Sikkerhetstoppmøtet «Personvernforordningen General Data Protection Regulation (GDPR)»

Transkript

1 «Personvernforordningen General Data Protection Regulation (GDPR)» en oppsummerende rapport fra 01. Juni 2017

2 Innhold 3 Innledning 3 Om dette møtet 3 Arrangører 4 Tidligere tema 5 Dagens situasjon 5 Virksomheten generelle syn på GDPR 6 Ledelse, styring og tillitt 6 Organiseringen av ansvaret for implementering av GDPR 7 CISO og roller GDPR 8 Metode 9 Rekruttering og opplæring 9 Åpner arbeidet med GDPR for å gjennomføre andre endringsprosesser 10 Utfordringer 10 Ledelse, styring og tillitt 10 Organisering av ansvar for GDPR 10 Forholdet mellom organisasjoner 11 Forholdet til kunden/brukeren 11 Utfordringer rundt rollen CISO og roller innen GDPR 12 Metode 13 Rekruttering og opplæring 14 Råd og tiltak 14 Generelle betraktninger 14 Oppsummerende punkter 2

3 O1. JUNI 2017 personvernforordningen Innledning Om dette møtet Det 23. Sikkerhetstoppmøte hadde 35 deltagere fra både offentlig og privat sektor. Møtet ble innledet med et foredrag om «Why be like Apple and use Different Privacy», av Staal A. Vinterbo, Professor ved institutt for informasjonssikkerhet og kommunikasjons teknologi, NTNU, Gjøvik. Leder av virksomheten Finit i Sverige, Björn Persson funlgte opp med et foredrag om «Personal Information Management Systems som en möjliggjörare för att skapa förtroende och skydda den personliga integriteten?» Til sist avsluttet Direktør i Data tilsynet Bjørn Erik Thon med et innlegg om nytt personvernregelverk og hva norske virskomheter må gjøre for å være klare til å ta i mot tiltredende regelverk i mai Del to av møtet ble gjennomført som rundebordsdiskusjoner med to ulike bordoppsett. Arrangører Prosjektledere Ole Anders Ulsrud, NorSIS Nils Karlstad Svendsen, NTNU Samarbeidspartnere Hans Martin Bærefjell. KPMG Arrangørstab Staal A. Vinterbo, NTNU Stewart James Kowalski, NTNU Hilmar Haraldsson, NTNU Maria Henningsson, NTNU Maria Bartnes, NTNU/SINTEF Anne Skeidsvoll Granli, NorSIS Maria Nyhei, NorSIS Hanne Frestad, NorSIS Rapport skrevet av Ole Anders Ulsrud, NorSIS, m/innspill fra arrangører 3

4 personvernforordningen 01. JUNI 2017 Tidligere tema Utfordringer med outsourcing, offshoring og cloudbaserte løsninger Hvordan hindre informasjonslekkasje fra virksomhetens styre? Risikostyring i virksomheten Utvikling av menneskelig atferd og sterk sikkerhet i en ny verden Hendelseshåndtering fra oppdagelse til anmeldelse Tillit til sikkerheten hos samarbeidspartnere og leverandører Monitorering av de ansatte løsningen påtillitskrisen til mobile ansatte? Ledelsesforankring og ISMS Sikkerhetskultur Applikasjonssikkerhet har vi kontroll? Informasjonssikkerhet i verdikjeden klarer vi åtenke påalt? Beredskap og Øvelser kan vi bli godt nok forberedt? Kritisk Infrastruktur Industrispionasje Digitalisering og balanse mellom næringsutvikling og sikkerhet Personvern og overvåkning (Bergen) Er det utfordringer med ny personvernforordning Risikoforståelse (Bergen) Informasjonssikkerhetskultur Åpenhet og samarbeid Sikkerhet i skyen 4

5 Dagens situasjon O1. JUNI 2017 personvernforordningen Dagens situasjon Virksomhetens generelle syn på GDPR I media har det vært en rekke oppslag om hvordan virksomheter ligger an når det gjelder å være klare til å ta i mot ny personvernforordning i mai Deltagerne på det 23. Sikkerhetstoppmøte rapporterer at det er et sprik i hvor langt man har kommet i forberedelsene. Noen har ikke startet opp nevneverdig, mens andre er godt i gang. Mange oppfatter implementeringen av GDPR på samme måte. Altså at virksomheter som har gode styringssystemer innen områder som eksempelvis informasjonssikkerhet, mener at tilpasningen vil gå bra og at arbeidet frem mot mai 2018 er overkommelig. Flere virksomheter hevder at dagens lovverk allerede er komplisert og tungt. Stramme krav i dagens personvernlovgivning gjør at det i hverdagen er tøft å oppfylle kravene. Samtidig som noen opplever store utfordringer er det andre mindre bedrifter som ser innføringen av GDPR som svært overkommelig. Det bedrives kartlegging av hva slags informasjon man sitter på, og om hvordan man behandler og skal behandle den. Mange virksomheter ser at kravene i GDPR etterleves i eksisterende styringssystemer, men at en del nye roller må implementeres. Større virksomheter ser på det nye lovverket som tøft ovenfor flere små- og mellomstore bedrifter de er i samarbeid med. Etterlevelse av lovverket blir viktig og det uttales at virksomheter vil komme til å stille store krav til små og mellomstore bedrifter, og at de må ha sikkerheten det stilles krav til fra de store bedriftene. En stor utfordring synes å ligge i det å utrede personvernkonsekvenser. Dokumentasjonspakken på norsk kommer 15. juni og informasjon rundt dette har vært uklart frem til nå. Den eksisterende informasjonen viser en veldig generell lovgivning, noe som gjør at dagens situasjon fremmer behovet for bransjesamarbeid og gode prosesser internt i en bransje. Et godt bransjesamarbeid vil bidra til å få systematikk og god struktur. Det er ikke en god unnskyldning å vente til informasjonspakken kommer før man iverksetter arbeidet. For noen virksomheter ligger det en utfordring i historikken. Arbeidet som er gjort tidligere på feltet har ikke vært god nok og dette fører til at man ikke tilfredsstiller nye krav. Dette bør føre til implementering av nye rutiner slik at det blir forankret og kontinuerlig brukt. Når det gjelder arbeidet med GDPR dukker det opp en rekke spørsmål man ønsker svar på. Dessverre er det i vekslende grad enkelt å finne gode svar. Portabilitet, kundedata og HR-data. Hvordan vil det egentlig bli satt krav til dette? Hvilket nivå snakker vi om når det gjelder data? For eksempel lønnsstatistikk, utvikling, timeansatt, sykefravær. Arkivlov, regnskaps lov som slår inn mange år i ettertid. Hvordan stilles dette opp mot GDPR? Utfordring slik situasjonene er i dag synes å være behovet for å endre holdning hva gjelder organisasjonens datamengde, minimalisering osv. I et mer og mer digitaliserte samfunnet 5

6 personvernforordningen 01. JUNI 2017 Dagens situasjon har man over tid samlet veldig mye data for at det er kjekt å ha. Hvilken risikovurdering må man nå gjøre seg i større grad enn tidligere? Hvilke data bør man beholde? Kanskje man må ha nytt datasystem? Dette er noen av spørsmålene som ble belyst på. Dessverre er det ikke mulig å gjennomgå alle spørsmålene i denne oppsummerende rapporten, men hoveddiskusjonene vil bli belyst. Dette et også et område hvor det er vanskelig å sette to streker under et svar, og det er varierende hvordan virksomhetenes tilnærmer seg GDPR. Ledelse, styring og tillitt mener at det må forventes at øverste ledelse tar ansvar for innføringen av ny personvernforordning i virksomheten. Det ble snakket om at kulturen i organisasjonen i gir føringer for hvor ansvaret for selve gjennomføringen legges, men øverste ledelse som må styre prosessen. En virksomhet uttalte at «Vårt styre besluttet at man må ha større fokus på sikkerhet. Vi arbeider med å få opp et rammeverk for dette arbeidet». Det er viktig at ledelsen tar sitt ansvar. Samtidig må det arbeides for å få arbeidet med personvern ut i alle ledd i organisasjonen. Dette er et område som må tenkes gjennom, samt gjerne refleksjon over for å oppfatte de problemstillinger man står ovenfor på en slik måte at man evner å iverksette tiltak. Flere av deltagerne på setter stor pris på den nye personvernlovgivningen. Dette gir grunnlag for at ledelsen må sette seg inn i hvilke Informasjonen som har en verdi. Hva er verdt i vår organisasjon? Informasjonssikkerhet og personvern må sees sammen. Personvernombud vil sørge for en tilsynsmyndighet i organisasjonene som heves til et høyere nivå i organisasjonen. Mulighetene øker for at man kan rydde opp i interne adgangskontroller og interne mapper og endelig få samme rutiner. Organiseringen av ansvaret for implementering av GDPR Dette er et tema som under diskusjonene fremsto som veldig interessant. Flere av deltagerne er faktisk ikke sikre og det er lite informasjon å hente i forhold til hva som kan være god praksis. Det er veldig vanskelig for de som sitter med problemstillingen å gi råd om hvem som bør sitte med ansvaret for implementeringen av tiltakene rundt GDPR. HR blir i noen virksomheter pekt på når det er snakk om GDPR. Samtidig er det også et felt som i aller høyeste grad treffer IT og det juridiske området hardt. En virksomhet beskriver at det fortsatt er et spørsmål om hvor det skal ligge, men at det i dag ligger hos den juridiske gruppen. I noen virksomheter er det opprettet et samarbeid mellom IKT og jus. En løsning mange påpeker som nødvendig og god er opprettelsen av et tverrfaglig prosjekt som skal gjøre jobben for å forstå kravene på et slikt nivå at helheten blir ivaretatt og at flere aspekter blir tatt inn i vurderingene rundt tiltak for å lukke gap som oppstår med ny forordning. Erfaring fra flere viser til at tidligere innføring av styringssystemer kom direkte til IT. Et spørsmål er da om det er slik at dette er en forordning og at det er juristene som i mange tilfeller får saken og må utrede hva dette betyr for organisasjonen? I mange tilfeller er det en utfordring at juristene ikke er inne i informasjonssikkerhet. Diskusjonen om man skal sette det til det tekniske eller til det juridiske er ikke en «enten eller»-sak. Dette er en 6

7 Dagens situasjon O1. JUNI 2017 personvernforordningen prosess som flere aktører må ha inngripen i. Tverrfaglige grupper benyttes og anbefales av de som gjør det på denne måten. En deltager uttalte at: «Det er helt sentralt at teknikere og jurister jobber sammen. Disse gruppene kjenner ikke hverandres område. Gjennom etablerte systemer og gode prosesser gjør det at denne jobben ikke blir så stor. Hovedsakelig er det viktig å kartlegge om det er noe man ikke har forutsatt, og spesielt å se ut mot de som gjør jobb for oss og ta ansvaret vi har ovenfor dem». De aller fleste er enige om at dette ansvaret bør tas hånd om i tverrfaglige grupper, men for flere synes det som om kulturen internt i virksomheter spiller en stor rolle for hvor ansvaret plasseres. Det nevnes IKT, jurister, og en annen deltager sa at «Per i dag hos oss er det personvernombudet som har mye med det å gjøre, men det er organisasjonsdirektøren som har ansvaret. Vi har ikke landet hvordan vi gjør det nøyaktig». Flere går dypere inn på GDPR og omtaler rollene datakontroller, databehandler og personvernombud som innebærer ulike arbeidsoppgaver: > Det er flere roller i GDPR som er beskrevet enn de man normalt har i organisasjonen i dag. > En virksomhet forklarer at i vår bedrift er personvern og informasjonssikkerhet et linjeansvar, i sin enhet. > Behandlingsansvarlig skal ut av lovverket og erstattes med databehandlingsansvarlig. > Controllerfunksjonen er todelt; øverste leder eier alt, og underavdeling eier sitt spesifikke system. > Personvernombudet skal rapportere til øverste nivå og er knutepunktet til datatilsynet. CISO og roller GDPR Under diskusjonene ble det klart at det er forskjellig hva organisasjonene legger i CISO-rollen og da blir det også forskjellig hva GDPR gjør med rollen. De som har en klar tanke om CISO sin rolle mener vedkommende må sitte tett på adm.dir med en uavhengig rolle. GDPR omtaler rollene datakontroller, databehandler og personvernombud som innebærer ulike arbeidsoppgaver. Det er flere beskrevne roller i GDPR enn vi har i organisasjonene i dag. Det ble fremmet en uklarhet i hvilken grad «data protection officer skal være én eller flere person(er)». Siden privacy-regulation.eu gir en god oversikt og hyperlinker til aktuelle artikler som kan være verdt å lese gjennom for å se etter noen beste praksiser. Det blir også nevnt at det er viktig å vente på den norske utgaven av GDPR før omfattende arbeid iverksettes. Dette fordi den norske versjonen blir minst like streng, hvis ikke strengere enn GDPR. Det kommer også norske ord og begreper som blir viktig å få med seg. Spørsmålet som da naturlig oppsto var om det da ikke allerede egentlig er for sent? 7

8 sikkerhet i skyen 16. MARS 2017 Dagens situasjon Metode Rundt et av bordene ble det fremmet at det ikke finnes noen metode for å utrede personvernkonsekvenser ved tiltak som medfører risiko for personvernet. Dette består av tverrfaglig problemstillinger som gjør arbeidet for vanskelig og komplisert til å kunne benytte en fastsatt metode. Noen viser til at de har gjort en kartlegging av tilstanden de ønsker, og utviklet gap for å komme dit de hevder deres standard skal ligge på. Noen finner frem til de tingene man vet er svakheter og begynner å jobbe med dette. Kartlegging gjøres for å finne en baseline og samtidig er det viktig å lage seg en realistisk plan som man kan bevise at er i prosess. Vilje, holdning og kunnskap er nøkkelord man må bevise i dette arbeidet. Viktig å følge opp arbeid og holde momentum. Ved en slik tilnærming er det noen som har valgt at klassifisering av informasjonen bør gjøres på forhånd. Hva er kritisk? Hva er verdien av informasjonen og virksomheten? Ikke kun det som styres av lover og regler. Det kan gjøre at man kan ha ekstra behov for beskyttelse. Hva slags verdi skal man beskytte? Deretter gjøre en risikoanalyse. Det gjennomføres dugnader for å finne ut av hvordan man skal jobbe med dette og finne en metode som er hensiktsmessig måte å gå videre på. Ved siden av at noen mener det ikke direkte finnes noen metode som kan brukes er det derimot andre som flittig har tatt i bruk rammeverk å støtte seg på. Standarder som nevnes i bruk er: > Octave (med k eller c?) som har maler som forklarer de godt prosessene blir nevnt > Cobit > Difi sin veiledning > Opplegg utarbeidet av Datatilsynet med tilhørende risikoanalyse Andre igjen har en slags sorteringsmekanisme for å vurdere systemet/tjenestene. Det viktigste, mest virksomhetskritiske må prioritereres for en risikovurdering og mye blir basert på ISO og NIST 800 serien. Flere uttaler at de jobber strukturert med dette og tar innover seg mye av det GDPR stiller som krav. Datatilsynet har gjort en sammenstilling av ISO og GDPR. Det synes som et godt råd å lene seg på allerede anerkjente/eksisterende styringssystemer. Det er fint å kunne hekte på noe nytt når man gjør endringer i virksomheten for å få inn aspekter man ønsker. Dette vil gjøre det i mye større grad mer mottakelig for de som jobber i virksomheten. Vi kan snakke om en ting vårt styringssystem. European Data Protection Board blir en premissgiver for praksiser på tvers av land innen EU. Flere har tatt risikovurdering bedre inn i sin metode/arbeid. Det er ulikt gjennom historien hvor godt dette er gjort ut fra personvernkonsekvens. Nå skal man gjøre dette og dette blir en jobb å gjøre. Man kan ikke vente på det perfekte. Du må starte å iverksett tiltak etter din forståelse. Så forbedrer du nå du får mer veiledning. 8

9 Dagens situasjon O1. JUNI 2017 personvernforordningen Rekruttering og opplæring En virksomhet forteller at de sender ut en IT-policy til de ansatte hvert annet år. Det vil være naturlig å knytte inn privacy til den typen politikker i fremtiden. Andre forteller at de holder presentasjon for IT-avdelingen med slides på GDPR hvor man fremhever forordningens hovedfokus. Vi har styringskomite, HR, HMS, Jurister og IT-folk som danner en prosjekt gruppe. Disse vil holde presentasjoner for ansatte etter hvert. Datatilsynet kan stille spørsmål om hvem som sitter med ansvar. Det er viktig med kompetanseheving og designing av system på en slik måte at personvernet er innebygd. Det er viktig at systemer som skal forvaltes er i henhold til nye krav. Åpner arbeidet med GDPR for å gjennomføre andre endringsprosesser Det er usikkerhet rundt hvilke muligheter dette faktisk gir, men det påpekes at dette kan gi noen spark. Det pekes på at dette kanskje kan få bremset tilflyt av nye systemer når nye personer/ledere kommer inn. Det kan gjøres strategisk vurdering på hvilke systemer man skal ha, og bruke personvernforordningen til dette. Fere oppfatter at dette henger sammen og at mulighetene for å gjøre andre endringer er stor. Men det er viktig å se den enkelte organisasjon for seg og hvor ansvaret på informasjonssikkerhet og personvern ligger i organisasjonen. 9

10 personvernforordningen 01. JUNI 2017 Utfordringer Utfordringer Ledelse, styring og tillitt Første del av rapporten levner liten tvil om at det tverrfaglige fremstår som viktigere enn å kjøre korte prosessuelle trinn med adskilte faggrupper i et arbeid rundt GDPR. Det må etableres en kontekst som ligger innenfor hele ledelsessystemet. IKT, jus, kultur osv. Begreper må klarlegges. Eksempelvis internkontroll. Mange mener dette er rutiner og ikke at rutinene faktisk blir fulgt. Ulik semantikk og forståelse av spørsmål og begreper skaper noen utfordringer for en felles og gjenkjennelig måte å agere på. Dette gjør at man må gå gjennom bedriften og ha et større bilde på bedriftens virksomhet og skape kontekst. Det oppleves i forhold til bruken av begrepet CISO som problematisert tidligere som igjen får følge for en diskusjon om hvordan CISO sitt arbeid blir påvirket av GDPR. Det kan oppstå en utfordring og på den ene siden forholde seg til lovverket rundt personvern og på en annen side ettergå avviket. Det ble trukket frem at kjernen her er «follow the money» og at de fleste bedrifter er ute etter å rettferdiggjøre business caset sitt. Det å bygge tillit innenfor personvern er et business case og «vi skal ikke bare oppfylle loven, men i tillegg gjøre sånn». Skrekkscenariet er første side på VG. For oss med en stor kundemasse er omdømmet alt og sikkerhet kom derfor som en delstrategi. De ansatte blir mer og mer opptatt av omdømmet til bedriften sin, også i offentlige instanser og ikke bare finansnæringen eller private bedrifter. Det er viktig med forståelse i hele organisasjonen om disse problemstillingene. Enhver leder på ethvert nivå må ha kunnskap om dette. Organisering av ansvar for GDPR I mange virksomheter fremmes det en utfordring rundt at Juridisk og IT ikke snakker godt sammen. Fra noens ståsted oppfattes det til tider som vanskelig å kommunisere med jurister. Utfordringen omhandler i stor grad at man ikke får konkrete svar og at det sjelden gis entydige retninger for arbeidet videre. En jurist eller en fra IT kan ikke kjøre hele prosessen i isolasjon. Dette er ikke mulig. De som jobber med «noe» må sette seg inn i arbeidet og forstå lovverket uansett hva du jobber med. Det er vesentlig å vite hvilke områder GDPR griper inn på og at de som faktisk må forholde seg til det vet hva dette har å si. Samarbeid mellom flere enheter i utredningsfasen sees på som et av de viktigste elementene å ta inn i arbeidet. Forholdet mellom organisasjoner Ny forordning gir føringer for forhold mellom en virksomhet og databehandlere. I dag fremmes det fra flere virksomheter at de har gap på dette området, og at de ikke helt vet hvor store gapene er. Man bør begynne å arbeide med leverandører tidlig samtidig som man driver den lengre og mer komplekse prosessen selv ovenfor sitt eget, internt i virksomheten. Det oppleves en rekke utfordringer med organisasjonsstrukturer og hvordan det er 10

11 Utfordringer O1. JUNI 2017 personvernforordningen avhengig heter mellom organisasjoner. Det er viktig å skrive gode avtaler slik at man holder seg innenfor ny forordning. Man bør klargjøre krav ovenfor leverandører selv om de har selvstendig plikt. Man kan ikke peke på alle andre, og vente med å gjøre ting selv. Leverandørene av systemer som omhandler personvernopplysninger MÅ etterleve lovverket. I noen virksomheter betjenes et europeisk marked. De får et selvstendig ansvar. Databehandleravtaler vil ligge på virksomheten som tar i bruk en leverandør, men det stilles også krav til leverandøren at de har avtaler og alt på plass. Forordningen utvider og forsterker visse områder: Hvis jeg har leverandør A som vil ha en underleverandør B, skal dette informeres til dem som kjøper inn tjenestene, og få ja. Hvordan skal det fungere? Dette viser viktigheten av bransjesamarbeid. Særlig utenfor EU og EØS når det gjelder underleverandører. Det ble omtalt som utfordrende at det blir kjøpt inn systemer uten at virksomheten har tenkt gjennom om det er andre systemer som faktisk kan ivareta det samme behovet. Plutselig sitter man med flere systemer som man ikke har kontroll på eller i rette forstand har behov for. En utfordring er også det regime som synes påkrevd når det gjelder kryptering av data som skal sendes/behandles med tanke på at dette muligens går utenfor landets grenser. Dataeksport/datautlevering må oppleves som at det må innom Datatilsynet. Det er bedriftens ansvar å ha kontroll på at dette blir gjort, selv om underleverandøren ikke gjør jobben sin. Beskyttelsesinstruksen kan brukes som en veiledning for å klassifisere hvordan data skal behandles. Forholdet til kunden/brukeren Hovedutfordringen som ble nevnt hva gjelder kunde/brukerperspektivet var sletting av data og retten til å bli glemt. Dette skaper utfordringer innenfor praktisk håndtering av backup og spørsmålet blir helt enkelt hvordan håndterer vi dette hvis kunde ber om sletting? Samtidig omhandler i grunn sletting av en ansatt de samme utfordringene. En virksomhet poengterer at tilbakemelding fra juridisk i egen organisasjon viser til at deres vurderinger rundt sletting blant annet omfatter retten til å bli glemt angår enhver skytjeneste. Det er viktig å skaffe seg oversikt over hvilke personopplysninger man har i en virksomhet. Dette gjør at man kan utfordre IT-leverandørene med strengere databehandleravtaler. Hvis de ikke klarer å gjøre oss trygge på at de etterlever lover er det ute. Utfordringer rundt rollen CISO og roller innen GDPR Rollen CISO er ikke entydig i forskjellige virksomheter. Dette igjen gjør at CISO sin rolle opp i mot rollene i GDPR langt i fra er klare. Det kan virke som om at rollene generelt kan fremstå som noe uklare når man ser GDPR opp mot CISO, personvernombud og hvordan alle disse rollene spiller og bør spille sammen. For å oppfylle dine uavhengighetskrav er det viktig at den som er personvernombud ikke er den som behandler f.eks. sikkerhetsloggene eller brannmurene. Flere deltakere omtaler at de har flere roller. «Når jeg har personvernhatten så går jeg utenom linjen og rett på toppledelsen. Det spiller ingen rolle om jeg sitter langt nede i orga- 11

12 personvernforordningen 01. JUNI 2017 Utfordringer nisasjonen». Andre fremmer at «hos oss er behandlingsansvarlig toppleder og linjeledelse nedover. CISO er utenfor det». IT, HR og Kommunikasjon knyttes på sett og vis alle inn i arbeidet med GDPR. En virksomhet forventer at det dukker opp en policy til, da om personvern. Private Security Policy. Her forventes det å stå spesifikt hvem som har hovedansvaret for å følge opp. Kan gjerne ligge på informasjonssikkerhetsansvarlig. Personvernombudet bør være en sparringspartner. Kontrollerende roller bør ikke være samme som sikkerhetsansvarlig. Begge to bør skjele til risk management, men dette kommer selvfølgelig an på virksomheten og hvordan organiseringen er gjort. Spørsmål man kan stille seg er om rollene skal gjøre risikoanalyse sammen, eller parallelt. Når det gjelder roller kan dette variere stort i forhold til størrelsen på organisasjonen. Under diskusjonene fremgår det at man tror det er greit at man tenker én egen hatt. Med personvernhatten på er det viktig å tenke personvern, og at man må nå ut til alle i virksomheten. Kunnskap på personvern er varierende og man har en stor kunnskapsbrønn å dukke ned i. Linjehatten fremmes som viktig, altså en rolle som har dette med personvern som ansvar. Markedet spiller en større og større aktør og denne avdelingen må forstå dette aspektet av virksomheten. Tillit i den digitale verden er grunnleggende. Dette er en litt ulik vinkling fra flere andre, men dog kan man velge å se dette som fremtidsrettet. Hva er CISO sin rolle når det gjelder håndtering av data: > Sikkersone > Testdata > Produksjonsdata Det skal dokumenteres i en risikoanalyse. Vi forstår at denne risikoen foreligger og vi aksepterer det, men hvem skal bestemme hva som er sikkert nok? Metode Under tidligere omtale av metode viser mange til at det ikke finnes noen metode for å innføre eller tilpasse seg GDPR. Derimot er det mange som bruker allerede godt institusjonaliserte standarder til hjelp. Utfordringen blir jo å velge en rettesnor eller å velge hvor man skal begynne på prosessen. Konsulentbransjen er sprengt på kapasitet og samarbeider på områder for å gi støtte til virksomheter rundt GDPR. Det er ulike måter å tolke personverndirektivet. Det finnes et antall nasjonale unntak. Det er en stor bekymring. Det kommer til å ta noe tid før europeisk standard har satt seg, samtidig som virksomheter uttaler at de venter på mer fra datatilsynet og sentrale aktører som burde levere gode veiledninger og vurderinger for hvordan man skal ta inn over seg GDPR i en organisasjon. 12

13 Utfordringer O1. JUNI 2017 personvernforordningen Rekruttering og opplæring Rekrutterer virksomheten dedikert kompetanse til å tilpasse seg GDPR? Umiddelbare kommentarer fra noen deltagere viste skepsis til å ta inn kompetanse på dette området utenfra organisasjonen. Derimot mente andre at man har to dimensjoner når man skal se på kompetansebehovet, ansatte og kundene «vi ser gode poeng i å ha personvern som sitter eksternt». Når det gjelder vurderinger av dette kan ikke dette være en «quick fix». Dette skal være en gjennomtenkt beslutning som møter den hensikten man setter. Det som fremstår som en unison mening er at opplæringen innenfor GDPR må ut til alle ansatte i alle ledd uansett størrelse på virksomhet. Dette er ikke lett, men bevisstgjøringen må til for at vi skal kunne oppfylle de krav som er satt. En mulighet kan være å benytte elæring, enten fra noen som produserer dette for et mangfold eller tilpasse e-læring til egen virksomhet. Noen virksomheter har gode erfaringer med Nano-læring. System for avvikshåndtering er passende og godt egnet for å lære gjennom elæring. Utfordringen i dag er at man må levere ut alle e-postadresser til en ekstern partner for å få statistikk for elæring, til leverandør. Dette kan være en hindring for å gå videre med løsningen slik det er i dag. 13

14 personvernforordningen 01. JUNI 2017 Råd og tiltak Råd og tiltak Generelle betraktninger Det er viktig å gjøre en kartlegging av informasjon og dermed finne ut hva man har. Plan Do Check Act-syklusen bør følges gjennom prosessen når man avdekker gap og skal lukke dem. Det er viktig å sette en kontekst, hvem er vi og hva vil hjelpe for oss. Dette må gjøres tverrfaglig. Samarbeid mellom flere aktører i en virksomhet er viktig i utredningen av arbeidet med GDPR. I forlengelse av dette er det viktig å bedrive Intern tilsynsarbeid slik at man har en reell forståelse av hvordan man ligger i forhold til de krav som stilles. Dette kan også utføres i samarbeid med andre virksomheter. En ide kan være å fortelle til din leverandør hva slags planer du har for GDPR og på den måten klarlegge for leverandørens hva du forventer og hvilken list man legger seg på. Databehandleravtaler må gjennomgås slik at ansvaret tas og legges på rett sted, og at ansvar som er eget ikke kan dyttes over på andre. Klassifisering av informasjonen bør gjøres på forhånd. Hva er kritisk? Hva er verdien av informasjonen? Ikke bare det som styres av lover og regler, men også verdien for virksomheten må frem. Det kan gjøre at man kan ha ekstra behov for beskyttelse. Hva slags verdi skal man beskytte? Deretter gjøres en risikoanalyse. Når man beveger seg utenfor landegrensene kommer i stor grad kulturutfordringer inn i bildet. Vår oppfatning i Norge av sikkerhet er ikke den samme som i eksempelvis Brasil. Mange i utlandet har ikke fått med seg ny personvernforordning, og hva som må bli gjennom ført. De er annerledes organisert og har en annen kulturell forståelse. Norske virksomheter kan fort oppleve å bli stående å stange i veggen. Oppsummerende punkter > Hvor skal ansvaret plasseres? Små og mellomstore bedrifter vil ha den største utfordringen for å strukturere arbeidet. Bransjesamarbeid er viktig, særlig for små og mellomstore bedrifter. > Uklart hva som vil komme. Seks konkrete punkter fra Datatilsynet er: > Internkontroll og oversikt over hvordan dere behandler personopplysninger > Systemer, tjenester og løsninger som oppfyller prinsippene om innebygd personvern > Systemer som er tilpasset for dataportabilitet > Tilfredsstillende informasjonssikkerhet > Rammeverk og rutiner for å vurdere personvernkonsekvenser 14 14

15 Råd og tiltak O1. JUNI 2017 personvernforordningen > Rutiner for avvikshåndtering. > Sletting: Hva betyr dette? > Leverandørforholdene/-problematikk > Minimalisering av data, kostnad i forhold til dette, f eks etablering av nye datasystem > Databehandleravtaler på tvers av land, innenfor EU. De avtalene regner vi med må endres. NorSIS bør spørre Datatilsynet om dette. > Gjenbruk av styringssystemer og hva du vet fra før synes viktig i en utrednings/implementeringsfase. Totaloversikten må på plass. > Tverrfaglig prosess er påkrevd, ledelsesforankring > Kunnskapskontroll og opplæring er tett sammenkoblet (opplæring er viktig). elæring er bra. > Fokus på personinformasjon er bra også for sikkerhetsarbeid generelt. Løfter opp verdien av å gjøre noe. Kartlegging er viktig. > Roller: Samme person som integritetsansvarlig og sikkerhetsansvarlig - bra? Det er viktig at man finnes gode måter og prosesser for at rollene skal samarbeide godt. > Finne balanse: Finne utførere, balansere granskere. Koblet til utdannelse. Jo flere som skjønner at dette er et tema, jo lettere blir det å adressere det. 15

16 «Personvernforordningen General Data Protection Regulation (GDPR)» skrevet av Ole Anders Ulsrud, NorSIS 30. juni 2017