Konsekvensanalyser i praksis: hvorfor, hvornår og hvordan

Relaterede dokumenter
SISCON årskonference 2016 Bella Sky Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

EU-dataforordningen hvad er formålet og hvad skal du gøre?

Forstå de nye krav til databehandling og lær at afkræfte myter om persondata

VELKOMMEN TIL. ERFA-MØDE 14. juni 2016

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

VELKOMMEN TIL ERFA-MØDE 8. juni 2017

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

ERFA-MØDE 8. & 15. dec. 2016

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Per Løkken, Partner. CAMPUS November 2018

Struktureret Compliance. EU-GDPR eftersyn

GDPR projekt papirtiger Med det rette overblik

Databeskyttelsesdagen

Kortlægning af dataflows og konsekvensanalyse

GDPR projekt papirtiger. - Med det rette overblik

September Indledning

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Præsentation Tid +/- 25 minutter i praktik

EU Persondataforordning GDPR

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Introduktion til persondataforordning

Workshop om teatrenes arbejde med persondataforordningen

EU-GDPR i ControlManager

N. Zahles Skole Persondatapolitik

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

BILAG 3.2 FÆLLES DATAANSVARSAFTALE

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Ny persondataforordning

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

One year with GDPR - one year to come

Persondataforordningen...den nye erklæringsstandard

Aftale vedrørende fælles dataansvar

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Overblik over persondataforordningen

Persondata politik for GHP Gildhøj Privathospital

Forslag til nye felter i OS2-kitos til understøttelse af GDPR-arbejdet

PERSONDATAFORORDNINGEN APRIL 2018

Standardvilkår. Databehandleraftale

Persondataforordningen. Henrik Aslund Pedersen Partner

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Persondataforordningen. Hvad kan vi bruge KITOS til?

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Dansk Selskab for GCP. Persondatareglerne

Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?

Persondatalovens dokumentationskrav

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

GDPR og arkivloven. Poul Olsen, DPO, Rigsarkivet

GDPR - Bryder verden sammen efter den 25. maj?

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

POLITIK FOR DATABESKYTTELSE

Persondatapolitik Vordingborg Gymnasium & HF

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Oplysning om behandling af personoplysninger om dig i medfør af databeskyttelsesforordningen artikel 13.

GML-HR A/S CVR-nr.:

Persondatapolitik for Tørring Gymnasium 2018

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Konsekvensanalyse vedrørende databeskyttelse

Politikken beskrivelser hvordan vi behandler persondata om vores medlemmer og netværk.

GDPR og ISO To sider af samme sag Offentlig Digitalisering 2018

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Persondatapolitik for Aabenraa Statsskole

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

Persondatapolitik på Gentofte Studenterkursus

Kong Frederik den Syvendes Stiftelse paa Jægerspris

PERSONDATAPOLITIK 1. INTRODUKTION

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Skau Reipurth & Partnere Advokatpartnerselskab FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Udarbejdet: Næste revision:

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Behandling af personoplysninger

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Regler om persondata Koordinatormøde den 28. nov. 2017

Persondatapolitik for Odense Katedralskole

Persondataforordningen AbMano

Introduktion til persondataforordningen PSF temadag d , lektor Dorthe Høilund, Metropol

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

PERSONDATAFORORDNINGEN. DRF s årsmøde, april 2017

Ejendomsforeningen Danmark Administratorkonference Status på persondataforordning

PERSONDATAFORORDNING PERSONALEADMINISTRATION. 4. og 9. april 2018 Kolding

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

HAR DIN VIRKSOMHED STYR PÅ GDPR? v/ Advokat Henrik Mansfeldt Witt & Advokatfuldmægtig Majbritt Alemany

GUIDE TIL PERSONDATAFORORDNING OG SIKKERHED

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Persondataforordningen

Persondata fra en it-vinkel. Dansk Fjernvarme

Transkript:

Konsekvensanalyser i praksis: hvorfor, hvornår og hvordan Databeskyttelsesdagen 2017 Birgitte Kofod Olsen, partner, Ph.d., Carve Consulting Vi skaber muligheder & realiserer potentialet sammen

Præsentation Birgitte Kofod Olsen Jurist (1991) med Ph.D.-grad i biometri og privatlivsbeskyttelse (1998) Partner og medejer af Carve Consulting CSR-chef i Tryg 2009-14 Vicedirektør, afdelingsleder og forsker i Institut for menneskerettigheder 1994-2009 Ekstern lektor, gæsteforelæser, censor og PhD-bedømmer på Københavns Universitet, Roskilde Universitet, Århus Universitet, Ålborg Universitet, Copenhagen Business School, BI Norwegian Business School 1999- Forskningssamarbejde med DTU og SDU, 2016- Medlem af repræsentantskabet i Foreningen Nordea Liv og Pension, 2016- Medlem af Ligebehandlingsnævnet 2015- Medstifter af tænke-handle-tanken Dataethics 2015 Formand for Rådet for Digital Sikkerhed 2012-2015 Næstformand for Ungdomsbyen 2007-15, formand 2016- Formand i teatrene Danskdansk og Teatergrad 2012-2016 Årets Erhvervskvinde i 2014 Mangfoldighedsambassadør, Københavns Kommune, 2014 Optaget i Kraks Blå Bog i 2013. 2

Konsekvensanalyse - hvorfor? Datasubjektet har ret til kontrol med egne data Jeg bestemmer over min krop mine ting mine penge data om mig Retten til respekt for privatliv Enhver har ret til respekt for sit privatliv, familieliv,hjem og korrespondance Retten til beskyttelse af data Enhver har ret til beskyttelse af persondata, der vedrører ham eller hende Derfor skal du spørge mig om lov, hvis du vil bruge mine data fortælle, hvorfor og til hvad, mine data skal bruges til fortælle, hvem der ellers ser dem fortælle, hvis du mister dem - 3

Konsekvensanalyse - hvornår? Den dataansvarlige skal foretage en analyse af påtænkte behandlingsaktiviteters konsekvenser for beskyttelsen af persondata, hvis der benyttes nye teknologier eller anden behandlingstype, der på grund af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. 4

Krav om konsekvensanalyse EU-GDPR stiller krav om konsekvensanalyser i en række tilfælde: BEGRÆNSNING I RETTIGHEDER Når der er høj risiko for at datasubjektet bliver begrænset i at udøve sine rettigheder eller gøre brug af en kontrakt eller en service Ved brug af NYE TEKNOLOGIER PROFILERING Når der foretages en systematisk og omfattende evaluering af enkeltpersoner med henblik på at træffe en afgørelsen, der har retsvirkning for vedkommende eller betydeligt påvirker ham eller hende FØLSOMME DATA I STOR SKALA race og etnisk oprindelse, politisk eller filosofisk overbevisning, Religion Medlemskab af fagforening, Genetiske og biometriske data Sundhed Sexliv Seksuel orientering OVERVÅGNING I STOR SKALA af offentligt tilgængelige steder Oplysninger om STRAFBARE FORHOLD I STOR SKALA 5

Konsekvensanalyse hvad skal den vise? EU-GDPR artikel 35 indeholder en række krav til en databeskyttelseskonsekvensanalyse (DPIA). Konsekvensanalysen skal mindst omfatte: en systematisk beskrivelse af de planlagte behandlingsaktiviteter formålene med behandlingen behandlingens lovlige grundlag en vurdering af, om der er et rimeligt forhold mellem formål og behandlingen (proportionalitet) en vurdering af risikoen for at påvirke datasubjektets rettigheder og frihedsrettigheder negativt etablerede eller påtænkte risikoreducerende foranstaltninger. overholdelse af godkendt adfærdskodekster efter forordningen kan også indgå i vurderingen. 6

Beskrivelse af behandlingsaktiviteterne Databehandling Sikkerhed Databeskyttelsespolitik Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandlings-betingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungerevejende interesseer Overførsel til tredjeland Oplysninf om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Risikoreducerende foranstaltninger Dataansvarlighed Datarettigheder 7

Vurdering af risici for datasubjektet Risiko: det lovlige grundlag er ikke etableret - datasubjektet har ikke givet samtykke - der er ikke lovhjemmel til databehandlingen - behandlingen sker ikke til opfyldelse af kontrakt - behandlingen sker ikke til opfyldelse af en samfundsmæssig interesse Risiko: dataansvarlighed - der er ikke vedtaget en politik - der er ikke etableret procedure for databehandlingen og datarettigheder - Der føres ikke fortegnelser over behandlingsaktiviteterne Datamængde & type Lovligt grundlag Dataansvarlighed Behandlingssikkerhed Risiko: Mængden og typen af data - er unødvendig i forhold til formålet (overskudsinformation) - skaber for stor indsigt i datasubjektets privatliv (økonomi, ophold, relationer) - indeholder irrelvante eller ukorrekte oplysninger om datasubjektet - opbevares længere end det er nødvendigt i forhold til formålet Risiko: behandlingssikkerheden er ikke effektiv - Destruktion, tab eller ændring - Uautoriseret offentliggørelse - Uautoriseret adgang 8

Konsekvensanalyse hvordan? Udførelse af konsekvensanalysen forudsætter, at vi kan: IT ARKITEKTUR Skabe overblik over IT landskabet FUNTKIONSOMRÅDER Identificere relevante funktionsområder DATAFLOWS Beskrive dataflows: - datakilder - dataelementer - datayper - overførsel til 3. parter DPIA Dataansvarlighed Databehandling Datarettigheder Datasikkerhed 9

Forudsætning 1: IT arkitekturen TEGNING & BESKRIVELSE IT arkitektur Systemkomponenter Software Algoritmer Interfaces Databaser Cloud løsninger Alle systemer og løsninger, der håndterer data er relevante uanset, at leverandøren ikke har direkte adgang til at gøre sig bekendt med indholdet af data 10

Forudsætning 2: Identifikation af fokusområder Identifikation og beskrivelse af de funktionsområder i forretnings- og stabsfunktioner, der behandler persondata som led i deres opgaveløsning. 11

Valg af niveau Virksomhedsområde Formålsbestemthed Funktionsområde Proces System Salg og marketing Kampagner Telemarketing Kampagne planlægning Kampagne gennemførelse Kampagne statistisk og rapportering Gennemfør salgsopkald CRM Business Intelligence Danmarks statistik Click trace Aktiv Server A Database A Netværk Infrastruktur Serverrum A 12

Forudsætning 3: kortlægning af dataflows Dataflowet skal vise strømme af data ind og ud af organisationen: DATA INPUT DATA OUTPUT DATA UDVEKSLING Funktionsområde DATAKILDER DATAELEMENTER DATATYPER

Data elementer og type Dataelementer Felter, der indeholder oplysninger om identificerbare personer Eller sammen med andre felter kan afdække: - oplysninger af privat karakter - ved berigelse fra eksterne kilder kan afdække oplysninger af privat karakter

Konsekvensanalyse hvordan? Udførelse af konsekvensanalysen forudsætter, at vi kan: IT ARKITEKTUR Skabe overblik over IT landskabet FUNTKIONSOMRÅDER Identificere relevante funktionsområder DATAFLOWS Beskrive dataflows: - datakilder - dataelementer - datayper - overførsel til 3. parter DPIA Dataansvarlighed Databehandling Datarettigheder Datasikkerhed 15

Beskrivelse af behandlingsaktiviteterne Databehandling Sikkerhed Databeskyttelsespolitik Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandlings-betingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungerevejende interesseer Overførsel til tredjeland Oplysninf om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Risikoreducerende foranstaltninger Dataansvarlighed Datarettigheder 16

Vurdering af risici for datasubjektet Risiko: det lovlige grundlag er ikke etableret - datasubjektet har ikke givet samtykke - der er ikke lovhjemmel til databehandlingen - behandlingen sker ikke til opfyldelse af kontrakt - behandlingen sker ikke til opfyldelse af en samfundsmæssig interesse Risiko: dataansvarlighed - der er ikke vedtaget en politik - der er ikke etableret procedure for databehandlingen og datarettigheder - Der føres ikke fortegnelser over behandlingsaktiviteterne Datamængde & type Lovligt grundlag Dataansvarlighed Behandlingssikkerhed Risiko: Mængden og typen af data - er unødvendig i forhold til formålet (overskudsinformation) - skaber for stor indsigt i datasubjektets privatliv (økonomi, ophold, relationer) - indeholder irrelvante eller ukorrekte oplysninger om datasubjektet - opbevares længere end det er nødvendigt i forhold til formålet Risiko: behandlingssikkerheden er ikke effektiv - Destruktion, tab eller ændring - Uautoriseret offentliggørelse - Uautoriseret adgang 17

Fordele ved konsekvensanalyse DPIA processen og resultatet kan også anvendes til at: Identificere behovet for organisatoriske foranstaltninger, fx behov for politikker, procedurer og retningslinjer, adgangsrettigheder, kontroller og revision, artikel 24 Identificere behovet for at anvende redskaber til privacy by design og privacy by default, artikel 25 Føre kontrol med, at databehandlere opfylder forordningens krav, artikel 28 Opfyldelse af dokumentationskravet, art. 30 Identificere behovet for sikkerhedsmæssige foranstaltninger, fx brug af kryptering, anomymisering, psudunymisering, artikel 32 Udarbejde handlingsplaner til mitigering, eliminering og forebyggelse af sikkerhedsbrud, artikel 32 Udarbejde beredskabsplaner 18

19

Relevant materiale Databeskyttelsesreform Datatilsynets informationsside http://dbreform.dk/ UK information commissioner s office https://ico.org.uk/ Siscon ControlManager redskab til informationssikkerhedkontrol http://siscon.dk/ DPIRAT Carve Data Protection Impact and Risk Assessment Tool DPOMM - Carve Data Protection Organisation Maturity Model Information hos bko@carve.dk 20

Kontakt information Birgitte Kofod Olsen Partner, PhD Carve Consulting Nørre Voldgade 11, 2. sal 1358 København K +45 25 26 09 03 bko@carve.dk Carve.dk 21

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback