Anvendt personvern og vurdering av personvernkonsekvenser (DPIA)

Hvordan sikre at din virksomhet behandler personopplysninger iht personopplysningsloven/GDPR?

Data Protection Impact Assessment (DPIA)

Varighet: 4 timer (Kl 09:00 - 13:00)

Pris: 4500,-

Kurskategori: Personvern

Kursdatoer er ikke helt avklart ennå, men kontakt kurs@bouvet.no for påmelding!

Dagens personopplysningslov som tar utgangspunkt i GDPR har vært gjeldene i noen år allerede. GDPR legger i stor grad opp til «frihet under ansvar». Er virksomheter som utvikler og leverer produkter og tjenester som medfører behandling av personopplysninger beviste på dette ansvaret? Har virksomhetene nødvendig kompetanse og prosesser for å sikre at deres virksomhet behandler personopplysninger iht personopplysningsloven? 

Dagens mediefokus er i stor grad knyttet til fokus på sikkerhetshull og ulike former for lekkasje av personopplysninger. Personvern handler om veldig mye mer enn sikkerhetstiltak. Personopplysningsloven setter krav til at virksomheter har oversikt over sin bruk av personopplysninger ifm sin forretningsvirksomhet og at denne bruken av personopplysninger gjennomføres iht GDPR/personopplysningsloven. Det forutsetter bla. at virksomhetene har en riktig forståelse av sentrale begreper og prinsipper slik som personopplysninger, formål, behandlingsansvarlig, juridisk grunnlag mm. Erfaringer hittil viser at det er alt for vanlig at den nødvendig forståelsen av disse begrepene og prinsippene ikke er tilstrekkelig til stede når virksomheter utvikler og leverer produkter og tjenester som krever behandling av personopplysninger.

Dette kurset har fokus på å sikre en god forståelse av disse begrepene og prinsippene samt å benytte de ifm kartlegging av nye eller eksisterende tjeneste/produkt som krever behandling av personopplysninger. Det er forretningsledelsen som er ansvarlig for virksomhetens behandling av personopplysninger. Personvern er således ikke en IT- og jurist-«greie». Mange av vurderingene som bør utføres ift å sikre at virksomheten behandler personopplysninger iht personopplysningsloven, er forretnings-/virksomhetsrelatert og krever involvering av «forretning».
 
Vurdering og dokumentasjon av at virksomheten gjennomfører behandling av personopplysninger knyttet til sin virksomhet iht personopplysningsloven skal alltid gjøres. Dagens situasjon er dessverre slik at dette ofte ikke gjennomføres tilstrekkelig i praksis. For mer komplekse løsninger og tjenester som f.eks har en omfattende behandling av store mengder personopplysninger, mange registrerte, bruker ny teknologi, eller behandler opplysninger om barn, helse, mm, setter GDPR krav til en utvidet vurdering omtalt som DPIA (Data Protection Impact Assessment), eller på norsk vurdering av personvernkonsekvenser.
 
Kurset vil ha fokus på hva som alltid må utføres av vurderinger og dokumentasjon og hva som må utføres i tillegg når en DPIA er nødvendig. En stadig økende fokus på anvendelse av skytjenester kombinert med Schrems II-dommen er også med på å nødvendiggjøre at virksomheter i enda større grad bør utfører gode vurderinger og dokumentasjon ift etterlevelse av personopplysingsloven. Kurset tar utgangspunkt i Datatilsynets veileder for vurdering av personvernkonsekvenser og supplerer underveis med konkrete eksempler på gode og ikke gode vurderinger knyttet til de ulike teamene som kurset dekker så vel som vanlige utfordringer og hvordan håndtere disse. Planlegger din virksomhet å ta i bruk Azure, GCP eller AWS og lurer på hvordan du skal gå frem i forhold til behandling av personopplysninger i skyen, da er dette kurset for deg.

Kursinnhold

1.    Introduksjon
2.    Prosess for gjennomføring av DPIA
3.    Innledende vurderinger
4.    Vurdering av formålene og behandlingene (dvs. relevante tjenester, prosesser og    løsninger) som bør inngå i omfanget
5.    Vurdering av risikoene for de registrertes rettigheter og friheter
6.    Identifiserte og planlagte tiltak for å håndtere risikoene og for å påvise at forordningen overholdes
7.    Forankring og godkjenning
8.    Schrems II – hva gir denne dommen av konsekvenser og hvordan håndtere dette?
9.    Oppsummering

Målgruppe

Nøkkelpersonell knyttet til utvikling og leveranser av produkter, tjenester og prosesser som krever at personopplysninger behandles. Dette inkluderer bla. prosess-/tjeneste-/produkteiere, fagressurser forretning, funksjonelle og tekniske arkitekter og tjenestedesignere, systemeiere, personvernrådgivere, it-sikkerhetsrådgivere, mm.

Krav til forkunnskaper

Kjennskap til personopplysningsloven og dens sentrale begreper og prinsipper samt praktisk anvendelse av disse er en fordel, men ikke en forutsetning.

Kursdatoer er ikke helt avklart ennå, men kontakt kurs@bouvet.no for påmelding!

Dette synes jeg var særdeles bra, med en god kombinasjon av regelverk og praksis og mange gode og konkrete eksempler!

Jeg er utrolig fornøyd og har tipset kolleger om kurset. Flinke fagfolk.

Kursinstruktør

Knut Soelberg er ansatt som prosjektleder hos Bouvet og utfører i hovedsak oppdrag på kundesiden for større offentlige virksomheter. Knut har lang erfaring med både utvikling, anskaffelser, forvaltning og drift av it-løsninger i roller som prosjektleder, rådgiver og virksomhetsarkitekt. Ifm ny personopplysningslov/GDPR, utførte han i en 3 årsperiode lengre oppdrag som del av kunders organisasjon for å bistå disse kundene med å få oversikt over sin behandling av personopplysninger, dokumentere dette og identifisere og igangsette tiltak for at virksomheten i større grad oppfyller kravene i personopplysningsloven. Knut er nå innleid prosjektleder for en offentlig virksomhet ifm modernisering av samfunnskritiske it-løsninger basert på skyteknologi.

Arne Berner er en erfaren sikkerhetsarkitekt og ekspert på informasjonssikkerhet. Arne har lang erfaring med utvikling og forvaltning av nasjonale it-løsninger i roller som utvikler, arkitekt og teknisk prosjektleder. Ifm ny personopplysningslov har han bistått med i DPIA vurderinger og forhåndsdrøftelser med Datatilsynet. Han har gjennomført risikovurderinger og identifisert, planlagt og iverksatt tiltak i forbindelse med dette. Arne er nå innleid som sikkerhetsekspert for en offentlig virksomhet ifm. etablering av styringssystem for informasjonssikkerhet, internkontroll og oppfølging av eksterne IT-revisjoner.

Ønsker du å samle flere ansatte til et bedriftsinternt kurs?

Finner du ikke det helt optimale kurset eller kombinasjonen av kurs? Da ordner vi det - sammen. Vi kan tilrettelegge kurs slik at de inneholder akkurat det dere har behov for. Vi kan sette opp et helt nytt kurs, eller tilpasse eksisterende kurs og materiell. Flere medarbeidere kan selvfølgelig også samles til et eget felles kurs, for maksimal effektivitet. Ta kontakt med meg for et forslag til gjennomføring og et tilbud basert på deres behov.

Henrik Buzzi