Ny personvernlovgivning er på vei - Sesam Vision Approach 2017_Deloitte.pdf · Tall & fakta med ny...
Transcript of Ny personvernlovgivning er på vei - Sesam Vision Approach 2017_Deloitte.pdf · Tall & fakta med ny...
Ny personvernlovgivning er på veiEr du forberedt?
27. september 2017
© 2017 Deloitte The Netherlands
“There are lines you cannot cross. There are rules to the game. But within the lines and following the rules, you are only limited by your own creativity to achieve your goals.
Deloitte Privacy Services is dedicated to help organizations navigate privacy risk, staying within the rules of the game, while allowing privacy to be a business enabler and to use personal data to increase customer trust.”
Mye fokus på personvern i disse dager
4© 2017 Deloitte Advokatfirma AS
Hva blir nytt med GDPR?
Tall & fakta med ny personvernlovgivning
4 %Mulig bøtenivå -% av konsernets
brutto omsetning
72 timerFristen for å melde avvik
til Datatilsynet7Individuelle rettigheter regulert i
GDPR
28 000Antall nye
personvernombud det vil bli behov
for i Europa (IAPP 2016)
80+Nye krav i
GDPR190+Stater som kan måtte
forholde seg til ny
forordning
40 millMulig bot for en virksomhet med
brutto omsetning på
1 milliard
Sentrale endringer i GDPR
Geografisk virkeområde Anvendelse også for aktører etablert utenfor EU
Overtredelsesgebyr i størrelsesorden 2 til 4 % av global omsetning
Krav til å demonstrere etterlevelse av personvernprinsippene i GDPR
Nye og utvidede definisjoner inkluderer lokasjonsdata, IP adresse, internettidentifikatorer (online identifier)
Forsterkede rettigheter for den registrerte; innsyn og informasjon, retting, sletting, rett til å motsette behandling
Strengere krav til bruk av samtykke
Avviksmelding skal leveres Datatilsynet innen 72 timer
Samarbeid mellom personvernmyndigheter; en grunnpilar og en plikt
BCR som overføringsgrunnlag; nå inntatt i regelverket
Geografisk virkeområde
Sanksjoner
Utvidede definisjoner
Samtykke
Avviksmelding
One-stop shop
Overføring til utlandet
Nytt med GDPR
Dokumentasjonskrav
Registrertes rettigheter
7© 2017 Deloitte Advokatfirma AS
Hva betyr endringene?Ny personvernforordning endrer det europeiske personvernlandskapet og norske virksomheter må tenke annerledes og endre deres behandling av personopplysninger.
Gjør nye krav til et konkurransefortrinn og reduser risikoen for tap av omdømme.
Hvordan forbereder du virksomheten på GDPR?
God kontroll
Gap-analyse Prioriter Forberedelse
Video: https://www.youtube.com/watch?v
=RhLKyjDSEig&sns=em
Actions to take to prepare for
the GDPR
Maturity Assessment GDPR Roadmap GDPR Program Stress testing
© 2017 Deloitte The Netherlands Deloitte Risk Advisory – GDPR Vision and Approach 12
GDPR Maturity Assessment ü A GDPR Maturity Assessment is used to give
a clear picture on where your organization currently stands with respect to the GDPR
ü It is a thorough assessment by workshops and interviews with (a part of) the organization, giving insight of the current level of maturity against the framework.
ü It is a way to capture privacy compliance & GDPR Readiness based on industry and organizational characteristics.
ü A good starting point for becoming compliant with the GDPR and getting a tailored privacy program
© 2017 Deloitte The Netherlands Deloitte Risk Advisory – GDPR Vision and Approach 13
GDPR Roadmap
ü The output of a GDPR Maturity Assessment is uniq insights to help us develop a tailored Roadmap.
ü A practical and concrete roadmap with prioritized steps required to improve, risk-based, the state of privacy compliance with the GDPR.
© 2017 Deloitte The Netherlands Deloitte Risk Advisory – GDPR Vision and Approach 14
GDPR transformation program
ü Based on a comprehensive GDPR readiness roadmap a tailored transformation program helps organizations prepare in the optimal way for the GDPR
Processing Inventory
Data Management
Data Transfers
Strategy
Policies & procedures
Auditand Certification
Privacy by Design
Organization and Accountability
Communication, Training, Awareness
Privacy Impact Assessment
© 2017 Deloitte The Netherlands Deloitte Risk Advisory – GDPR Vision and Approach 15
GDPR stress testing
ü Data Breach simulation
ü A Subject Access Request
ü Simulate a Data Protection Authority (DPA) visit 201
© 2017 Deloitte The Netherlands Deloitte Risk Advisory – GDPR Vision and Approach 16
Ikke se på personvern som en hodepine, se det som et mulighet!
Gjør nye krav til et konkurransefortrinn, bygge tillittmed dine kunder og reduserrisikoen for tap av omdømme.
18© 2017 Deloitte Advokatfirma AS
Johanna Fauske-Palmér
Tlf 988 46 352 – [email protected] Cyber Risk Services
© 2017 Deloitte The Netherlands Deloitte Risk Advisory – GDPR Vision and Approach 19
Eksempler på Roadmaps …
© 2017 Deloitte The Netherlands Deloitte Risk Advisory – GDPR Vision and Approach 20
WS# Training and Awareness
© 2017 Deloitte The Netherlands Deloitte Risk Advisory – GDPR Vision and Approach 21
Action Sub-action Current status
Responsible Accountable Consulted Informed Deadline
Update the privacy policy with information about third parties.
In Progress DPO Information Leader Information Security, Data Stewards
15.10.2017
Review the existing privacy policy
Completed DPO Information Leader Information Security, Data Stewards
30.09.2017
Communicate changes in the privacy policy to all customers
Not Started Change & Communication
Information Leader Business Leaders
Staff 10.10.2017