Ny personvernlovgivning er på veiEr du forberedt?

27. september 2017

© 2017 Deloitte The Netherlands

“There are lines you cannot cross. There are rules to the game. But within the lines and following the rules, you are only limited by your own creativity to achieve your goals.

Deloitte Privacy Services is dedicated to help organizations navigate privacy risk, staying within the rules of the game, while allowing privacy to be a business enabler and to use personal data to increase customer trust.”

Mye fokus på personvern i disse dager

4© 2017 Deloitte Advokatfirma AS

Hva blir nytt med GDPR?

Tall & fakta med ny personvernlovgivning

4 %Mulig bøtenivå -% av konsernets

brutto omsetning

72 timerFristen for å melde avvik

til Datatilsynet7Individuelle rettigheter regulert i

GDPR

28 000Antall nye

personvernombud det vil bli behov

for i Europa (IAPP 2016)

80+Nye krav i

GDPR190+Stater som kan måtte

forholde seg til ny

forordning

40 millMulig bot for en virksomhet med

brutto omsetning på

1 milliard

Sentrale endringer i GDPR

Geografisk virkeområde Anvendelse også for aktører etablert utenfor EU

Overtredelsesgebyr i størrelsesorden 2 til 4 % av global omsetning

Krav til å demonstrere etterlevelse av personvernprinsippene i GDPR

Nye og utvidede definisjoner inkluderer lokasjonsdata, IP adresse, internettidentifikatorer (online identifier)

Forsterkede rettigheter for den registrerte; innsyn og informasjon, retting, sletting, rett til å motsette behandling

Strengere krav til bruk av samtykke

Avviksmelding skal leveres Datatilsynet innen 72 timer

Samarbeid mellom personvernmyndigheter; en grunnpilar og en plikt

BCR som overføringsgrunnlag; nå inntatt i regelverket

Geografisk virkeområde

Sanksjoner

Utvidede definisjoner

Samtykke

Avviksmelding

One-stop shop

Overføring til utlandet

Nytt med GDPR

Dokumentasjonskrav

Registrertes rettigheter

7© 2017 Deloitte Advokatfirma AS

Hva betyr endringene?Ny personvernforordning endrer det europeiske personvernlandskapet og norske virksomheter må tenke annerledes og endre deres behandling av personopplysninger.

Gjør nye krav til et konkurransefortrinn og reduser risikoen for tap av omdømme.

Hvordan forbereder du virksomheten på GDPR?

God kontroll

Gap-analyse Prioriter Forberedelse

Video: https://www.youtube.com/watch?v

=RhLKyjDSEig&sns=em

Actions to take to prepare for

the GDPR

Maturity Assessment GDPR Roadmap GDPR Program Stress testing

© 2017 Deloitte The Netherlands Deloitte Risk Advisory – GDPR Vision and Approach 12

GDPR Maturity Assessment ü A GDPR Maturity Assessment is used to give

a clear picture on where your organization currently stands with respect to the GDPR

ü It is a thorough assessment by workshops and interviews with (a part of) the organization, giving insight of the current level of maturity against the framework.

ü It is a way to capture privacy compliance & GDPR Readiness based on industry and organizational characteristics.

ü A good starting point for becoming compliant with the GDPR and getting a tailored privacy program

© 2017 Deloitte The Netherlands Deloitte Risk Advisory – GDPR Vision and Approach 13

GDPR Roadmap

ü The output of a GDPR Maturity Assessment is uniq insights to help us develop a tailored Roadmap.

ü A practical and concrete roadmap with prioritized steps required to improve, risk-based, the state of privacy compliance with the GDPR.

© 2017 Deloitte The Netherlands Deloitte Risk Advisory – GDPR Vision and Approach 14

GDPR transformation program

ü Based on a comprehensive GDPR readiness roadmap a tailored transformation program helps organizations prepare in the optimal way for the GDPR

Processing Inventory

Data Management

Data Transfers

Strategy

Policies & procedures

Auditand Certification

Privacy by Design

Organization and Accountability

Communication, Training, Awareness

Privacy Impact Assessment

© 2017 Deloitte The Netherlands Deloitte Risk Advisory – GDPR Vision and Approach 15

GDPR stress testing

ü Data Breach simulation

ü A Subject Access Request

ü Simulate a Data Protection Authority (DPA) visit 201

© 2017 Deloitte The Netherlands Deloitte Risk Advisory – GDPR Vision and Approach 16

Ikke se på personvern som en hodepine, se det som et mulighet!

Gjør nye krav til et konkurransefortrinn, bygge tillittmed dine kunder og reduserrisikoen for tap av omdømme.

17© 2017 Deloitte Advokatfirma AS

Advokat Bjørn Ofstad

Tlf 92 80 02 16 – bofstad@deloitte.noDeloitte Legal

18© 2017 Deloitte Advokatfirma AS

Johanna Fauske-Palmér

Tlf 988 46 352 – jfauskepalmer@deloitte.noDeloitte Cyber Risk Services

© 2017 Deloitte The Netherlands Deloitte Risk Advisory – GDPR Vision and Approach 19

Eksempler på Roadmaps …

© 2017 Deloitte The Netherlands Deloitte Risk Advisory – GDPR Vision and Approach 20

WS# Training and Awareness

© 2017 Deloitte The Netherlands Deloitte Risk Advisory – GDPR Vision and Approach 21

Action Sub-action Current status

Responsible Accountable Consulted Informed Deadline

Update the privacy policy with information about third parties.

In Progress DPO Information Leader Information Security, Data Stewards

15.10.2017

Review the existing privacy policy

Completed DPO Information Leader Information Security, Data Stewards

30.09.2017

Communicate changes in the privacy policy to all customers

Not Started Change & Communication

Information Leader Business Leaders

Staff 10.10.2017