GDPR presentasjon holdt på Office365 User Group Agder meetup 22.november 2017 i Kristiansand.

1. Nova Consulting Group

3. Noen sentrale personvern begreper
• Personopplysning – En eller flere opplysninger som hver for seg eller samlet kan knyttes til en
enkeltperson - herunder ved bruk av dataprosessering eller andre tilgjengelige metoder
• Sensitive personopplysninger – Opplysninger om rasemessige eller etnisk bakgrunn, eller
politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt
for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger
• Registrert – Den fysiske personen en eller flere opplysninger kan knyttes til
• Behandling av personopplysning – Enhver befatning / bruk av personopplysning, f.eks
innsamling, registrering, sammenstilling, lagring og utlevering
• Behandlingsansvarlig – Den som bestemmer formålet med behandling
• Databehandler – En som behandler personopplysning på vegne av behandlingsansvarlig – kan
ikke gå utenfor instruksene fra behandlingsansvarlig
• Databehandleravtale – Avtale som skal foreligge mellom den behandlingsansvarlige og
databehandler senest når databehandlers behandling begynner. Fastlegger formålet med
behandlingen, rettigheter, plikter og begrensninger

4. Kultur for sikkerhet
• Med nesten daglige oppslag om hackerangrep mot
norske og utenlandske bedrifter, skjønner de fleste at
datasikkerhet er avgjørende for mange virksomheter.
• Alle bedrifter og virksomheter bør derfor tenke på sin
organisering for å klare å etterleve EUs nye
personvernkrav.
• Statoil-hendelsene, NRK
(https://www.nrk.no/norge/indiske-it-arbeidere-mister-
tilganger-pa-statoils-oljeplattformer-1.13282643)

6. Hva sier så GDPR om organisatorisk og kulturell
sikkerhet?
• Kravet om tilfredsstillende sikkerhet, ved bruk av
«appropriate technical or organisational measures»
fremgår art. 5.
• Det viktigste av disse er:
– krav om lovlig behandlingsgrunnlag; samtykke eller
lovhjemmel;
– angitt og legitimt formål med behandlingen;
– begrensning av behandlingen til det nødvendige
(«minimeringsprinsippet»);
– opprettholdelse av korrekte data
– tilfredsstillende sikkerhet

7. Hva skal personvernerklæringen inneholde?
• Hvem er behandlingsansvarlig?
• Hva er formålet?
• Hva er det rettslige grunnlaget?
• Hvilke personvern opplysninger behandles?
• Hvor hentes opplysningene fra?
• Er det frivillig å gi fra seg opplysningene?
• Utleveres opplysningen til 3. part?
• Hvordan slettes og arkiveres opplysningene?
• Hvilke rettigheter har den registrerte og hvilket lands
lovverk gjelder?
• Hvordan sikres opplysningene?
• Kontaktinformasjon

8. Eksempel på hvordan Datatilsynets
personvernopplysning
• https://www.datatilsynet.no/om-
datatilsynet/personvernerklaering-nettsidene/

9. Hva sier hovedregelen om informasjonssikkerhet?
Privacy by design
• For å gi et inntrykk av kompleksiteten i EU-forordningen, siterer
jeg hele den ordrike setningen i GDPR art. 32 (67 ord!):
• «1. Taking into account the state of the art, the costs of
implementation and the nature, scope, context and purposes of
processing as well as the risk of varying likelihood and severity
for the rights and freedoms of natural persons, the controller
and the processor shall implement appropriate technical and
organizational measures to ensure a level of security
appropriate to the risk,........

10. ….... videre
• I bunn og grunn koker kravet til tilfredsstillende
sikkerhetstiltak ned til et aktsomhetskrav.
• Kravet til «state of the art» betyr at moderne
teknologi og metode må vurderes når
sikkerhetskravet skal fastlegges

11. Bygge en sikkerhetskultur
• Opplæring – både i hva reglene betyr, og hvorfor.
• Belønning – skape positive incentiver til riktig adferd.
• Sanksjoner – som støttetiltak til opplæring og
belønning

12. Hva må dokumenteres?
• At rutiner er utarbeidet og instrukser gitt, er enkelt å
dokumentere. At eget og innleid personell kjenner, forstår og
oppfører seg i henhold til reglene, er mer utfordrende.
– Hvordan har adferden endret seg fra år til år?
– Virker tiltakene?
– Har en sikkerhetskultur oppstått?
• Kravet i art. 24 betyr at virksomheten må klare å dokumentere
at de organisatoriske tiltakene fungerer.
– Hva angår for eksempel kulturbygging, finnes egne selskaper
som spesialiserer seg på verktøy for kulturbygging og måling
av denne.

14. Nye rettigheter for den registrerte
• Rett til å få flyttet data mellom tilbydere – dataportabilitet
• Rett til å nekte profilering og automatiserte avgjørelser
• Rett til å motsette seg en behandling
• Rett til å begrense en behandling
• Retten til å bli glemt styrkes

15. Andre Lover og forskrifter
• IKT-forskriften - «risiko styres innenfor akseptable grenser i forhold til
foretakets virksomhet» § 3
• Arkivloven - «ordna og innretta slik at dokumenta er tryggja som
informasjonskjelder for samtid og ettertid» § 6
• Arbeidsmiljøloven - på alle plan i virksomheten, herunder ved varsling
• Produktansvarsloven - «den sikkerhet som en bruker eller allmennheten
med rimelighet kunne vente» § 2-1
• Helseregisterloven - «databehandlingsansvarlige og databehandler skal
gjennom planlagte og systematiske tiltak sørge for tilfredsstillende
informasjonssikkerhet» § 21
• Bokføringsloven - «betryggende sikret mot ødeleggelse, tap og endring» §
13
• Aksjeloven - «(1) [...]. Styret skal sørge for forsvarlig organisering av
virksomheten.» § 6-12