IOT SIKKERHET ELLER OVERVÅKING

Transkript

1 IOT SIKKERHET ELLER OVERVÅKING Boliger for fremtiden februar februar

2 Internet of Things / Tingenes internett "er koblet til nettverk som kan utveksle data" 6. februar

3 IoT økosystem Funksjonalitet i enhetene Identifisering Kommunisering Sensorer Lokalisering og sporing Internet Hub Kommandoer / forespørsel om data Data 6. februar

4 Sikkerhet Utsatte løsninger og data Sikkerhet for data Sikkerhet mot inngripen i bruk Kompleksitet i økosystemet og funksjoner Identifisering Kommunisering Sensorer Lokalisering og sporing Konsekvens av manglende sikkerhet ansvar 6. februar

5 Ansvar Ansvaret for: Den som produserer enheten (produktansvar) Ansvaret til leverandør av deler i enheten Den som utplasserer enheten (huseier) Den som styrer enheten (databehandler/leverandør) Sluttbrukeren (personen) Forholdet til forsikring Den som får rett til dataene også den som er ansvarlig? Ikke Skade og tap Hvem blir skadelidende? Konsekvenser: Krav om erstatning, bøter og pålegg, tap tillits-/omdømmetap 6. februar

6 Rettigheter til data Personopplysninger og «upersonlige» opplysninger Personopplysninger reguleres av personvernlovgivningen Data som ikke er personopplysninger fritt frem? Hva kan gjøres med opplysningene? Hvem «eier» dataene? Der hvor dataene «oppstår» - huseier/leietaker/produsent av enhet/administrator? Ikke alltid den samme som har tilgang til dataene Kontraktsregulering viktig å være føre var Hvem kan kreve utlevert data og hvem skal utlevere data? 6. februar

7 IoT og personvern Identifisering må være personopplysninger Hvem er de registrerte i et hus/bolig/leilighet? Overvåking Typer data: Identifisering / bilder / video (regler om kameraovervåking) Posisjonering / lokalisering / sporing Kommunikasjon Sensorer, som temperatur, lyd, lys mv. Bruksmønstre / profiler Logger Skille innsamling og etterbruk 6. februar

8 Forhold etter personvernreglene Behandlingsansvarlig / databehandler Biometrisk gjenkjenning Særlige kategori personopplysninger (sensitive) Ikke lovlig å behandle uten samtykke eller annet grunnlag Risikovurdering/konsekvensanalyse Innebygd personvern Krav til internkontroll og dokumentasjon Rettigheter for de registrerte rett til innsyn, sletting mv. Registrertes rett til egne data Rett til å nekte behandling? Dataportabilitet (?) Avviksmeldinger hvem har ansvar? 6. februar

9 Krav til informasjonssikkerhet etter GDPR Tilfredsstillende sikkerhet må ivaretas Sikre konfidensialitet, integritet og tilgjengelighet Implementere nødvendige tekniske og organisatoriske tiltak Sikkerhet/informasjonssikkerhet Forholdsmessig til opplysningene som behandles Stå mot cyberangrep og hacking, sårbarheter, oppdatering mv. Hvem har ansvar (vedlikeholdsansvar) Hensynta hva som er mulig ("the state of the art"), kostnader ved implementering og omfang, kontekst og formål med behandlingen Codes of conduct og sertifisering 6. februar

10 Krav for de som behandler data for andre Kravene etter GDPR for databehandlere (alfabetisk) Appoint a Data Protection Officer/Official (DPO) in an independent oversight role Assign responsibility for data privacy to an individual (e.g. Privacy Officer, Privacy Counsel, CPO, Representative) Conduct an Enterprise Privacy Risk Assessment Conduct due diligence around the data privacy and security posture of potential vendors/- processors Conduct Privacy Impact Assessments (PIA) or Data Protection Impact Assessment (DPIA) for changes to existing programs, systems, or processes Conduct Privacy Impact Assessments (PIA) or Data Protection Impact Assessment (DPIA) for new programs, systems, processes Conduct privacy training Conduct regular communication between the privacy office, privacy network and others responsible/accountable for data privacy Conduct regular testing of data security posture Conduct self-assessments of privacy management Document legal basis for processing personal data Engage external stakeholders (e.g., individuals, privacy advocates) as part of the Privacy Impact Assessments (PIA) or Data Protection Impact Assessment (DPIA) process Identify ongoing privacy compliance requirements, e.g., law, case law, codes, etc. Integrate data privacy into an information security policy Integrate data privacy into direct marketing practices Integrate data privacy into records retention practices Integrate data privacy into research practices Integrate data privacy into the organization's use of social media Integrate data privacy risk into security risk assessments Integrate Privacy by Design into system and product development a breach notification (to affected individuals) and reporting (to regulators, credit agencies, law enforcement) protocol a data privacy incident/breach response plan a data privacy notice that details the organization s personal data handling practices a data privacy policy a log to track data privacy incidents/breaches an inventory of personal data holdings (what personal data is held and where) certifications, accreditations or data protection seals for demonstrating compliance to regulators data privacy requirements for third parties (e.g., clients, vendors, processors, affiliates) documentation as evidence to demonstrate compliance and/or accountability measures to encrypt personal data Privacy Impact Assessments (PIA) or Data Protection Impact Assessment (DPIA) guidelines and templates policies/procedures for collection and use of children and minors' personal data policies/procedures for collection and use of sensitive personal data (including biometric data) policies/procedures for maintaining data quality policies/procedures for obtaining valid consent policies/procedures for secondary uses of personal data policies/procedures for the de-identification of personal data policies/procedures to review processing conducted wholly or partially by automated means procedures to execute contracts or agreements with all processors procedures to respond to requests and/or provide a mechanism for individuals to update or correct their personal data procedures to respond to requests for access to personal data procedures to respond to requests for data portability procedures to respond to requests to be forgotten or for erasure of data procedures to respond to requests to optout of, restrict or object to processing procedures to restrict access to personal data (e.g. role-based access, segregation of duties) records of the transfer mechanism used for cross-border data flows (e.g., standard contractual clauses, binding corporate rules, approvals from regulators) roles and responsibilities for individuals responsible for data privacy (e.g. job descriptions) technical security measures (e.g. intrusion detection, firewalls, monitoring) Provide data privacy notice at all points where personal data is collected Report Privacy Impact Assessments (PIA) or Data Protection Impact Assessment (DPIA) analysis and results to regulators (where required) and external stakeholders (if appropriate) Track and address data protection issues identified during Privacy Impact Assessments (PIA) or Data Protection Impact Assessment (DPIA) Use adequacy or one of the derogations from adequacy (e.g. consent, performance of a contract, public interest) as a data transfer mechanism 6. februar

11 Krav for/til databehandlere Kun bruke databehandlere som "gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak" Bøter, pålegg, direkte krav / indirekte krav Bruk av underdatabehandler Informasjonsplikt overfor den behandlingsansvarlige Bistå behandlingsansvarlige i sine plikter, bl.a.: Utlevering av personopplysninger, sletting og endring av personopplysninger, samt flytting av opplysninger (portabilitet) Overholde Codes of Conduct og kan bli sertifiseringskrav Må registrere all databehandling som gjøres 6. februar

12 Oppsummering Internet of Things / Tingenes internett Sikkerhetsutfordringer > hvem har ansvar? Rett til dataene plikt til utlevering Personopplysninger? Rettigheter for registrerte personer etter personvernreglene Krav til informasjonssikkerhet under personvernreglene (GDPR) Hvem har plikt til å oppfylle pliktene etter personvernreglene Hvem er behandlingsansvarlig / databehandler Krav ved bruk av databehandler = 6. februar

13 Jan Sandtrø DLA Piper DLA Piper is a global law firm operating through various separate and distinct legal entities. Further details of these entities can be found at This publication is intended as a general overview and discussion of the subjects dealt with, and does not create a lawyer-client relationship. It is not intended to be, and should not be used as, a substitute for taking legal advice in any specific situation. DLA Piper will accept no responsibility for any actions taken or not taken on the basis of this publication. This may qualify as "Lawyer Advertising requiring notice in some jurisdictions. Prior results do not guarantee a similar outcome. Copyright 2018 DLA Piper. All rights reserved februar