Skytjenester og nytt personvernregelverk

Transkript

1 Skytjenester og nytt personvernregelverk

2 Agenda Personopplysninger Skytjenester Problemstillinger som må vurderes Nytt personvernregelverk Thinkstock.com 2

3 Personopplysninger

4 Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål osv. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem, til hvilke formål osv. Personvern er noe mer enn informasjonssikkerhet. Thinkstock.com 4

5 Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr

6 Personopplysninger er også Fødselsnummer: Telefonnummer: IP-adresse: Bilnummer: BL Bluetooth MAC: 17:35:52:78:4B:CA Wi-Fi-adresse MAC: 12:44:32:45:7B:C9 Autpass-brikke-ID: UDID: f7426bd d9ae2c a0dcd67ab5 6

7 Skytjenester

8 Kort om skytjenester Er det egentlig noe nytt? ASP, Fjerndrift, stormaskin, hosting, Rokker ikke ved ansvarslinjene Virksomhet Leverandør Behandlingsansvarlig Databehandler Skytjenester betyr ikke fravær av kontroll (i så fall er det uforenlig med regelverket) 8

9 Ulike typer av skytjenester 9 Kilde: Enisa «Cloud Security Guide for SMEs»

10 Outsourcing av oppgaver er forskjellig i ulike tjenestetyper 10 Kilde: Enisa «Cloud Security Guide for SMEs»

11

12

13

14 Problemstillinger som må vurderes Hvor lagres data? Overføring til tredjeland? Sikkerhetskopiering / speiling Segmentering Tilgangsstyring Dokumentasjon Sletting Bruk til egne formål (Forbedre egne tjenester? Profilering?) Underleverandører Sikkerhetsrevisjon Påse at databehandler iverksetter tiltak og dekker hele kjeden Alternativt tredjepartsrevisjon krev å få se rapporten! Sikker kommunikasjon - Kryptering 14

15 Hvem og hva kontrollerer vi i dag Behandlingsansvarlig - virksomheten Internkontroll Oversikt over personopplysninger Rutiner for innsyn, retting, sletting, informasjon, samtykke Informasjonssikkerhet Risikovurdering Databehandleravtale Sikkerhetsrevisjon Databehandler - leverandør av skytjeneste Databehandlers plikter Sikkerhetskrav 15

16 Utfordring med revisjonsrapport SOC2-rapporten Omfattende rapport (ca 200 sider) Tilsvarer revisjon av ISO og Rapporten kan vise at leverandøren er god på sikkerhet ISO 27018* Skal vise etterlevelse av kontroller i som viser til Ingen egen revisjonsdel Ingen detaljer om undersøkelser er gjort og hvordan etterlevelse er kontrollert Hvordan kan man kontrollere at leverandøren ikke bruker personopplysninger til andre formål? * ISO Retningslinjer for beskyttelse av personopplysninger i offentlige skytjenester som håndterer personopplysninger 16

17 Internasjonalt samarbeid Article 29 Working Party (Art. 29 WP), Opinion 5/2012 Etterlevelse av personverndirektivet Article 29 Working Party (Art. 29 WP), Opinion 2/2015 C-SIG Code of Conduct on Cloud Computing International Conference of Data Protection and Privacy Commissioners, Resolution October 2012 Overordnet Berlingruppen (the International Working Group on Data Protection in Telecommunications (IWGDPT)), Sopot Memorandum April 2012 Best Practice - kulepunkter 17

18 Aktuelt arbeid i Norge og i EU KMDs strategi for bruk av skytjenester i offentlig sektor Strategien ble lansert 18. april 2016 KMD har lansert en rapport fra en interdepartemental gruppe som har sett på hindringer i ulike regelverk (juni 2015) KS har lansert en rapport (en mulighetsstudie) for bruk av nettsky i kommunal sektor (juni 2015) ENISA Cloud Security Guide for SMEs m.m. 18

19 Bakgrunn om forordningen

20 Bakgrunn Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter 20

21 Hva gjør Datatilsynet? Bistår Justis- og beredskapsdepartementet og Kommunal- og moderniseringsdepartementet Eget internprosjekt IKT Juridisk Nettsider Personvernombud Kommunikasjon Deltar i internasjonalt arbeid og bidrar til utredninger 21

22 Dagens krav til informasjonssikkerhet

23 Personopplysningsforskriften kapittel Forholdsmessige krav om sikring av personopplysninger 2-2 Pålegg fra Datatilsynet 2-3 Sikkerhetsledelse 2-4 Risikovurdering 2-5 Sikkerhetsrevisjon 2-6 Avvik 2-7 Organisering 2-8 Personell 2-9 Taushetsplikt 2-10 Fysisk sikring 2-11 Sikring av konfidensialitet 2-12 Sikring av tilgjengelighet 2-13 Sikring av integritet 2-14 Sikkerhetstiltak 2-15 Sikkerhet hos andre virksomheter 2-16 Dokumentasjon 23

24 Krav til informasjonssikkerhet i nytt regelverk

25 Art. 32 Security of processing Risikovurdering Sikkerhetstiltak Pseudonymisering og kryptering av personopplysninger Sikre vedvarende K, I, T og robusthet Gjenoppretting av tilgjengelighet og tilganger ved hendelser Jevnlig testing, vurdering og evaluering Bransjenormer eller godkjent sertifiseringsordning Element for å vise etterlevelse Tiltak for å sørge for at behandling kun skjer på instruks fra behandlingsansvarlig 25

26 Art. 30 Oversikt over behandlingsaktiviteter Kontaktinformasjon til behandlingsansvarlig Formål Kategorier av registrerte og personopplysninger Kategorier av mottakere Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkelig beskyttelse Slettefrister Sikkerhetstiltak Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige 26

27 Alle får nye krav til avvikshåndtering Strengere regler enn i dag Melde avvik innen 72 timer Stilles krav til innholdet i avviksmeldingen De berørte skal varsles i klart språk 27

28 Innebygd personvern og DPIA

29 Alle skal bygge personvern inn i nye løsninger Innebygd personvern (Privacy by design): Å ta hensyn til personvernet i alle utviklingsfasene av et system Utviklet av IPC i Ontario Vedtatt på internasjonal personvernkonferanse Oversatt til norsk Og nå blir det en plikt å gjøre det 29

30 Innebygd personvern 7 steg 1. Vær i forkant, forebygg fremfor å reparere 2. Gjør personvern til standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet: Både-og, ikke enten-eller 5. Ivareta informasjonssikkerhet fra start til slutt 6. Vis åpenhet 7. Respekter brukerens personvern 30

31 Innebygd personvern og som standard Art 25 Tekniske og organisatoriske tiltak pseudonymisering Utformet for å ivareta personvernprinsipper minimalisering Det minst personverninngripende alternativet som standard: mengde omfang lagringstid tilgjengelighet 31

32 Vurdering av personvernkonsekvenser - Privacy / Data protection impact assessment (PIA/DPIA) En systematisk prosess, som identifiserer og evaluerer fra alle interessenters synsvinkel potensielle personvernkonsekvenser i et prosjekt, initiativ, foreslått system eller prosess og som inkluderer det å finne ut hvordan dere kan unngå trusler mot personvernet eller hvilke tiltak dere må innføre for å avverge trusler mot personvernet 32

33 Hva skal beskyttes? Konfidensialitet Åpenhet Transparency Integritet Den registrertes perspektiv Mulighet til å gripe inn Intervenability Kan ikke kobles Unlinkability Tilgjengelighet Oversatt fra en artikkel om DPIA-prosessen: 33

34 Hva er personvernkonsekvenser? Eksempler: Manglende eller mangelfull kontroll av utlevering øker sannsynlighet for feilaktig deling. Deling og sammenstilling av datasett kan føre til at virksomheter samler inn mer opplysninger enn enkeltpersoner er klar over. Identifikatorer som blir samlet inn og knyttet sammen, kan hindre folk fra å bruke en tjeneste anonymt. 34

35 Hvilke tiltak kan avverge personvernkonsekvenser? Eksempler: Begrense innsamling eller lagring av enkelte typer opplysninger. Begrense lagringstid slik at opplysninger kun lagres så lenge det er nødvendig, og planlegge sikker sletting/ødeleggelse av informasjon. Utvikle måter for sikker anonymisering når dette er mulig. Gjøre det mulig for enkeltpersoner å få lett tilgang til sine opplysninger, og gjøre det enkelt å håndtere innsynsbegjæringer. 35

36 DPIA - oppsummert fra Art. 35 (1/3) DPIA er en prosess for å bygge og demonstrere etterlevelse av regelverket. Av hvem? Behandlingsansvarlig. PVO kan bidra. Når? Før en behandling starter eller før utviklingsstart. Når skal den oppdateres? Ved endring av risiko eller kontekst. Når skal man be om en forhåndsdrøftelse av Datatilsynet? Når DPIA bekrefter at risikoene er høye. I hvilke tilfeller? Høy risiko for den enkelte og påkrevd i Art. 35 (3) 36

37 DPIA oppsummert fra Art. 35 (2/3) Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang systematisk overvåking av offentlig område i stort omfang I tilfelle man er i tvil anbefaler vi å utføre en DPIA. 37

38 DPIA oppsummert fra Art. 35 (3/3) Vurderingen skal som minimum inneholde: Systematisk beskrivelse av behandlingen, formål, og evt. hvilken berettiget interesse den ivaretar. Vurdering av nødvendighet og forholdsmessighet, sett opp mot formålet. Vurdering av risikoen for rettigheter og frihet til registrerte. Tiltak som skal iverksettes for å redusere risikoen. 38

39 Forhåndsdrøftelser Art. 36 Ved høy risiko, som ikke kan begrenses, skal vi involveres i forhåndsdrøftelser Det stilles krav til dokumentasjon som skal sendes inn til oss Forordningen stiller krav til vår behandlingstid Vi kan veilede eller forby behandlingen 39

40 Nye plikter for databehandlere

41 Alle databehandlere får nye plikter Egne rutiner for behandling av personopplysninger Si fra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Kan bli erstatningspliktige 41

42 Databehandleravtale Art. 28 Behandling av personopplysninger kun på instruks Overføring til land utenfor EU/EØS kun på instruks Taushetsplikt Informasjonssikkerhet (art. 32) Underleverandører (art. 28) Bistå behandlingsansvarlig Etterkomme krav fra enkeltpersoner Informasjonssikkerhet, avvikshåndtering, DPIA Slette eller tilbakeføre alle personopplysninger (også kopier) ved opphør av tjeneste. Dokumentasjon som viser etterlevelse av art. 28. Tillate og bidra til revisjoner. Skriftlig avtale, også elektronisk. 42

43

44 Mer informasjon på Skytjenester (veileder) Risikovurdering (veileder) Databehandleravtale (veileder og mal) Nye personvernregler: datatilsynet.no/forordning og masse mer på 44

45 Takk for oppmerksomheten! Telefon: datatilsynet.no (Twitter)