jens leo iversen, bergens næringsråd, 31.10 · en visuell presentasjon av resultatet kan brukes...
TRANSCRIPT
PersonvernforordningenJens Leo Iversen, Bergens Næringsråd, 31.10.17
2Personvernforordningen | Jens Leo Iversen | 31.10.17 © 2017 Capgemini. All rights reserved.
1978 Personregisterloven
Personverndirektivet (EU)
Personopplysningsloven
EU starter arbeidet med Personvernforordningen
Personvernforordningentrer i kraft 25.5
Personvernlovgivning i Norge
1995
2012
2016
2018
2001
Personvernforordningenvedtatt 27.4
2007: iPhone
1995: IE v1.0
Personvernforordningen | Jens Leo Iversen | 31.10.17 3© 2017 Capgemini. All rights reserved.
Store datamengder tilgjengelig
Skytjenester, overføring av data mellom land
Registrering av personlig adferd
Kunstig intelligens
IoT – Internet of Things
Automatiske avgjørelser, algoritmer
Behov for nye regler
Personvernforordningen | Jens Leo Iversen | 31.10.17 4© 2017 Capgemini. All rights reserved.
EUs fire friheter:▪ Varer
▪ Tjenester
▪ Kapital
▪ Personer
Ønske om ensartet lovgivning i alle medlemsstater
(EU + EØS)
Forordningen skaper også nye muligheter
Ønske om sterkere
personvern
Personvernforordningenskal bidra til
fri flyt av persondatainnenfor trygge rammer
5© 2017 Capgemini. All rights reserved.Personvernforordningen | Jens Leo Iversen | 31.10.17
Adferdsmønster
Hva er en personopplysning?
Enhver opplysning om en identifisert eller identifiserbar fysisk person
NavnBilder AdresseTelefonnummerE-postadresseIP-adresse BilnummerHodeform (for ansiktsgjenkjenning)FingeravtrykkIrismønsterFødselsnummer
6© 2017 Capgemini. All rights reserved.Personvernforordningen | Jens Leo Iversen | 31.10.17
Behandling av særlige kategorierav personopplysninger er forbudt
(med 10 konkrete unntak)Særlige kategorier av personopplysninger
• Rase eller etnisk opprinnelse
• Politisk oppfatning
• Religion
• Livssyn
• Fagforeningsmedlemskap
• Helse
• Seksuelle forhold
• Straffedommer og lovovertredelser
• Genetiske og biometriske opplysninger (brukt for å entydig identifisere en person)
7© 2017 Capgemini. All rights reserved.Personvernforordningen | Jens Leo Iversen | 31.10.17
Hovedprinsippene i personvernet vedvarer
Lovlighet, rettferdighet og gjennomsiktighet
Formålsbegrensning
Dataminimering
Riktighet
Lagringsbegrensning
Integritet og fortrolighet
Virksomheten skal kunne dokumentere at disse
prinsippene overholdes
8Personvernforordningen | Jens Leo Iversen | 31.10.17 © 2017 Capgemini. All rights reserved.
Personvernet styrkes
Retten til å bli glemt
Systemer må oppfylle krav til dataportabilitet
Strengere regler for automatiserte avgjørelser
Retten til en forklaring
Rett til å motsette seg profilering
Systemer skal ha innebygd personvern
9© 2017 Capgemini. All rights reserved.Personvernforordningen | Jens Leo Iversen | 31.10.17
Behandlingsansvarligog
Databehandler
• Solidariskerstatningsansvar
• Skjerpet krav til varslingav avvik (72 timer)
• Bøter opp til 180 MNOK eller 4 % av global omsetning
© 2017 Capgemini. All rights reserved.
Tap av tillit og omdømme kan være en mer reell trussel
10Personvernforordningen | Jens Leo Iversen | 31.10.17 © 2017 Capgemini. All rights reserved.
Capgeminismetode for å sikre etterlevelse
11Personvernforordningen | Jens Leo Iversen | 31.10.17 © 2017 Capgemini. All rights reserved.
Tre faser med seks steg
Capgemini kan bistå i hele verdikjeden fra KRAVANALYSE til ETTERLEVELSE
12© 2017 Capgemini. All rights reserved.Personvernforordningen | Jens Leo Iversen | 31.10.17
Policies (Styringsdokumenter)
Arbeidsprosesser
Applikasjoner
Databaser
Kontrakter
Trinn 1 - KRAVANALYSE
Vi måler «GDPR-modenheten» med hensyn på:
13Presentation Title | Author | Date © 2017 Capgemini. All rights reserved.
Gå gjennom artikkel for artikkel i
forordningen. For hver artikkel vurderes
virksomhetens modenhet når det gjelder:
▪ Policies
▪ Processes
▪ Applications
▪ Databases
▪ Contracts
Metoden:
Samarbeid mellomCG og kunden
© 2017 Capgemini. All rights reserved. 13
Graden av modenhet kan være:
• Not applicable
• Unknown status
• Gap
• Mature
En visuell presentasjon av resultatet kan
brukes til risikoanalyse og prioritering av
hvilke områder man bør starte med
2
1
3
Personvernforordningen | Jens Leo Iversen | 31.10.17
14Personvernforordningen | Jens Leo Iversen | 31.10.17 © 2017 Capgemini. All rights reserved.
Capgeminis verktøy for modenhetsanalyse «GJØR DET ENKELT»
15Personvernforordningen | Jens Leo Iversen | 31.10.17 © 2017 Capgemini. All rights reserved.
Trinn 2-5: Kartlegge gap og gjennomføre tiltak
▪ Analysere gap i prosessene
▪ Vurdere risiko▪ Foreslå tiltak
▪ Analysere IT-sikkerhetsarkitektur
▪ Vurdere risiko, teknologi, sikkerhet
▪ Planlegge og prioritere initiativ
▪ Definere program og prosjekt
▪ Gjennomføre utvalgte program og prosjekt
▪ Etablere nødvendig dokumentasjon
16Personvernforordningen | Jens Leo Iversen | 31.10.17 © 2017 Capgemini. All rights reserved.
Trinn 6: Personvern blir en del av internkontrollen
▪ Dokumentert prosess for internkontroll▪ Hendelsesdatabase med prosessorientering▪ Ledelsens involvering▪ Compliance▪ Internrevisjon▪ Relevant systemstøtte
17Personvernfofrordningen | Jens Leo Iversen | 31.10.17 © 2017 Capgemini. All rights reserved.
Etterlevelse er enkontinuerlig prosess
With more than 190,000 people, Capgemini is present in over 40 countries and
celebrates its 50th Anniversary year in 2017. A global leader in consulting, technology
and outsourcing services, the Group reported 2016 global revenues of EUR 12.5 billion.
Together with its clients, Capgemini creates and delivers business, technology and
digital solutions that fit their needs, enabling them to achieve innovation and
competitiveness. A deeply multicultural organization, Capgemini has developed its own
way of working, the Collaborative Business Experience™, and draws on Rightshore®, its
worldwide delivery model.
About Capgemini
Learn more about us at
www.capgemini.com
This message contains information that may be privileged or confidential and is the property of the Capgemini Group.Copyright © 2017 Capgemini. All rights reserved.
Rightshore® is a trademark belonging to Capgemini.
This message is intended only for the person to whom it is addressed. If you are not the intended recipient, you are not authorized to read, print, retain, copy, disseminate, distribute, or use this message or any part thereof. If you receive this message in error, please notify the sender immediately and delete all copies of this message.
Takk for oppmerksomheten!
Tlf 995 23 144