Nytt regelverk, nye muligheter og masse avviksmeldinger!

Transkript

1 Nytt regelverk, nye muligheter og masse avviksmeldinger!

2 Agenda Bakgrunn Prinsipper og regelverkskrav Avviksmeldinger 2

3 Hva er person(opplysnings)vern? Hva er det vi forsøker å beskytte? Er det kun selve informasjonen om et menneske? Nei ikke bare det En krenkelse av personvernet kan skje selv om du beskytter informasjonen aldri så godt Hvis informasjonen du har er feil Hvis det er personen selv som skal bestemme om du får lov å ha informasjonen, og du ikke har innhentet samtykke Person(opplysnings)vern er altså noe mer enn informasjonssikkerhet 3

4 Hva er en personopplysning? Identitet: Navn, fødselsnummer, sivilstatus, høyde, vekt Kontaktinfo: brukernavn, adresse hjemme, adresse jobb, mobilnummer, e-post, etc. Aktivitet: Adferdsmønstre, interesser, hobbyer, utdanning, yrkesliv, lokasjon, posisjon, kjøpemønster, søkehistorikk, likes etc. Finans: Inntekt, skatt, gjeld, bankkonto, kontoutskrift, utgifter, kredittvurdering etc. Kommunikasjon: MAC-adresse, IPadresse, SMS, MMS, fotografier, videoer, sosiale medier, sosialt nettverk, kontakter, cookies etc. Pseudonymiserte opplysninger (kvinne, 43 år, Oslo, liker å strikke, har sibirkatt, jobber i offentlig etat, to barn) Særlige kategorier: Helseopplysninger, fagforeningsmedlemskap, politisk oppfatning, religion, seksuelle forhold/orientering, etnisitet/rase 4

5 «En forelder gjorde avtale med sin sønn om å gjøre lekser sent en kveld for at han skulle kunne være med på noe annet. Han gjorde leksene fra kl 22 og leverte ca kl 22:30 på den digitale læringsplattformen. Dagen etter tikker det inn SMS fra lærer om at X leverte kl 22:30, det er altfor sent for barn å gjøre lekser.» Men er det så farlig? Jeg har jo ingenting å skjule!

6 Prinsipper og regelverkskrav

7 Lovlighet, rettferdighet og åpenhet Formålsbegrensning Art. 5 Riktighet Dataminimering Integritet og konfidensialitet Ansvar Lagringsbegrensning

8 Borgernes rettigheter og friheter Informasjon Innsyn Korrigering Sletting Begrensning Dataportabilitet Innsigelse Automatiserte avgjørelser Særskilte rettigheter for beskyttelse av barns personvern 8

9 Prinsipper informasjonssikkerhet og ansvarlighet Tilstrekkelig sikkerhet: Sikre opplysningene mot uautorisert eller ulovlig behandling. Sikre mot utilsiktet tap, ødeleggelse eller skade Ved bruk av egnede tekniske og organisatoriske tiltak. Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at prinsippene overholdes. 9 Art. 5 nr. 1 f) Art. 5 nr. 2

10 Ansvar og internkontroll Den behandlingsansvarliges ansvar Forholdsmessighet Behandlingens art, omfang, formål og sammenheng Risiko for rettigheter og friheter Egnede tekniske og organisatoriske tiltak Etablere og ta i bruk nødvendige retningslinjer for vern av personopplysninger Sikre og dokumentere etterlevelse Kontinuerlig prosess Art

11 Sikkerhet ved behandlingen Forholdsmessighet Teknisk utvikling og gjennomføringskostnader Behandlingens art, omfang, formål og sammenheng Risiko for rettigheter og friheter Risikovurdering Sikkerhetstiltak Pseudonymisering og kryptering av personopplysninger Sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet Gjenoppretting av tilgjengelighet og tilganger ved hendelser Jevnlig testing, vurdering og evaluering Bransjenormer eller godkjent sertifiseringsordning Element for å vise etterlevelse Tiltak for å sørge for at behandling kun skjer på instruks fra behandlingsansvarlig Art

12 Avviksmeldinger til Datatilsynet Art. 33 og 34

13 Vanligste sikkerhetshendelser i fjor Kilde: «Mørketallsundersøkelsen 2018»

14 Vanligste årsak til at hendelsen ble oppdaget var ved en tilfeldighet (eller flaks!) Virksomheter med internkontroll eller styringssystem baserer seg mindre på tilfeldigheter og mer på intern sikkerhetsmonitorering

15 Antall meldte avvik fra 2014 til 19. oktober? 931 Siden 20. juli ?

16 Hvem melder avvik? 20. juli 19. oktober Bank, finans, forsikring Kommuner, fylkeskommuner Statlige etater Helseforetak (private og offentlige) Universitet, høgskoler Andre (private, frivillige org., politiske parti)

17

18

19 men mange skyldes feilsendte e-poster «menneskelig svikt»

20 Avviksmeldinger Når må virksomheten sende melding om avvik til Datatilsynet? «Ved brudd på personopplysningssikkerheten, med mindre det er lite trolig at bruddet vil medføre en risiko for fysiske personers rettigheter og friheter.» Ikke bare konfidensialitet, men også tilgjengelighet og Definisjon: «brudd på personopplysningssikkerheten» - er et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig (uautorisert) spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet (art. 4 nr. 12) integritet Art

21 Et brudd på personopplysningssikkerheten er et brudd på sikkerheten, men et brudd på sikkerheten er ikke alltid et brudd på personopplysningssikkerheten. Sørg for å ha interne rutiner for hendelseshåndtering uansett. Kilde: tv2.no

22 Prosess for å håndtere avvik Utarbeid interne rutiner: Rutine for å oppdage og raskt håndtere brudd Er det brudd på personopplysningssikkerheten? Vurdere risikoen for de registrerte (konsekvens og sannsynlighet) Avgjøre: Er det nødvendig å melde til Datatilsynet? (risiko: middels og høy) Er det nødvendig å informere de berørte? (risiko: høy) Avvik skal alltid håndteres internt. Dersom det ikke meldes til Datatilsynet, begrunn internt hvorfor i intern rapport. Meld avvik til Datatilsynet innen 72 timer etter at dere er klar over bruddet (der det er mulig) Meldingsskjema i Altinn (lenke fra vår nettside). I Altinn: rolle eller kun tilgang til skjema. Kan rapporteres trinnvis. Dersom 72 timers fristen ikke nås, forklar hvorfor. Databehandlere melder uten ugrunnet opphold til behandlingsansvarlig Det kan spesifiseres i en databehandleravtale at databehandler melder til Datatilsynet på vegne av behandlingsansvarlig. 22

23 Informasjon til de berørte Dersom det er sannsynlig at bruddet vil medføre en høy risiko Berørte skal informeres så raskt som mulig, slik at de skal kunne foreta seg noe for å begrense skaden. Bruk den kanal som det er størst sjanse for å nå ut til den berørte (f.eks. telefon, SMS, e-post, brev..) Unntak i kravet om varsling: Eksisterende tiltak som gjør informasjonen uleselig, f.eks. kryptering Tiltak i ettertid som sikrer at den høye risikoen ikke lengre vil oppstå Uforholdsmessig innsats. Må i stedet informere offentlig eller tilsvarende. Personopplysningsloven ledd, jf. bokstav a, b og d Art

24 Når er det høy risiko Risiko er høy når det er sannsynlig at bruddet kan føre til (f.eks.): Diskriminering Identitetstyveri eller svindel Økonomisk tap Skade på omdømme Brudd som innebærer personopplysninger som avslører (f.eks.): Rase eller etnisk opprinnelse Politisk oppfatning Religion eller filosofisk tro Fagforeningstilhørighet Opplysninger om genetikk, helse eller sexliv Straffedommer og lovovertredelser eller relaterte sikkerhetstiltak kan sannsynligvis medføre skade for den registrerte 24

25 Faktorer ved vurdering av risiko Type brudd Art, sensitivitet og mengde data Hvor lett er det å identifisere den enkelte Alvorlighetsgrad av konsekvenser for den enkelte Spesielle egenskaper hos den enkelte Antall berørte enkeltpersoner Spesielle egenskaper hos den behandlingsansvarlige 25

26 Ny konkurranse Innebygd personvern i praksis 2018 Datatilsynet inviterer til ny konkurranse om beste programvare utviklet utfra prinsippene for innebygd personvern. Send oss programvare, tjenester, apper eller andre løsninger dere har utviklet eller holder på å utvikle som viser innebygd personvern i praksis. I år har vi egen studentkategori, der premien er et stipend på kr. Hvordan delta i konkurransen? Fyll inn søknadsskjema på nettsidene våre og send oss en nærmere beskrivelse av produktet. Les mer på datatilsynet.no Frist for å sende inn bidrag er 1. desember 2018 Jury: Dag Wiese Schartum, Lillian Røstad, Maria Bartnes, Torgeir Waterhouse, Veronica J. Buer og Martha Eike (Datatilsynet) 26

27 Takk for oppmerksomheten! Telefon: