View
1
Download
0
Category
Preview:
Citation preview
Bliv klar til Persondataloven og
Databeskyttelseslovens krav pr. 1. december!
Online miniseminar18. juni 2019 kl. 09.00-12.00
Programmet
09.00 – 09.20 Gynter Schneider, KIMIK iTVelkomst, introduktion og lovgivning
09.20 – 10.00Ole Kjeldsen, Microsoft DanmarkDatabeskyttelse og sikring af platform og standard software mod udefrakommende trusler
10.00 – 10.40 Martin Folke Vasehus, ComplyCloudOverblik og håndtering af den omfattende dokumentation som kræves i relation til efterlevelse af persondataloven
10.40 – 10.50 Pause
10.50 – 11.30 Ludvig Hammeken, learningbankGør det til en leg for dine medarbejdere at agere korrekt ift. Persondatalovens praktiske krav ved brug af gamificering
11.30 – 11.50 Gynter Schneider, KIMIK iTUdfordringer i relation til fagsystemer og specialløsninger: logning, indblik og sletning.
11.50 – 12.00 Gynter Schneider, KIMIK iTOpsamling på spørgsmål samt afslutning.
Velkomst og introduktion
• Velkommen
• Praktisk afholdelse af miniseminaret
• Baggrunden for miniseminaret
• Lovgivning
• Tilsyn
• Databehandling
Praktiske afholdelse af miniseminaret
• Afvikles på Microsoft Teams, som kommer til at afløse Skype for Business
• Microsoft Teams Live event funktionen er meget ny, og det er første gang vi afvikler et live event
• Det er muligt at pause miniseminaret undervejs
• Gense miniseminaret
Praktiske afholdelse af miniseminaret
• I kan ikke snakke til personen der præsenterer
• I kan skriftligt stille spørgsmål undervejs
• Eksempel på hvordan dette gøres
Pause Fuld skærm
Praktiske afholdelse af miniseminaret
• Live eventet bliver afviklet på nogle store servere i skyen for at sikre god billedkvalitet og lyd. Det betyder at det I ser på skærmen er 30 sekunder om at nå frem
• De spørgsmål, der ikke bliver besvaret i løbet af miniseminaret, vil vi følge op på i slutningen af dagen, ligesom vi meget gerne tager en snak individuelt med jer senere hen
Baggrunden for miniseminaret
• Status på efterlevelse af Persondataloven
• Persondataloven stiller krav til den dataansvarliges:
• Infrastruktur og driftsplatform
• Dokumentation
• Implementering i organisationen på tværs af forretningsgange og medarbejdere
• Tilpasning af relevante fagsystemer
• Bud på forskellige løsninger fra Microsoft, ComplyCloud, learningbankog KIMIK iT
Baggrunden for miniseminaret
Platform Dokumentation
ApplikationOrganisatorisk
forankring
Lovgivningen
• Persondataloven blev den 1. december 2016 sat i kraft for Grønland
• Persondataloven var i store træk den samme som den danske på daværende tidspunkt
• Efterfølgende er GDPR(General Data ProtectionRegulation) blevet lov i hele EU, hvor Databeskyttelsesloven er gældende for Danmark
https://www.datatilsynet.dk/groenlandkal/
https://www.datatilsynet.dk/groenlandkal/persondataloven-for-groenland/
https://www.retsinformation.dk/Forms/r0710.aspx?id=201319
Lovgivningen
• Persondataloven indeholder en overgangsordningen for anmeldelse af databehandling som slutter den 1. december i år
• Persondataloven gælder i alle sammenhænge pr. 1. december i århttps://www.datatilsynet.dk/groenlandkal/
Tilsyn
• Tilsynsopgaven varetages af Datatilsynet som er en uafhængig myndighed. De fører tilsyn med enhver behandling af personoplysninger i Grønland og Danmark
• Tilsynet kigger på dokumentation for dataflow, instrukser, risikovurdering samt aftaler med de som opfattes som databehandlere
https://www.datatilsynet.dk/groenlandkal/
Databehandling
• Dataansvarlig: Den som ejer data og har ansvaret for at sikre at disse behandles i henhold til lovgivningens krav herunder at der indgås konkrete aftaler med Databehandler
• Databehandler: Organisation eller virksomheden der behandler personoplysninger på den dataansvarliges vegne
• Det gælder f.eks en IT-supporter der opfattes som databehandler – når denne skal undersøge og afhjælpe fejl i data for den dataansvarlige
https://www.datatilsynet.dk/groenlandkal/
Databehandling – En særlig udfordring
GrønlandPersondataloven
Dataansvarlig
DanmarkGDPR og Databeskyttelsesloven
Databehandler IT-Support
= Pådrager sig dataansvar
Persondataloven
GDPR og Databeskyttelsesloven
Databehandler IT-Support
https://www.datatilsynet.dk/media/6564/overfoersel-til-tredjelande.pdf
Databehandling
• Den dataansvarlige bør sikre at der foreligger en databehandleraftale gældende såvel for den grønlandske og danske IT support
• Det kræves at der laves aftaler for enhver dataoverførsel fra Danmark til Grønland. Digitaliseringsstyrelsen arbejder på at få en standard for dette. Når en sådan standardaftale er klar vil den blive offentliggjort
Spørgsmål (fra chatten undervejs)
Programmet
09.00 – 09.20 Gynter Schneider, KIMIK iTVelkomst, introduktion og lovgivning
09.20 – 10.00Ole Kjeldsen, Microsoft DanmarkDatabeskyttelse og sikring af platform og standard software mod udefrakommende trusler
10.00 – 10.40 Martin Folke Vasehus, ComplyCloudOverblik og håndtering af den omfattende dokumentation som kræves i relation til efterlevelse af persondataloven
10.40 – 10.50 Pause
10.50 – 11.30 Ludvig Hammeken, learningbankGør det til en leg for dine medarbejdere at agere korrekt ift. Persondatalovens praktiske krav ved brug af gamificering
11.30 – 11.50 Gynter Schneider, KIMIK iTUdfordringer i relation til fagsystemer og specialløsninger: logning, indblik og sletning.
11.50 – 12.00 Gynter Schneider, KIMIK iTOpsamling på spørgsmål samt afslutning
Udfordringer i relation til fagsystemer og specialløsninger
• Forretningsgange og IT løsninger skal tilpasses til at efterleve de krav som stilles i den dokumentation, som den dataansvarlige udarbejder i henhold til lovgivningen
• Fokus på:
• Logning
• Indsigtsret
• Sletning
Logning
Handling: LoginDato og tid: 2019-06-18 09:01:05Log registrerings ID: 1233244Brugernavn: KJHE0913
Handling: Opdater informationDato og tid: 2019-06-18 09:02:58Log registrerings ID: 123355Brugernavn: KJHE0913
Logning
• Den dataansvarlige skal påse at der føres kontrol med hvem der tilgår data og med hvilket formål
• Logning skal udføres i henhold til den udarbejdede dokumentation• Hvor grundig logning ønsker man? • Skal alle transaktioner logges?
• Hvis der logges rigtig meget, kan det mindske gennemskueligheden og give performance udfordringer
• Hvor meget skal der logges ifm. sagsbehandling?• Skal fejlslagne forsøg logges?
• Det skal sikres at IT-medarbejdere ikke kan slette logs, og fjerne sine egne spor
https://www.datatilsynet.dk/media/6887/1404_dk_bekendtgoerelse_om_sikkerhedsforanstaltninger_til_beskyttelse_af.pdf
Logning
• Det er ikke sikkert at eksisterende fagsystemer og specialløsninger er designet til at kunne lave op til det der er beskrevet i dokumentationen
• Der kan være behov for at tilpasse eksisterende løsninger, hvilket kan være en tidskrævende og kostbar opgave
Indsigtsret
https://www.datatilsynet.dk/media/6819/anordning_pdl_for_groenlandf.pdf
Indsigtsret
Kortlægning
Manuel opslag Automatisk opslag
Digital postUdskrift Udskrift Digital post
Digital visning
Sullissivik
Anmodning om indsigt
Sletning
https://www.datatilsynet.dk/media/6819/anordning_pdl_for_groenlandf.pdf
”Jeg vil gerne have slettet alt hvad i har registeret om mig”
Sletning
• Borgere/Kunder har ret til at ”blive glemt”, altså få slettet eller blokeret data som ikke bruges i aktuel sagsbehandling
• En ting er at finde data ift. indsigtsretten, en større sag er at foretage en vurdering og få slettet
https://www.datatilsynet.dk/media/6855/vejledning-om-persondataloven-for-groenland.pdfhttps://www.datatilsynet.dk/emner/persondatasikkerhed/sletning/
SletningKortlægning
Manuel opslag Automatisk opslag
Digital postUdskrift Udskrift Digital post
Digital visning
Sullissivik
Anmodning om sletning
Digital anmodning om sletning
Behandling af anmodning
Sletning eller bibeholdelse af data
Orientering om afgørelse på anmodning
Anmodning om indsigt
Programmet
09.00 – 09.20 Gynter Schneider, KIMIK iTVelkomst, introduktion og lovgivning
09.20 – 10.00Ole Kjeldsen, Microsoft DanmarkDatabeskyttelse og sikring af platform og standard software mod udefrakommende trusler
10.00 – 10.40 Martin Folke Vasehus, ComplyCloudOverblik og håndtering af den omfattende dokumentation som kræves i relation til efterlevelse af persondataloven
10.40 – 10.50 Pause
10.50 – 11.30 Ludvig Hammeken, learningbankGør det til en leg for dine medarbejdere at agere korrekt ift. Persondatalovens praktiske krav ved brug af gamificering
11.30 – 11.50 Gynter Schneider, KIMIK iTUdfordringer i relation til fagsystemer og specialløsninger: logning, indblik og sletning
11.50 – 12.00 Gynter Schneider, KIMIK iTOpsamling på spørgsmål samt afslutning
Opsamling på spørgsmål der løbende er stillet
• Udestående spørgsmål
• De spørgsmål der ikke bliver besvaret nu vil vi følge op på i slutningen af dagen
Afrunding
• Opfølgning på hvad i syntes om miniseminaret, samt kontakt til parter
• I er naturligvis velkomne til at tage kontakt til os på persondatalov@kimik-it.gl
Tak for i dag
Recommended