlede oplysninger og kategori registrerede? Medfører ændringen, at der skal foretages yderligere/ændrede sikkerhedsforanstaltninger? Økonomiske konsekvenser? - Ændring af forhold af betydning for nødvendige sikkerhedsforanstaltninger? Medfører ændringen, at der skal foretages yderligere/ændrede sikkerhedsforanstaltninger? Økonomiske konsekvenser? -
Databehandlere TYPISKE PROBLEMSTILLINGER - Bistand til den dataansvarlige? Økonomiske konsekvenser? -
Deltagelse i hybrid-løsninger til kunder
Hybridløsninger Kunde Cloud-service IT-leverandør
Hybridløsninger TYPISKE PROBLEMSTILLINGER Underdatabehandler eller kundens anden databehandler? Sammenspil med databehandleraftalen, herunder særlige aftalte vilkår
Privacy by design for it-leverandører
Privacy by Design VIRKSOMHEDENS HANDLEPLIGTER GDPR art. 25 Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder
Privacy by Design VIRKSOMHEDENS HANDLEPLIGTER GDPR art. 35 - Konsekvensanalyser En konsekvensanalyse skal omfatte de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser
Privacy by Design i softwareudvikling Privacy Knowledge Base Principper Politikker Krav Procedurer Retningsliner Standarder mv. Privacy i softwareudviklingen Planlægning og POC Map krav til/omkring persondata PIA risiko- og konsekvensvurdering (trusselsbillede) Design, implementering og test Map krav til persondata til produktfunktionalitet Vælg metode/guidelines, Dokumentation Dokumentation Privacy validering Review/kontrol Revider op mod krav og metode/guidelines Kontroller af PIA er tilfredsstillende gennemført Kvitter for den accepterede risiko-profil Frigivelse/release Når alt er revideres, gives sign-off fra ansvarlig i privacy framework Dokumentation
Privacy by Design i softwareudvikling Authorization Hvem har adgang til hvilke data? (arbejdsbetinget behov) Hvad kan der ske med disse persondata? Hvor sikre er vi på, at alt foregår som det skal? Subject Object Hvordan kan vi følge op på om processen og retningslinjerne efterleves? både så vi ved om autoriserede følger reglerne og at uautoriserede ikke opnår adgang Audit Hvornår må der være adgang til persondata?
Spørgsmål og debat
Søren Wolder Advokat (L) LL.M./Partner Speciale i persondata og IP Rådgiver bl.a. om Persondata IT-kontrakter Immaterialret Compliance Medlem af International Association of Privacy Professionals Medlem af Dansk Forening for Persondataret Hos DAHL siden 2004 swk@dahllaw.dk 88 91 92 45 30 84 35 12