Ny personvernforordning Er vi alle forberedt?

Transkript

1 Ny personvernforordning Er vi alle forberedt?

2 GDPR - historikk mai 2018 Kommisjon fremlegger forslag De tre EUinstitusjoner blir enige om teksten Formell adopsjon Ikrafttredelse General Data Protection Regulation (GDPR) Trer i kraft som lov i alle medlemslandene samtidig Gis anvendelse for alle selskaper som yter tjenester mot borgere i Europa

3 GDPR formål Beskytte individers grunnleggende rettigheter og friheter i forbindelse med behandling av personopplysninger. Styrke borgernes grunnleggende rettigheter samtidig som den understøtter den digitale tidsalderen. Omfanget av behandling av personopplysninger øker betraktelig med digitalisering av kommunikasjon og tjenester. Økt digitalisering krever at personvernrisikoer vurderes og tiltak iverksettes slik at akseptabelt risikonivå opprettholdes.

4 GDPR gammelt konsept med ny vinkling Beskyttelse av retten til personvern er ikke et nytt konsept som først kommer med GDPR, mange krav er gamle og kjente... men flere sider av tenkemåten om personvern er ny. Beskyttelse av personvern må ivaretas mer helhetlig i en organisasjon GDPR må ses i sammenheng med spesiallovgivning fra forskjellige sektorer samt med eventuelle kontrakter

5 Drivere mot etterlevelse Overholde lover, forskrifter, kontrakter mv. Økte bøter og straffer Risiko for tap av kunder og markedsandel Vesentlige kostnader knyttet til brudd Forretningsmessige motivasjoner Bygge tillit Konkurransemessig fortrinn Beskytte fremtidige inntektskilder Forbedre omdømme Raskere/billigere utvikling Harmonisere forretningsprosedyrer Understøtte globale tjenester

6 GDPR vesentlige endringer fra personopplysningsloven EU-borgere gis mer kontroll over sine personopplysninger Globale selskaper rapporterer til én tilsynsmyndighet Flere organisasjoner vil trenge et personvernombud Felles regler for alle som yter tjenester I Europa Krav om «Privacy by design» Økt krav om «Accountability» Økt fokus på dataminimering Økt fokus på risikobasert tilnærming ved valg av tiltak Vesentlig endringer Tydeligere rettigheter til den enkelte «Right to be forgotten» Eksplisitt samtykke Data portabilitet Økt tilrettelegging for overføring mellom land Økt adgang til bøter Tydeliggjøring av databehandlers ansvar Hovedregel om frist på 72 timer til å rapportere brudd

7 Krav til accountability - dokumenterbarhet Accountability krever: Tiltak for å fremme og sikre ivaretakelse av kravene ved alle aktiviteter også over tid Være i stand til når som helst å dokumentere overholdelse av kravene til den registrerte, for allmennheten og til tilsynsmyndigheter

8 Utfordringer som bør adresseres i Kraftnæringen Roller og ansvar For å sikre god etterlevelse av nye forordning, må enhver organisasjon kartlegge, dokumentere og sikre tydelig ansvarsfordeling innen organisasjon og overfor tredjepartspartner Er roller og ansvar tilstrekkelig dokumentert og forankret i organisasjonen? Har organisasjonen behov for et personvernombud? Hvor tydelig er roller og ansvar gjennom hele verdikjeden? For eksempel mellom: Nettselskap Elhub / Statnett Kraftomsetting Leverandørbytter Flytting

9 Utfordringer som bør adresseres i Kraftnæringen Sikring av data Bruk av detaljert informasjon om menneskers strømforbruk over tid stiller krav til tilfredsstillende informasjonssikkerhet, noe som bl.a. krever innsikt i sårbarheter som kan utnyttes. En risikovurdering vil bidra til å identifisere nødvendige og hensiktsmessige tiltak Hvem er ansvarlig for sikring av data? Er det utførte en risikovurdering på tvers av hele verdikjeden og er behovet for sikkerhetstiltak identifisert? Er nødvendige tiltak for å sikre tilfredsstillende informasjon implementerte? Hvordan sikres «Privacy by design» i utviklings- og endringsprosessene? Er dokumentasjonen knyttet til informasjonssikkerhet tilgjengelig for relevante myndigheter, ansatte og forbrukere?

10 Utfordringer som bør adresseres i Kraftnæringen Innsynsretten Tillit til selskapet og deres omdømme i markedet er sentralt når det implementeres smarte målere. For å opprettholde kundens tillit må organisasjon informere kundene sine om hvordan personopplysninger er behandlet og for hvilket formål Hvem ivaretar informasjonsplikten? Hvem ivaretar innsynsretten? Er rekkevidden av den enkeltes rettigheter avklart? For eksempel «The right to be forgotten»?

11 Utfordringer som bør adresseres i Kraftnæringen Arkivering og sletting Personopplysninger skal ikke oppbevares mer enn nødvendig for å fullføre formålet med behandlingen. Med mindre det finnes krav om oppbevaringsrett/plikt i særlovgivning. Slik avveiing av kryssende lovkrav kan være utfordrende å avveie Er formålet med behandling klargjort og tilhørende rett og plikt til oppbevaringstid avklart? Er det rutiner og løsninger på plass for å sikre etterlevelse av fastsatt oppbevaringstid til ulike formål?

12 Fallgruver Vi anbefaler ikke å starte forberedelsene for sent under- eller overvurdere omfanget av kravene anse personvern som noe personvernombudet eller en avdeling fikser på vegne av virksomheten å tro at personvernombudet fikser alt å gjøre dette til en IT-avdelingsoppgave, løsrevet fra forretningssiden

13 Suksesskriterier (1/2) Vi anbefaler å gjøre en innledende vurdering av hvilke nye krav som treffer egen virksomhet gjøre en vurdering av egen status snarest mulig slik at tiltak kan prioriteres i en fornuftig rekkefølge og mest mulig i sammenheng med andre pågående prosesser starte med å gjøre en første overordnet vurdering for å komme i gang, fremfor å bruke for mye tid på detaljerte dypdykk i en tidlig fase

14 Suksesskriterier (2/2) Vi anbefaler å gjenbruke eksisterende prosjekter, prosesser, utviklingsløp for hva det er verdt for eksempel når det gjelder: roller og ansvar virksomhetsstyring/rapporteringsløp utviklingsmetode/prosesser sikre bred involvering stikkord: tålmodighet dette er et område som krever modning og justering underveis skreddersy budskap/opplegg for ulike målgrupper sikre tydelig «tone from the top»

15 EY har lang erfaring med personvern og har publisert flere artikler innen området Lenker: GDPR-publikasjoner GOVERNANCE-SURVEY-FINAL2.pdf

16 Ekstra slider ikke vist Page 16

17 Kartlegging av behandlinger (1/2) Alle virksomheter må etablere og vedlikeholde en oversikt over data som behandles, «Personal Data Inventory» En del av dokumentasjonen for å demonstrere accountability Skal bidra til å sikre etterlevelse og være utgangspunkt for kontroller Underlag for Risikovurderinger vurderinger av personvernkonsekvenser ved endringer og tilhørende tiltak; data protection by design/by default, Må kunne fremvises til tilsynsmyndighetene

18 Kartlegging av behandlinger (2/2)

19 Økt fokus på risikobasert tilnærming Risiko og verdivurdering for å identifisere nødvendige og hensiktsmessige tiltak for sikring av data. Vurdering av risiko og identifisering av nødvendige tiltak, herunder hensynta «Privacy by design» i utviklings- og endringsløp. Praktisk tilnærming og vedlikehold av risikovurderinger over tid Risikovurdering: Vurdering av risikoene ved en behandling, spesielt i form av risiko for ødeleggelse, tap, endring, uautorisert utlevering eller tilgang til personlige data som overføres, lagres eller på annen måte behandles. Privacy by design Risk Assessment Data Privacy Impact Assessment (DPIA) Privacy

20 Konsekvensvurdering (DPIA) og Privacy by Design Sikkerhetstiltak eksempler DPIA Vurdering av konsekvensene av den planlagte behandlingen for den enkeltes personvern: Beskrivelse av behandlingen Formål med behandlingen Vurdering av behovet for opplysninger mot formål Vurdering av risiko for den registrertes rettigheter Tiltak for å håndtere risiko Privacy by design Krav om å vurdere personvern gjennom alle faser av utvikling av et system/prosesser og implementere ivaretakelse av personvern som standard ved å gjennomføre hensiktsmessige tekniske og organisatoriske tiltak, for eksempel: Formålsbegrensning Dataminimering Personvernvennlige forhåndsinnstillinger Bruk av sikkerhetsstandarder fra start Pseudonymisering og kryptering Tilgjengelighet og tilgang til data i tråd med tjenstlig behov Regelmessig testing, vurdering og evaluering

21 Sletting vs. oppbevaringsrett/-plikt (1/2) Krav til oppbevaring av personopplysninger, samt avveiing mellom oppbevaringsrett/plikt i særlovgivning med krav til sletting når formålet er oppfylt. Avklare formål med behandling med tilhørende rett/plikt til oppbevaring i særlovgining og krav til sletting. Rutiner/løsning for å sikre etterlevelse i praksis. En god avveiing krever at virksomheten har oversikt over: Behandlinger, Alle lovkrav, Til hvilke formål informasjon behandles Hvilken gjenbruk til andre formål det foreligger et behandlingsgrunnlag for Opplysninger skal slettes når formålet er oppnådd og det ikke foreligger lovbestemt plikt eller rett til fortsatt oppbevaring. dette kan variere mellom sektorer og land

22 Sletting vs. oppbevaringsrett/-plikt (2/2) Hva tilsier formålet og gjenbruk til forenelige formål? Hva finnes av rett eller plikt til oppbevaring (minimum eller maksimumkrav) Lov(er) Forskrift(er) Konsesjonsvilkår bransjestandard? Skjæringspunkt for beregning? Riktig detaljeringsnivå? - Per formål vs enkeltelement? Gjelder formål/oppbevaringsplikt/rett én eller flere forekomster? Kontroll på lagringssteder? (epost, filserver, applikasjon, mellomlagring, backup mv) Om ikke oppbevaringsrett/plikt: Anonymisering (om godt nok utført) Sletting Faktisk sletting Manuelt vs maskinelt «Tagging»

23 Role of the privacy officer in GDPR monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor. to inform and advise the controller or the processor and the employees who are processing personal data of their obligations pursuant to this Regulation. to provide advice where requested as regards the data protection impact assessment and monitor its performance the data protection officer, due regard to the risk associated with the processing operations, take into account the nature, scope, context and purposes of the processing. to monitor responses to request from the supervisory authorities to act as the contact point for the supervisory authority. Including prior consultation.

24 Oppsummering Aktuelle tema som en virksomhet må ivareta Sikre klare rolle- og ansvarsforhold Utarbeide og vedlikeholde oversikt over lovkrav av betydning for den enkelte virksomhet Utarbeide oversikt over personopplysninger som behandles og tilhørende behandlingsgrunnlag og formål Iverksette tiltak for å sikre ivaretakelse av informasjonsplikt, den enkeltes rett til innsyn og begjæringer om retting og sletting mv. Identifisere opplysningenes beskyttelsesbehov og gjennomføre risikovurderinger for å vurdere behov for tiltak for å sikre tilfredsstillende informasjonssikkerhet Planlegge og iverksette systematiske tiltak for å sikre hensiktsmessig internkontroll over tid og dokumentere dette Slide 24