parter Hvad betyder databeskyttelsesforordningen for SDN, VDX og de tilsluttede

Hvad betyder

databeskyttelsesforordningen for SDN, VDX og de tilsluttede parter

Konsulent Eliza Lozan

Seniorkonsulent Christina Brunvoll Ernst

2016 Deloitte 2

Hvem er vi?

Seniorkonsulent Christina Brunvoll Ernst

E-mail: cernst@deloitte.dk Tlf: +4522320207

Cand. Scient i datalogi, CISLI, CRISC, CIPM

• Arbejdet med informationssikkerhed og privacy i over 10 år

• Fokusområde: implementering af ISO27001 og databeskyttelseskontroller

• Rådgiver om implementering af krav og

kontroller fra persondatalovgivningen i forhold til databeskyttelse

Konsulent Eliza Lozan

E-mail: elozan@deloitte.dk Tlf: +4560706036

Cand.jur, Københavns Universitet

• Juridisk specialist med fokus på

persondatabeskyttelse og it-sikkerhed

• Fokusområde: implementering af databeskyttelsesforordningen

• Rådgiver kunder i både den private og offentlige

sektor inden for it-sikkerhed og om reglerne i

databeskyttelsesforordningen

© 2016 Deloitte 3

Agenda

 Generelt om databeskyttelsesforordningen og begreber

 Hvad gælder i dag for SDN, VDX og de tilsluttede parter

 Overblik over databeskyttelsesforordningen –

10 vigtige krav for SDN, VDX og de tilsluttede parter

Tidslinje: fra databeskyttelsesdirektivet til databeskyttelsesforordningen

Overblik over databeskyttelsesforordningen

• I 2000 bliver persondataloven vedtaget i Folketinget, efter det har taget hele 5 år at implementere databeskyttelses- direktivet

• Europa Kommissionen fremkommer med det første forslag til en forordning om beskyttelse af persondata, der skal erstatte databeskyttelses- direktivet.

2012 2018

• Databeskyttelsesforordningen finder endelig anvendelse den 25. maj 2018 i alle 27 EU-medlemsstater – 2 år efter den er trådt i kraft. Persondataloven ophæves samtidig.

2000 2016

• Den 4. maj 2016 offentliggøres databeskyttelsesforordningen i EU- tidende og er i princippet allerede i trådt i kraft den 25. maj 2016.

4

Toårig implementeringsperiode.

 Oprettelse af Justitsministeriets databeskyttelseskontor/projektstyregruppen/arbejdsgrupper.

Indblik i sammenlignelige landes implementeringsovervejelser.

Justitsministeriets vejledning afventer EU-Kommissionens vejledning.

Lovgivningsmæssige ændringer af omkring 200 danske særlove (fx sundhedsloven), som regulerer spørgsmål om persondatabeskyttelse.

Bestemmelser der strider imod forordningens bestemmelser ophæves.

Persondataloven og sikkerhedsbekendtgørelsen falder bort.

Tidsramme: projektarbejdets analyser, anbefalinger og udkast til lovgivningsmæssige tilpasninger afsluttes i 1. kvartal af 2017.

Lovforslag skal fremsættes i Folketinget omkring oktober 2017.

Ændring af dansk lovgivning

Justitsministeriets opgave

5

Databeskyttelses

forordningen

Databeskyttelsesforordningen finder kun anvendelse, når man behandler

”personoplysninger”…

Overblik over databeskyttelsesforordningen

6

Anonymiserede oplysninger:

Den registrerede kan ikke længere identificeres ud fra oplysningen.

Skal være tale om uigenkaldelig afidentificering.

Forordningens regler finder ikke længere anvendelse.

Pseudonymiserede oplysninger:

Brug af en forkortelse eller nummer i stedet for navn eller CPR-nummer.

Forordningens regler finder anvendelse, såfremt der ved brug af supplerende oplysninger er muligt at identificere den fysiske person, der gemmer sig bag pseudonymet.

© 2016 Deloitte 7

Hvad er personoplysninger?

Navn

Adresse E-mailadresse

MedarbejderID Fødselsdato

Telefonnummer

Pasnr.

Initialer/Loginnavn

Race Køn

Helbredsoplysninger Familiemæssige oplysninger

Uddannelse (karakterer)

Videoovervågning

Logning i IT-systemer Straffeattest

Stilling

Rejseoplysninger Løn

Biometriske oplysninger IP-adresse

MAC-adresse GPS-

oplysninger Foto

Kreditkortnummer Nummerplade

Genetisk information

Personlighedstest

Personlige produktionstal

Interesser

Info om

enkeltmandsvirksomheder Adgangskontrol

Politisk overbevisning

Religion

Fagforeningsmæssige tilhørsforhold

Seksualitet

Væsentlige sociale problemer

Størrelse på tøj og sko

?

Almindelige personoplysninger: f.eks. navn, adresse, fødselsdato, e-mailadresse, alder, køn, løn, indkomst, gæld, skat, uddannelse, stilling, arbejdsledighed, købshistorik, IP-adresse,

faktureringsoplysninger, familieforhold mv.

Fortrolige personoplysninger: CPR-numre og pasoplysninger.

Følsomme personoplysninger: Oplysninger om religion, etnicitet, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, helbredsoplysninger og seksuelle forhold.

Helbredsoplysninger er personoplysninger, der vedrører en persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand.

Personoplysningers inddeling

8

Bred definition:

Enhver håndtering af oplysninger med eller uden brug af automatiseret databehandling.

F.eks.

Indsamling, registrering, systematisering, brug, opbevaring, tilpasning, ændring, selektion, søgning, offentliggørelse på internettet mv., samkøring, videregivelse, overladelse, overførsel, blokering, begrænsning, sletning, tilintetgørelse, intern anvendelse, anonymisering.

MedCom er databehandler, når persondata transmitteres over SDN og VDX.

Dataansvarlig en fysisk eller juridisk person, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling.

Databehandleren fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der behandler personoplysninger på den dataansvarliges vegne.

Behandling

9

Alt er behandling

© 2016 Deloitte 10

Databeskyttelsesforordningens krav til dataansvarlige og databehandlere

Databeskyttelsesforordningen

Dataansvarlig Databehandler

MedCom og andre leverandører

Krav til databehandlere er skærpet med den nye databeskyttelsesforordning Krav til dataansvarlige er

skærpet med den nye databeskyttelsesforordning

Krav fra

dataansvarlig til databehandler

Datatilsynet

© Deloitte 2016 11

Hvad gælder i dag i relation til SDN, VDX

og de tilsluttede parter?

Hvad gælder i dag i relation til SDN og VDX?

Sundhedsdatanettet (SDN)

SDN er selve netværket . Ansvaret for, at der er hjemmel til at videregive oplysninger via nettet er hos de dataansvarlige.

Ansvaret for sikkerheden ligger i princippet både hos den dataansvarlige og databehandleren, men Datatilsynets kritik

rettes ofte mod den dataansvarlige.

Hvad gælder i dag i relation til SDN og VDX?

Videoknudepunktet (VDX)

Ligesom ved SDN ligger ansvaret for, at der er hjemmel til at videregive oplysninger via VDX hos de dataansvarlige.

Ansvaret for sikkerheden ligger i princippet både hos den dataansvarlige og databehandleren, men Datatilsynets kritik

rettes ofte mod den dataansvarlige.

Hvad gælder i dag i relation til SDN?

Sundheds- datanettet

Apoteker

Øvrige tilsluttede statslige myndigheder

Kiropraktorer, fysioterapeuter mv.

Tilsluttede alment praktiserende læger og

speciallæger

Tandlæger Sundhedsdatastyrelsen

De 98 kommuner De 5 regioner

Medcom (Databehandler)

Andre underdata- behandlere

Netdesign (underdata-

behandler) Netic (underdata-

behandler) Dataansvarlig

Databehandler Forklaring

Persondata

Hvad gælder i dag i relation til SDN?

F.eks. overlæge ved Rigshospitalet (Region Hovedstaden

er dataansvarlig) F.eks. alm.

praktiserende læge NN ApS (NN ApS

er dataansvarlig)

F.eks. farmaceut ved NN Apotek ApS

(NN Apotek ApS er dataansvarlig) Medcom I/S

(data- behandler)

Netic og TDC (data- behandler)

Hvad gælder i dag i relation til SDN og VDX?

• Persondatalovens kapitel 4 (primært §§ 5-11)

• Sikkerhedsbekendtgørelsen og vejledningen til sikkerhedsbekendtgørelsen

• Sundhedslovens (primært kapitel 9)

• Andre særregler om behandling og videregivelse af personoplysninger

• Generelt i dag: rimelig bred adgang for offentlige myndigheder til at behandle og videregive persondata, hvis det står i loven, eller hvis der i øvrigt er et sagligt formål.

• Det er den dataansvarlige, der afgør, om personoplysninger må behandles eller videregives. Dette har databehandleren ingen indflydelse på.

• Eksempel: Praktiserende læge NN afgør, om der er hjemmel i sundhedslovens kapitel 9 til at videregive

personoplysninger til Region Hovedstaden. Dette har Medcom eller andre leverandører til SDN og VDX ingen indflydelse på!

Behandlingsreglerne i dag

Hvad gælder i dag i relation til SDN og VDX?

Persondataloven:

• Persondatalovens § 41, stk. 3, om fornødne organisatoriske og tekniske sikkerhedsforanstaltninger.

• Gælder også for databehandlere, men håndhæves af Datatilsynet i praksis kun over for den dataansvarlige.

Sikkerhedsbekendtgørelsen

• Strengere sikkerhedskrav i sikkerhedsbekendtgørelsen til offentlige myndigheder.

• Private databehandlere, som servicer offentlige myndigheder, skal også kunne leve op til sikkerhedsbekendtgørelsens krav.

• Medcom skal kunne leve op til kravene i sikkerhedsbekendtgørelsen.

ISO 27001

• Alle statslige myndigheder skal have implementeret ISO27001 fra starten af januar 2016

Sikkerhedsreglerne i dag

Udfordringer i et systemlandskab og en organisation

18 Historiske data

Utilstrækkelig adgangs- og brugerstyring Sikkerhedsbrister

Uddateret og usikker hard-

og software Sundhedsdata

Applikations- og systemfejl

Medarbejder- data Hacker-

angreb

Manglende eller utilstrækkelig

logning

Databeskyttelsesforordningen handler ikke kun om de juridiske

aspekter og tekniske sikkerhedsforanstaltninger Compliance kræver en holistisk og risikobaseret tilgang med fokus på:

Forretning og organisation Informations-

sikkerhed og teknologi

Jura

Anbefaling:

Design og implementer relevante ISO27001 krav og kontroller – herunder styring af informationsaktiver,

dataklassifikation, risikostyring, adgangsstyring, leverandørstyring, styring af sikkerhedshændelser, compliance og audit

© Deloitte 2016 19

Databeskyttelsesforordningen

– vigtige krav og hvad er det nye?

Hvad ændrer sig i forhold til den gældende persondatalov?

Overblik over databeskyttelsesforordningen

20

Bredere geografisk anvendelsesområde Skærpede sanktioner

Dokumentationskrav Privacy by design/default

Nye og bedre rettigheder Samtykkekrav

Notifikation ved sikkerhedsbrister One-stop shop

Databeskyttels es- forordningen

Virksomheder etableret uden for EU, som udbyder services til forbrugere i EU, er omfattet af forordningen

Bøderpå op til 2 og 4% af globalomsætningen afhængig af overtrædelsens karakter Krav om at man kan dokumentere, at man overholder databeskyttelsesforordningens krav – f.eks. gennem udtræk fra IT-systemer

Databeskyttelse skal være indtænkti IT-systemer, software, apps og organisationen De registrerede får nye og forbedrede rettigheder

Skærpede krav til indhentelse af samtykke

Krav om underrretning af Datatilsynet inden for 72 timerved sikkerhedsbrister Datatilsynet i Danmarkkan være hovedtilsyn for en dansk virksomhed, som har datterselskaber i andre EU-lande

En lang række af de eksisterende regler i persondataloven går igen, men der er bl.a. følgende nyskabelser:

© 2016 Deloitte Denmark 21

4%

af global- omsætningen i

bøde for overtrædelser af

forordningen

72

timer til at rapportere en sikkerhedsbrist til

Datatilsynet

7

rettigheder, som den registrerede

kan gøre gældende

28,000

estimeret nye databeskyttelses- rådgivere i Europa

(IAPP 2016)

99

artikler i forordningen

190+

lande, som potentielt kan blive omfattet af databeskyttelsesforo

rodningen

Databeskyttelsesforordningen i tal

Overblik over databeskyttelsesforordningen

-- DRAFT -- For --

Forordningens 10 vigtige krav for SDN, VDX og de tilsluttede parter – skærpelser er på vej!

2 1

3

4 5 8 7

6

10 9

Borgernes ret til sletning

Data Protection Impact Assessment (DPIA)

Skærpede

dokumentationskrav Krav om en databeskyttelses-

rådgiver (DPO)

Samtykkekrav

Indberetningskrav til Datatilsynet og underretning af registrerede

Sanktioner

Information om behandling til den registrerede Privacy by

design og by default Dataportabilitet

© 2016 Deloitte

22

1 . Borgernes ret til sletning

Formål: at give borgere øget kontrol med egne personoplysninger

Nuværende regler om sletning af data præciseres, hvilket betyder, at borgeren kan kræve, at personoplysninger slettes. Brugeren kan dermed trække sit samtykke tilbage og kræve, at alle

oplysninger om dennes person slettes, såfremt der ikke foreligger andre legitime grunde til at opbevare personoplysningerne.

Den dataansvarlige forpligtes til at gøre tredjeparter opmærksomme på, at den registrerede ønsker personoplysninger slettet. Dette medfører en ressourcebelastning for dataansvarlige.

Forordningen stiller krav om, at samtykke til virksomhedernes brug af personoplysninger skal gives udtrykkeligt i form af en erklæring eller lignende.

Borgerens ret til sletning omfatter ikke påkrævede sundhedsoplysninger.

Anbefales at der udarbejdes en politik og procedure for sletning hos de tilsluttede parter.

Anbefales at der stilles krav om sletning til leverandører.

Praktiske ændringer:

Transparent information til de registrerede om:

 at det er frivilligt at give samtykke –frivilligt

 hvad formålet med behandlingen er –informeret

 afgrænsning af behandlingen –specifikt

 at samtykket kan trækkes tilbage

Undtagelser: Retskravsreglen samt hensynet til ytringsfriheden.

© 2016 Deloitte 23

2. Dataportabilitet

 Personer får lettere ved at kræve egne data udleveret.

 Data skal udleveres i brugbart format - f.eks. Word eller Excel.

 Personer får lettere ved at overføre personoplysninger fra én serviceudbyder til en anden.

Begrænsning:

Kravet omfatter kun oplysninger afgivet af personen selv.

Kravet om dataportabilitet omfatter ikke SDN eller VDX, da data ikke lagres.

Forordningens regler giver datasubjektet mulighed for at få egne data overført til nye serviceorganer.

Berørte sektorer:

Virksomheder og myndigheder som modtager oplysninger afgivet af rettighedssubjektet selv.

© 2016 Deloitte 24

© 2016 Deloitte 25

3. Krav til Data Protection Impact Assessment/

Konsekvensanalyse vedrørende databeskyttelse

25

Data Protection Impact Assessment

=

Vurdering af effekten af behandlingsaktiviteterne

med henblik på beskyttelse af personoplysninger

Hvornår

• Behandling med høj risiko for frihedsrettigheder

• Før behandlingen

Påkrævet hvornår

• Systematiske og omfattende individuelle beslutninger (herunder profilering)

• Omfattende behandling af følsomme oplysninger

• Omfattende systematisk overvågning af offentligt tilgængelige steder

Indhold

• Beskrivelse af den planlagte behandlingsaktivitet og formål

• Vurdering af nødvendigheden og proportionaliteten af behandlingen

• Vurdering af risici

• Foranstaltninger taget i betragtning til minimering af risiciene

Indled- ende

• Klassificer data og lav et systemoverblik

• Gennemfør dataflowanalyse

4. Privacy by Design og by Default

Dette tiltag tvinger virksomhed- erne til at sætte privacy på dagsordenen i forbindelse med nye produkter,

designprocesser osv.

Berørte sektorer:

Alle forretningssektorer.

Betydning for SDN & VDX.

Privacy by Design and Privacy by Default:

Princippet om ”Privacy by Design” bør implementeres, så privatlivets beskyttelse indbygges i it-arkitekturen hos systemerne SDN og VDX og inddrages i planlægningsfasen til nye procedurer og systemer.

”By Default” betyder, at data kun må behandles, opbevares og indsamles i overensstemmelse med, hvad der er nødvendig samt i overensstemmelse med det oprindelige formål for indsamlingen.

Den dataansvarlige skal indføre passende mekanismer for at sikre, at kun nødvendige data behandles.

Privacy/databeskyttelseshensyn skal tænkes ind i udviklingen af it-løsninger.

Anvend jeres processer og sikkerhedsforanstaltninger fra implementeringen af ISO27001 – vurder om disse

© 2016 Deloitte 26

Databeskyttelsesrådgiver: På nuværende tidspunkt overlader rådet beslutningen om, hvorvidt det skal være obligatorisk at udpege en databeskyttelsesrådgiver i private virksomheder til medlemslandene. For offentlige myndigheder er det obligatorisk i alle medlemsstaterne.

Virksomhederne bliver tvunget til at kortlægge deres data og følgende skal dokumenteres:

Politikker og procedurer, procedurer for behandling af den registreredes rettigheder (hvem skal kontaktes hvornår), audits og intern undervisning samt uddannelse af medarbejdere.

Formålet med forordningen er at minimere risikoen for krænkelser. Virksomhederne skal derfor kunne dokumentere de overvejelser, de har gjort sig i forbindelse med overholdelsen.

Kun de nødvendige data skal behandles i den givne kontekst, slettefrister skal overholdes og kun de nødvendige personer skal have adgang til data. Alt dette skal kunne

dokumenteres.

Det er ikke endnu meldt ud, hvad minimumskravet er til dokumentation

5. Skærpede dokumentationskrav

27

© 2016 Deloitte

Dette tiltag tvinger virksomhed- erne til at sætte privacy på dagsordenen i forbindelse med nye produkter, design

processer osv.

Berørte sektorer:

Alle forretningssektorer

6. Krav om en Databeskyttelsesrådgiver – eller Data Protection Officer (DPO)

Forordningen indebærer en udvidelse af den dataansvarliges ansvar - især ved at kræve, at de dataansvarlige udpeger en databeskyttelsesrådgiver, når:

Der er tale om en offentlig myndighed. Alle offentlige myndigheder, der behandler personoplysninger, skal have en DPO. Domstole er undtaget.

Offentlige myndigheder med bred organisatorisk struktur kan nøjes med at udpege én DPO, såfremt den organisatoriske struktur og størrelse tillader det.

Virksomhedens kerneaktiviteter i større omfang består af behandlingsaktiviteter, hvis karakter, omfang eller formål kræver regelmæssig og systematisk overvågning af registrerede - eller

Kerneaktiviteterne i en virksomhed i større omfang består af behandling af

følsomme personoplysninger, lokaliseringsoplysninger eller oplysninger om børn eller medarbejdere i omfattende registre.

Koncerner kan udpege én DPO, der er ansvarlige for samtlige selskabers behandling af personoplysninger.

Skal I have en DPO?

© 2016 Deloitte 28

6. Krav til databeskyttelsesrådgiveren

DPO’en skal udpeges på baggrund af professionelle kvalifikationer og særligt på baggrund af ekspertise inden for

databeskyttelseslovgivning samt praksis.

DPO’en skal have særlig viden om persondatabeskyttelse.

DPO’ens uafhængighed skal sikres gennem særlige kontrakter – DPO tildeles ikke tillidsmandsstatus.

DPO’ens opgaver er:

At informere og rådgive om de forpligtelser, der gælder ifølge forordningen

At sikre, at forordningens regler overholdes i den daglige drift

At overvåge, at regler og standarder overholdes - herunder fordeling af ansvar, oplysningskampagner og uddannelse af medarbejdere

At rådgive om konsekvensanalyser ved særlige behandlingskategorier

At være kontaktperson til myndighederne og til de registrerede

At håndtere sikkerhedsbrud – herunder indberetning til Datatilsynet og til registrerede, hvis oplysninger er blevet kompromitterede

© 2016 Deloitte 29

 Ledelse og organisation

 Viden om tekniske krav til privacy og datasikkerhed og -beskyttelse

 Konkret viden om den behandling af personoplysninger i den organisation, hvor den pågældende er ansat.

 Evnen til at udføre konsekvensanalyser, audits, indgå i drøftelser, udarbejde dokumentation og analyser

 Evnen til at kommunikere effektivt med interne og eksterne parter

6. Hvilke kompetencer skal en DPO have?

30

© 2016 Deloitte

Generelt: Dataansvarlige skal give et minimum af information til den registrerede.

Format: kortfattet, gennemsigtige, klare og lettilgængelige samt tilpasset den enkelte målgruppes forståelsesniveau.

Indhold: Bl.a. identiteten samt kontaktoplysninger på DPO’en, opbevaringsperiodens varighed, oplysning om retten til at anmode om sletning samt indsigt i de oplysninger, der behandles om ens person, klageret, cross-border dataoverførsel samt om data ikke er indhentet fra den registrerede selv.

Forordningen styrker den registreredes rettigheder, da registrerede personer har krav på at få indsigt i den

behandling, deres oplysninger undergår. Sådanne indsigtsbegæringer fra registrerede skal besvares uden ugrundet ophold og senest inden for en måned. Indsigtsbegæringer skal være omkostningsfrie for den registrerede.

Anbefaling:

Review virksomhedens eksisterende politik for beskyttelse af personoplysninger eller

Udarbejd en politik for databeskyttelse, hvor I beskriver hvordan I beskytter personoplysninger

7. Dataansvarliges information om behandling til den registrerede

31

© 2016 Deloitte

Ikke de store ændringer, men vil kræve en administrativ indsats i forbindelse med udfærdigelsen af relevante dokumenter.

Berørte sektorer:

Særlig forretninger, der agerer som dataansvarlige.

8. Dataansvarliges krav om samtykke

Samtykke skal være en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig tilkendegivelse

Tavshed, forudafkrydsede felter eller inaktivitet bør ikke udgøre samtykke

Samtykke til samtlige behandlingsformål

Anmodningen skal være klar, koncis og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til

© 2016 Deloitte 32

Indberetning til Datatilsynet:

Alene brud, som ”sandsynligvis vil medføre en høj risiko for enkeltpersoners rettigheder og frihed” (identitetstyveri), skal indberettes til Datatilsynet uden ugrundet ophold og senest 72 timer efter, man er blevet opmærksom på det.

Det skal bemærkes, at pligten er strafsanktioneret.

Indhold:

Beskrivelse af hændelsens konsekvenser inklusiv antallet, kategorien samt volumen af data, som er blevet påvirket af bruddet. Det skal endvidere oplyses hvilke foranstaltninger, der er taget for at løse problemet samt for at mindske dets skadevirkninger.

Underretning af den registrerede:

Den udløsende faktor for at underrette de berørte personer er den samme og skal ske uden unødigt ophold.

Underretningspligt kun såfremt bruddet ”sandsynligvis vil medføre en høj risiko for enkeltpersoners rettigheder og frihed”.

Indhold:

Den registrerede skal have viden om bruddets karakter og skal modtage kontaktoplysninger på en eventuel DPO.

Derudover skal den dataansvarlige vejlede den registrerede om, hvilke handlinger de kan foretage for at mindske konsekvensen af bruddet. Underretningen skal være klar og letforståelig.

Undtagelser:

Det er ikke nødvendigt at underrette den registrerede i tilfælde hvor den dataansvarlige kan dokumentere at tilstrækkelige sikkerhedsforanstaltninger er implementeret.

Anbefalinger:

Stil specifikke krav til leverandører og udarbejd en politik og procedure for håndtering af sikkerhedshændelser.

9. Dataansvarliges indberetningspligt til tilsyn og den registrerede

33

© 2016 Deloitte

10. Sanktioner

Kan MedCom og tilsluttede parter rammes af sanktioner?

Forordningen implementerer harmoniserede sanktioner i hele Unionen Eksempler

1. Første lovbrud for individer og små-virksomheder: en skriftlig advarsel

2. Overtrædelser begået af dataansvarlige og databehandlere kan sanktioneres med bøder op til 10.000.000 EUR eller 2% af den globale omsætning.

3. Overtrædelser af de persondataretlige principper sanktioneres med en bøde på op til 20.000.000 EUR eller 4% af den global omsætning.

4. Diskussion om offentlige institutioner skal ifalde bødeansvar.

6. Faktorer af betydning for bødestørrelsen er f.eks. karakteren, alvoren og varigheden,

gentagelsessituationer, omfanget af skaden, foranstaltninger taget for at mindske skadesniveauet m.v.

7. Bødestørrelserne skal være effektive, proportionale samt afskrækkende. Før var bødeniveauet på 3.000 – 10.000 kr. samt 25.000 kr. for grove overtrædelser.

8. Datatilsynet forpligtes til at undersøge klager fra de registrerede.

9. Gruppesøgsmål.

10. Dårligt omdømme / manglende troværdighed.

© 2016 Deloitte 34

Databeskyttelsesforordningen berører mange lag i forretningen & organisationen

Styring, organisation og mennesker

Politikker og processer

Data

Teknologi Privacy by design/default stiller skærpede krav til anvendelsen og designet af teknologi og IT-systemer. Væsentligt større fokus på sikkerhed og identity &

access management. Databeskyttelsesforordningen skal indtænkes i hele forretningens og organisationens data governance. En strategi for kommerciel anvendelse af data skal ske inden for rammerne af forordningen.

Databeskyttelsesforordningen berører forretningens politikker og processer for behandling af data.

Databeskyttelsesforordningen skal forankres på ledelsesniveau samt udbredes på tværs af organisationen. Der skal være fokus på awareness og uddannelse af medarbejdere.

Styring, organisation og

mennesker

Politikker og processer

Data

Teknologi

Informationssikkerhed og risikohåndtering

35

Start

forberedelserne nu!

36

© 2016 Deloitte

© 2016 Deloitte 37

Det Europæiske Databeskyttelsesråd

 Det Europæiske Databeskyttelsesråd bliver tilsynsførende for databeskyttelse og er tiltænkt en fremtrædende rolle.

 Afløser Artikel 29-gruppen, som består af ledelsen fra hver national tilsynsmyndighed.

 Rådet vil få samme sammensætning som art. 29 gruppen, dog vil de blive tillagt videre beføjelser og få en mere fremtrædende rolle, hvilket vil betyde at

gruppen får en større indflydelse på det nationale niveau.

 Rådet vil bidrage med at fortolke forordningen og fastslå dens betydning.

 De nationale tilsyn skal ikke alene håndtere de nye regler, men skal være

underlagt en vis kontrol.

Lav en organisations- og projektplan

Forslag til 6 faser til at blive klar til!

38

Fase 1

Fase 3 Fase 2

Foretag en data flow og efterfølgende en GAP-analyse

Foretag en juridisk og teknisk analyse af resultaterne af data flow analysen

Deloitte har udarbejdet 6 overordnede faser, som bør implementeres gennem et

databeskyttelsesforordningsprojekt. Det enkelte projekt bør tilpasses den enkelte virksomheds særlige forhold.

Fase 4

Analysér og test

informationssikkerheden og processerne for behandlingen af persondata

Fase 5

Fase 6

Forbered de nødvendige foranstaltninger og procedurer

Lav en implementeringsplan og følg op på den!

Start med proof of concept.

Implementering af databeskyttelsesforordningen

Deloitte foreslår følgende 6 faser ved implementering af databeskyttelsesforordningen i et projekt.

39 Organisations- og

projektplan

Data flow analyse Juridisk og teknisk analyse af data flows

Analyse og test af IT- sikkerhed samt

processer

Forberedelse af foranstaltninger

Implementering og opfølgning

• Stakeholder awareness hos direktionen og/eller senior management

• Fastlæggelse af scope og aktiviteter

• Udpegning af styringskomité og deltagende medarbejdere

• Budgettering

• Foranalyse af det nuværende niveau af compliance

• Interviews med medarbejdere fra relevante afdelinger med henblik på kortlægning af data flows

• Kontakt til eksterne system- og software- leverandører (databehandlere)

• Udarbejdelse af ”data map” med overblik over data flows

• Indledende GAP- analyse

• Juridisk og IT- sikkerhedsmæssig analyse af data flows

• Dataklassifikation

• Udarbejdelse af en oversigt/map med identifikation af høj- risiko områder og compliance problemstillinger

• Fremlægning af data flow rapport

• Interviews og workshops med medarbejdere fra relevante afdelinger i relation til IT-sikkerhed, organisation og processer

• Analyse af resultater fra interviews

• Risikobaseret test af IT-sikkerheden

• Udarbejdelse af rapport

• Udarbejdelse og fremlægning af risikobaserede juridiske, tekniske og organisatoriske anbefalinger

• Eventuel re- budgettering

• Udarbejdelse af en implementeringsplan omfattende bl.a. følgende:

- databeskyttelsespolitikker og databehandleraftaler

- opsætning af nye arbejdsprocesser og data governance

- forbedring af sikkerheden i eksisterende IT-systemer - implementering af nye IT- systemer og software

• Opfølgningsaktiviteter

Fase #2 Fase #3 Fase #4 Fase #5 Fase #6

Fase #1

Aktiviteter

Om Deloitte

Deloitte leverer ydelser indenfor Revision, Skat, Consulting og Financial Advisory til både offentlige og private virksomheder i en lang række brancher. Vores globale netværk med medlemsfirmaer i mere end 150 lande sikrer, at vi kan stille stærke kompetencer til rådighed og yde service af højeste kvalitet, når vi skal hjælpe vores kunder med at løse deres mest komplekse forretningsmæssige udfordringer. Deloittes ca. 200.000 medarbejdere arbejder målrettet efter at sætte den højeste standard.

Deloitte Touche Tohmatsu Limited

Deloitte er en betegnelse for Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar, og dets netværk af medlemsfirmaer. Hvert medlemsfirma udgør en separat og uafhængig juridisk enhed. Vi henviser til www.deloitte.com/about for en udførlig beskrivelse af den juridiske struktur i Deloitte Touche Tohmatsu Limited og dets medlemsfirmaer.