NY PERSONVERNFORORDNING (GDPR) KURS I BEHANDLING AV PERSONOPPLYSNINGER KS BTV

Transkript

1 NY PERSONVERNFORORDNING (GDPR) KURS I BEHANDLING AV PERSONOPPLYSNINGER KS BTV Kursholder: Advokat Petter Bjerke, DLA Piper 15. mai mai

2 Agenda / oversikt (korte pauser tas underveis!) Introduksjon GDPR Hva er nytt (og hva er ikke nytt). Grunnleggende begreper, prinsipper og krav til behandling under det nye regelverket. Lunsj Personvernombud, krav, oppgaver og organisering Krav til it-systemer, innebygget personvern, registrertes rettigheter, herunder retten til informasjon og innsyn, personvernbrudd, tilsyn/sanksjoner Kommuner ut i skyen, bruk av databehandler, krav til databehandleravtale Hvordan overholde kravene etter de nye reglene på en praktisk måte? (GDPR-prosjekt) og krav til internkontroll Quiz Oppsummering, spørsmål og avslutning mai

3 1 Introduksjon og grunnleggende begreper og prinsipper under det nye regelverket

4 Introduksjon og grunnleggende plikter General Data Protection Regulation (GDPR) "Personvernforordningen" Ny personopplysningslov - trer i kraft (senest) 25. mai 2018 (?) Erstatter personverndirektivet av 1995 og personopplysningsloven av 2000 og personopplysningsforskriften Forordningen (foreløpig "uoffisiell") oversettelse - vil bli offisiell når kunngjort i EØS tillegget Prop. 56 LS ( ) kameraovervåkning innsyn i e-post mv. Lovgivningsteknikk Forordningen oversatt ord for ord Fortale (tolkningsfaktor) Forholdet til dagens regelverk mai

5 Særnorske bestemmelser 5 Barns samtykke i forbindelse med informasjonssamfunnstjenester Aldersgrensen etter personvernforordningen artikkel 8 er 13 år. 6 Behandling av særlige kategorier av personopplysninger i arbeidsforhold Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter. 7 7 Behandling av særlige kategorier av personopplysninger etter tillatelse eller forskrift hensyn til viktige allmenne interesser 8 Behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål 9 Behandling av særlige kategorier av personopplysninger uten samtykke for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål 10 Rådføringsplikt før behandling av særlige kategorier av personopplysninger for forskningsformål pågrunnlag av samtykke 11 Behandling av personopplysninger om straffedommer og lovovertredelser mv 12 Bruk av fødselsnummer og andre entydige identifikasjonsmidler 16 Unntak fra retten til informasjon og innsyn og plikten til underretning om brudd på personopplysningssikkerheten 17 Unntak fra den registrertes rettigheter ved behandling av personopplysninger for arkivformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål og statistiske formål 18 Personvernombud 19 Datatilsynet 31 Uekte kameraovervåkningsutstyr Endringer i særlovgivning mai

6 Sentrale begreper BEHANDLINGSANSVARLIG Registrerte Personopplysninger Særlige kategorier (sensitive) personopplysninger Behandlingsansvarlig Behandling Databehandler Tredjeland Overføring Opplysning Opplysning Opplysning ID DATABEHANDLER Opplysning Sensitiv opplysning Opplysning UNDERDATABEHANDLER mai

7 Grunnleggende personvernprinsipper Lovlig, rettferdig og gjennomsiktig (transparens) Formålsbegrensing og ikke viderebehandling utenfor formål Dataminimering: Adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for Riktighet: Korrekte og oppdaterte Lagringsbegrensning Integritet og fortrolighet: Sikkerhet og vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak Ansvarlighet: Den behandlingsansvarlige er ansvarlig = Accountability mai

8 Hva er ikke nytt med GDPR? Krav til lovlig behandlingsgrunnlag Grunnleggende personvernprinsipper videreføres Definisjoner av hva som er personopplysninger stort sett likt (men noen utvidelser hva gjelder "sensitive" personopplysninger (særlige kategorier) mai

9 Hva er nytt? Krav til behandling av personopplysninger for behandlingsansvarlig Registrertes rettigheter Internkontroll og informasjonssikkerhet Dataportabilitet Innbygd personvern og personvern som standardinnstilling Konsekvensanalyser (PIA) Klarere regler for melding av avvik Meldeplikt og konsesjonsplikt bortfaller Sanksjoner Strengere krav for databehandlere Økt dokumentasjon / Innhold av internkontroll Personvernombud mai

10 Bortfall av meldeplikt Etat/virksomhet Hjemlende lov Barnevern Barnevernloven 3-1 (jf. kap. 4) Sosialtjenesten Sosialtjenesteloven 3 (jf. kap. 4, 5 og 6 Rusmiddeletaten Sosialtjenesteloven kap. 6 PP-tjenesten Opplæringsloven 13-5, 1. ledd, jf. 5-6 Familievernkontorer Familievernkontorloven 11, jf. 1 Kommunehelsetjenestens behandlingsrettede registre (journal) / pasientadministrasjon innen rammen av helsepersonellovens 26 (Kommunen sender bare en melding om pasientjournal for sin behandlingsrettede virksomhet. NB - meldingen omfatter ikke pasientjournalene til leger med kommunal avtale. Disse må melde selv) Fylkestannlegens pasientjournal/ pasientadministrasjon innen rammen av helsepersonellovens 26 Helsepersonelloven 26 og 39 Helsepersonelloven 26 og mai

11 Krav til lovlig behandlingsgrunnlag Samtykke Viderefører stort sett gjeldende regler: Frivillig, informert og utrykkelig Må fritt kunne trekkes tilbake Praktisk implikasjon: Samtykkerklæring Nødvendighet Oppfylle avtale Oppfylle rettslig forpliktelse (hjemmel i lov) Verne vitale interesser Utføre en oppgave i allmennhetens interesse/offentlig myndighet Interesseavveining Den behandlingsansvarlige eller tredjeparts berettigede interesser Den registrertes interesser eller grunnleggende rettigheter og friheter mai

12 Krav til lovlig behandlingsgrunnlag Samtykke Viderefører stort sett gjeldende regler: Frivillig, informert og utrykkelig Må fritt kunne trekkes tilbake Praktisk implikasjon: Samtykkerklæring Nødvendighet Oppfylle avtale Oppfylle rettslig forpliktelse (hjemmel i lov) Verne vitale interesser Utføre en oppgave i allmennhetens interesse/offentlig myndighet Interesseavveining Den behandlingsansvarlige eller tredjeparts berettigede interesser Den registrertes interesser eller grunnleggende rettigheter og friheter mai

13 Lovlig behandlingsgrunnlag for kommuner Hjemmel i lov eller forskrift er det "vanligste" behandlingsgrunnlaget for kommunen "nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige" artikkel 6, (c) "utføre en oppgave i allmennhetens interesse eller utøvelse av offentlig myndighet som den behandlingsansvarlige er pålagt" artikkel 6, (e) Departementet: må foreligge et rettslig grunnlag i nasjonal rett utover forordningen. utføringen av disse oppgavene direkte eller indirekte forutsetter behandling av personopplysninger, tilfredsstiller kravet til rettslig grunnlag stilles ikke krav om at det supplerende rettsgrunnlaget eksplisitt regulerer behandling av personopplysninger mai

14 Interesseavveiingen for kommuner Artikkel 6, nr. 1 (f) får ikke anvendelse på behandling som utføres av offentlige myndigheter som ledd i utførelsen av deres oppgaver. Departementet: Kan benyttes der kommunen utøver kommersiell virksomhet eller i egenskap av å være arbeidsgiver Den behandlingsansvarlige eller tredjeparts berettigede interesser Den registrertes interesser eller grunnleggende rettigheter og friheter mai

15 Sensitive personopplysninger Særlige kategorier personopplysninger (sensitive personopplysinnger) Rasemessig/etnisk opprinnelse Politisk oppfatning Religion og overbevisning Fagforeningsmeldlemsskap Genetiske og biometriske opplysninger for identifikasjonsformål Helseopplysninger Seksuelle forhold eller orientering Straffedommer og lovovertredelser kun under offentlig myndighets kontroll Utgangspunkt: Forbudt å behandle med mindre det foreligger unntak Ytterligere behandlingsgrunnlag kreves (i form av (normalt) lov, særlov eller forskrift) Dette gjelder viktige samfunnsinteresser, helsetjenester mv., folkehelse bokstav og arkiv, forskning og statistikk. Arbeidsrettslige, trygderettslige og sosialrettslige rettigheter og forpliktelser krever hjemmel i lov eller tariffavtale mai

16 Samtykke Samtykke må være: Frivillig: Ikke være tvang eller medføre sanksjoner eller negative reaksjoner. Ytelsen avhengig av opplysningene? Uttrykkelig: Ikke tvil om at det er gitt samtykke og til hva. Ingen formkrav men kan ikke være passivitet eller forhåndsavkryssede bokser Informert: Må få informasjon om hva samtykket gjelder før det gis Like lett å trekke tilbake som å gis Må kunne dokumenteres (skriftlighet) Krav til systemer for å håndtere samtykker Skilles fra andre skriftlige forhold Forståelig og lett tilgjengelig form på et "klart og enkelt språk" Konsekvens av ikke lovlig samtykke: Ikke lovlig behandlingsgrunnlag mai

17 Samtykke spesielt for kommuner Samtykke er relevant f.eks. for kommunens interne bruk av bilder av ansatte (intranett/ekstranett (web) "Et samtykke bør ikke utgjøre et gyldig rettslig grunnlag for behandling dersom det er en klar skjevhet mellom den registrerte og den behandlingsansvarlige, særlig dersom den behandlingsansvarlige er en offentlig myndighet og det derfor er usannsynlig at samtykket er gitt frivillig med hensyn til alle omstendigheter som kjennetegner den bestemte situasjonen." (Jus.dep. i høringsnotat) Kan være relevant grunnlag for innhenting av f.eks. sensitive persjonopplysinger ved søknad om rene "goder", som f.eks. tildeling av plass på tilrettelagt avdeling eller andre oppfølgingstiltak fra kommunen eller andre Må ikke være betingelse for å få tilgang til et gode eller en tjeneste, være en reell valgfrihet. Eksempel: Elektroniske søknadsskjemaer. Alternativt er da innlevering av "fysiske" skjema Eksempel (PVN (Drosjeløyve): Som et alternativ til samtykke til innhenting av opplysninger (utover vandelsattest) må søker selv kunne inngi informasjonen mai

18 Informasjonsplikt Utslag av prinsippet om transparens "kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk" Skriftlig eller på en annen måte Hvordan oppfylle informasjonsplikten? Personvernpolicy - endre eller oppdatert personvernpolicy Når informasjon samles inn fra den registrerte eller fra andre Tidspunkt for informasjonen: Når opplysningene samles inn mai

19 Innholdet i informasjonsplikten Innsamling fra den registrerte Identiteten og kontaktopplysningene til den behandlingsansvarlige, eventuelt den behandlingsansvarliges representant Kontaktopplysningene til personvernombud (hvis relevant) Formålene med behandlingen Rettslige grunnlaget for behandlingen Ved interessaavvinning: De berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart Eventuelle mottakere eller kategorier av mottakere av personopplysningene Eventuell overføring av opplysningene til tredjestat mv mai

20 Innholdet i informasjonsplikten forts. Hvor lenge opplysningene vil bli lagret, eller dersom dette ikke er mulig, kriteriene som brukes for å fastsette dette tidsrommet Retten til innsyn i og korrigering eller sletting av personopplysninger eller begrensning av behandlingen som gjelder den registrerte, eller til å protestere mot behandlingen samt retten til dataportabilitet Ved samtykke: Retten til når som helst å trekke tilbake et samtykke uten at det påvirker lovligheten av en behandling basert på et samtykke før samtykket trekkes tilbake, Retten til å klage til en tilsynsmyndighet Ved lovfestet eller avtalefestet krav om å gi personopplysninger: Bruk av automatiserte avgjørelser, herunder profilering og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte Ved viderebehandling av opplysningene for et annet formål enn det opplysningene ble samlet inn for, informasjon om nevnte andre formål og annen nødvendig informasjon Unntak dersom den registrerte allerede har informasjonen eller umulig/vanskelig å gi informasjon mai

21 Informasjonsplikten - forts mai

22 Informasjonsplikten personvernerklæring mai

23 Informasjonsplikten personvernerklæring mai

24 2 Personvernombud, krav, oppgaver og organisering

25 Personvernombud Personvernombud i alle tilfeller hvor en offentlig myndighet eller et offentlig organ forestår behandlingen Offentlighetsloven 2 a): "staten, fylkeskommunane og kommunane" Krav til ombudet Formalkompetanse Uavhengighet Arbeidsoppgaver Involvering og konsultering Bindeledd mot registrerte og offentlige myndigheter Kan utføre andre oppgaver og ha andre plikter Har taushetsplikt mai

26 Personvernombud - egenskaper Faglige kvalifikasjoner Ombudets faglige kvalifikasjoner bør stå i forhold til omfattende behandling av personopplysninger virksomheten har, og hvor sensitive og komplekse opplysningene er. Hvis en virksomhet behandler komplekse data eller overfører data i stor skala til tredjeland er det ekstra viktig å utnevne et personvernombud med sterk faglig tyngde. Dybdekunnskap om personvernlovgivning og praksis på området Personvernombudet forventes å ha oversikt over, og å gi råd om, rammene for etterlevelse av både forordningen og annet relevant regelverk som inneholder personvernbestemmelser av betydning for virksomheten. Behovet for dybdekunnskap om tilstøtende regelverk vil naturlig nok variere. I noen tilfeller vil det ikke være annet relevant regelverk, mens for andre vil det være sektorspesifikk lovgivning som kan ha bestemmelser av betydning for personvernet. Det er også en fordel at ombudet erfaring fra og kjennskap til sektoren. Ombudet bør også ha en god forståelse av behandlingsaktivitetene, IT-systemene, informasjonssikkerhet og personvernbehovene i virksomheten. Evne til å utføre oppgavene sine Dette referer både til personlige kvaliteter og kunnskap, men også til ombudets posisjon i virksomheten. Når det kommer til personlige kvaliteter er det relevant å vurdere integritet og evne til å gjøre etiske vurderinger, samt evnen til å stimulere resten av virksomheten til å behandle personopplysninger i tråd med regelverket mai

27 Offentliggjøring av personvernombud Offentliggjøre kontaktopplysninger Formålet er å sikre at de registrerte, både ansatte, kunder og andre, enkelt kan kontakte ombudet uten å må ta kontakt med en annen del av virksomheten først. Kontaktopplysningene bør bestå av informasjon som lar de registrerte og Datatilsynet komme i kontakt med ombudet på en enkel måte (f.eks. telefonnummer og/eller e-postadresse direkte til ombudet, kontaktskjema på nettsiden eller en «hot-line», samt postadresse) Meddele kontaktopplysninger til Datatilsynet Gjøres i dag gjennom søknad om opprettelse av personvernombud til Datatilsynet Nytt regelverket: Datatilsynet vil ikke saksbehandle søknader, men opprette en registreringsløsning der virksomheten registrerer kontaktopplysningene til ombudet. Datatilsynet vil fortsette å ha en offentlig tilgjengelig liste over virksomheter med ombud mai

28 Personvernombud Flere offentlige myndigheter eller organer kan utnevne et felles ombud på vegne av flere Forutsetter imidlertid at det er forsvarlig ut fra virksomhetenes struktur og størrelse, og ikke minst ut fra omfang og kompleksitet når det gjelder de personopplysningene som behandles Skal involveres ombudet regelmessig blir invitert til å delta i møter med topp- og mellomledelsen ombudet er tilstede og blir hørt når avgjørelser med mulige personvernkonsekvenser blir tatt ombudets vurderinger blir hørt og tatt i betraktning. Hvis det er uenighet kan det være lurt å dokumentere begrunnelsen for at personvernombudets anbefaling ikke blir fulgt ombudet blir varslet når rutiner av betydning skal endres, eller nye IT-systemer og sikkerhetstiltak skal utvikles ombudet blir informert og rådspurt ved avvik relatert til personvernlovgivningen, eller andre hendelser som kan ha personvernmessige konsekvenser Skal IKKE motta instrukser skal sikres! Skal IKKE avskjediges eller straffes mai

29 Personvernombud - oppgaver Informere og gi råd Rapportere direkte til høyeste ledelsesnivå Kontaktpunkt for de registrerte Kontrollere overholdelsen av personvernregelverket samle inn informasjon for å identifisere behandlingsaktiviteter analysere og sjekke at behandlingsaktivitetene er i tråd med regelverket informere, gi råd og anbefalinger for å sikre regelverketterlevelse foreslå ansvarsfordeling for oppgaver knyttet til ivaretakelse av personvernet i virksomheten gjennomføre holdningsskapende arbeid i virksomheten og opplæring av medarbeidere Selv om personvernombudet har en rolle i å kontrollere etterlevelse etter regelverket, er det fremdeles den behandlingsansvarlige eller databehandleren som er ansvarlig for at personvernlovgivningen følges. Gi råd om vurdering av personvernkonsekvenser (DPIA) Samarbeide med Datatilsynet og fungere som kontaktpunkt Bidra til å få oversikt over / identifisere behandlingsaktiviteter mai

30 Personvernombud - forutsetninger Gi ombudet aktiv støtte fra øverste ledelse Som ledd i dette også påse at personvernombudet får tilgang til, og støtte fra andre deler av virksomheten som personal-/hr-funksjonen, juridisk, IT, sikkerhetsansvarlig ol. Sørge for at ombudet gis nok tid og ressurser til å utføre oppgavene sine Er en person ombud på deltid kan det være en god ide å sette av en viss prosent av arbeidstiden til ombudsoppgaver. Avhengig av virksomhetens størrelse og kompleksiteten i behandlingen av personopplysninger vurder også om det kan være nødvendig å styrke ombudet også med bistand fra andre medarbeidere i organisasjonen. Sett av tilstrekkelig med økonomiske midler og tekniske hjelpemidler (kontorplass, IT-utstyr osv.) Informer alle ansatte om at det er blitt opprettet et personvernombud og hva denne rollen innebærer for virksomheten. Bør få mulighet til å holde seg oppdatert på utviklingen innen personvern og den sektoren som virksomheten opererer innenfor. Bør oppfordres til å ta kurs eller delta i nettverk, eller andre personvernrelaterte fora mai

31 3 Krav til IT-systemer, innebygget personvern, registrertes rettigheter, herunder retten til informasjon og innsyn, personvernbrudd, tilsyn / sanksjoner

32 Krav til IT-systemer Personopplysninger skal kun behandles på en måte som sørger for tilfredsstillende sikkerhet for personopplysningene Sikre konfidensialitet, integritet og tilgjengelighet Implementere nødvendige tekniske og organisatoriske tiltak Forholdsmessighet: Tiltakene skal sikre et passende sikkerhetsnivå mot risikoen Hensynta hva som er mulig ("the state of the art"), kostnader ved implementering og omfang, kontekst og formål med behandlingen Pseudonymisering Gjenopprette data Prosesser for testing, tilgangskontroll og evaulering Codes of conduct og sertifisering Risikovurdering/konsekvensanalyse (Privacy Impact Assessment PIA) mai

33 Krav til anskaffelse av IT-systemer Hvordan sikre at løsningen støtter opp under kravene i regelverket og ikke forhindrer etterlevelse av regelverket? Konkret utforming: Omgjøring av krav i regelverket til konkret løsning - hvem har ansvar for at løsningen er dekkende for kravet i regelverket? Problemene med generelt krav til leverandør Krav til prosess mellom leverandør og kunde løsningen? Senere endringer i regelverket endringer og forvaltning av løsning Hvem skal følge opp endringene i regelverket? Hvem skal dekke kostnader for utvikling og endringer? Krav til fremdrift i endringer og utvikling Ansvar for at løsningen ikke oppfyller kravene etter regelverket Forskjell i ansvar om løsningen er kundens eller om det er databehandlers løsning? mai

34 Innebygd personvern Vurderes ved planlegging og gjennomføring av behandlingen Hensyntar personvernprinsippene Datatilsynets "7-trinn" Stiller krav til systemer og leverandører Hensynta tilgjengelig teknologi, behandlingens karakter og ressursforbruket Plikt til å gjøre det som er nødvendig for å sikre at forordningen overholdes, herunder til de registrertes rettigheter Pesudonymisering Dataminimering Betydning for valg av løsning, krav til løsning, vedlikehold og oppdatering (hensynta «den tekniske utviklingen» ( ) «ved behandlingen») Kan komme sertifisering Grunnleggende prinsipper for innebygd personvern 1. Vær i forkant, forebygg fremfor å reparere 2. Gjør personvern til en standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet (både og, ikke enten-eller) 5. Ende til ende sikkerhet full livssyklus sikkerhet 6. Åpenhet og transparens 7. Respekter brukernes personvern sørg for individuelle brukerløsninger mai

35 Dataportabilitet Rett til å "få med seg" data fra en behandlingsansvarlig f.eks. i forbindelse med bytte av leverandør Kun data den registrerte selv har avgitt, basert på samtykke eller oppfyllelse av avtale som grunnlag og som behandles automatisert Dataportabilitet gjelder ikke behandlinger som skjer som et ledd i utøvelse av offentlig myndighet eller allmenn interesse Rett til å få data i et «strukturert, alminnelig, og maskinlesbart format» og også til å overføre fra en behandlings- ansvarlig til en annen Krav til informasjonsarkitektur, segregering av data mv. Eksempel: Innsynnslogger er det systemer for å kunne sikre denne retten? Pasientjournaler Dataportabilitet ved innføring av velferdsteknologi. Må legge til rette for overføring av "egne data". Aktivitetslogger er et eksempel på data man har krav på å få utlevert mai

36 Rett til innsyn Gjelder kun registrerte (nytt) Forholdet til informasjonsplikten Informasjonsplikt er før opplysninger behandles. Ivaretas f.eks gjennom personvernerklæringer Egen "Veileder" for offentlig sektor - fortsatt aktuell Særlovgivningen går foran - personopplysningsloven er generelt regelverk F.eks. pasient- og brukerrettighetslovens regler for innsyn i pasientjournal Forvaltningslovens regler for partsinnsyn (og unntak for interne dokumenter jf fvl 19). Lovutkastet 16 Offentlighetslovens bestemmelser om allmennhetens tilgang til dokumenter og informasjon "Departementet [ser] det som overflødig å lovfeste en ytterligere presisering av at forordningen ikke er til hinder for innsyn etter offentleglova. Departementet foreslår derfor ingen lovregulering av forholdet til offentleglova tilsvarende gjeldende personopplysningslov 6 første ledd. " - Fra Justisdepartementets høringsnotat mai

37 Rett til innsyn forts. Rett til innsyn vs. "snoking" Regjeringen ønsker å motvirke uberettiget innsyn i personopplysninger i alle viktige offentlige og private registre. For å motvirke uberettiget innsyn i slike registre, er det nødvendig at den enkelte virksomhet gjennomfører tiltak, både når det gjelder egne systemer, internkontroll etter personopplysningsloven og interne rutiner generelt. Retningslinjer om innsynslogg Sikring av konfidensialitet, hindre uautorisert bruk. Lovpålagt i helseregistre (helseregisterloven 24 og pasientjournalloven 18) Sikre at henvendelse kommer fra den registrerte (autentisering). Fortalen pkt 63 oppfordrer til sikker fjerntilgang og "selvbetjeningsløsninger". Autentisering BankID. Klage: Datatilsynet og eventuelt Personvernnemda Klager over Datatilsynets avslag på begjæring om innsyn etter offentleglova skal derfor fremdeles behandles av administrativt overordnet departement. Utarbeid rutine for Å svare på henvendelser Tidsfrist (1 måned) Informasjon om forsinkelse (opp til 2 måneder) Ved elektronisk henvendelse "skal" svaret også komme elektronisk Gebyr? (i utgangspunktet kostnadsfritt) Hva skal utleveres Sikre autentisitet BankID Forholdet til dataportabilitet mai

38 Avviksmelding Dagens krav: Dersom et avvik har medført "utlevering av personopplysninger hvor konfidensialitet er nødvendig." Datatilsynet skal varsles, jf. personopplysningsforskriften 2-6 Ingen krav til varslets innhold eller tidspunktet for varslingen GDPR (Artikkel 33-34): Avviksmelding til tilsynsmyndighetene for behandlingsansvarlig innen 72 timer Databehandler skal varsle behandlingsansvarlig uten ugrunnet opphold Varsling av den registrerte Dersom avviket kan føre til høy risiko for rettighetene til fysiske personer Skal skje uten ugrunnet opphold Unnlatt varsling Rutine må utarbeides mai

39 Tilsyn og sanksjoner Datatilsynet kan ilegge overtredelsesgebyr overfor offentlige myndigheter på samme måte og med samme beløp som overfor private (gjelder allerede i dag) Vedtak om overtredelsesgebyr skal kunne overprøves fullt ut av domstolene og domstolene kan avsi realitetsdom i saken Dagens regime (POL 46): Datatilsynet kan ilegge overtredelsesgebyr Skjønnsmessige kriterier Maksimalsats: 10G (ca NOK ) Objektivt ansvar (uavhengig av skyld) Nye regler Administrativt gebyr opp til EUR 10 mill. eller 2 % av global årlig omsetning Som for manglende dokumentasjon, ikke varslet tilsynsmyndighetene og personer ved avvik/brudd eller ikke gjennomført konsekvensutredninger (PIA) Alvorlige overtredelser EUR 20 mill. eller 4 % av global årlig omsetning Som for brudd på grunnleggende prinsipper knyttet til datasikkerhet og kravene til samtykke Pålegg om endringer mai

40 4 Kommuner ut i skyen, bruk av databehandler, krav til databehandleravtale

41 Bruk av databehandler Strengere krav til behandlingsansvarliges bruk av databehandler (supply chain management) Kun bruke databehandler som gir tilstrekkelige garantier for tekniske og organisatoriske tiltak (informasjonssikkerhet) Medføre mer bevissthet fra kunden ved valg av databehandler Større bevissthet på hvor personopplysninger behandles og informasjonssikkerheten Krav til leverandørens it-systemer for å understøtte behandlingsansvarliges oppfyllelse av plikter, som Sletting, endring og utlevering av personopplysninger Flytting av opplysninger (portabilitet) Innebygd personvern Varsling ved personvernbrudd Overholde Codes of Conduct og sertifiseringskrav Muligheter for leverandører som bidrar til å gjøre behandlingsansvarliges oppfyllelse av plikter enklere (transparens) Skal alltid foreligge databehandleravtale ved bruk av databehandler Avtalen må underbygge de krav behandlingsansvarlig har etter regelverket og overfor de registrerte Skal være skriftlig, men kan foreligge elektronisk mai

42 Databehandleravtale - innhold Individualisering ved at følgende skal inntas: hensikten med behandlingen varigheten av behandlingen behandlingens formål og art typen personopplysninger og kategorier av registrerte som skal behandles den behandlingsansvarliges rettigheter og plikter Personopplysningene skal kun behandles etter instruks fra den behandlingsansvarlige (som kan dokumenteres i ettertid) Ikke overføre personopplysninger til land utenfor EU/EØS (tredjeland) uten etter instruksjon fra den behandlingsansvarlige Konfidensialitetsplikt for de som behandler opplysningene Informasjonssikkerhetskrav også for databehandler Ikke engasjere en annen databehandler ("underdatabehandler") uten særlig eller generell skriftlig tillatelse fra den behandlingsansvarlige Etterkomme pålegg om å slette eller tilbakelevere alle personopplysninger Gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene ovenfor er oppfylt Omgående underrette den behandlingsansvarlige dersom en instruks fra den behandlingsansvarlige er i strid med GDPR eller andre bestemmelser om vern av personopplysninger, som personopplysningsloven Bistå den behandlingsansvarlige med oppfyllelse av plikter, som skal reguleres i databehandleravtalen: svare på anmodninger som de registrerte sikre overholdelse av forpliktelser etter artikkel 32 36, som er krav til sikkerhet ved behandlingen, Vurdering av personvernkonsekvenser (såkalte DPIAs) og ved forhåndsdrøftinger med Datatilsynet før behandling med høy risiko Melding til tilsynsmyndigheten (Datatilsynet) og eventuelt de registrerte om brudd på personopplysningssikkerheten, Konsekvenser av manglende / mangler i databehandleravtalen mai

43 Ut i skyen Risiko- og sårbarhetsanalyse Kartlegg alle systemer i virksomheten som inneholder personopplysninger Grader deretter opplysningene fra sensitive til ikke-sensitive Evaluer hva som kan gå galt Vurder hvilke følger det kan få om noe går galt, for eksempel at personopplysninger kommer på avveier. Lag en oversikt over hvilke sikkerhetstiltak som er iverksatt for å håndtere eventuelle hendelser. Vurder sikkerhetstiltakene i avtalen med leverandøren av skytjenesten. Tilfredsstiller tjenesten kravene etter risikovurderingen? Revidering av tjenesten/leverandøren Regelmessig Uavhengig tredjepart gjennomfører en sikkerhetsrevisjon - rapport mai

44 Ut i skyen / risikovurdering Risiko- og sårbarhetsanalyse mai

45 Databehandleravtale ved skytjenester Databehandleravtale med leverandøren av skytjenestene Sikkerhetskopiering/speiling? Når slettes opplysninger hos leverandøren? Er tilgangsstyring i samsvar med lovpålagte krav og egen internkontroll? Hvordan håndterer leverandøren det at personopplysninger ikke skal sammenblandes mellom ulike behandlingsansvarlige? Kartlegg om leverandøren kan bruke virksomhetens data til egne formål. Leverandørens personvernvilkår (eller andre vilkår) bør ikke går ut over databehandleravtalen Sørg for å regulere leverandørens bruk av underleverandører, og at virksomheten har oversikt og kontroll over disse. Kartlegg om leverandøren kan bruke opplysningene for egne formål. Ved overføring av personopplysninger utenfor EU: Artikkel 45 og 46 (viderefører dagens regler) mai

46 Andre forhold ved skytjenester Dataportabilitet Kan data overføres til ny tjenesteleverandør hvis det er ønskelig? Informasjonssikkerhet Hvor krypteres dataene? Hva er kryptert? Hvem har tilgang til krypteringsnøkler Nødvendig dokumentasjon på plass? Er løsningen tilstrekkelig dokumentert slik at offentlige myndigheter kan gjennomføre en kontroll? mai

47 5 Krav til internkontroll og hvordan overholde kravene etter de nye reglene på en praktisk måte? (GDPR-prosjekt)

48 Hvordan etablere et god internkontroll i kommunene? Bakgrunn: Konklusjoner fra tilsynsrapporter i ca 40 kommuner Forbrukerombudet: "Norske kommuner svikter innbyggernes personvern (2016) Informasjonskapsler Personvernerklæringer mai

49 Konklusjoner etter tilsyn Ikke tilstrekkelig oversikt over sine behandlinger av personopplysninger Manglende dokumentasjon av risikovurdering av disse behandlingene Manglende oversikt over plikter knyttet til informasjon og innsyn personopplysningsloven mai

50 Eks pålegg fra en kommune X kommunen pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13, jf. forskriften 2-4, andre ledd å gjennomføre risikovurderinger av informasjonssystemet. Det vises til kontrollrapportens pkt X kommune pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf 13, jf. forskriften 2-3, å etablere sikkerhetsmål og sikkerhetsstrategi. Det vises til kontrollrapportens pkt X kommune pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13, jf. forskriften 2-7, å etablere og dokumentere sikkerhetsorganisasjonen. Det vises til kontrollrapportens pkt X kommune pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13, jf. forskriften 2-8 å etablere rutiner for og gjennomføre opplæring av ansatte for sikker bruk av informasjonssystemet avvikshåndtering. Det vises til kontrollrapportens pkt mai

51 Eks pålegg fra en kommune X kommune pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 14, jf. personopplysningsforskriften 3-1 å etablere, dokumentere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven (internkontroll): rutiner for ivaretakelse av enhvers krav om innsyn i kommunens behandlinger av personopplysninger og den registrertes rett til innsyn i egne opplysninger etter 18, første og andre ledd, jf. forskriften 3-1, tredje ledd bokstav d). Det vises til kontrollrapportens pkt. xx rutiner for ivaretakelse av den registrertes rettigheter til informasjon etter 19 og 20, jf. 14 jf. forskriften 3-1, tredje ledd bokstav d). Det vises til kontrollrapportens pkt. xx. rutiner for retting og sletting, i samsvar med 27 og 28, jf. 14, jf. forskriften 3-1, tredje ledd bokstav c). Se kontrollrapportens pkt rutiner for oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt etter 31 og 33, jf. 14, jf. forskriften 3-1, tredje ledd bokstav f). Det vises til kontrollrapportens pkt. xx mai

52 IT Sikkerhet mai

53 Informasjonssikkerhet- Krav under GDPR Behandlingsansvarlig (og databehandler) skal implementere tilstrekkelige tekniske og organisatoriske tiltak Forholdsmessighet: Tiltakene skal sikre et passende sikkerhetsnivå mot risikoen ved å ta hensyn til: hva som er mulig ("the state of the art") og den tekniske utviklingen, kostnader ved implementering og art, omfang, kontekst og formål med behandlingen (særlige kategorier av personopplysninger) særlig hensyn til «risikoen forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring og ikke-autorisert utlevering av eller tilgang til personopplysninger» (les: konfidensialitet, integritet og tilgjengelighet) Tiltakene skal bli vurdert og oppdatert når nødvendig mai

54 Mulige årsaker Arbeidskrevende å etablere internkontroll og informasjonssikkerhet Manglende kunnskap om etablering av kontroll og informasjonssikkerhet Manglende prioriteringer Manglende forankring på ledernivå mai

55 Kommunelovens krav til internkontroll Kommuneloven 23 nr 2 krever at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. Kommuneloven Forordningen: "Accountability" E-forvaltningsforskriften 15 Eksempel: Rapport om internkontroll (generelt) i kommuner mai

56 Internkontroll (forts) Datatilsynet har utarbeidet en egen veileder for internkontroll i kommunene Sjekklisten 50 spørsmål. Fortsatt relevant, må bygges ut med noen ytterligere rutiner for rettigheter og plikter Egen veileder fra Difi om informasjonssikkerhet og internkontroll i det offentlige finnes her: mai

57 Hvordan bli klar for GDPR? Planlegging. Definere omfang/planlegge, allokere ressurser, fremdriftsplan, og angi risikonivå Kartlegging av personopplysninger som behandles, behandlingsmåte, informasjonssystemer, bruk av leverandører/underdatabehandlere, overføring til tredjeland, rutiner og prosedyrer, dokumentasjon mv. Vurdering av data og informasjon, identifisere avvik fra regelverket og akseptert risikonivå og tilhørende risikoelementer Utbedring. Iverksette tiltak og endre rutiner som ikke er i overensstemmelse med GDPR (og annet regelverk) Etablere en effektiv struktur (governance) for å håndtere avvik og risikoelementer i organisasjonen Håndtere. Løpende håndtering av risikoforhold som oppstår, samt håndtering av endringer i ramme- lovgivning, teknologi og andre forhold som kan påvirke risiko i organisasjonen mai

58 Organisering av prosjektet Ledelsesinitiativ Involvering HR IT "Prosesseiere"/"Dataeiere" Bruk tid på datamapping og kartlegging Organiser intern opplæring i organisasjonen Sørg for god informasjon og dokumentasjon for ettertiden Gode rutiner sparer tid og reduserer risiko Bruk av ressurser og kompetanse Interne ressurser Eksterne ressurser (herunder advokat- og teknisk bistand) Normaltid: 1 til 3 måneder Prioritering av avvik Parallelle prosesser mai

59 Oversikt over behandling Gir kontroll over alle behandlinger som skjer av personopplysninger i virksomheten Uten en slik oversikt er det ikke mulig å vite om man tilfredsstiller alle øvrige krav til dokumentert internkontroll To tilnærminger: Behandlingsorientert og system (IT) orientert Involver prosesseiere, still spørsmål Sjekkliste oversikt over behandlinger For kommuner: Kommunen må først vite hvilke behandlinger den foretar. Den må selv avgrense behandlingene. En behandling skal ha et presist angitt formål. Spørsmål som må stilles når man skal skille den ene behandlingen fra den andre er blant annet: Hva er målet med å behandle personopplysningene? Hvilket hjemmelsgrunnlag gjelder for behandlingen? (samtykke, hjemmel i lov) Hvem er objektet for behandlingen (elever, ansatte, pasienter)? Hvilken etat er faglig ansvarlig for å utføre oppgaven? Hvem kan få tilgang til opplysningene? mai

60 Eksempel mai

61 Eksempel mai

62 Oversikt over prosjektet PLANLEGGE KARTLEGGE VURDERE UTBEDRE ETABLERE HÅNDTERE "AS IS" AVVIK AVVIKSPLAN "TO BE" mai

63 Dokumentasjonskrav Dokumentasjon som må foreligge: Sikre formålsbegrensning Sikre riktighet - oppdaterte opplysninger og sletting (når relevant) Sikre lagringsbegrensning - sletting / psedunomisering Sikre integritet og fortrolighet - uautorisert eller ulovlig behandling, og mot tap, skade, endring mv. Sikre behandlingens lovlighet - dokumentert behandlingsgrunnlag, herunder for særskilte kategorier opplysninger Dokumentasjon av samtykke Rutiner og dokumentasjon av oppfyllelse av informasjonsplikt for registrerte Rutiner for innsyn Dokumentert informasjonssikkerhet, herunder revisjon Rutiner for overholdelse av adferdsnomer Rutiner for innebygd personvern Rutiner ved felles behandlingsansvarlige Rutiner for sikring av krav til databehandler Rutine for å sikre at databehandleren og enhver person som handler for den behandlingsansvarlige eller databehandleren, og som har tilgang til personopplysninger, skal behandle nevnte opplysninger bare etter instruks fra den behandlingsansvarlige Databehandleravtaler Protokoller (register) over behandlingsaktiviteter over all behandling av personopplysninger Rutiner for retting Rutiner for sletting Rutiner for begrensning av behandling Rutiner for dataportabilitet Rutiner for sikring av innsigelsesrett Rutiner for å motsette seg automatiserte individuelle avgjørelser, herunder profilering Rutine for varsling av datatilsynet, og evnt. registrerte, av brudd på personopplysningssikkerheten Rutiner for konsekvensanalyser Rutine for forhåndsdrøftinger med Datatilsynet Rutiner for utpeking, stillng og oppgaver for personvernombud Grunnlag for overføring av personopplysninger utenfor EU mai

64 Konsekvensutredning Artikkel 35. Ny plikt som gjelder for ny teknologi, som f.eks. Internet of Things, velferdsteknologi Description of the envisaged processing Behandling som kan medføre stor risiko for rettigheter for individer Vurdering av betydningen behandlingen har for personopplysninger Må gjøres før behandling skjer > plikt for databehandler til å bistå behandlingsansvarlig Personvernombud skal tas med i konsultasjonen (Art 39) 1 nr. c Revideres ved endringer Del av internkontrollplikten Vurdering av behandlingene som skjer "livssyklustilnærming" Formålet og behovet for behandlingen Personvernrisko for den registrerte (f.eks. om opplysninger kommer på avveie) Tiltak for å redusere risiko Monitoring and review Documentation Measures envisaged to adress the risks Assessment of the necessity and proportionally Measures envisaged to demonstrate compliance Assessment of the risks to the rights and freedoms mai

65 Konsekvensutredning (forts) Datatilsynet har utarbeidet en egen veileder Datatilsynet skal offentliggjøre en liste over hvilke typer behandlingsaktiviteter som krever en vurdering av personvernkonsekvenser Plikt til forhåndsdrøftelse ved "høy risiko" (Art. 36) Dokumentasjonsplikt mai

66 Konsekvensutredning (forts) Er behandlingen en evaluering eller poengvurdering? Omfatter den automatiserte avgjørelser? Innebærer den systematisk overvåking? Involverer den sensitive personopplysninger? Dreier det seg om en behandling av personopplysninger i stor skala? Vil to eller flere datasett sammenstilles? Omfatter den personopplysninger om registrerte med særskilt beskyttelsesbehov? Tar den i bruk ny teknologi eller brukes eksisterende teknologi til nye formål? Omfatter den overføring til land utenfor EU/EØS? Vil konteksten for behandlingen begrense muligheten de registrerte har til å utøve sine rettigheter? Veiledning: Ved "ja" på to eller flere punkter er det stor sannsynlighet for at det må foretas en konsekvensutredning mai

67 6 Oppsummering, spørsmål og avslutning

68 Takk for meg! Petter Bjerke Partner, DLA Piper Norway M: E: mai

69 15. mai