Innhold. Introduksjon ved Torgeir Waterhouse... 21

Transkript

1 Introduksjon ved Torgeir Waterhouse Innledning Bokens inndeling Hvorfor er personvern viktig og hvorfor er det viktigere nå enn før? Bakgrunn for de nye reglene Sanksjonsapparat og gruppesøksmål Risikobasert implementering Personvern i oppkjøpssituasjoner Egne vurderinger blir viktigere Kilder om personvern Personopplysningsloven og GDPR Veiledning til å lese forordningen Veiledninger fra artikkel 29-gruppen, WP29, EDPB Veiledning fra tilsynsmyndighetene Litteratur Sentrale begreper Når gjelder personvernforordningen? Hva er en personopplysning? Særlige kategorier av personopplysninger Roller og ansvar Behandlingsansvarlig Databehandler Underdatabehandler Generelle grunnleggende prinsipper Sjekkliste for om grunnleggende prinsipper er ivaretatt Lovlighet Rettferdighet Åpenhet Formål

2 Nøyaktighet Lagringstid Personvernets rolle for IT-porteføljen Virksomhetsarkitektur hva er det? Personvern og sikkerhet prioriteres ikke alltid Felles forståelse for grunnleggende prinsipper innen sikkerhet og personvern Forholdet mellom kunde og leverandør Behandlingsgrunnlag Innledning Plikt til å presisere behandlingsgrunnlaget for hvert formål, endring av behandlingsgrunnlag Hjemmel for å behandle alminnelige personopplysninger Hjemmel for å behandle særlige kategorier av personopplysninger Om konsern og behov for å dele personopplysninger mellom organisasjonsnumre Samtykker Generelt om samtykker De enkelte kravene til samtykker Sjekkliste for samtykker Om avtaler Om berettiget interesse Hovedregler Utføring av vurderingen Sjekkliste for berettiget interesse Om lov Gjenbruk av personopplysninger til andre formål Individets rettigheter Innledning Hvordan kan rettigheten fremsettes? Hvordan sikre at den som krever noe er rette vedkommende? Informasjon, åpenhet Retningslinjer fra WP29 om informasjonsplikten Generelt Klart språk Informasjon i ulike kanaler Brukerpaneler Informasjon til barn Endringer i personvernerklæringer Unntak fra informasjonsplikten

3 Når skal de registrerte få informasjonen? Noen særlige tilfeller Sjekkliste om informasjonsplikten Innsyn Innledning Hva har den registrerte rett til? Egne skjema for innsynsbegjæring? Hvordan skal opplysningene formidles til de registrerte? Må man forklare informasjonen som sendes til den registrerte? Hva med forespørsler om store mengder personopplysninger? Hva med forespørsler som er gjort på andres vegne? Hva med informasjon som inneholder personopplysninger om andre? 98 Innsyn og bruk av databehandlere Unntak fra innsynsrett Retting Hva består rettekravet i? Hvordan håndheves retten? Når er data uriktige? Hva med personopplysninger som viser en feiltakelse? Hva med vurderinger som er omstridt? Hva skjer mens man vurderer om noe er uriktig? Hva om virksomheten mener at personopplysningene er riktige? Hva om personopplysningene er delt med andre virksomheter? Sletting Når gjelder retten til å bli glemt? Hva om personopplysningene er delt med andre virksomheter? Unntak fra retten til å bli glemt Begrensning Innledning Når gjelder retten til begrensning av behandling? Hvordan begrenser man en behandling? Kan man gjøre noe med personopplysningene som skal behandles begrenset? Plikt til å informere andre virksomheter om begrensningen av personopplysninger Når kan begrensningen avsluttes? Rett til å protestere Må man informere de registrerte om retten til å protestere? Når gjelder retten til å protestere? Må personopplysninger slettes for å respektere en protest? Dataportabilitet Innledning Når gjelder retten til dataportabilitet?

4 Hva kan kreves portert? Anonyme eller pseudonyme personopplysninger Hva hvis personopplysningene inneholder informasjon om andre?. 113 Om overføring direkte til en annen behandlingsansvarlig Hvordan skal personopplysningene overføres? Hva skjer hvis en virksomhet mottar personopplysninger om et individ som har begjært personopplysninger portert til virksomheten?. 115 Rettigheter knyttet til automatiserte beslutninger og profilering Hva er automatiserte beslutninger og profilering? Hovedregel om automatiserte individuelle beslutninger og profilering. 117 Når kan automatiserte beslutninger og profilering utføres? Særlige krav Enkelte felles forhold for alle rettighetene Kan man nekte å imøtekomme en forespørsel? Kan det tas gebyr for å gjennomføre rettighetsforespørselen? Hvor raskt må forespørsler etterkommes? Sjekkliste for individets rettigheter Generell sjekkliste som gjelder for alle begjæringer Sjekkliste for sletting Sjekkliste for retting Sjekkliste for innsyn Sjekkliste for begrensning Sjekkliste for dataportabilitet Sjekkliste for retten til å protestere Sjekkliste for automatiserte behandlinger Oversikt over behandlingsgrunnlag og rettigheter Innledende risikovurderinger (ROS) Innledning Hva skal vurderes i en personvernfokusert ROS-analyse? i en ROS-analyse Innledning Klassifisering av risiko Mal for ROS-analyse og identifikasjon av uønskede hendelser Andre sikkerhetsvurderinger Kommuniser vurderingene til de som skal lage løsninger Vurdering av personvernkonsekvenser (DPIA) Innledning DPIA erstatter meldeplikt og konsesjon Kriterier for å gjennomføre en DPIA Unntak Tidspunkt for gjennomføring og revurdering

5 Overordnet gang i DPIA-prosessen Hvordan virksomheten må arbeide med DPIA Nyutvikling: En DPIA eller flere? Minimumsinnhold og mal Steg 1: Identifisér behovet for en DPIA Steg 2: Beskriv behandlingen av personopplysninger Steg 3: Innhenting av synspunkter og ekspertise Steg 4: Vurdering av nødvendighet og proporsjonalitet Steg 5: Risikoanalyser og korrigerende tiltak Steg 6: Godkjenning og arkivering «Informasjonsreisen» en metode for informasjonskartlegging Forankring av informasjonssikkerhet Innledning Store mørketall Invester i opplæring Grunnsikring, og spesifikk sikkerhet Sikkerhet krever kontinuerlig oppfølging Sikkerhetskultur Noen sikkerhetsrelaterte aktiviteter forbundet med forordningen Råd: Utfør alltid risiko- og sårbarhetsanalyser Metoder og oppfølging Et eksempel Fire typer kompetanse og tiltak for personvern og sikkerhet Lovverk, forskrifter og bransjestandarder Rutiner, prosedyrer, opplæring Infrastruktur og tilgangssystemer Virksomhetsarkitektur og løsningsarkitektur Rutiner og dokumentasjon ISO serien og andre standarder Sertifisering garanterer ikke god sikkerhet NIS-direktivet Forholdet mellom sikkerhet og personvern i virksomheten Krav til leverandører Spørsmål som kan stilles til leverandører Andre veiledninger på nettet Personvernombud og andre roller med ansvar for personvern Innledning Hvem må ha personvernombud Hvilke virksomheter omfattes av «offentlig myndighet og organ»?. 168 Plikt til å ha personvernombud i privat sektor Databehandlere og personvernombud

6 Antall ombud Eksterne eller interne ombud Personvernombudets kvalifikasjoner Offentliggjøring av ombudets kontaktinformasjon Personvernombudets rolle og oppgaver Hvordan ombudet bør prioritere Ombudets uavhengighet og rolleforståelse i virksomheten Taushetsplikt for personvernombud Praktiske råd fra erfarne personvernombud Hvordan personvern og sikkerhet kan og bør håndteres av andre roller. 178 Ledelsen Personvernrådgiver og Chief Privacy Officer, CPO IT-sikkerhetsansvarlig Forretningsutvikling Brukeropplevelse (UX) Virksomhetsarkitekt IT-ansvarlig IT-utvikling og forvaltning Data scientist og andre som arbeider med rapportering og stordata Anonymisering og pseudonymisering Innledning Felles holdning til pseudonymisering og anonymisering i virksomheten. 185 Noen anvendelsesområder Anerkjente metoder Tokenization Kryptering med en kjent nøkkel Hashing Bruk av støy (noise) Erstatning (substitution) Permuteringer Aggregering: «K-anonymity» Aggregering: «L-diversity» Generalisering Differential privacy Periodevis håndtering er ofte nødvendig for å oppnå anonymisering. 190 To kilder til statistikk fortløpende og oppsummert Smidig systemutvikling med innebygd personvern Innledning De syv grunnleggende prinsippene for innebygget personvern Vær i forkant, forebygg fremfor å reparere Gjør personvern til standardinnstilling

7 3. Bygg personvern inn i designet Skap full funksjonalitet Ivareta informasjonssikkerheten i hele kundereisen Vis åpenhet Vis respekt for den registrerte Valg av behandlingsgrunnlag har stor betydning Unike forutsetninger for hvert system Betydning for tilgang, lagringstid, pseudonymisering og anonymisering. 194 Smidige utviklingsprosesser og personvern Begreper som blir brukt i smidig utvikling Hvor lite ekstra formalisme kan man slippe unna med? Fra DevOps til DevSecPrivOps? En intern leverandør er også en leverandør Datatilsynets veileder Design for sikkerhet Noen gode sikkerhetsprinsipper Design for personvern Databasedesign og informasjonsflyt Tilgangskontroll Gjem og skjul: Skill person og prosess Etabler livssyklusoversikter for personopplysningene Audit trail? Personopplysninger kan forekomme mange steder Teknologier som en bør være varsom med Tiltak på tvers av prosjekter Etabler en logisk modell med personopplysninger Identifiser hjemmel for hver type behandling i hvert system Zero trust (ingen tillit) Logg-analysatorer gjør en i stand til oppdage angrep Håndtering av sikkerhetshendelser Dokumentér og sikre dataflyt for hele utviklingsløpet Tiltak for hvert prosjekt/team Kravhåndtering Interaksjonsdesign for innebygget personvern Sørg for at teamet samlet kan nok om sikkerhet og personvern Planlegging og bemanning Sikkerhet og personvern må inn i arkitekturen på et tidlig tidspunkt. 208 Kodestandarder og konvensjoner Bruk av komponenter og åpen kildekode Kvalitetssikring Testing Aspekter knyttet til forvaltning Avvikshåndtering

8 Omfanget av sikkerhetstestingen må stå i stil til leveransene Livssyklus-håndtering av komponenter Ha gode rutiner for oppfriskning av ROS-analyser og DPIA Ha et personvernvennlig regime for feilretting Artiklenes påvirkning på kravene til IT-systemene og forvaltningen Artikkel 7: Samtykke Artiklene 12, 13 og 14: Transparens Artikkel 15: Retten til innsyn Artikkel 16: Rett til korrigering Artikkel 17: Retten til å bli glemt Artikkel 18: Rett til å nekte behandling, begrensning Artikkel 19: Underretningsplikt Artikkel 20: Rett til dataportabilitet Artikkel 22: Profilering og automatiske avgjørelser Artikkel 32: Sikkerhet ved behandlingen Artikkel 35: Vurdering av personvernkonsekvenser og forhåndsdrøftelser Test på produksjonsdata Innledning Tekniske forhold Behandlingsgrunnlag Informasjonsplikt Gjennomføring av test Utviklingsrelatert dokumentasjon Økede krav til sikkerhet krever ny kompetanse Økede krav trenger økt fokus Måter å tilegne seg kunnskap innen sikkerhet på Personvernkompetanse for utviklere og systemarkitekter Kompetanse for de som jobber med interaksjonsdesign og kundereiser. 224 Stordata, kunstig intelligens og maskinlæring Innledning Behandlingsgrunnlag og rettighetsspørsmål knyttet til grunndata Beslutninger basert på KI Transparens, åpenhet Sjekkliste for innebygget personvern og personvern som standardinnstilling Databehandleravtaler Innledning Én eller flere databehandleravtaler eller en standardavtale? Når kreves en databehandleravtale? Grensesituasjoner Sjekkliste for grensesituasjoner

9 Typetilfeller for IT-systemer Krav til databehandleren i en databehandleravtale Databehandleravtalen må beskrive selve behandlingen Behandlingens art, formål og varighet Kategorier av registrerte som omfattes, samt hva slags personopplysninger som behandles Behandlingsansvarliges plikter og rettigheter Databehandlerens forpliktelser Særlig om kostnader Særlig om erstatning og overtredelsesgebyrer Konserndatabehandleravtaler Skytjenester og databehandlere i tredjeland Innledning Særlig om overføring av personopplysninger til tredjeland Overføringsgrunnlag Kritikk mot overføringsgrunnlagene Andre generelle forhold om skytjenester BCR bindende virksomhetsregler Dokumentasjon og rutiner Innledning Krav til å dokumentere etterlevelse, protokoll Er kravet til protokoll nødvendig og tilstrekkelig? Kartlegging Annen dokumentasjonsplikt Særlig om personvernerklæringer Om utforming av dokumentasjonen Styrende dokumentasjon Gjennomførende dokumentasjon IT-instruks for ansatte Sikkerhetskopier, back-up Atferdsnormer Innledning Hvordan lager man en atferdsnorm? Avvik, sikkerhetsbrudd Innledning Hovedregel Vurdering av alvorligheten Rutine for håndtering av brudd Intern håndtering og varsling til Datatilsynet

10 Hva skal varselet til Datatilsynet inneholde? Særlige unntak Typiske behandlinger for mange virksomheter Innledning HR-opplysninger Rekruttering Personvernerklæring for søkere Hvilke personopplysninger kan lagres etter avsluttet rekrutteringsprosess? Rekrutteringsbyråer og jobbsøkerportaler Hvor lenge kan personopplysninger om søkere og ansatte lagres? Kundedata, markedsføringshenvendelser og nyhetsbrev Juridiske utgangspunkter Et mulig scenario: En nettbutikk før og etter forordningen Når krever markedsføringsloven samtykke? Når trenger man ikke samtykke? Ehandelslovens bestemmelser Særlig om potensielle kunder Informasjonsplikt Cookies Generelt Ulike typer informasjonskapsler Juridiske rammer Ny lovregulering eprivacy-forordningen Personvern og offentlig anbud Vedlegg Råd fra erfarne personvernombud Personvernombudet i NAV DPO i Schibsted Media Group AS DPO i Telenor Norge ASA Personvernombud i Oppland fylkeskommune og Hedmark fylkeskommune DPO i Basefarm ASA Personvernombud i Finans Norge Forsikringsdrift Eksempler på sikkerhetskrav til leverandører Innsynsbegjæring Litteratur og kilder Kilder Viktige veiledninger fra EDPB/WP Stikkord