Dagens mediefokus er i stor grad knyttet til fokus på sikkerhetshull og ulike former for lekkasje av personopplysninger. Personvern handler om veldig mye mer enn sikkerhetstiltak. Personopplysningsloven setter krav til at virksomheter har oversikt over sin bruk av personopplysninger ifm sin forretningsvirksomhet og at denne bruken av personopplysninger gjennomføres iht GDPR/personopplysningsloven.

Det forutsetter bla. at virksomhetene har en riktig forståelse av sentrale begreper og prinsipper slik som personopplysninger, formål, behandlingsansvarlig, juridisk grunnlag mm. Erfaringer hittil viser at det er alt for vanlig at den nødvendig forståelsen av disse begrepene og prinsippene ikke er tilstrekkelig til stede når virksomheter utvikler og leverer produkter og tjenester som krever behandling av personopplysninger.

Dette kurset har fokus på å sikre en god forståelse av disse begrepene og prinsippene samt å benytte de ifm kartlegging av nye eller eksisterende tjeneste/produkt som krever behandling av personopplysninger. Det er forretningsledelsen som er ansvarlig for virksomhetens behandling av personopplysninger. Personvern er således ikke en IT- og jurist-«greie». Mange av vurderingene som bør utføres ift å sikre at virksomheten behandler personopplysninger iht personopplysningsloven, er forretnings-/virksomhetsrelatert og krever involvering av «forretning».
 
Vurdering og dokumentasjon av at virksomheten gjennomfører behandling av personopplysninger knyttet til sin virksomhet iht personopplysningsloven skal alltid gjøres. Dagens situasjon er dessverre slik at dette ofte ikke gjennomføres tilstrekkelig i praksis. For mer komplekse løsninger og tjenester som f.eks har en omfattende behandling av store mengder personopplysninger, mange registrerte, bruker ny teknologi, eller behandler opplysninger om barn, helse, mm, setter GDPR krav til en utvidet vurdering omtalt som DPIA (Data Protection Impact Assessment), eller på norsk vurdering av personvernkonsekvenser.
 
Kurset vil ha fokus på hva som alltid må utføres av vurderinger og dokumentasjon og hva som må utføres i tillegg når en DPIA er nødvendig. En stadig økende fokus på anvendelse av skytjenester kombinert med Schrems II-dommen er også med på å nødvendiggjøre at virksomheter i enda større grad bør utfører gode vurderinger og dokumentasjon ift etterlevelse av personopplysingsloven. Kurset tar utgangspunkt i Datatilsynets veileder for vurdering av personvernkonsekvenser og supplerer underveis med konkrete eksempler på gode og ikke gode vurderinger knyttet til de ulike teamene som kurset dekker så vel som vanlige utfordringer og hvordan håndtere disse. Planlegger din virksomhet å ta i bruk Azure, GCP eller AWS og lurer på hvordan du skal gå frem i forhold til behandling av personopplysninger i skyen, da er dette kurset for deg.

Kursinnhold

1.    Introduksjon
2.    Prosess for gjennomføring av DPIA
3.    Innledende vurderinger
4.    Vurdering av formålene og behandlingene (dvs. relevante tjenester, prosesser og    løsninger) som bør inngå i omfanget
5.    Vurdering av risikoene for de registrertes rettigheter og friheter
6.    Identifiserte og planlagte tiltak for å håndtere risikoene og for å påvise at forordningen overholdes
7.    Forankring og godkjenning
8.    Schrems II – hva gir denne dommen av konsekvenser og hvordan håndtere dette?
9.    Oppsummering

Forkunnskaper

Kjennskap til personopplysningsloven og dens sentrale begreper og prinsipper samt praktisk anvendelse av disse er en fordel, men ikke en forutsetning.

Målgruppe

Nøkkelpersonell knyttet til utvikling og leveranser av produkter, tjenester og prosesser som krever at personopplysninger behandles. Dette inkluderer bla. prosess-/tjeneste-/produkteiere, fagressurser forretning, funksjonelle og tekniske arkitekter og tjenestedesignere, systemeiere, personvernrådgivere, it-sikkerhetsrådgivere, mm.

Les mer om Bouvet Norge AS

Se flere kurs fra Bouvet Norge AS (176)

12262 Kurs i