«Er det utfordringer med ny personvernforordning?» Oppsummerende rapport fra Sikkerhetstoppmøtet 12. november 2015

Transkript

1 «Er det utfordringer med ny personvernforordning?» Oppsummerende rapport fra Sikkerhetstoppmøtet 12. november 2015

2

3 Innhold 5 Innledning Om dette møtet Arrangører 6 Tidligere tema 7 Dagens situasjon Organisering Personvernombud Omfang av personopplysninger Dagens regelverk Opplæring 9 Utfordringer Organisering av personvern Nå frem til ledelsen Personvernombud Store mengder personopplysninger Formål med behandling Innhenting av samtykke Målrettet informasjon Retten til portabilitet Retten til å bli glemt Datakriminalitet og hacktivism Kunder og ansatte Store bøter med ny forordning 13 Viktige råd og tiltak Ny personvernforordning Ledelsesforankring Personvernombud Big data Standardisering Innebygd personvern Konkurransefortrinn Opplæring sikkerhetstoppmøtet 3

4

5 Innlening Om dette møtet Det sekstende Sikkerhetstoppmøtet hadde 52 deltakere fra både offentlig og privat sektor. Møtet ble innledet med 3 foredrag; «Ny personvernregulering status og innhold» av Bjørn Erik Thon, direktør Datatilsynet, «Hvordan vi arbeider med personvern i nav» av Tone Gangnæs, seniorrådgiver nav og «Telenor, personvern - og ny personvernforordning», Anders Holt, personvernombud Telenor. Deretter var det to runder med rundeborddiskusjoner. Arrangører Prosjektledere Tone Hoddø Bakås, nestleder Norsis Sofie Nystrøm, Direktør ccis Samarbeidspartnere Ole Tom Seierstad, ciso, Microsoft Norge Anders Føyen, Microsoft Norge Halvor Oseid, director, kpmg Frida Næss-Ulseth, associate, kpmg Ingvild Mogensen, associate, kpmg Øvrig arrangørstab Roger Johnsen, Administrerende direktør, Norsis Bjarte Malmedal, seniorrådgiver, Norsis Peggy Sandbekken Heie, seniorrådgiver, Norsis Anne Skeidsvoll Granli, Koordinator, Norsis Mats Authen, rådgiver, Norsis Stewart Kowalski, professor, Høgskolen i Gjøvik/ ccis Maria Henningsson, rådgiver, Høgskolen i Gjøvik/ ccis Rapport skrevet av Tone Hoddø Bakås, Norsis Mats Authen, rådgiver, Norsis sikkerhetstoppmøtet 5

6 Tidligere tema Hvordan hindre informasjonslekkasje fra virksomhetens styre? Utfordringer med outsourcing, offshoring og cloudbaserte løsninger Risikostyring i virksomheten Utvikling av menneskelig atferd og sterk sikkerhet i en ny verden Hendelseshåndtering fra oppdagelse til anmeldelse Tillit til sikkerheten hos samarbeidspartnere og leverandører Monitorering av de ansatte løsningen på tillitskrisen til mobile ansatte? Ledelsesforankring og isms Sikkerhetskultur Applikasjonssikkerhet har vi kontroll? Informasjonssikkerhet i verdikjeden klarer vi å tenke på alt? Beredskap Kritisk infrastruktur Informasjonstyveri og industrispionasje Digitalisering og balansen mellom næringsutvikling og sikkerhet 6 sikkerhetstoppmøtet

7 Dagens situasjon Organisering Mange av deltakerne på Sikkerhetstoppmøtet har lang erfaring med å bygge en sikkerhetsorganisasjon. Sikkerhetstoppmøtet erfarer at ansvar i forhold til kundeopplysninger ofte ligger i linjen. Erfaringene med etablering av sikkerhetsutvalg, med deltagere fra ulike deler av virksomheten, er gode. På denne måten får man frem ulike sider. Sikkerhetstoppmøtet diskuterte tilsvarende løsning for personvern. Sikkerhetstoppmøtet erfarer at policyer revideres alt for sjelden, og at det ofte blir tatt som skippertak når revidering først finner sted. Selv om de fleste virksomheter reviderer policyer, skjer ikke dette ved faste intervaller. De virksomhetene som foretar årlige revideringer, har som regel et styringssystem for det. «Ikke registrert et eneste avvik, det er et avvik i seg selv!» Personvernombud Det er i dag færre enn 200 personvernombud i Norge, ifølge Datatilsynet. Flere av virksomhetene jobber med kravene, men har ikke noe formalisert ombud enda. Mange av de større virksomhetene har likevel en funksjon som ivaretar fokus på personvernet i større eller mindre grad. Omfang av personopplysninger Noen opplever at deler av virksomheten er aggressiv på å hente inn persondata, på grunn av konkurranseforholdene. Det er større konkurranse i forhold til å personalisere innhold for å få brukernes oppmerksomhet, hva som er populært og for å stille med annonser. Systematisert bruk av big data er ofte viktig for å oppnå målsetningen med personalisering av innhold. Dette gir utfordringer personvernmessig, men oppleves som underordnet. Mange tredjeparter samler inn personopplysninger på egenhånd, til annonsering og markedsføringsformål, for eksempel i medieindustrien. Flere ønsker å være strengere på dette, men opplever da at annonsørene går et annet sted. Dagens regelverk Sikkerhetstoppmøtet er splittet i forhold til dagens meldeplikt. Noen opplever meldeplikten som et godt verktøy for å til enhver tid holde oversikt, mens andre opplever at meldepliktordningen har blitt en tom formalitet. «Vi velter oss i persondata» I dag oppleves det å melde avvik til Datatilsynet som vanskelig i enkelte situasjoner, da det oppleves som å bli satt i gapestokk når Datatilsynet offentliggjør hvem som har sendt inn avvikene. sikkerhetstoppmøtet 7

8 Opplæring Sikkerhetstoppmøtet mener at sikkerhet og personvern må inn i utdanningen i Norge i større grad. Det oppleves å være en nasjonal kunnskapskrise innen området. I dag er det fornuft og «vanlig høflighet» som ligger til grunn for hva vi mener om personvern. Det er bred enighet om at opplæring og bevisstgjøring av ansatte er viktig, også for personvern. Svært mange av virksomhetene gjennomfører opplæring knyttet til informasjonssikkerhet. Noen gjør det knyttet til Nasjonal sikkerhetsmåned, mens andre gjør det mer løpende. «Lenken er ikke sterkere enn det svakeste ledd» Det er utfordrende å kommunisere personvern til mottakerne, det er derfor svært viktig å jobbe med kommunikasjon. Sikkerhetstoppmøtet opplever at det er en raskt økende modenhet rundt dette hos kundene. Mange gjennomfører nanolæring, men dette er ikke tilstrekkelig for å gi de ansatte nødvendig kompetanse til å forstå utfordringene. 8 sikkerhetstoppmøtet

9 Utfordringer Organisering av personvern Sikkerhetsorganisasjon begynner å få forståelse i organisasjonen, og mange har dialog med ledelsen. For personvern gjelder ikke det samme. Det er stor usikkerhet rundt hvordan personopplysninger skal behandles, og hvem som har ansvar. Bedrifter som gir råd om personvern klarer ofte ikke å etterleve dem selv. Det kan bli stor forskjell i modenhet i norske virksomheter, fra de store, til de små. Når fokuset er å overleve og å få ut produktene sine, står ikke personvernreglene nødvendigvis i fokus. Kontroll og oppfølging av personvern kan gjøres av mange av dagens aktører. For eksempel gjennom internkontroll, internrevisjon, eksterne revisorer og standardiserte avtaler. Utfordringen er ofte å se helheten. I dag ser vi ofte at der er en endringsprosess som fører til revisjon og gjennomgang, men det burde vært omvendt. Nå frem til ledelsen Sikkerhetstoppmøtet erfarer at enkelte ledere nå har blitt oppmerksom på ny personvernforordning. Det er en viktig jobb å forankre personopplysningsloven. Mange opplever at det er lettest å selge inn konfidensialitet koplet til taushetsplikten. Trussel om høyt bøtenivå er i mange tilfeller det som har vekket oppmerksomheten. «Det tar tid å få personvern inn i «genene» i organisasjonen» Personvernombud Sikkerhetstoppmøtet diskuterte personvernombudets kompetanse og bakgrunn, og mange meninger kom frem. Særlig ble det diskutert i hvilke grad personvernombudet skal ha juridisk kompetanse. Det var forslag om plassering av personvernombudet innen juridisk enhet, ikt, compliance, internkontrollmiljø, eller helt tett mot ledelsen, og fristilt. Det ble diskutert om rollen som personvernombud skal være intern, eller om det skal leies inn eksterne personvernombud. Det kan være vanskelig å finne riktig person internt, og en ekstern vil ikke kjenne organisasjonen like godt. Det er en tydelig mangel på konkret utdanning innen personvern, noe som kan føre til rovdrift på eksperter innad i Norge. «Advokatene er veldig glade det er de som vil tjene pengene» sikkerhetstoppmøtet 9

10 «Jobben er nesten uoverkommelig» Store mengder personopplysninger Med store databaser med personopplysninger ser mange god forretning i å kunne koble personopplysningene. Alt man tar i er i ytterste grad informasjonshåndtering av personopplysninger, og det er viktig å kunne livssyklusen til opplysningene for å få den totale oversikten. Sikkerhetstoppmøtet ser utfordringer knyttet til metadata. Eksempelvis er informasjon om hvilke telefonnummer du ringer til, når du ringer, samtalens varighet og hvor ofte, ikke personopplysninger, men metadata. Det kan for eksempel være interessant for et forsikringsselskap å vite at du jevnlig ringer et telefonnummer som kan kobles til en kreftlege. Da vil disse metadataene muligens kunne sidestilles med en personlig helseopplysning. «Hvis noe er gratis, er det du som er produktet» Formål med behandling Behandling av personopplysninger er i rask endring, og det vi aksepterer og bruker personopplysninger til i dag, kan komme til å bli endret om ikke så lenge. Vi vet ikke det politiske bildet i fremtiden. For eksempel endret Snapchat plutselig formålet med sin behandling av personopplysninger. Snapchat er en tjeneste for deling av bilder, hvor avsender og mottaker regner med at bildet slettes i løpet av sekunder. De nye betingelsene sikrer Snapchat rett til å i teorien gjøre hva de vil med bildene. Mange brukere leser ikke de nye betingelsene, og bruker tjenesten på feil grunnlag. «Jeg ser en fordumming hvis man er interessert i fotball, så får man bare fotball» Innhenting av samtykke Sikkerhetstoppmøtet opplever en stor utfordring i forhold til innhenting av samtykke. Mange har store registre og databaser med persondata, uten at samtykke ble innhentet på innsamlingstidspunkt, eller hvor samtykke som er gitt ikke lenger er tilstrekkelig i forhold til den nye forordningen. Det er viktig å bli flinkere til å vise nok kundeverdi til at kunden vil samtykke. Utfordringen er at hvis en virksomhet er mer åpen og forklarende ovenfor kunden, kan man oppleve å få mer støy. Andre virksomheter kan gjennom sin kommunikasjon forsøke å skjule hvordan de behandler sine personopplysninger, og dermed unngå denne støyen. Målrettet informasjon Sikkerhetstoppmøtet diskuterte fordeler og ulemper med at reklame, informasjon og nyheter spesialtilpassas enkeltindividene. Det er fordelaktig for annonsører at det er mest mulig målrettet, og mange forbrukere stiller krav til at innhold skal være personalisert. For eksempel er det mange som har testet å endre sivilstatusen på Facebook fra «i et forhold» til «singel», og opplevd å få reklame for datingnettsteder. 10 sikkerhetstoppmøtet

11 Personaliserte nyheter ut ifra interesseområder vil kunne føre til at man mister deler av nyhetsbildet. Sikkerhetstoppmøtet mener at om f.eks. Aftenposten ikke personaliserer forsiden sin, vil flere og flere heller lese nyheter på Facebook. Retten til portabilitet Sikkerhetstoppmøtet diskuterte krav til portabilitet, det vil si å ha rett til å flytte informasjonen om seg selv fra en leverandør til en annen. For noen tjenester ansees portabilitet som vanskelig for systemer innen for eksempel sosiale medier, e-post og enheter. Det ble en betydelig endring både i konkurransenivået og smidighet når det ble mulig å flytte med seg telefonnummeret fra en leverandør til en annen. Ny personvernforordning vil tvinge portabilitet frem på tvers av løsningene. Det vil kreve store endringer i datasentre, og store endringer i forhold til standardisering. Retten til å bli glemt I dagens personvernregulering er ikke retten til å slette tydelig nok. Ny personvernforordning vil sette andre krav til sletting, og retten til å bli glemt. Noen virksomheter vegrer seg veldig for å slette informasjon. Dette kan ofte være fordi virksomheten har en forretningsidé som bygger på den lagrede informasjonen. Datakriminalitet og hacktivism Sikkerhetstoppmøtet erfarer at når lekkasje av persondata skjer, så er det sjelden som følge av en kriminell handling, heller som følge av et uhell. Bevisst lekkasje av persondata er relativt uvanlig. Samtidig ser vi at enkeltindividers personvern kan bli rammet som følge av bevisste handlinger. Angrep på leverandører, utført av hacktivister, rammer til syvende og sist også sluttbrukeren. Kunder og ansatte Mange virksomheter håndterer mye informasjon om andre, og glemmer noen ganger egne ansatte. De er så opptatte av å skjerme kundeinformasjon de håndterer, at det går på bekostning av informasjonen til de som har håndtert dem. sikkerhetstoppmøtet 11

12 Det erfares at kundene er blitt mer opptatte av informasjon om hvordan virksomhetene behandler deres personopplysninger. I mange tilfeller kan det være utfordrende å besvare spørsmål om dette. Store bøter med ny forordning En virksomhet opplevde å få bot fra Datatilsynet, noe som medførte at personvern ble satt på dagsorden. Sikkerhetstoppmøtet mente at i mange tilfeller er bøter nok til å sette personvern på dagsorden. Dagens nivå av bøter er til å leve med, men når bøtenivået øker betydelig vil det svi både omdømmemessig og økonomisk. Å bruke bøter mer aktivt mener Sikkerhetstoppmøtet kan være et godt verktøy for å etterkomme regelverket. Konkurransejuks og korrupsjon har gjennom bruk av bøter blitt satt fokus på. Mange utkontrakterer med tanke på å spare kostnader. Hvis dette medfører brudd på ny personvernforordning og store bøter, kan kostnadsbesparelsen av å sette det ut bli liten. «Brukerne kan ikke gjøre egne risikovurderinger» 12 sikkerhetstoppmøtet

13 Viktige råd og tiltak Ny personvernforordning Den nye forordningen vil gjelde for hele Europa, Sikkerhetstoppmøtet mener likhet og at dette er absolutte krav er bra for personvernet. Dette vil kreve mer ressurser, og ledelsen må budsjettere i forhold til dette. Sikkerhetstoppmøtet anbefaler at alle virksomheter som kan komme til å trenge det, skaffer seg en standardavtale med leverandører, der samarbeidet har blitt påvirket av ugyldiggjøringen av Safe Harbor avtalen. Noen virksomheter har allerede slike avtaler på plass, og har derfor ikke behøvd å foreta seg noe spesielt i forbindelse med at Safe Harbor har blitt kjent ugyldig. Det oppleves at det er uklart hvilken klageinstans som vil bli gjeldende for ny personvernforordning. Sikkerhetstoppmøtet mener at dagens personvernnemd har en viktig rolle som fortsatt må ivaretas. Det er viktig å sette seg inn i definisjonene og kravene. Hva er en personopplysning i henhold til ny forordning. Et eksempel er at ny forordning innfører pseudonymisering. Det vil si at kun informasjon som bare indirekte vil kunne knyttes til et individ er tilgjengelig om det individet. Sikkerhetstoppmøtet ser med bekymring på startup-virksomheter, og bedrifter med få ansatte i forbindelse med de nye forordningene. Det kan være svært krevende for oppbygging av virksomheten å pålegge slike bedrifter strenge krav. Sikkerhetstoppmøtet ønsker seg råd og veiledninger for å best mulig kunne ivareta kravene i den nye forordningen. Forordningen må ikke gjøre det vanskeligere å drive forretning. «Ombudet må være fristilt» Ledelsesforankring Det er viktig at ledere er forbilder på alle nivåer, og setter personvern på agendaen i virksomheten. Trykket må være fra toppen og nedover. De nye bøtesatsene kan brukes i ressursdialog internt i virksomheter. Det er billigere å ansette flere personvernombud, enn å betale de høye bøtesatsene. Sikkerhetstoppmøtet har erfart at når ledelsen har blitt oppmerksom på de nye forordningene har det i stor grad vært de høye bøtesatsene som har vekket oppmerksomheten. Forordningen gir også en mulighet til at virksomheter kan løfte seg innen personvernområdet. sikkerhetstoppmøtet 13

14 Sikkerhetstoppmøtet la også frem et råd om å presentere problemstillinger rundt sikkerhet og personvern på samme måte som for eksempel børsfall, da det er noe ledelsen ofte relaterer til lettere. Fokuser blant annet på å ikke ha ting «i rødt», og på kostnadene ved å ha utilstrekkelig personvern eller sikkerhet. hms rapporteres alltid i styrerapportene, mens det ikke er vanlig for informasjonssikkerhet. Mangel på personvern kan i likhet med mangel på sikkerhet ha store kostnader for virksomheten. Personvernombud Det anbefales ikke at samme person er både sikkerhetsansvarlig og personvernombud. Personvernombud bør være en fristilt rolle, men må sørge for god dialog med forretningssiden, for å få makt til å utrette rollen. Det er viktig å finne operasjonelle og praktiske løsninger som fungerer i egen virksomhet. Personvernombudet bør ha kort vei til øverste ledelse. Det å velge en person med interesse for området er viktigere enn å ha en med formell kompetanse. Sikkerhetstoppmøtet anbefaler at personvernombud blir med i uformelle nettverk med andre personvernombud, for å sikre kompetanse og beste praksis. Med ny personvernforordning, vil personvernombudets rolle bli styrket, og få mer ansvar. Dette oppleves som positivt. Big data Big data vil kunne tvinge frem nye systemer og metoder for å effektivisere sammenstilling av informasjon. Det er tvilsomt at denne utviklingen kan stoppes, det vil føre til mer skreddersøm, og flerlags samtykkesystemer har blitt diskutert. Det siste er viktig når eierskap til dataen blir mer utydelig, etter hvert som man kommer lenger unna kilden, som er eierne av dataen. Sikkerhetstoppmøtet anbefaler å sørge for å forankre eierskap til dataene, da det blir en større utfordring etterhvert som det blir større avstand til personene som eier og blir omhandlet av dataene. Standardisering Sikkerhetstoppmøtet utfordrer mediehusene til å standardisere datahåndteringsregler, slik at ingen får konkurransefortrinn mot å være for aksepterende i forhold til innsamling og personalisering av innhold. 14 sikkerhetstoppmøtet

15 Sikkerhetstoppmøtet foreslår å synliggjøre endringer i formål for behandling og generelle betingelser, for eksempel ved bruk av funksjonalitet som sporer endringer Et mulig tiltak for å øke kunnskap og kompetanse om standarder innen personvern, er å få personvern-personell i virksomheten sertifisert med etter den nye iso-standarden for personvern, iso Dette kan også være et konkurransefortrinn, fordi det signaliserer til potensielle kunder at virksomheten tar personvern på alvor Innebygd personvern Sikkerhetstoppmøtet konkluderer med at personvern må inn så tidlig som mulig i et prosjekt som behandler personopplysninger. Kostnadene øker dramatisk dersom personvern først blir et tema senere i prosjektet. Mange er allerede klar over dette, men da eksklusivt for informasjonssikkerhet. Mange synes det er uklart hva innebygd personvern faktisk er. Det bør lages sjekklister og retningslinjer for hvordan man lager dette. Konkurransefortrinn Etter hvert som kundene blir mer bevisst, kan tillit, åpen kommunikasjon og god behandling av personopplysninger bli et konkurransefortrinn. Det kan bli et fortrinn å differensiere seg gjennom personvern, men Sikkerhetstoppmøtet ser med spenning på hvordan dette vil fungere i praksis. «Utviklere er ikke av natur opptatt av dette når de utvikler løsninger» «Det er en mulighet for fornying, selv om det blir dyrt» Det er mange oppslag i media etterhvert om brudd på personvern. Det er forventet flere oppslag etterhvert som det er mer fokus på åpenhet, som igjen medfører økt fokus på personvern, overfor virksomheten og kundene. Det å ikke spore kundene kan sees på som et konkurransefortrinn. Noen kunder vil være villig til å betale for å ikke bli sporet. Opplæring Det er viktig å øke kunnskapen om personvern. Opplæringen må være kontinuerlig og målrettet, kurs for nyansatte og å leie inn eksterne eksperter. Et forslag er å lage en bytteordning i forhold for å få inn eksterne foredragsholdere. «Ingen blir profet i sitt eget land» En svært nyttig form for opplæring er øvelser. Et nyttig tema for øvelse er å teste personopplysninger på avveier. «Ny forordning gir også nye muligheter» sikkerhetstoppmøtet 15

16 Om Sikkerhetstoppmøtet Sikkerhetstoppmøtet bringer informasjonssikerhets- ledere, eksperter og nøkkelpersoner innen fagfeltet sammen for å utveksle erfaringer og kunnskap. Deltakerne vil gjennom foredrag og samtaler skaffe seg et klarere bilde av dagens praksis og en innsikt i utviklingen i feltet. Formatet på samtalene er en åpen og kollegial tankesmie hvor synspunkter og argumentasjoner relatert til dags- aktuelle tema utveksles. Nytteverdien for deltakerne ligger i at de kan ta med seg meningsutvekslingen tilbake til sine respektive foretak og styrke sin interne sikkerhet. Sikkerhetstoppmøtet støttes av