GDPR-UDDANNELSE

Med EU-persondataforordningen (GDPR) følger en ræ kke skæ rpede krav til virksomheders indsamling, opbevaring og behandling af persondata. Isæ r kravet om data accountability betyder, at den dataansvarlige virksomhed skal tage ansvar for sin databehandling. Det kræ ver, at der er styr på data og at virksomheden kan dokumentere, at der er styr på data.

ALLE ER UNDERLAGT KRAV OM DATA ACCOUNTABILITYKravene om data accountability gæ lder alle. Derfor skal alle virksomheder overveje, om det er hensigtsmæ ssigt med en intern tovholder, der ved, hvad forordningen handler om og kan koordinere opgaverne internt.

NOGLE SKAL HAVE EN DATA PROTECTION OFFICERFor nogle organisationer er der krav om egentlig Data Protection Officer (DPO), der har ansvaret for, at sikre at virksomheden efterlever kravene.DPO’en skal have ekspertviden om både persondatareglerne og hvordan disse implementeres i virksomhedens drift og dagligdag. Det kræ ver høj forståelse af juraen såvel som af de tekniske og driftsmæ ssige forhold.

BLIV RUSTET TIL AT HÅNDTERE FORORDNINGENUanset om du skal væ re intern tovholder eller DPO, tilbyder Dubex og Delacour en GDPR-uddannelse, der sikrer dig den nødvendige viden. Delacours specialister sørger for, at du får de juridiske grundprincipper og databeskyttelsesregler ind under huden, mens Dubex’ sikkerhedsspecialister deler ud af mange års erfaring med rådgivning og implementering af databeskyttelsesløsninger. Uddannelsen er både teoretisk og case-baseret og giver dig indblik i eksisterende væ rktøjer samt praktiske erfaringer fra danske og internationale virksomheder med erfaring i compliance-drevet persondatabeskyttelse. Endelig får du etableret et netvæ rk andre, der arbejder målrettet med implementeringen af forordningen.

BLIV RUSTET TIL EU-PERSONDATAFORORDNINGENS KRAVBliv kvalificeret til at håndtere og overholde de nye procedurer og regler i forbindelse med behandling af persondata

Hold i Aarhus 23.-24. august

+ 12.-13. september 2017

og

11.-12. oktober + 25.-26. oktober 2017

TILMELD DIG VIA INSIDESALES@DUBEX.DK

Prisen er 14.995 kr. ex. moms pr. deltager . Undervisningen foregår over 2x2 dage og afsluttes med et kursusbevis.

Har du spørgsmål kan du kontakte os på seminar@dubex.dk.

Hold i København20.-21. september

+ 4.-5. oktober 2017

og

6.-7. november +20.-21. november 2017

Sebastian A. Thomsen, CTO og DPO, Athgene og deltager foråret 2016

”Kurset gav stort, praktisk anvendeligt udbytte om både jura og it, fordi der var

foredragsholdere fra advokatverdenen såvel som it-sikkerhedsverdenen.

Undervisningen var delvist casebaseret, hvilket gav mulighed for at omsæ tte

læ ring til konkrete eksempler i samarbejde med de andre deltagere.”

Ole Søby, Salgschef hos Miracle, deltager foråret 2016

HVAD ER DATA ACCOUNTABILITY?Data accountability betyder, at den dataansvarlige virksomhed skal tage ansvar for sin databehandling. Dvs. virksomheden skal have styr på data og kunne dokumentere, at de har styr på data. Det kræ ver overblik over data, datastrømme og databehandlere på tvæ rs af organisationen, afdelinger og landegræ nser.

Udover kortlæ gningen af data og dataflow skal der væ re en organisation med klare ansvarsområder omkring databehandlingen, og der skal systematisk laves risikovurderinger af relevante databehandlinger. Dvs. brugerens implikationer ved databehandlingen skal kortlæ gges. Der skal desuden indføres politikker, der beskriver virksomhedens databehandling og processer og dette skal implementeres og vedligeholdes.

Virksomheden skal også have et system, som kan sørge for dokumentation for efterlevelse af politikken og opbevare denne. Der skal også gennemføres intern kontrol til sikring af efterlevelse, ligesom der skal opbevares dokumentation for kontrollen. Endelig skal der væ re en procedure for retning af evt. konstaterede fejl i forbindelse med kontrollen samt intern undervisning.

I forlæ ngelse af ovenstående skal virksomheden sikre at DPO’en eller en tilsvarende person inddrages på relevante områder og tidspunkter i driften.

HVAD BETYDER DATA ACCOUNTABILITY FOR DIN VIRKSOMHED? Hidtil har kun nogle få brancher, eks. finanselle virksomheder, haft præ cise regler om data accountability. Øvrige virk-somheder har blot skulle overholde nogle mere generelle krav til sikkerhedsniveau og saglighed i databehandlingen.

Med EU-persondataforordningen gøres kravene langt mere tydelige og de kombineres desuden med markante sanktioner, hvis reglerne ikke overholdes. Sanktionerne kan både omfatte markante bøder og erstatningskrav samt påbud om at ophøre med brug af data og/eller pligt til at underrette Datatilsynet og berørte datasubjekter i tilfæ lde af datasikkerhedsbrud. Sanktionerne gæ lder også for virksomheder uden krav om DPO.

”Vi har DNA-data på folk, så vi vil kunne stå inde for vores datasikkerhed. Det

betyder bl.a. at vi skal kunne garantere, at man ikke kan spore data, som vi har

slettet på opfordring af en kunde. Det giver nogle teknologiske udfordringer i

forhold til design af vores systemer, som vi skal kende og tage højde for allerede

nu, fordi det tager tid at udvikle.”

NETVÆRKSMULIGHEDUndervisningens opbygning og deltagernes forskellige faglige baggrunde læ gger op til sparring med de øvrige deltagere på holdet.

Efter uddannelsens afslutning inviteres alle deltagere til at deltage i et persondataforum, hvor det er muligt at vende konkrete problemstillinger og hente inspiration til det videre arbejde - både før og efter EU-persondataforordningens ikrafttræ den. Der afholdes netvæ rksmøder hver 3. måned.

Uddannelsen stræ kker sig over i alt 4 dage. Hver dag er opbygget således, at der først er en gennemgang af regler og krav og dernæ st undervisning i hvordan reglerne implementeres og efterleves i praksis. Hver kursusdag indbefatter desuden gruppearbejde og cases.

INTRODUKTION TIL LOVEN, GRUNDLÆGGENDE BEGREBER OG KOBLINGEN TIL DET VIRKELIGE LIVDu får indblik i baggrunden for forordningen, dens indhold, anvendelsesområde samt grundlæ ggende definitioner og begreber, herunder introduktion til DPO’en og dennes funktion.

Vi kobler det juridiske til den grundlæ ggende sikkerhedsproces og best practices på området, herunder ISO 27001-standarden og risikobaseret styring af sikkerheden. Du får bl.a. overblik over hvilke sikkerhedsforanstaltninger der skal væ re på plads og hvilke krav der stilles til resten af organisationen.

DATABEHANDLINGEN OG BORGERNES RETTIGHEDERForordningen giver borgerne flere rettigheder i forbindelse med behandlingen af deres personoplysninger og stiller desuden en ræ kke krav til databehandlerne. Vi gennemgår den dataansvarliges og databehandlerens pligter, kravene til dataoverførsel samt borgernes rettigheder, herunder bl.a. retten til at få slettet data, afslå profilering, indsigtsretten og mulighederne for at få data overført fra én dataansvarlig til en anden.

Ovenstående stiller ikke alene en ræ kke krav til tredjepartsbehandlingen, men også virksomheders interne it-systemer. Vi gennemgår de implikationer som de enkelte krav har i praksis, samt metoder til at vurdere databehandlingens indvirkning på borgernes privacy (Privacy Impact).

DPO’ENS ROLLE, ACCOUNTABILITY OG DOKUMENTATION AF SIKKERHEDENHvilke krav er der til DPO’en og hvilke opgaver og vilkår indgår i jobbeskrivelsen? Vi inviterer en erfaren DPO til at komme og dele ud af sine erfaringer.

Kravene om at kunne dokumentere databeskyttelsen gæ lder alle. Vi giver dig overblik over kravene, sanktionerne, klageprocessen, borgernes rettigheder og myndighedernes rolle. I forlæ ngelse heraf får du indblik i væ rktøjer, der kan understøtte virksomhedens arbejde med at overholde kravene og sikre at de kan reagere på sikkerhedsbrud.

HVORDAN TÆNKES SIKKERHEDEN IND OG HVORDAN KOMMER MAN I GANG SÅ MAN ER I COMPLIANCE I 2018?De nye regler om Privacy by Default og Design stiller krav til god databehandlerskik, dataminering og anonymisering. Sikkerheden skal tæ nkes ind pr. automatik, også i apps, geolocation-løsninger mv. Vi giver dig indblik i reglerne og hvordan man i praksis arbejder med Privacy by Design.

Uddannelsen afsluttes med indføring i, hvordan virksomheden allerede nu kan forberede sig på de nye regler, begynde at afdæ kke indsatsområder og foretage en opgaveprioritering, der sikrer, at man har mulighed for at overholde reglerne, når de træ der i kraft.

UDDANNELSENS INDHOLD

”Jeg føler mig klar til at løfte opgaven. Underviserne var super professionelle og

kunne give os en masse konkrete sager at tage udgangspunkt i. Vi fik et

struktureret forløb over de 4 dage, hvor vi arbejdede med de ting, vi læ rte og

havde mulighed for at fordøje de mange informationer.”Sebastian A. Thomsen, CTO og DPO hos Athgene

UNDERVISERE

Rasmus er advokat og partner hos Delacour, hvor han leder afdelingen for Persondata. Rasmus har 16 års erfaring med persondata i form af rådgivning til danske og internationale virksomheder og er derudover fast underviser i persondata hos Læ gemiddelindustriforeningen, Finans & Leasing samt Medicoindustrien.

Klaus Kongsted er partner og medstifter af Dubex, der siden 1997 har haft et dedikeret fokus på forretningsunderstøttende it-sikkerhed. Han har således næ sten 20 års erfaring med praktisk og risikobaseret sikkerhed og holder jæ vniigt indlæ g om dette og EU-persondataforordningens konsekvenser for danske virksomheder og organisationer. Han er desuden aktivt medlem af DI’s udvalg for informationssikkerhed samt Dubex’ repræ sentant i Rådet for Digital Sikkerhed.

John Wiingaard har flere års erfaring fra GRC/IT-sikkerhedsområdet, samt en solid formel baggrund som bl.a. revisor, CISA, CRP og MBA. Han har bl.a. arbejdet hos Energinet, Deloitte og EBH Bank, samt flere børsnoterede og finansielle virksomheder. Senest har han væ ret ansat hos KPMG i Aarhus, hvor han har hjulpet med genopbygning af deres Advisory funktion. John bestod i foråret 2017 sin eksamen i GDPR/persondataret på juridisk institut ved Syddansk Universitet i Odense.

Rasmus Lund, partner og leder af Delacours afdeling for persondata

Klaus Kongsted, partner og CRO, Dubex

John Wiingaard, GRC Consultant, Dubex

Frederik Raabye har mange års erfaring med softwareudvikling og systemintegration. Han er bredt orienteret om de seneste teknologiske muligheder og ønsker om retten til privatliv. Hos Dubex arbejder han blandt andet med udvikling af forretningssystemer og sikkerhedsanalyser.

Frederik Raabye, Systems Developer, Dubex

ANSVARLIGE FOR UDDANNELSEN

Delacour:Rasmus Lund, rlu@delacour.dk

Dubex:Klaus Kongsted, kka@dubex.dk

Udover specialister fra Dubex og Delacour vil der undervejs i forløbet også væ re indlæ g fra eksterne undervisere med flere års erfaring inden for persondatabeskyttelsesområdet. Tidligere har vi bl.a. haft besøg af Birgitte Kofod Olsen fra Carve Consulting og advokater fra Beck rechtsanwälte.