GDPR hva nå? Johnny

Transkript

1 GDPR hva nå? Johnny

2 Hva er GDPR? The General Data Protection Regulation [Regulation (EU) 2016/679 of the European Parliament and of the Council 27 April 2016]1 applies to all European Union member states. It replaces the Data Protection Directive 95/46/EC (the 1995 Data Directive) The GDPR extends the historical EU expectation that personal data be kept secure and holds an organization accountable for data security. When it comes into effect May 25, 2018, the GDPR can apply to a remarkably wide range of organizations that control or process data about EU residents. This includes many organizations without a physical presence in the EU Knowit 2

3 GDPR: Hvorfor, Når, Hvor og Hva Hvorfor? Når? Hvor? Hva? "GDPR handler om harmonisering av beskyttelse av fysiske personers grunnleggende rett og frihet i forhold til behandlingsaktiviteter" 25. Mai 2018 Alle 28 medlemsland i EU Beskyttelse av Alle private selskaper, offentlige instanser, idelle organisasjoner. Selskaper utenfor EU som har EU borgere i sine registere personopplysninger gjennom organisatoriske, administrative og tekniske midler, og dokumentere denne beskyttelsen

4 GDPR, Viktigste punkter Samtykke Samtykke ikke bindende og kan trekkes Forhånsavkryssede «samtykkebokser» ikke lenger lov Dataportabilitet Rett til å få utlevert personopplysning er Rett til å gi dem videre til en ny tjenesteleverandør Sletting Kreve å få informasjon slettet i registre (retten til å bli glemt) Underleverandører som har mottatt informasjon Varsling Leverandør er pliktig å varsle innen 72 timer Underleverandør er er pliktig å varsle innen 72 timer Personopplysninger skilles tydelig fra andre forhold Overføres direkte mellom gammel og ny tjenesteyter Slett personopplysninger som ikke lenger er nødvendige Knowit 4

5 GDPR Overgangsregler Forordningen trer i kraft to år etter at den er vedtatt Herunder innlemmelse i EØS avtalen, evt. tilpasninger Behandlinger som er påbegynt- skal bringes i samsvar innen to år etter ikrafttredelsesdatoen Avgitt samtykke ihht. D 95/46/EC vil fortsette å gjelde Konsesjoner vil fortsatt gjelde inntil endret, erstattet eller opphevet Knowit 5

6 Hva er personopplysning og hva er en sensitiv personopplysning? Personopplysninger Navn Fødselsnr Adresse Telefonnr E-Post adresse IP-Adresse Bilnummer Fingeravtrykk Irismønster Bilder Adferdsmønstre Hva du handler Hvor du handler Hva du ser på TV Hvor du beveger deg Hva du søker etter på internett Sensitive Personopplysninger Rasemessig bakgrunn Politisk oppfatning Filosofiske oppfatning Religiøs oppfatning Helseforhold Seksuelle forhold Vært mistenkt, siktet, tiltalt eller dømt for straffbar handling Knowit 6

7 Samtykke og hva kan du lagre? Eksplisitt samtykke (Holder ikke lenger med «ved bruk av denne tjenesten godtar jeg at.») Ikke generelt samtykke Bare nødvendige data Definisjonen på «eksplisitt» diskuteres enda. Alle virksomheter som samler inn eller bruker personopplysninger skal ha oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen Knowit 7

8 Samtykke og hva kan du lagre? Eksplisitt samtykke (Holder ikke lenger med «ved bruk av denne tjenesten godtar jeg at.») Ikke generelt samtykke Bare nødvendige data Definisjonen på «eksplisitt» diskuteres enda. Alle virksomheter som samler inn eller bruker personopplysninger skal ha oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen Knowit 8

9 Opplysning Databehandler skal utlevere langt flere opplysninger om behandlingen, en selskaper er vant til i dag! Opplysningene som den registrerte har krav på er; bl.a. den dataansvarliges kontaktinformasjon, formålet med behandlingen, lovligheten av behandlingen, evt. overføring til tredjepart, perioden for behandlingen (inkl. lagring), retten til at gjøre innsigelse og begrense behandlingen, muligheten for å trekke samtykke tilbake, muligheten for at klage til datatilsynet og om behandlingen inngår i en profilering Knowit 9

10 Retten til å bli glemt Den registrerte har i en rekke tilfelle rett til å få slettet sine opplysninger. Den dataansvarlige skal, hvis opplysningene er blitt offentliggjort av den dataansvarlige, og den dataansvarlige pålegges å slette disse personopplysningene, å ta rimelige skritt for at andre dataansvarlige som også behandler disse opplysninger, sletter personopplysningene eller linker. Dette kan bli overstyrt av andre lover og reguleringer Knowit 10

11 Dataportabilitet Kommer også en helt ny rettighet, som innebærer, at de registrerte kan kreve å få ulevert deres personopplysninger i et strukturert, alminnelig brukt og maskinlesbart format sånn at de registrerte kan sende disse personopplysninger til en annen dataansvarlig. Formålet er å gjøre det lett for den registrerte å få overblik over alle sine data og dels at kunne portere sine data til en konkurrerende servicetilbyder Knowit 11

12 Generelt Dårlig Profesjonalitet i Riket? Knowit 12

13 Datatilsynet Allerede i oktober i 2017 forsvinner Datatilsynet som vi kjenner det Vil fortsette som et tilsyn, men med et bredere mandat enn det de har hatt i dag Mange tinge er ikke avklart enda underlagt hvilket departement? hva er klageinstans? Data Protection Authority vil ha en tilsynsrett / revisjonsrett for alle virksomheter Knowit 13

14 Varsling Artikkel 32, 33 og 34: I tilfelle av et personlig datainnbrudd, må den behandlingsansvarlige varsle den aktuelle tilsynsmyndighet "uten ugrunnet opphold, og der det er mulig, ikke senere enn 72 timer etter å ha blitt klar over det." Hvis ikke er gjort varsel innen 72 timer, må den behandlingsansvarlige gi en "begrunnet rettferdiggjørelse" for forsinkelsen Frister for varsling av sikkerhetsbrudd Når en databehandler opplever en personlig datainnbrudd, må den behandlingsansvarlige varsles, men har utover dette ingen andre varsling eller rapporteringsplikt under GDPR. Om den behandlingsansvarlige har fastslår at det personlige datainnbruddet "sannsynligvis resultere i en høy risiko for rettigheter og frihet til enkeltpersoner," må også formidles informasjon om det personlige datainnbruddet til de berørte registrerte. I henhold til artikkel 32, må dette skje "uten ugrunnet opphold" Knowit 14

15 Sanksjoner Knowit 15

16 Sanksjoner forts. Artikkel 28, 31,32,33 I GDPR er det lagdelt struktur for bøter Et selskap bli bøtelagt opp til eller 2% av global omsetning for ikke å ha dokumentasjonen i orden (artikkel 28), ikke varsle tilsynsmyndighet (DPA) og personer ( Data Subjects) om brudd (artiklene 31, 32), eller ikke gjennomfører konsekvensutredninger (artikkel 33). Bøter for brudd Artikkel 5 og 7 Alvorligere overtredelser kan bli bøtelagt med opptil eller 4% av brutto global omsetning Knowit 16

17 En ny hverdag for alle som driver med utvikling Forretningsprosesser og datasystemer som behandler persondata skal ha innebygd personvern i designet, - og alle personsikkerhetsvalg skal være satt til høy sikkerhet som standard. - Krav til kryptering fra data forlater grensesnittet - All informasjon som har et snev av personopplysninger i seg skal være kryptert når det er lagret og «in transit - Skal ikke kunne lese persondata som ligger lagret i database Knowit 17

18 Security by design innebygd personvern Innebygd personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Det er både kostnadsbesparende og mer effektivt enn å endre et ferdig system. 1. Vær i forkant, forebygg fremfor å reparere 2. Gjør personvern til standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet: Både-og, ikke enten-eller 5. Ivareta informasjonssikkerheten fra start til slutt 6. Vis åpenhet 7. Respekter brukerens personvern Knowit 18

19 Security by design Minimering Ikke mer data en nødvendig, -databasene må ryddes! Transparant informer den som er registrert om hvilke data du har om dem, du bør kunne gi metadata og utdrag av de data du har om dem! Informert samtykke - før noen sender data til deg, må den som registreres gi deg skriftlig samtykke, og du må lagre det samtykket for å bevise samtykket. Dette er allerede vanlig for onlinetransaksjoner eller abonnementer, men innholdet i disse avtaler må kanskje endres. Det skal er viktig å "bruke klart og tydelig språk", ikke fancy juridiske vilkår Proaktiv verifiserbar beskyttelse - dette refererer til sikkerheten til behandling - og logging Tilbaketrekking av samtykke systemene må settes opp slik at det enkelt kan slette data på forespørsel, selv når du gjenoppretter en sikkerhetskopi Knowit 19

20 Testdata "Kontrolleren skal gjennomføre hensiktsmessige tekniske og organisatoriske tiltak for å sikre at det kun blir behandlet personopplysninger som er nødvendige for hvert bestemt formål med behandlingen. Denne forpliktelsen gjelder mengden av personopplysninger som samles inn, omfanget av behandlingen, perioden for lagring og tilgjengelighet. Særlig skal slike tiltak sikre at standard personlige data er ikke gjort tilgjengelig uten den enkeltes intervensjon til et ubestemt antall fysiske personer. (Artikkel 25) Knowit 20

21 Testdata Personopplysninger kun kan benyttes til det formål de er innsamlet til. Med andre ord, dersom man får personopplysninger i en gitt sammenheng så kan ikke disse benyttes på nytt dersom formålet er forskjellig. Likeledes vil dette ha en stor innvirkning på hvordan man bruker personopplysninger i forbindelse med test og utvikling. I henhold til det nye regelverket vil man ikke lengre kunne benytte personopplysninger i utviklings og testøyemed Knowit 21

22 Analyse og vurdering for test og utvikling Dataprofilering, forstå hvodan data blir brukt, datamodeller, hvor personopplysningene ligger og hvem som har adgang til disse dataene. Hvilke krav som stilles til personopplysninger og bruken av disse. Hva har utvikling og test lov til og hva har man ikke lov til Klar forståelse av hva som trengt anonymiseres Hvilke virkemidler finnes for å kunne bruke «personopplysningslignende» informasjon til test Knowit 22

23 Road to compliance Data Flows Scoping and Ambition Security of processing: IT- and Information security Gapanalysis Risk Assessment & DPIA Other regulations Measures and Prioritization Design solutions & procedures, Awareness Implementation Operations & Audit

24 Phase: Scoping Hvilke deler av GDPR gjelder for organisasjonen min? Behandler eller overfører vi data til tredje land eller internasjonale organisasjoner? Behandler vi personopplysninger som er av "spesielle kategorier"? Behandler vi store mengder data som er underlagt automatisering eller profilering? Trenger vi en Data Protection Officer? Analyse av intesenter (Stakeholders) Må vi gjøre alt på en gang? Output: Scope

25 Knowit 25

26