Hvad betyder
databeskyttelsesforordningen for SDN, VDX og de tilsluttede parter
Konsulent Eliza Lozan
Seniorkonsulent Christina Brunvoll Ernst
2016 Deloitte 2
Hvem er vi?
Seniorkonsulent Christina Brunvoll Ernst
E-mail: cernst@deloitte.dk Tlf: +4522320207
Cand. Scient i datalogi, CISLI, CRISC, CIPM
• Arbejdet med informationssikkerhed og privacy i over 10 år
• Fokusområde: implementering af ISO27001 og databeskyttelseskontroller
• Rådgiver om implementering af krav og
kontroller fra persondatalovgivningen i forhold til databeskyttelse
Konsulent Eliza Lozan
E-mail: elozan@deloitte.dk Tlf: +4560706036
Cand.jur, Københavns Universitet
• Juridisk specialist med fokus på
persondatabeskyttelse og it-sikkerhed
• Fokusområde: implementering af databeskyttelsesforordningen
• Rådgiver kunder i både den private og offentlige
sektor inden for it-sikkerhed og om reglerne i
databeskyttelsesforordningen
© 2016 Deloitte 3
Agenda
Generelt om databeskyttelsesforordningen og begreber
Hvad gælder i dag for SDN, VDX og de tilsluttede parter
Overblik over databeskyttelsesforordningen –
10 vigtige krav for SDN, VDX og de tilsluttede parter
Tidslinje: fra databeskyttelsesdirektivet til databeskyttelsesforordningen
Overblik over databeskyttelsesforordningen
• I 2000 bliver persondataloven vedtaget i Folketinget, efter det har taget hele 5 år at implementere databeskyttelses- direktivet
• Europa Kommissionen fremkommer med det første forslag til en forordning om beskyttelse af persondata, der skal erstatte databeskyttelses- direktivet.
2012 2018
• Databeskyttelsesforordningen finder endelig anvendelse den 25. maj 2018 i alle 27 EU-medlemsstater – 2 år efter den er trådt i kraft. Persondataloven ophæves samtidig.
2000 2016
• Den 4. maj 2016 offentliggøres databeskyttelsesforordningen i EU- tidende og er i princippet allerede i trådt i kraft den 25. maj 2016.
4
Toårig implementeringsperiode.
Oprettelse af Justitsministeriets databeskyttelseskontor/projektstyregruppen/arbejdsgrupper.
Indblik i sammenlignelige landes implementeringsovervejelser.
Justitsministeriets vejledning afventer EU-Kommissionens vejledning.
Lovgivningsmæssige ændringer af omkring 200 danske særlove (fx sundhedsloven), som regulerer spørgsmål om persondatabeskyttelse.
Bestemmelser der strider imod forordningens bestemmelser ophæves.
Persondataloven og sikkerhedsbekendtgørelsen falder bort.
Tidsramme: projektarbejdets analyser, anbefalinger og udkast til lovgivningsmæssige tilpasninger afsluttes i 1. kvartal af 2017.
Lovforslag skal fremsættes i Folketinget omkring oktober 2017.
Ændring af dansk lovgivning
Justitsministeriets opgave
5
Databeskyttelses
forordningen
Databeskyttelsesforordningen finder kun anvendelse, når man behandler
”personoplysninger”…
Overblik over databeskyttelsesforordningen
6
Anonymiserede oplysninger:
Den registrerede kan ikke længere identificeres ud fra oplysningen.
Skal være tale om uigenkaldelig afidentificering.
Forordningens regler finder ikke længere anvendelse.
Pseudonymiserede oplysninger:
Brug af en forkortelse eller nummer i stedet for navn eller CPR-nummer.
Forordningens regler finder anvendelse, såfremt der ved brug af supplerende oplysninger er muligt at identificere den fysiske person, der gemmer sig bag pseudonymet.
© 2016 Deloitte 7
Hvad er personoplysninger?
Navn
Adresse E-mailadresse
MedarbejderID Fødselsdato
Telefonnummer
Pasnr.
Initialer/Loginnavn
Race Køn
Helbredsoplysninger Familiemæssige oplysninger
Uddannelse (karakterer)
Videoovervågning
Logning i IT-systemer Straffeattest
Stilling
Rejseoplysninger Løn
Biometriske oplysninger IP-adresse
MAC-adresse GPS-
oplysninger Foto
Kreditkortnummer Nummerplade
Genetisk information
Personlighedstest
Personlige produktionstal
Interesser
Info om
enkeltmandsvirksomheder Adgangskontrol
Politisk overbevisning
Religion
Fagforeningsmæssige tilhørsforhold
Seksualitet
Væsentlige sociale problemer
Størrelse på tøj og sko
?
Almindelige personoplysninger: f.eks. navn, adresse, fødselsdato, e-mailadresse, alder, køn, løn, indkomst, gæld, skat, uddannelse, stilling, arbejdsledighed, købshistorik, IP-adresse,
faktureringsoplysninger, familieforhold mv.
Fortrolige personoplysninger: CPR-numre og pasoplysninger.
Følsomme personoplysninger: Oplysninger om religion, etnicitet, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, helbredsoplysninger og seksuelle forhold.
Helbredsoplysninger er personoplysninger, der vedrører en persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand.
Personoplysningers inddeling
8
Bred definition:
Enhver håndtering af oplysninger med eller uden brug af automatiseret databehandling.
F.eks.
Indsamling, registrering, systematisering, brug, opbevaring, tilpasning, ændring, selektion, søgning, offentliggørelse på internettet mv., samkøring, videregivelse, overladelse, overførsel, blokering, begrænsning, sletning, tilintetgørelse, intern anvendelse, anonymisering.
MedCom er databehandler, når persondata transmitteres over SDN og VDX.
Dataansvarlig en fysisk eller juridisk person, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling.
Databehandleren fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der behandler personoplysninger på den dataansvarliges vegne.
Behandling
9
Alt er behandling
© 2016 Deloitte 10
Databeskyttelsesforordningens krav til dataansvarlige og databehandlere
Databeskyttelsesforordningen
Dataansvarlig Databehandler
MedCom og andre leverandører
Krav til databehandlere er skærpet med den nye databeskyttelsesforordning Krav til dataansvarlige er
skærpet med den nye databeskyttelsesforordning
Krav fra
dataansvarlig til databehandler
Datatilsynet
© Deloitte 2016 11
Hvad gælder i dag i relation til SDN, VDX
og de tilsluttede parter?
Hvad gælder i dag i relation til SDN og VDX?
Sundhedsdatanettet (SDN)
SDN er selve netværket . Ansvaret for, at der er hjemmel til at videregive oplysninger via nettet er hos de dataansvarlige.
Ansvaret for sikkerheden ligger i princippet både hos den dataansvarlige og databehandleren, men Datatilsynets kritik
rettes ofte mod den dataansvarlige.
Hvad gælder i dag i relation til SDN og VDX?
Videoknudepunktet (VDX)
Ligesom ved SDN ligger ansvaret for, at der er hjemmel til at videregive oplysninger via VDX hos de dataansvarlige.
Ansvaret for sikkerheden ligger i princippet både hos den dataansvarlige og databehandleren, men Datatilsynets kritik
rettes ofte mod den dataansvarlige.
Hvad gælder i dag i relation til SDN?
Sundheds- datanettet
Apoteker
Øvrige tilsluttede statslige myndigheder
Kiropraktorer, fysioterapeuter mv.
Tilsluttede alment praktiserende læger og
speciallæger
Tandlæger Sundhedsdatastyrelsen
De 98 kommuner De 5 regioner
Medcom (Databehandler)
Andre underdata- behandlere
Netdesign (underdata-
behandler) Netic (underdata-
behandler) Dataansvarlig
Databehandler Forklaring
Persondata
Hvad gælder i dag i relation til SDN?
F.eks. overlæge ved Rigshospitalet (Region Hovedstaden
er dataansvarlig) F.eks. alm.
praktiserende læge NN ApS (NN ApS
er dataansvarlig)
F.eks. farmaceut ved NN Apotek ApS
(NN Apotek ApS er dataansvarlig) Medcom I/S
(data- behandler)
Netic og TDC (data- behandler)
Hvad gælder i dag i relation til SDN og VDX?
• Persondatalovens kapitel 4 (primært §§ 5-11)
• Sikkerhedsbekendtgørelsen og vejledningen til sikkerhedsbekendtgørelsen
• Sundhedslovens (primært kapitel 9)
• Andre særregler om behandling og videregivelse af personoplysninger
• Generelt i dag: rimelig bred adgang for offentlige myndigheder til at behandle og videregive persondata, hvis det står i loven, eller hvis der i øvrigt er et sagligt formål.
• Det er den dataansvarlige, der afgør, om personoplysninger må behandles eller videregives. Dette har databehandleren ingen indflydelse på.
• Eksempel: Praktiserende læge NN afgør, om der er hjemmel i sundhedslovens kapitel 9 til at videregive
personoplysninger til Region Hovedstaden. Dette har Medcom eller andre leverandører til SDN og VDX ingen indflydelse på!
Behandlingsreglerne i dag
Hvad gælder i dag i relation til SDN og VDX?
Persondataloven:
• Persondatalovens § 41, stk. 3, om fornødne organisatoriske og tekniske sikkerhedsforanstaltninger.
• Gælder også for databehandlere, men håndhæves af Datatilsynet i praksis kun over for den dataansvarlige.
Sikkerhedsbekendtgørelsen
• Strengere sikkerhedskrav i sikkerhedsbekendtgørelsen til offentlige myndigheder.
• Private databehandlere, som servicer offentlige myndigheder, skal også kunne leve op til sikkerhedsbekendtgørelsens krav.
• Medcom skal kunne leve op til kravene i sikkerhedsbekendtgørelsen.
ISO 27001
• Alle statslige myndigheder skal have implementeret ISO27001 fra starten af januar 2016
Sikkerhedsreglerne i dag
Udfordringer i et systemlandskab og en organisation
18 Historiske data
Utilstrækkelig adgangs- og brugerstyring Sikkerhedsbrister
Uddateret og usikker hard-
og software Sundhedsdata
Applikations- og systemfejl
Medarbejder- data Hacker-
angreb
Manglende eller utilstrækkelig
logning
Databeskyttelsesforordningen handler ikke kun om de juridiske
aspekter og tekniske sikkerhedsforanstaltninger Compliance kræver en holistisk og risikobaseret tilgang med fokus på:
Forretning og organisation Informations-
sikkerhed og teknologi
Jura
Anbefaling:
Design og implementer relevante ISO27001 krav og kontroller – herunder styring af informationsaktiver,
dataklassifikation, risikostyring, adgangsstyring, leverandørstyring, styring af sikkerhedshændelser, compliance og audit
© Deloitte 2016 19
Databeskyttelsesforordningen
– vigtige krav og hvad er det nye?
Hvad ændrer sig i forhold til den gældende persondatalov?
Overblik over databeskyttelsesforordningen
20
Bredere geografisk anvendelsesområde Skærpede sanktioner
Dokumentationskrav Privacy by design/default
Nye og bedre rettigheder Samtykkekrav
Notifikation ved sikkerhedsbrister One-stop shop
Databeskyttels es- forordningen
Virksomheder etableret uden for EU, som udbyder services til forbrugere i EU, er omfattet af forordningen
Bøderpå op til 2 og 4% af globalomsætningen afhængig af overtrædelsens karakter Krav om at man kan dokumentere, at man overholder databeskyttelsesforordningens krav – f.eks. gennem udtræk fra IT-systemer
Databeskyttelse skal være indtænkti IT-systemer, software, apps og organisationen De registrerede får nye og forbedrede rettigheder
Skærpede krav til indhentelse af samtykke
Krav om underrretning af Datatilsynet inden for 72 timerved sikkerhedsbrister Datatilsynet i Danmarkkan være hovedtilsyn for en dansk virksomhed, som har datterselskaber i andre EU-lande
En lang række af de eksisterende regler i persondataloven går igen, men der er bl.a. følgende nyskabelser:
© 2016 Deloitte Denmark 21
4%
af global- omsætningen i
bøde for overtrædelser af
forordningen
72
timer til at rapportere en sikkerhedsbrist til
Datatilsynet
7
rettigheder, som den registrerede
kan gøre gældende
28,000
estimeret nye databeskyttelses- rådgivere i Europa
(IAPP 2016)
99
artikler i forordningen
190+
lande, som potentielt kan blive omfattet af databeskyttelsesforo
rodningen
Databeskyttelsesforordningen i tal
Overblik over databeskyttelsesforordningen
-- DRAFT -- For --
GDPR Readiness 21Forordningens 10 vigtige krav for SDN, VDX og de tilsluttede parter – skærpelser er på vej!
2 1
3
4 5 8 7
6
10 9
Borgernes ret til sletning
Data Protection Impact Assessment (DPIA)
Skærpede
dokumentationskrav Krav om en databeskyttelses-
rådgiver (DPO)
Samtykkekrav
Indberetningskrav til Datatilsynet og underretning af registrerede
Sanktioner
Information om behandling til den registrerede Privacy by
design og by default Dataportabilitet
© 2016 Deloitte
22
1 . Borgernes ret til sletning
Formål: at give borgere øget kontrol med egne personoplysninger
Nuværende regler om sletning af data præciseres, hvilket betyder, at borgeren kan kræve, at personoplysninger slettes. Brugeren kan dermed trække sit samtykke tilbage og kræve, at alle
oplysninger om dennes person slettes, såfremt der ikke foreligger andre legitime grunde til at opbevare personoplysningerne.
Den dataansvarlige forpligtes til at gøre tredjeparter opmærksomme på, at den registrerede ønsker personoplysninger slettet. Dette medfører en ressourcebelastning for dataansvarlige.
Forordningen stiller krav om, at samtykke til virksomhedernes brug af personoplysninger skal gives udtrykkeligt i form af en erklæring eller lignende.
Borgerens ret til sletning omfatter ikke påkrævede sundhedsoplysninger.
Anbefales at der udarbejdes en politik og procedure for sletning hos de tilsluttede parter.
Anbefales at der stilles krav om sletning til leverandører.
Praktiske ændringer:
Transparent information til de registrerede om:
at det er frivilligt at give samtykke –frivilligt
hvad formålet med behandlingen er –informeret
afgrænsning af behandlingen –specifikt
at samtykket kan trækkes tilbage
Undtagelser: Retskravsreglen samt hensynet til ytringsfriheden.
© 2016 Deloitte 23
2. Dataportabilitet
Personer får lettere ved at kræve egne data udleveret.
Data skal udleveres i brugbart format - f.eks. Word eller Excel.
Personer får lettere ved at overføre personoplysninger fra én serviceudbyder til en anden.
Begrænsning:
Kravet omfatter kun oplysninger afgivet af personen selv.
Kravet om dataportabilitet omfatter ikke SDN eller VDX, da data ikke lagres.
Forordningens regler giver datasubjektet mulighed for at få egne data overført til nye serviceorganer.
Berørte sektorer:
Virksomheder og myndigheder som modtager oplysninger afgivet af rettighedssubjektet selv.
© 2016 Deloitte 24
© 2016 Deloitte 25
3. Krav til Data Protection Impact Assessment/
Konsekvensanalyse vedrørende databeskyttelse
25
Data Protection Impact Assessment
=
Vurdering af effekten af behandlingsaktiviteterne
med henblik på beskyttelse af personoplysninger
Hvornår
• Behandling med høj risiko for frihedsrettigheder
• Før behandlingen
Påkrævet hvornår
• Systematiske og omfattende individuelle beslutninger (herunder profilering)
• Omfattende behandling af følsomme oplysninger
• Omfattende systematisk overvågning af offentligt tilgængelige steder
Indhold
• Beskrivelse af den planlagte behandlingsaktivitet og formål
• Vurdering af nødvendigheden og proportionaliteten af behandlingen
• Vurdering af risici
• Foranstaltninger taget i betragtning til minimering af risiciene
Indled- ende
• Klassificer data og lav et systemoverblik
• Gennemfør dataflowanalyse
4. Privacy by Design og by Default
Dette tiltag tvinger virksomhed- erne til at sætte privacy på dagsordenen i forbindelse med nye produkter,
designprocesser osv.
Berørte sektorer:
Alle forretningssektorer.
Betydning for SDN & VDX.
Privacy by Design and Privacy by Default:
Princippet om ”Privacy by Design” bør implementeres, så privatlivets beskyttelse indbygges i it-arkitekturen hos systemerne SDN og VDX og inddrages i planlægningsfasen til nye procedurer og systemer.
”By Default” betyder, at data kun må behandles, opbevares og indsamles i overensstemmelse med, hvad der er nødvendig samt i overensstemmelse med det oprindelige formål for indsamlingen.
Den dataansvarlige skal indføre passende mekanismer for at sikre, at kun nødvendige data behandles.
Privacy/databeskyttelseshensyn skal tænkes ind i udviklingen af it-løsninger.
Anvend jeres processer og sikkerhedsforanstaltninger fra implementeringen af ISO27001 – vurder om disse
© 2016 Deloitte 26
Databeskyttelsesrådgiver: På nuværende tidspunkt overlader rådet beslutningen om, hvorvidt det skal være obligatorisk at udpege en databeskyttelsesrådgiver i private virksomheder til medlemslandene. For offentlige myndigheder er det obligatorisk i alle medlemsstaterne.
Virksomhederne bliver tvunget til at kortlægge deres data og følgende skal dokumenteres:
Politikker og procedurer, procedurer for behandling af den registreredes rettigheder (hvem skal kontaktes hvornår), audits og intern undervisning samt uddannelse af medarbejdere.
Formålet med forordningen er at minimere risikoen for krænkelser. Virksomhederne skal derfor kunne dokumentere de overvejelser, de har gjort sig i forbindelse med overholdelsen.
Kun de nødvendige data skal behandles i den givne kontekst, slettefrister skal overholdes og kun de nødvendige personer skal have adgang til data. Alt dette skal kunne
dokumenteres.
Det er ikke endnu meldt ud, hvad minimumskravet er til dokumentation
5. Skærpede dokumentationskrav
27
© 2016 Deloitte
Dette tiltag tvinger virksomhed- erne til at sætte privacy på dagsordenen i forbindelse med nye produkter, design
processer osv.
Berørte sektorer:
Alle forretningssektorer
6. Krav om en Databeskyttelsesrådgiver – eller Data Protection Officer (DPO)
Forordningen indebærer en udvidelse af den dataansvarliges ansvar - især ved at kræve, at de dataansvarlige udpeger en databeskyttelsesrådgiver, når:
Der er tale om en offentlig myndighed. Alle offentlige myndigheder, der behandler personoplysninger, skal have en DPO. Domstole er undtaget.
Offentlige myndigheder med bred organisatorisk struktur kan nøjes med at udpege én DPO, såfremt den organisatoriske struktur og størrelse tillader det.
Virksomhedens kerneaktiviteter i større omfang består af behandlingsaktiviteter, hvis karakter, omfang eller formål kræver regelmæssig og systematisk overvågning af registrerede - eller
Kerneaktiviteterne i en virksomhed i større omfang består af behandling af
følsomme personoplysninger, lokaliseringsoplysninger eller oplysninger om børn eller medarbejdere i omfattende registre.
Koncerner kan udpege én DPO, der er ansvarlige for samtlige selskabers behandling af personoplysninger.
Skal I have en DPO?
© 2016 Deloitte 28
6. Krav til databeskyttelsesrådgiveren
DPO’en skal udpeges på baggrund af professionelle kvalifikationer og særligt på baggrund af ekspertise inden for
databeskyttelseslovgivning samt praksis.
DPO’en skal have særlig viden om persondatabeskyttelse.
DPO’ens uafhængighed skal sikres gennem særlige kontrakter – DPO tildeles ikke tillidsmandsstatus.
DPO’ens opgaver er:
At informere og rådgive om de forpligtelser, der gælder ifølge forordningen
At sikre, at forordningens regler overholdes i den daglige drift
At overvåge, at regler og standarder overholdes - herunder fordeling af ansvar, oplysningskampagner og uddannelse af medarbejdere
At rådgive om konsekvensanalyser ved særlige behandlingskategorier
At være kontaktperson til myndighederne og til de registrerede
At håndtere sikkerhedsbrud – herunder indberetning til Datatilsynet og til registrerede, hvis oplysninger er blevet kompromitterede
© 2016 Deloitte 29
Ledelse og organisation
Viden om tekniske krav til privacy og datasikkerhed og -beskyttelse
Konkret viden om den behandling af personoplysninger i den organisation, hvor den pågældende er ansat.
Evnen til at udføre konsekvensanalyser, audits, indgå i drøftelser, udarbejde dokumentation og analyser
Evnen til at kommunikere effektivt med interne og eksterne parter
6. Hvilke kompetencer skal en DPO have?
30
© 2016 Deloitte
Generelt: Dataansvarlige skal give et minimum af information til den registrerede.
Format: kortfattet, gennemsigtige, klare og lettilgængelige samt tilpasset den enkelte målgruppes forståelsesniveau.
Indhold: Bl.a. identiteten samt kontaktoplysninger på DPO’en, opbevaringsperiodens varighed, oplysning om retten til at anmode om sletning samt indsigt i de oplysninger, der behandles om ens person, klageret, cross-border dataoverførsel samt om data ikke er indhentet fra den registrerede selv.
Forordningen styrker den registreredes rettigheder, da registrerede personer har krav på at få indsigt i den
behandling, deres oplysninger undergår. Sådanne indsigtsbegæringer fra registrerede skal besvares uden ugrundet ophold og senest inden for en måned. Indsigtsbegæringer skal være omkostningsfrie for den registrerede.
Anbefaling:
Review virksomhedens eksisterende politik for beskyttelse af personoplysninger eller
Udarbejd en politik for databeskyttelse, hvor I beskriver hvordan I beskytter personoplysninger
7. Dataansvarliges information om behandling til den registrerede
31
© 2016 Deloitte
Ikke de store ændringer, men vil kræve en administrativ indsats i forbindelse med udfærdigelsen af relevante dokumenter.
Berørte sektorer:
Særlig forretninger, der agerer som dataansvarlige.
8. Dataansvarliges krav om samtykke
Samtykke skal være en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig tilkendegivelse
Tavshed, forudafkrydsede felter eller inaktivitet bør ikke udgøre samtykke
Samtykke til samtlige behandlingsformål
Anmodningen skal være klar, koncis og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til
© 2016 Deloitte 32
Indberetning til Datatilsynet:
Alene brud, som ”sandsynligvis vil medføre en høj risiko for enkeltpersoners rettigheder og frihed” (identitetstyveri), skal indberettes til Datatilsynet uden ugrundet ophold og senest 72 timer efter, man er blevet opmærksom på det.
Det skal bemærkes, at pligten er strafsanktioneret.
Indhold:
Beskrivelse af hændelsens konsekvenser inklusiv antallet, kategorien samt volumen af data, som er blevet påvirket af bruddet. Det skal endvidere oplyses hvilke foranstaltninger, der er taget for at løse problemet samt for at mindske dets skadevirkninger.
Underretning af den registrerede:
Den udløsende faktor for at underrette de berørte personer er den samme og skal ske uden unødigt ophold.
Underretningspligt kun såfremt bruddet ”sandsynligvis vil medføre en høj risiko for enkeltpersoners rettigheder og frihed”.
Indhold:
Den registrerede skal have viden om bruddets karakter og skal modtage kontaktoplysninger på en eventuel DPO.
Derudover skal den dataansvarlige vejlede den registrerede om, hvilke handlinger de kan foretage for at mindske konsekvensen af bruddet. Underretningen skal være klar og letforståelig.
Undtagelser:
Det er ikke nødvendigt at underrette den registrerede i tilfælde hvor den dataansvarlige kan dokumentere at tilstrækkelige sikkerhedsforanstaltninger er implementeret.
Anbefalinger:
Stil specifikke krav til leverandører og udarbejd en politik og procedure for håndtering af sikkerhedshændelser.
9. Dataansvarliges indberetningspligt til tilsyn og den registrerede
33
© 2016 Deloitte
10. Sanktioner
Kan MedCom og tilsluttede parter rammes af sanktioner?
Forordningen implementerer harmoniserede sanktioner i hele Unionen Eksempler
1. Første lovbrud for individer og små-virksomheder: en skriftlig advarsel
2. Overtrædelser begået af dataansvarlige og databehandlere kan sanktioneres med bøder op til 10.000.000 EUR eller 2% af den globale omsætning.
3. Overtrædelser af de persondataretlige principper sanktioneres med en bøde på op til 20.000.000 EUR eller 4% af den global omsætning.
4. Diskussion om offentlige institutioner skal ifalde bødeansvar.
6. Faktorer af betydning for bødestørrelsen er f.eks. karakteren, alvoren og varigheden,
gentagelsessituationer, omfanget af skaden, foranstaltninger taget for at mindske skadesniveauet m.v.
7. Bødestørrelserne skal være effektive, proportionale samt afskrækkende. Før var bødeniveauet på 3.000 – 10.000 kr. samt 25.000 kr. for grove overtrædelser.
8. Datatilsynet forpligtes til at undersøge klager fra de registrerede.
9. Gruppesøgsmål.
10. Dårligt omdømme / manglende troværdighed.
© 2016 Deloitte 34
Databeskyttelsesforordningen berører mange lag i forretningen & organisationen
Styring, organisation og mennesker
Politikker og processer
Data
Teknologi Privacy by design/default stiller skærpede krav til anvendelsen og designet af teknologi og IT-systemer. Væsentligt større fokus på sikkerhed og identity &
access management. Databeskyttelsesforordningen skal indtænkes i hele forretningens og organisationens data governance. En strategi for kommerciel anvendelse af data skal ske inden for rammerne af forordningen.
Databeskyttelsesforordningen berører forretningens politikker og processer for behandling af data.
Databeskyttelsesforordningen skal forankres på ledelsesniveau samt udbredes på tværs af organisationen. Der skal være fokus på awareness og uddannelse af medarbejdere.
Styring, organisation og
mennesker
Politikker og processer
Data
Teknologi
Informationssikkerhed og risikohåndtering
35
Start
forberedelserne nu!
36
© 2016 Deloitte
© 2016 Deloitte 37
Det Europæiske Databeskyttelsesråd
Det Europæiske Databeskyttelsesråd bliver tilsynsførende for databeskyttelse og er tiltænkt en fremtrædende rolle.
Afløser Artikel 29-gruppen, som består af ledelsen fra hver national tilsynsmyndighed.
Rådet vil få samme sammensætning som art. 29 gruppen, dog vil de blive tillagt videre beføjelser og få en mere fremtrædende rolle, hvilket vil betyde at
gruppen får en større indflydelse på det nationale niveau.
Rådet vil bidrage med at fortolke forordningen og fastslå dens betydning.
De nationale tilsyn skal ikke alene håndtere de nye regler, men skal være
underlagt en vis kontrol.
Lav en organisations- og projektplan
Forslag til 6 faser til at blive klar til!
38
Fase 1
Fase 3 Fase 2
Foretag en data flow og efterfølgende en GAP-analyse
Foretag en juridisk og teknisk analyse af resultaterne af data flow analysen
Deloitte har udarbejdet 6 overordnede faser, som bør implementeres gennem et
databeskyttelsesforordningsprojekt. Det enkelte projekt bør tilpasses den enkelte virksomheds særlige forhold.
Fase 4
Analysér og test
informationssikkerheden og processerne for behandlingen af persondata
Fase 5
Fase 6
Forbered de nødvendige foranstaltninger og procedurer
Lav en implementeringsplan og følg op på den!
Start med proof of concept.
Implementering af databeskyttelsesforordningen
Deloitte foreslår følgende 6 faser ved implementering af databeskyttelsesforordningen i et projekt.
39 Organisations- og
projektplan
Data flow analyse Juridisk og teknisk analyse af data flows
Analyse og test af IT- sikkerhed samt
processer
Forberedelse af foranstaltninger
Implementering og opfølgning
• Stakeholder awareness hos direktionen og/eller senior management
• Fastlæggelse af scope og aktiviteter
• Udpegning af styringskomité og deltagende medarbejdere
• Budgettering
• Foranalyse af det nuværende niveau af compliance
• Interviews med medarbejdere fra relevante afdelinger med henblik på kortlægning af data flows
• Kontakt til eksterne system- og software- leverandører (databehandlere)
• Udarbejdelse af ”data map” med overblik over data flows
• Indledende GAP- analyse
• Juridisk og IT- sikkerhedsmæssig analyse af data flows
• Dataklassifikation
• Udarbejdelse af en oversigt/map med identifikation af høj- risiko områder og compliance problemstillinger
• Fremlægning af data flow rapport
• Interviews og workshops med medarbejdere fra relevante afdelinger i relation til IT-sikkerhed, organisation og processer
• Analyse af resultater fra interviews
• Risikobaseret test af IT-sikkerheden
• Udarbejdelse af rapport
• Udarbejdelse og fremlægning af risikobaserede juridiske, tekniske og organisatoriske anbefalinger
• Eventuel re- budgettering
• Udarbejdelse af en implementeringsplan omfattende bl.a. følgende:
- databeskyttelsespolitikker og databehandleraftaler
- opsætning af nye arbejdsprocesser og data governance
- forbedring af sikkerheden i eksisterende IT-systemer - implementering af nye IT- systemer og software
• Opfølgningsaktiviteter
Fase #2 Fase #3 Fase #4 Fase #5 Fase #6
Fase #1
Aktiviteter
Om Deloitte
Deloitte leverer ydelser indenfor Revision, Skat, Consulting og Financial Advisory til både offentlige og private virksomheder i en lang række brancher. Vores globale netværk med medlemsfirmaer i mere end 150 lande sikrer, at vi kan stille stærke kompetencer til rådighed og yde service af højeste kvalitet, når vi skal hjælpe vores kunder med at løse deres mest komplekse forretningsmæssige udfordringer. Deloittes ca. 200.000 medarbejdere arbejder målrettet efter at sætte den højeste standard.
Deloitte Touche Tohmatsu Limited
Deloitte er en betegnelse for Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar, og dets netværk af medlemsfirmaer. Hvert medlemsfirma udgør en separat og uafhængig juridisk enhed. Vi henviser til www.deloitte.com/about for en udførlig beskrivelse af den juridiske struktur i Deloitte Touche Tohmatsu Limited og dets medlemsfirmaer.