Tanker om fremtiden. Kredittforum, Oslo Børs, 2. september 2010 Bjørn Erik Thon, direktør, Datatilsynet

Transkript

1 Tanker om fremtiden Kredittforum, Oslo Børs, 2. september 2010 Bjørn Erik Thon, direktør, Datatilsynet

2 Dagens tema Helt kort om Datatilsynet og personvern Et bakteppe anno 2010 Tre nye, viktige satsinger Gjeldsregister Klassifisering av forbrukere Personvernombud Datatilsynets som rådgiver ID-tyveri ( hvis tid) Noen foreløpige tanker om Datatilsynet mot år 2015

3 Datatilsynet Uavhengig forvaltningsorgan Etablert i 1980 Kan ikke instrueres av Kongen eller departementet Administrativt underlagt FAD 40 medarbeidere - Fire avdelinger Juridisk Tilsyns- og sikkerhet Informasjon Administrasjon Side 3

4 Datatilsynet Håndhever personopplysningsloven, helseregisterloven, statistikkloven + annet lovverk Saksbehandling Tilsyn/kontroll Veiledning/informasjon Tre viktige prosjekter Slettmeg.no Personvernombud Kommuneprosjektet Dubestemmer

5 Personvernnemnda Avgjør klager over Datatilsynets avgjørelser Klager skal stiles til Datatilsynet som eventuelt videresender til PVN Beslutningene er endelige og kan bare omgjøres gjennom søksmål Søksmål om nemndas avgjørelser skal rettes mot staten v/pvn Faglig uavhengig Kan ikke instrueres av Kongen eller departementet Administrativt underlagt FAD 7 medlemmer Leder: Advokat Eva Jarbekk Oppnevnes for 4 + evt. 4 år Sekretær Side 5

6 Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til å bestemme over egne personopplysninger Retten til å være i fred Side 6

7 Noen ord om fortsettelsen Lett blanding og fra spredte felter Et bakteppe Noe er tenkt, men ikke tenkt ferdig Allikevel indikerer forhåpentligvis en tankeretning

8 Hvordan ser samfunnet ut per 2010? Sosiale medier Tingenes internett - sensorteknologi Symantisk web Økt eksponering for ID-tyveri Overvåkning Lokaliseringsteknologi Kommersiell bruk av personopplysninger Lagring er billigere enn sletting

9 NOU 2009:1 Individ og integritet Teknologiske trender som utfordrer personvernet 9.1 Nanoteknologi 9.2 Kommunikasjonsteknologi 9.3 Integrerte dataprosessorer i produkter 9.4 Radiofrekvensidentifikasjon 9.5 Elektroniske brikker og kort 9.6 Sensorteknologi 9.7 Biometri 9.8 Trådløs kommunikasjon og lokaliseringssporing 9.9 Internettavlytting 9.10 Digitalt fjernsyn 9.11 DNA-profilering DNA-registeret i Norge

10 Tre viktige fokusområder Sosiale medier Web 3.0 ( tingenes internett, Symantic web) Kommersiell utnyttelse/bruk av personopplysninger

11 Facebook Places og andre

12 Sosiale medier Facebook 500 millioner brukere 60% av Norges befolkning Eksorbitant innsamling av personopplysninger Vår innsatsfaktor er våre personopplysninger

13 Sosiale medier og andre - utfordrer vår måte å tenke personvern på Nasjonalstatene bygges ned, makt sentraliseres, fri flyt predikes, felles regelverk og felles håndheving bygges opp Parallelt med dette bygges mektige selskaper opp, særlig i USA. Utfordrer jurisdiksjon.

14 Noen viktige strategiske valg Ikke være engstelige for å gå etter de store Satse på internasjonalt samarbeid og nettverk Folks håndtering av egne personopplysninger blir viktige vi må være vårt eget personvernombud

15

16

17 Hva er problemet Samtykke Rekkevidden Informert Og hva samtykker man egentlig til?

18 og dette drar oss over i neste tema Hvordan brukes disse opplysningene kommersielt? En tur nedover Karl Johan Endre sivil status på Facebook Hva skjer om en kvinne ikke lenger kjøper damebind? Hvordan lagres, bearbeides og systematiseres personopplysninger og hva brukes de til?

19 Gjeldsregister Gjeld = svært følsomme opplysninger Et gjeldsregister må hjemles i lov og omfatte alle myndige personer Vil ikke omfatte all gjeld private, arbeidsgiver, utenlandsk gjeld ol Vi stillet et stort spørsmålstegn ved registerkvaliteten hvordan oppdatere v/nedbetaling og lignende Manglende proposjonalitet et inngrep mot mange vil hjelpe veldig få

20 Kundeklassifisering/scoring Personprofil: opplysninger om navn, evner, preferanser, behov og lignende Bruk av personprofiler utløser informasjonsplikt Dersom det kun brukes Grunndata fra SSB Opplysninger som ikke er personidentifiserbare er det ikke snakk om en personprofil i POLs forstand

21 Datalagringsdirektivet

22 Datalagringsdirektivet Individ og Integritet - personvernkommisjonen Etter Personvernkommisjonens oppfatning er det derfor ønskelig med en grundig utredning av behovet for et regelverk som sikrer politiets arbeidsmetoder og ivaretar personvernet. Vi mener at datalagringsdirektivet setter både personvernet og ytringsfriheten på prøve. Verdien av lagring må nemlig også veies opp mot effekter på frimodighet.. Allerede vissheten av at noen kan lete seg fram til dine kontakter og dine bevegelser, både i det virkelige rommet og på Internett, kan være nok til å hemme borgere i utøvelsen av sine friheter til å samles, til å ytre seg og til å søke opplysninger. Dette er grunnleggende rettigheter i et demokrati, som kommer til uttrykk både i norsk lovgivning og i Den europeiske menneskerettskonvensjon (EMK).

23 Datalagringsdirektivet Uproposjonalt Virker ikke etter hensikten Formålsutglidning En del trafikkopplysninger finnes allerede Hvis vi sier ja nå, kan vi si nei siden? Kan så enorme mengder informasjon overhode systematiseres og brukes på en fornuftig måte Diskusjon om DLD som gavepakke til oss som er opptatt av personvern

24 ID tyveri

25 ID tyvens buffet

26 Personopplysninger + Personlige dokumenter + Et anerkjent identitetsdokument = dekket bord Spesielt attraktive konvolutter vil være forsendelser fra skattemyndighetene, bank- og finansinstitusjoner, passmyndighetene og ulike offentlige kontorer

27

28 Personvernombud

29 Hva gjør et personvernombud? Et personvernombud er en ressursperson og rådgiver for virksomheten med solid kunnskap om personvernregelverket. Personvernombudets fremste oppgave er å styrke virksomhetskulturen på personvernfeltet og fremme kunnskap om regelverket. Personvernombudet er en veileder til bedre etterlevelse av regelverket Side 29

30 Personvernombudets viktigste oppgaver - Være rådgiver for virksomhetens ledelse og ansatte i personvernspørsmål - Motta meldinger om virksomhetens behandlinger av personopplysninger og føre tilgjengelig oversikt - Bistå i virksomhetens internkontroll - Påpeke brudd på personvernregelverket internt og bistå ledelsen i løsningsarbeidet - Kontaktperson for den registrerte (kunder, ansatte, etc) Side 30

31 Personvernombudets ansvarsområde Personvernombudet skal påse at virksomheten følger personvernregelverket. Dette innebærer at virksomheten: INFORMERER om hvilke personopplysninger som blir samlet inn og hvorfor. HOLDER OVERSIKT over personopplysningene. GIR INNSYN til den opplysningene gjelder. KONTROLLERER TILGANGEN til personopplysningene Side 31

32 Personvernombudets ansvarsområde BER OM SAMTYKKE fra de personopplysningene gjelder før opplysningene blir behandlet. BESKYTTER INFORMASJONEN slik at den ikke kommer på avveier. VURDERER RISIKO for sikkerhetsbrudd og konsekvenser. SLETTER personopplysninger det ikke lenger er behov for Side 32

33 Teknologisk innebygd personvern Vi må inn i prosessen så tidlig som mulig Bompenger Billetteringssystemer Helseregistre Ecall Nytt folkeregister Standardisering Kryptering Annen personvernfremmende teknologi

34 Datatilsynet som rådgiver Kostnadsfri råd ig veiledningstjenester Møter ca hver 5. uke Telefon og epost-støtte

35 Noen foreløpige tanker om Datatilsynet mot 2015 Nye plandokumenter Langsiktig strategi Datatilsynet mot år 2015 Internasjonal satsing Sosiale medier, web 3.0 og kommersiell benyttelse av personopplysninger Overvåkning og lokalisering Personvernfremmende teknologi

36 Et proaktivt Datatilsyn Arbeidsformer Dialogbasert, men ikke redd for å bruke sanksjoner Tydelig og synlig Teknologi-interessert og teknologi-optimistisk

37 Theodor Roosevelt, USAs president : Speak softly, and carry a big stick, and we will go far