Personvern i skyen

Transkript

1 Personvern i skyen

2 Temaer Det store bildet personvernkamp mellom USA og Europa Hva innebærer Privacy Shield Ny forordning nye plikter og rettigheter Skytjenester Datatilsynets krav 2

3 Det store bildet personvernkamp mellom EU og USA

4 4

5 Side 5

6 6

7 7

8 8

9 Fra Safe Harbour to Privacy shield 9

10 EU-domstolens avgjørelse Max Schrems igjen Safe Harbour avtalen er ugyldig som overføringsgrunnlag til USA Avtalen strider mot EU-charterets grunnleggende rettigheter The Court [adds] that legislation permitting the public authorities to have access on a generalised basis to the content of electronic communications must be regarded as compromising the essence of the fundamental right to respect for private life.

11 EU-domstolens avgjørelse Court observes that legislation not providing for any possibility for an individual to pursue legal remedies in order to have access to personal data relating to him, or to obtain the rectification or erasure of such data, compromises the essence of the fundamental right to effective judicial protection The Court holds that the Commission did not have competence to restrict the national supervisory authorities powers [ to calls into question whether the decision is compatible with the protection of the privacy ] 11

12 Hva er endret i Privacy Shield Slutte seg til prinsippene: These include: (1) the Notice Principle; (2) the Security Principle; (3) the Accountability for Onward Transfer Principle; (4) the Security Principle; (5) the Data Integrity and Purpose Limitation Principle; (6) the Access Principle; and (7) the Recourse, Enforcement, and Liability Principle. Privacy Shield also includes a detailed set of supplemental principles. 1 12

13 Hva er nytt med Privacy Shield? Tettere oppfølging av Departement of Commerce, tilsyn og mulighet til å miste sertifiseringen Begrensninger i sikkerhetsmyndighetens adgang til data The Office of the Director of National Intelligence further clarified that bulk collection of data could only be used under specific preconditions and needs to be as targeted and focused as possible. Rettigheter til borgerne Nye institusjoner som skal ivareta rettighetene Joint review mechanism DoC og EC 13

14 Ny personvernforordning 14

15 Nye plikter Systemplikter og virksomhetsansvar Utredning av personvernkonsekvenser Innebygd personvern Personvernombud Avviksmeldinger Forhåndsdrøftelse Overtredelsesgebyr 15

16 Nye rettigheter Dataportabilitet Sletteplikt/retten til å bli glemt Styrket eiendomsrett ( profilering, sletteplikt ) 16

17 Hva er de største utfordringene for norske virksomheter? 17

18 Faktisk kjennskap til regelverket I dag: Stor variasjon, men jevnt over liten kjennskap til regelverket Erfarer dette på tilsyn Lovbrudd er ofte utslag av manglende kjennskap fremfor ond vilje Det er et vanskelig regelverk i dag og det er heller ikke et enkelt regelverk etter 2018 Derfor: Virksomhetene har en jobb å gjøre Men; mulighet for ny start 18

19 Erfaring fra tilsynsvirksomheten Mangler ved internkontroll og informasjonssikkerhet Ofte likhetstegn mellom informasjonssikkerhet og personvern Bedriftshemmelig, brannmurer, sikring Ikke samme oppmerksomhet om person/kundedata Særlig viktig ettersom borgernes rettigheter styrkes Dokumentert internkontroll Risikovurderinger 19

20 Erfaring fra råd- og veiledning Internkontroll og informasjonssikkerhet Arkitektur og design «Vi vil bruke data innhentet fra kundene våre, men vil samtidig ivareta den enkeltes personvern» Manglende kjennskap til hva personvern egentlig er 20

21 Eksempel: Generelle rutiner Rutiner for Innhenting av samtykke Informasjon Vurdering av opplysningenes kvalitet Tiltak for å behandle korrekte opplysninger Tiltak for å forhindre innsamling av unødvendige opplysninger Retting Innsyn Utlevering Sletting 21

22 Eksempel: Rutiner for avvikshåndtering Hovedregel er at alle brudd på sikkerheten skal varsles til Datatilsynet Unntak: usannsynlig at avviket medfører risiko for den enkeltes rettigheter og personvern Innen 72 timer Krav til innhold i meldingen Krav til varsling av berørte Databehandler skal umiddelbart varsle behandlingsansvarlig 22

23 Noen kjennetegn ved norsk bedriftsstruktur Mange SMB, og vår erfaring er at skoen trykker til dels kraftig i dette segmentet Det samme gjelder deler av offentlig sektor, særlig kommuner ( inkludert skole ) 23

24 Krav til skytjenester

25 Kan skytjenester medføre økt risiko? - Mindre kontroll med dataene kan gjøre det vanskeligere å avsløre avvik - Data kan overføres til land med dårligere beskyttelsesnivå enn vårt - Avtalene er kompliserte og vanskelig å trenge inn i / overskue konsekvensene av - Det er vanskelig å kontrollere om databehandleren bruker dataene for egne formål - Ansvarskjeden: Skytjenester innebærer bruk av underleverandører, og er de like troverdige og aktsomme som hovedleverandøren? - Tilsyn med egne data kan bli vanskeligere - Utenlandske myndigheters tilgang til data Side 25

26 Viktige lovkrav ved bruk av skytjenester Internkontroll pol 14 og pof kapittel 3 Informasjonssikkerhet pol 13 og pof kapittel 2 Databehandlere pol 15 og 13 pof 2-15 og hele kapittel 2 Andre relevante krav pol 11 b) «uttrykkelig angitt formål» pol 29, 30 - overføring til utlandet pol = personopplysningsloven pof = personopplysningsforskriften 26

27 Problemstillinger som må vurderes Hvor lagres data? Overføring til tredjeland? Sikkerhetskopiering / speiling Segmentering Tilgangsstyring Dokumentasjon Sletting Bruk til egne formål (Forbedre egne tjenester? Profilering?) Underleverandører Sikkerhetsrevisjon Påse at databehandler iverksetter tiltak og dekker hele kjeden Alternativt tredjepartsrevisjon krev å få se rapporten! Sikker kommunikasjon - Kryptering 27

28 Hvem og hva kan vi kontrollere Behandlingsansvarlig - virksomheten Internkontroll Oversikt over personopplysninger Rutiner for innsyn, retting, sletting, informasjon, samtykke Informasjonssikkerhet Risikovurdering Databehandleravtale Sikkerhetsrevisjon Databehandler - leverandør av skytjeneste Databehandlers plikter Sikkerhetskrav 28

29 Risikovurdering Thinkstock.com 29

30 Databehandleravtaler 30 Thinkstock.com

31 Minimumskrav til databehandleravtaler 1. Angi formålet med behandlingen Det skal klart fremgå av avtalen hva som er formålet med behandlingen av personopplysningene. 2. Beskriv hvordan personopplysningene skal behandles Det skal tydelig fremgå av avtalen hva databehandler skal gjøre med personopplysningene. Databehandler har ikke råderett over personopplysningene, og kan dermed heller ikke behandle disse til egne formål. Databehandler skal kun forholde seg til avtalen. Hvis han skal utlevere personopplysninger til andre eksterne parter må dette framgå klart av databehandleravtalen. Avtalen må inneholde bestemmelser om hvem som skal kunne få personopplysninger utlevert, og vilkår i tilknytning til dette. 3. Bruk av underleverandør skal reguleres i avtalen Hvis databehandler gjør bruk av underleverandører av tjenester, skal dette klart framgå av avtalen mellom databehandler og behandlingsansvarlig. 31

32 Minimumskrav til databehandleravtaler 4. Ivareta den registrertes rettigheter Avtalen kan inneholde en arbeidsfordeling mellom behandlingsansvarlige og databehandler, for eksempel hvem som skal håndtere og behandle henvendelser fra de registrerte. 5. Avtalen må pålegge databehandleren å ha tilfredsstillende informasjonssikkerhet Avtalen må klargjøre hva databehandler skal ha på plass av sikringstiltak for å ivareta konfidensialitet, integritet og tilgjengelighet. 6. Avtalens varighet må avtales Avtalen må inneholde opplysninger om avtalens varighet hva som skal skje med opplysningene etter at avtalen er opphørt. 32

33 Sikkerhetsrevisjon istock.com

34 Skytjenester der juss og politikk møtes 34

35 35