Embed Size (px)
Citation preview
Perspektiver og planer ved
Universitetet i Oslo
Nye personvernregler
Maren Magnus Jegersberg
Juridisk seniorrådgiver
UiO
28.11.2017 3
Personvern handler om retten til et privatliv og retten til å
bestemme over egne personopplysninger.
Grunnleggende menneskerett:• Grunnloven
• Den europeiske menneskerettskonvensjonen (EMK)
Lånt fra www.datatilsynet.no
Hvem behandler UiO personopplysninger om?
• Studenter
- Ca. 28 000
• Ansatte
– Ca. 7500
• Tredjepart
– Deltakere i forskningsprosjekt
– Gjester (Studenter, forskere, konferansedeltakere osv.)
– Tilfeldige besøkende (både fysisk, men også digitalt)
4
Ansvaret
• Behandlingsansvarlig
– «bestemmer formålet med behandlingen av personopplysninger
og hvilke midler som skal brukes»
• Databehandler
– «behandler personopplysninger på vegne av den
behandlingsansvarlige»
28.11.2017 5
28.11.2017 6
Hentet fra
www.nrk.no
Konsekvenser av brudd på personvernet
• Krenkelse av enkeltpersoners personvern
– Identitetstyveri
– Økonomisk tap
– Ydmykelse
– Tap av karrieremuligheter
• Omdømmetap
• Skade på driftsmiljø med redusert leveranseevne
• Økonomiske tap
– Erstatningskrav
– Bøter fra Datatilsynet
28.11.2017 7
Innebygd personvern
• Forordningen kodifiserer (lovfester) kravene til innebygget
personvern:
1. Forebygg fremfor å reparere
2. Gjør personvern til standardinnstilling
3. Bygg personvernet inn i designet
4. Begrenset tilgang og kryptering
5. Pseudonymisering/anonymitet
6. Informasjonssikkerhet fra start til slutt
7. Transparens - åpenhet og informasjon
8. Respektere brukerens personvern
28.11.2017 8
Håndtering ved UiO
• Utdannings- og forskningsinstitusjon som behandler mye
personopplysninger
• Har vist seg utfordrende å ha en komplett oversikt
• Stort fokus på både personvern og IT-sikkerhet lenge
• Vi har mange og gode rutiner på plass i dag
28.11.2017 9
Håndtering ved UiO – høst 2017/vår 2018
• Det må gjøres et stykke arbeid for å sikre at vi overholder nye og
strengere krav innen mai 2018
• Krever innsats fra flere ulike aktører ved UiO – tverrfaglig
– Både på ledelses- og operativt nivå
• Organisert som et UiO-prosjekt under universitetsdirektøren
28.11.2017 10
Prosjektets mål
• Utrede hvordan ny personvernforordning vil påvirke UiOs
behandling av personopplysninger
• Identifisere:
– Krav, plikter og behov
– Behov for presiseringer og/eller endringer i ansvarsområde
– Identifisere eventuelle tekniske og andre organisatoriske tiltak
28.11.2017 11
• Gjennomgå UiOs personvernsstrategi og foreslå
revisjon som er i tråd med GDPR, herunder gjennomgå:
– Klassifisering av data
– Oversikt dataflyt
– Oversikt over grupper registrerte
– Internkontroll inkludert datasikkerhet
28.11.2017 12
• Gjennomgå UiOs prosedyrer for etterlevelse av GDPR
og foreslå endringer og /eller nye prosedyrer
– Personvernerklæring
– Samtykke
– De registrertes rettigheter
– Tilgangsprosedyrer
– Databrudd
– Risiko- og sårbarhetsanalyser
– Overføring av personopplysninger
• Databehandleravtaler
• Overføring utenfor EU/EØS
28.11.2017 13
• Overlevere revidert personvernsstrategi med tilhørende
rutiner til UiOs ledelse og systemeiere ved UiO
– Informere om kravene etter ny forordning og nye, vedtatte
retningslinjer ved UiO
– Følge opp systemeierne i etterkant for å sikre at nye retningslinjer
blir implementert og at eierskap er riktig plassert
28.11.2017 14
• Personvernkonsekvensanalyse
– Foreta personvernkonsekvensanalyse av UiOs
personopplysninger
– Utarbeide retningslinjer for når og hvordan slike analyser skal
gjennomføres
– Utarbeide malverk
28.11.2017 15
• Personvernombud
– Gjennomgå UiOs ordning for personvernombud og sikre at den er i
tråd med GDPRs krav til ordningen. Foreslå eventuelle
nødvendige endringer.
Må involveres
• Skal få ressurser og tilgang
• Skal ha mulighet til å opprettholde kunnskap
• Skal ikke motta instrukser eller straffes
• Skal rapportere til høyeste ledelsesnivå
• Må ikke ha andre oppgaver som fører til interessekonflikt
28.11.2017 16
Forutsetninger for vellykket prosjekt ved UiO
• Forankring
• Involvering
• Informasjon
• Opplæring
28.11.2017 17
Gode råd på veien
• Benytt anledningen til å få ledelsen med på å sette fokus på
personvern
• Se på det som et konkurransefortrinn
• Viktig å bygge en sikkerhetskultur
• Tenk innebygd personvern i alle prosesser
28.11.2017 18
28.11.2017 19
