GDPR

GDPR

Vi hjelper deg med etterlevelse av GDPR 

Vi hjelper deg med å kartlegge behovene og å implementere løsninger i tråd med nytt regelverk for personvern

Om GDPR 

GDPR (General Data Protection Regulation) og tilhørende lovgivning tar for seg risiko knyttet til personopplysninger i elektroniske systemer og fysiske arkiver, herunder all aktivitet innenfor eKommunikasjon, betalingstransaksjoner, markedsføring, geo-lokasjon, biometriske og genetiske data, og gir særskilt vern for det som benevnes som sensitive personopplysninger. Regelverket tilpasses en virkelighet fylt av nye tekniske løsninger og forretningsmodeller. Ved å innføre et helhetlig regelverk innad i Eurosamarbeids-sonen sikrer man borgernes rettighet "sømløst" på tvers av landegrensene. I forhold til dagens Lov om Personvern gis individer styrkede og utvidede rettigheter gjennom innføringen av GDPR. 

Lovmessig er det en forordning, det vil si at Norge (og andre EØS og alle EU-land) skal ta det inn direkte i lovs form som det står. Det er lov å gjøre enkle tilpasninger for hvert enkelt land, men ikke noe som strider mot intensjonen i loven. 

Forordningen erstatter dagens personopplysningslov og de forskriftene som tilhører denne. GDPR trer i kraft fra 25. mai 2018. 

ePrivacy

ePrivacy regulativet (Privacy in Electronic Communications) spesifiserer og utdyper GDPR på eKommunikasjons-nivå gjennom å dekke ivaretakelse av trafikkdata, det vil si metadata, coockies, IoT mm. ePrivacy får gyldighet på alle ekom løsninger, også telefoni, trafikk-fangere, apper, elektroniske billettsystemer osv . Oppdatering av dagens direktiv har som mål å gjenspeile en endret virkelighet når det gjelder teknologi og elektronisk sporbar aktivitet, gjennom et tidsriktig regulativ som ivaretar retten til privatliv.

Det er foreløpig ikke gitt dato for ikrafttredelse for ePrivacy, men vi antar dette vil komme i løpet av 2018.

Innebygget personvern

I den nye loven om personvern innføres begrepet Innebygget personvern. I praksis dekker dette begrepet ethvert prosess- og løsningsdesign hvor man legger personvern inn som en standard mekanisme. Det betyr at den tryggeste innstillingen eller måte å gjennomføre på med hensyn på å ivareta personvern, skal være automatisk eller standard. Alt annet skal enkeltpersonene selv eventuelt kunne ta stilling til om de ønsker å «skru av». Da basert på klar og uttømmende informasjon om hva det i så fall innebærer av konsekvenser. I Ciber etterstreber vi at dette prinsippet skal være kjent og forstått i alle våre fagretninger, slik at den helhetlige løsningen kan bygges med personvern i alle dimensjoner.

GDPR etterlevelse sikres ikke bare gjennom tekniske løsninger, det handler også om hvordan man utformer ulike arbeidsprosesser og i hvilken grad de ansatte er bevisste på sin egen rolle i behandling av personopplysninger. Personopplysninger behandles også utenfor elektroniske systemer (papir, bilder, opptak etc). Opplæringsplan for og bevisstgjøring av de ansatte er derfor viktig slik at dette innarbeides i hele organisasjonen.

Å få til dette krever bevissthet hos alle som er involvert i å utvikle og tilpasse løsninger og prosesser. Arkitekter, testere, designere, utviklere og så videre. I Ciber er denne bevisstgjøringen en del av vår internopplæring på alle nivåer, og våre rammeverk for gjennomføring har dette innearbeidet. Her inngår også å være våken med tanke på forbedring av løsninger, og nye forretningsmuligheter på vegne av våre kunder.

Vi tilbyr

Ciber innehar kompetanse både på dagens regelverk og på de nye regelverkene om personvern som kommer i 2018. Vi har bl.a. flere GDPR sertifiserte ressurser innen rådgivning. 

Kunnskap om vern av personopplysninger bygges inn i alle våre tjenester. I tillegg har vi ressurser med kompetanse på sikkerhetstiltak og på endringsledelse.

Ciber har samlet representanter fra våre faggrupper for å sikre at vi ivaretar nye regler for personvern på en strukturert måte i alle våre leveranser, enten det gjelder enkeltstående konsulentoppdrag eller prosjekter for kunde. 

Vi oppgraderer vårt eget rammeverk for nåværende Lov om Personvern til å gjenspeile kravene i GDPR. Dette rammeverket inneholder metodikk for å sikre etterlevelse, samt et bibliotek for verktøy og maler som kan benyttes i prosessen. Vår samarbeidspartner CA Technologies tilbyr også programvare som støtter prosessen for etterlevelse innenfor test.

Vi kan selvsagt også tilpasse oss arbeid med etterlevelse iht. andre rammeverk og verktøy etter kundens ønske og behov. Prinsippene vil være de samme.

Det vil si at våre medarbeidere i løpet av tilpasningen kan bistå med å:

  • Kartlegge personopplysninger og prosesser disse inngår i, i bedriften.
  • Kartlegge transport av personopplysninger i systemene, over grensesnitt internt og også inn og ut av bedriften.
  • Identifisere og kartlegge prosesser som ikke er elektronisk basert, for eksempel papirbasert arkiv, møtenotater mm hvor personopplysninger kan forekomme.
  • Gap analyse (også mot POL/f, dagens regelverk)
  • Gi kvalifiserte råd om tiltak
  • Gjennomføre og lede tiltak
  • Forankre og lede endringsprosesser

Enten det gjelder GDPR etterlevelse som internprosjekt eller i form av enkeltstående aktiviteter for å sikre etterlevelse, som for eksempel forvaltningstilpasninger eller oppfølging av eksterne leverandører av løsninger eller hyllevare, kan våre ressurser bistå med å sikre et godt resultat. 

Vi har også høyt fokus på egen etterlevelse i våre interne systemer og rutiner.
Personvern er ikke bare noe loven pålegger oss, det er uttrykk for et verdisett vi skal å stå for i vårt daglige virke. 

Test og testdata

Krav til personvern er også høyst aktuelt for testdata og testmiljøer. Her må man forholde seg til at personopplysninger har samme krav på beskyttelse i test som i andre miljøer. Derfor vil teknikker som pseudonymisering og bruk av helsyntetisk data komme mer i fokus innenfor dette feltet. Man må ha fokus på dekning av krav om lovlighet; det vil si man må enten ha samtykke fra personene det gjelder, eller lovhjemmel for behandling også i test. Og man må huske at de skal slettes med en gang behovet opphører.

Et eksempel vi kan tenke oss er offentlige instanser med myndighetspålagt samfunnsansvar, med samhandling over tunge grensesnitt hvor behovet for test med reelle data kan være helt avgjørende for kvaliteten både på vedlikehold og nyutvikling. Her vil det være rimelig å anta at man kan benytte reelle data i test med visse forhåndsregler.

Ciber styrker fortløpende sin kompetanse innenfor funksjonell og teknisk testutvikling og testledelse. Det betyr at vi kan tilby kompetanse på ivaretakelse av persondata i løsningene vi utvikler, og i all testgjennomføring for leveranse og vedlikehold av løsningene i etterkant.

Rent konkret sikres dette gjennom følgende tiltak:

  • Påse at alle testmiljøer kun benytter data som ikke kan knyttes til en reell bruker/person.
  • Dersom det oppstår tilfeller hvor man likevel må benytte reelle data, skal disse ha samme beskyttelse som om de befant seg i produksjonsmiljø, og de skal slettes umiddelbart etter at behovet opphører.
  • De innebyggede funksjonene i løsningen som skal sikre persondata skal også grundig testes, både på enkelt-funksjonsnivå, og som en del av prosessflyten i systemet (ende-til ende test). 
  • Vi setter opp testdata-sett som er enkle å vedlikeholde og som kan benyttes om igjen over tid og kan være «testdata plukk» til flere formål.

Vi etterstreber å kun bruke syntetiske data og/ eller maskerte testdata. Der reelle data må benyttes må vi se nøye på om det eksisterer dekken lovhjemmel. Vi har også mulighet til å innhente av samtykke fra personene det gjelder.