Breytt persónuverndarlöggjöf frá 2018 var viðfangsefni faghópa um CAF/EFQM, gæðastjórnun, ISO og upplýsingatækni var haldinn á Veðurstofu Íslands í morgun.
Fyrr á árinu voru samþykktar umfangsmestu breytingar sem gerðar hafa verið á evrópskri og þ.a.l. íslenskri persónuverndarlöggjöf í rúm 20 ár. Breytingarnar taka gildi á árinu 2018 en fyrir þann tíma þurfa fyrirtæki og stofnanir að aðlaga starfsemi sína að breyttum - og auknum - kröfum til persónuverndar og öryggis persónuupplýsinga. Réttindi einstaklinga eru jafnframt aukin til muna sem einnig kallar á breytingar í starfsemi þeirra sem vinna persónuupplýsingar.
Alma Tryggvadóttir, skrifstofustjóri upplýsingaöryggis frá Persónuvernd sagði lögin hafa haft langan aðdraganda og undirbúning. Annars er reglugerð um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og frjálst flæði slíkra upplýsinga og hins vegar tilskipun um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga hjá löggæsluaðilum. Markmiðið er að einstaklingar fái betri stjórn yfir upplýsingar um sig. Þetta er því liður í að bæta réttarvernd. Reglugerðin tekur formlega gildi 25.maí 2018. Þeir sem vinna persónuupplýsingar hafa því 1,5ár til að samræma sig. Reglugerðin lýtur að öllum fyrirtækjum í heiminum sem vinna með upplýsingar um Evrópubúa hvar sem þeir eru í heiminum. Ef boðin er þjónusta eða vara til sölu fellurðu innan gildissviðsins. Upplýsingar sem beint má rekja er t.d. nafnið þitt og óbeint IP tölur. Reglugerðin nær til ábyrgðaaðila þ.e. þeirra sem hefja vinnslu og einnig til þeirra sem vinna úr upplýsingum. Hingað til hafa úrvinnsluaðilar verið í skjóli. Ábyrgðar-og vinnsluaðilar eru því báðir orðnir ábyrgir.
Rík krafa er um gagnsæi og að veitt sé fræðsla um upplýsingarnar. Hver er tilgangurinn og hvenær er þeim eytt. Verið er að einfalda aðgang að upplýsingum til einstaklinga. Einstaklingar eiga að geta flutt upplýsingar sínar til, þetta er nýr réttur. Hægt á að vera að fara til einstaklinga og færa allt á milli. Ekki er lengur hægt að loka á upplýsingar. Fyrirtæki og stofnanir þurfa að gefa upplýsingar um eðli upplýsingabrests. Síðan er réttur til að gleymast. Hann felst í að einstaklingur á rétt á að ákveðnum upplýsingum um hann sé eytt. Opinber aðili hefur ekki sama rétt og borgari. Mjög strangar reglur eru komnar. Stofnanir og fyrirtæki þurfa að uppfæra samþykkisferla. Gera einstaklingum kleift að fá allar upplýsingar um sig. Halda skrá yfir vinnsluaðgerðir. Hvaða upplýsingar er ég að vinna, hvar flokkast þær og hvaða tegund er ég að vinna með, eru þær almennar? Undantekning er fyrir stofnanir sem eru undir 250 manns. Síðan er breytt tilkynningarskilda þ.e. tilkynna þarf um allar persónuupplýsingar. Nú þarf að tilkynna um öryggisbrest til Persónuverndar innan 72 klst. frá því bresturinn varð. Einnig þarf að tilkynna hvernig vinna á úr öryggisbrestinum. Einnig er skylda að tilkynna öryggisbrest til einstaklinganna sjálfra.
Fyrirtæki og stofnanir þurfa að skipa sér persónuverndarfulltrúa óháð stærð sinni. Ef kjarnastarfsemi felst í því þá er það nauðsynlegt. Þetta á við tryggingarfélög, banka o.fl. Þessi fulltrúi heyrir beint undir forstjóra, hann þjálfar starfsmenn sem vinna með persónuupplýsingar. Ekki er hægt að pikka hvern sem er út heldur velja þann sem þekkir persónuverndarlögin.
Fyrirtækin eiga að framkvæma mat. Hvað er ég að fara að vinna? Er ég að gæta hófs? Í alvarlegustu tilvikunum á að leita álits persónuverndar samræmist gildandi lögum og reglum. Evrópska persónuverndarráðið (EDPB) mun stórauka sektarheimildir allt að 4% af heildarveltu fyrirtækis.
Það er alveg ljóst að persónuvernd er komin í fyrsta sæti. Nú þarf vitundarvakningu þannig að allir skilji hvaða skyldur hvíla á þeim. Þetta er viðvarandi verkefni fyrir gæðastjórnun og auka þarf vitundina. Nú þarf að byrja á að greina allar upplýsingar. Erum við ábyrgðar eða vinnsluaðili? Það er alveg ljóst að þetta mun kalla á tíma. Tækifæri felast í verndinni, það eykur traust og sá sem fylgir reglunum ætti að fá aukin viðskipti. Framundan er fundarröð hjá Persónuvernd. Haldnar verða málstofur fyrir aðila.
Hörður Helgi Helgason, hdl. Landslög sagði komin tími til að huga að því hvernig hægt væri að aðstoða fyrirtæki við innleiðingu nýju laganna. Núgildandi reglur 77/2000 um persónuvernd hafa kjarnann um hvernig megi vinna með persónuupplýsingar. Lögin kveða á um ákveðnar heimildir og upplýsingaöryggi. Gull hvers fyrirtækis og stofnana eru upplýsingar. Sjávarútvegsfyrirtæki vinna í dag mikið með upplýsingar. Upplýsingar eru þrennt: leynd, réttleiki og aðgengileiki. Tryggja þarf að upplýsingar séu réttar og þeir sem þurfa að komast í upplýsingarnar komist í þær og þær séu réttar t.d. á Landspítalanum.
Á ISO.org er hægt að sjá alla staðla um persónuvernd. En hvað breytist í nýju reglugerðinni? Í fyrsta lagi þá verður sjálfstæð heimild til að vinna með persónuupplýsingar í öryggisskyni. Ef það er þörf eða nauðsyn þá er það heimilt. Annað þá er það uppsetning kerfanna. Ef þau snúa að starfsmönnum þá þarf að passa að starfsmenn fái ekki meiri upplýsingar en þau þurfa. CRM kerfi koma tilbúin uppsett með að vinna mjög mikið með sínum viðskiptavini. Þar þarf að skoða hvort safna megi/eigi öllum þessum upplýsingum. Gegnumgangandi er að menn eru að skipta úr að segja hér eru skyldur í stað þess að nú þarf að skjala jafn óðum og sanna að yfir árabil hafi ráðstafanir verið til sönnunar. Nú þurfa því allir að fara af stað og vera tilbúnir að standa skil á. Nú er komin ný gullin regla. Hver og einn á rétt á að gætt sé öryggis varðandi upplýsingar um hann sem einstakling. Fyrirtæki þurfa núna að kóta niður og sýna hvernig þau gæta upplýsingaöryggis. Fylgt verður hart eftir öryggisreglunni um upplýsingabrest og því að tilkynnt sé um upplýsingabrest til Persónuverndar inna 72 klst.
Hörður benti á að hjá Persónuvernd eru prýðilegir bæklingar personuvernd.is Mikill GDPR-iðnaður er sprottinn upp erlendis og eru linkar á tékklistann í glærum með fyrirlestrinum á innra neti Stjórnvísi. Hörður nefndi að lokum að mikilvægt væri að hafa hliðsjón af ISO 27001 við undirbúning verkefnisins: Tryggja stuðning stjórnenda og halda þeim vel upplýstum, ekki reiða sig um á ráðgjafa því þetta verður að vera sjálfsprottið, fara strax af stað því kostnaðurinn verður mikill ef allt á að gerast á sama tíma. Taka saman skrá um alla vinnslu, setja saman og halda uppfærðri tíma-og kostnaðaráætlun sem taki til gerðar allra verkferla, verklagsreglna og mannaráðninga. Stilla saman þeim sviðum sem eru helstu neytendur persónuupplýsinga, UT-sviði, gæðasviði og lögfræðisviði.
Upplýsingar um hvernig fyrirtæki og stofnanir geta undirbúið sig undir gildistöku um breytta persónuverndarlöggjöf frá 2018.
Um viðburðinn
Breytt persónuverndarlöggjöf frá 2018 - hvað þýðir það fyrir þína starfsemi?
Breytt persónuverndarlöggjöf frá 2018 - hvað þýðir það fyrir þína starfsemi?
Fyrr á árinu voru samþykktar umfangsmestu breytingar sem gerðar hafa verið á evrópskri og þ.a.l. íslenskri persónuverndarlöggjöf í rúm 20 ár. Breytingarnar taka gildi á árinu 2018 en fyrir þann tíma þurfa fyrirtæki og stofnanir að aðlaga starfsemi sína að breyttum - og auknum - kröfum til persónuverndar og öryggis persónuupplýsinga. Réttindi einstaklinga eru jafnframt aukin til muna sem einnig kallar á breytingar í starfsemi þeirra sem vinna persónuupplýsingar. Farið verður yfir helstu breytingarnar sem löggjöfin kallar á um og settar fram leiðbeiningar um hverju þurfi að huga að í framhaldinu.
Með framsögu farar Alma Tryggvadóttir, skrifstofustjóri upplýsingaöryggis frá Persónuvernd og Hörður Helgi Helgason, hdl. Landslög
Fleiri fréttir og pistlar
Nýlega barst fyrirspurn til Stjórnvísi frá áhugasömum félaga um að endurvekja stjórn faghóps um þjónutu-og markaðsstjórnun. Í framhaldi var sendur út póstur til félaga þar sem óskað var eftir áhugasömum í stjórn faghópsins. Viðbrögðin létu ekki á sér standa þar sem búið er að mynda 10 manna stjórn sem fundaði á VOX. Þar kynntu félagara sig og farið var yfir ábyrgð og hlutverk stjórna faghópa Stjórnvísi. Stjórnin kaus Maríu Ágústsdóttur ON sem formann og Hildi Ottesen sem varaformann. Áhugasamir eru hvattir til að skrá sig í faghópinn með því að smella hér.
Stjórn faghópsins skipa: Ásdís Gíslason Slökkvilið höfuðborgarsvæðisins, Brynja Ragnarsdóttir Veitur, Heiðrún Grétarsdóttir Bananar, Hildur Ottesen Harpa, Hjördís María Ólafsdóttir Happdrætti Háskóla Íslands, Ingibjörg Magnúsdóttir Pílukast ehf, María Ágústsdóttir ON, Sædís Jónasdóttir Samgöngustofa, Unnur Líndal ON og Þórhallur Örn Guðlaugsson Háskóli Íslands.
Yfir þrjátíu áhugaverðir aðilar sýndu áhuga á að setjast í stjórn faghóps um verkefnastjórnun, allt afburðarfólk. Úr vöndu var að ráða við að móta stjórn hópsins. Úr varð fjórtán manna stjórn, sem endurspeglar vel fjölbreytileika þeirra sem áhuga sýndu. Fyrsti fundur nýrrar stjórnar var á Kringlukránni í dag þar sem félagar kynntu sig og farið var yfir ábyrgð og hlutverk stjórna faghópa Stjórnvísi. Þar sem helmingur stjórnar var staddur erlendis stefnir stjórnin á að hittast aftur í júní til að móta hugsanlegar áherslur hópsins. Stjórnin kaus Gísla Rafn Guðmundsson sem formann og Aðalstein Ingólfsson sem varaformann. Áhugasamir eru hvattir til að skrá sig í faghópinn með því að smella hér.
Stjórn faghópsins skipa: Aðalsteinn Ingólfsson MT Sport, Auður Íris Ólafsdóttir Hagar, Daníel Sigurbjörnsson Efla, Eygerður Margrétardóttir Ríkislögreglustjóri, Gísli Rafn Guðmundsson Framkvæmdasýslan-Ríkiseignir, Halldóra Traustadóttir Reykjavíkurborg, Hannes Bjarnason Sjúkrahúsið á Akureyri, Íris Elma Guðmann Dómstólasýslan, Lísbet Hannesdóttir Háskólinn á Akureyri, Signý Jóna Hreinsdóttir Landspítali, Sigurður Blöndal Háskólinn á Bifröst, Steinunn Anna Eiríksdóttir Háskóli Íslands, Þóra Kristín Sigurðardóttir Eimskip og Unnur Helga Kristjánsdóttir Strategia.
Fundur haldinn: 4 júní 2025
Aðilar: Vilborg Magnúsdóttir Isavia Innanlands, Lilja Birgisdóttir Marel, Viðar Arason HS Orka, Snorri Páll Davíðsson Háskóli Íslands, Eggert Jóhann Árnason Bætt Öryggi, Erlingur E. Jónasson LSE og Fjóla Guðjónsdóttir Isavia Ohf sem jafnframt ritaði fundargerð.
Gísli Níls Einarsson og Eyþór Víðisson boðuðu forföll.
Dagskrá:
- Yfirferð síðasta starfstímabils
- Kosning í stjórn og formanns
- Drög að viðburðum næsta starfstímabils
- Önnur mál
Yfirferð síðasta starfstímabils
Nokkur lægð var í starfsemi hópsins á tímabilinu september 2024 til maí 2025. Þrátt fyrir að drög hefðu verið lögð að viðburðum tímabilsins og margar góðar hugmyndir komu fram til að efla og fjalla um öryggismá á víðum grunni þá raungerðust þær ekki.
Eini viðburðurinn var haldinn í júní í samstarfi við Öryggishóp Samorku og bar yfirsögnina Orka og Öryggi. Þar var fjallað um helstu áskoranir þeirra starfsvettvangur á við að etja og leiðir sem og aðferðir sem þeir hafa tekið upp. Virkilega áhugavert og verður spennandi að fylgjast með áframhaldandi vinnu.
Hópurinn var sammála um að efling öryggisumræðu væri mikilvæg og þessi vettvangur gæti lagt mikið til. Áríðandi að allir í stjórn séu virkir og taki frumkvæði að því að koma með hugmyndir og setja upp viðburði.
Kosning í stjórn og formanns
Auglýst hafði verið eftir aðilum í stjórn þar sem tveir aðilar hafa hætt á tímabilinu.
Viðbót í stjórn: Viðar Arason HS Orka, Snorri Páll Davíðsson Háskóli Íslands og Eggert Jóhann Árnason Bætt Öryggi hafa því bæst við í stjórn Öryggishóps Stjórnvísi.
Formaður: Fjóla Guðjónsdóttir bauð sig fram til formanns til aðalfundar 2026. Engin mótframboð voru og því framboð samþykkt.
Samsetning stjórnar 2025-2026 er því eftirfarandi:
Vilborg Magnúsdóttir Isavia Innanlands, Lilja Birgisdóttir Marel, Viðar Arason HS Orka, Snorri Páll Davíðsson Háskóli Íslands, Eggert Jóhann Árnason Bætt Öryggi, Erlingur E. Jónasson LSE, Fjóla Guðjónsdóttir Isavia Ohf. Gísli Níls Einarsson Öryggisstjórnun/Alda Öryggi og Eyþór Víðisson Reykjavíkurborg.
Formaður sendir fundarseríu á stjórn fyrir starfstímabil.
Drög að viðburðum næsta starfstímabils
Margar góðar hugmyndir komu fram og stjórnin einhuga um að bjóða upp á fræðandi og flotta dagskrá.
Drög að dagskrá vetrarins:
- Öryggi og LEAN á það samleið og eykur LEAN öryggi
- Ábyrgð Lilja, september 2025
- Hvað er Bætt Öryggi og hvernig vinnur fyrirtækið til að auka öryggi
- Ábyrgð Eggert, nóvember 2025
- Hvernig eru og fyrir hvað standa Gullnu Reglurnar
- Ábyrgð Viðar, október 2025 eða janúar 2026
- Vinna í opnu rými, hefur það áhrif á heilsu?
- Ábyrgð Vilborg haldið í samvinnu við Vinnís
- Tæknin og öryggi, hvernig vinnur Tesla að bættu öryggi með tækni
- Ábyrgð Lilja (Fjóla) tími ekki ákveðinn
Önnur mál
Vilborg sagði frá alþjóðlegri ráðstefnu um atferlismiðaða hegðun sem haldin verður þann 9 og 10 október 2025.
Þann 21.maí var haldinn aðalfundur faghóps um stjórnun upplýsingaöryggis.
Farið var yfir þá viðburði sem haldnir voru á starfsárinu sem var að líða. Rætt var um markmið og tilgang hópsins, hver sé markhópur þeirra kynninga sem hópurinn stendur fyrir og hvort að tækifæri séu til að gera betur. Þessi mál verða rædd nánar á komandi starfsári en hópurinn var sammála um að mörg tækifæri eru fyrir hópa eins og þennan.
Kosning stjórnar fór fram þar sem Jón Kristinn Ragnarsson var endurkjörinn sem formaður hópsins. Auk hans gáfu Benedikt Rúnarsson, Friðbjörn Steinar Ottósson, Sigurður Bjarnason og Tryggvi Níelsson aftur kost á sér. Hrefna Gunnarsdóttir bættist við hópinn eftir áramót og bauð einnig kost á sér. Auk þeirra voru ný framboð, Auður Íris Ólafsdóttir og Gná Guðjónsdóttir buðu kost á sér í hópinn og eru þær boðnar velkomnar. Fyrirkomulag hópsins er að fjöldi og fjölbreytileiki stjórnar er mikill kostur og þess vegna eru öll boðin velkomin að taka þátt í þessari vinnu.
Faghópurinn fer nú í sumarfrí en mun hefja skipulagsvinnu að sumri loknu.
Nýkjörin stjórn Stjórnvísi hélt í dag vinnufund stjórnar þar sem m.a. var ákveðið þema fyrir starfárið 2025-2026. Þemavinnan var unnin í miro.com og var niðurstaðan sú að þemað var valið "Framsýn forysta". Útfærslan verður kynnt nánar á Kick off fundi í ágúst.
- Samskiptasáttmáli. Fundurinn hófst með því að Anna Kristín Kristinsdóttir formaður stjórnar Stjórnvísi bauð alla velkomna og fór yfir dagskrá og markmið fundarins. Formaður Stjórnvísi kynnti hugmynd að samskiptasáttmála stjórnar 2025-2026 þar sem m.a. var rætt um að: 1. Mæta undirbúin á stjórnarfundi 2. Mæta tímalega 3. Taka ábyrgð á verkefnum 4. Hafa uppbyggilega gagnrýni 5. Samskipti opin og eðlileg 6. Vera á staðnum. 7. Allt stjórnarfólk sé virkt í starfi stjórnar. 8. Stjórn ákveði sameiginlega hvar og hvernig samskipti eiga sér stað.
- Í framhaldi kynnti stjórnarfólk sig og sagði örstutt frá sér.
- Yfirferð á framtíðarsýn, stefnu, gildum, lögum og siðareglum. Anna Kristín fór yfir framtíðarsýn, stefnu, gildi, meginmarkmið lög og siðareglur.
- Áætlun og lykilmælikvarðar. Áætlun félagsins stenst og eru tekjur á áætlun. Áætlun félagsins er uppfærð reglulega allt árið og er aðgengileg stjórnarfólki í Sharepoint. Stjórn var hvött af framkvæmdastjóra félagsins til að fara inn á Sharepoint reglulega.
- Farið var yfir aðganga stjórnar að Sharepoint, Teams, Facebook og skráning stjórnar í faghópinn „stjórn Stjórnvísi“.