Ny personopplysningslov (GDPR) Etter snart 8 måneder, hva har skjedd?

Transkript

1 Ny personopplysningslov (GDPR) Etter snart 8 måneder, hva har skjedd?

2 Et personvern i endring 2

3 Teknologi, internasjonalisering, bruk og gjenbruk av data Alt er digitalt, alt kan deles og alt kan gjenbrukes 3,5 millioner Google-søk per minutt, 1,8 millioner snaps og timer film på Netflix Mennesker fases ut av beslutninger Algoritmer, kunstig intelligens, automatiserte avgjørelser Personvernverdenen er internasjonal Facebook, Google, Amazon, Uber etc Folk forventer at dataene deres blir brukt Fra ingen bruk av data, til riktig bruk av data Personvern må bygges inn helt fra starten av Godt informerte innbyggere med stor selvbestemmelser og bedre rettigheter balanserer makt 3

4 Hva er personopplysninger personvern? 4

5 Hva er person(opplysnings)vern? Hva er det vi forsøker å beskytte? Er det kun selve informasjonen om et menneske? Nei ikke bare det En krenkelse av personvernet kan skje selv om du beskytter informasjonen aldri så godt Hvis informasjonen du har er feil Hvis det er personen selv som skal bestemme om du får lov å ha informasjonen, og du ikke har innhentet samtykke Person(opplysnings)vern er altså noe mer enn informasjonssikkerhet 5

6 Hva er en personopplysning? Identitet: Navn, fødselsnummer, sivilstatus, høyde, vekt Kontaktinfo: Adresse hjemme, adresse jobb, mobilnummer, e-post, etc. Finans: Inntekt, skatt, gjeld, bankkonto, kontoutskrift, utgifter, kredittvurdering etc. Særlige kategorier: Helseopplysninger, fagforeningsmedlemskap, politisk oppfatning, religion, seksuelle forhold/orientering, etnisitet/rase Aktivitet: Adferdsmønstre, interesser, hobbyer, utdanning, yrkesliv, lokasjon, posisjon, kjøpemønster, søkehistorikk, likes etc. Kommunikasjon: MAC-adresse, IPadresse, SMS, MMS, fotografier, videoer, sosiale medier, sosialt nettverk, kontakter, cookies etc. Pseudonymiserte opplysninger mann, født 6. februar 1961, Drøbak, gift, 3 barn, kjører Audi, Datatilsynet, Brønnøysundregistrene, Politiet oppvokst i Sømna. 6

7 Hva har truffet Datatilsynet så langt

8 Datatilsynets erfaringer så langt Økning i klager fra de registrerte Særlig forbrukerrettslige problemstillinger (innsyn, sletting) og arbeidsliv Kraftig økning i henvendelser til veiledningstjenesten Atferdsnormer 10 faktiske utkast til godkjenning Personvernombud Ca 700 ombud før 2018, 1550 ombud registrert etter 20. juli 2018 Brevlig kontroll med offentlig sektor 3 anmodninger om forhåndsdrøftelser Ingen saker om dataportabilitet

9 Kraftig vekst i antall avviksmeldinger etter 20. juli siden 20. juli

10 Hvilke feil blir gjort tall i prosent % 50 73% Saken avsluttes med et brev Saken tas opp til formell behandling Menneskelig eller teknisk svikt og manglende rutiner Brudd på rutiner Forsendelser borte i posten/bud Cyberangrep og fysiske innbrudd 10

11 Hvem melder avvik? 33% 21% Privat 57 % Offentlig 43 % 13% 11% 10% 4% 3% 2% 2% 1% 0% Finans Kommuner Statsforvaltningen Annen privat Helse Sivilsamfunn Telekom og kraftbransjen Fylkeskommuner Butikk og varehandel Samferdsel Justis 11

12 det meste skyldes feilsendte e-poster, publisering der det ikke skulle vært publisert, tilgang for dem som ikke skulle hatt, for dårlige passordrutiner osv MANGLEDNE INFORMASJONSSIKKERHET

13 Vanligste årsak til at hendelsen ble oppdaget var ved en tilfeldighet (eller flaks!) Virksomheter med internkontroll eller styringssystem baserer seg mindre på tilfeldigheter og mer på intern sikkerhetsmonitorering

14

15

16

17

18 Avviksmeldinger Når må virksomheten sende melding om avvik til Datatilsynet? «Ved brudd på personopplysningssikkerheten, med mindre det er lite trolig at bruddet vil medføre en risiko for fysiske personers rettigheter og friheter.» Definisjon: «brudd på personopplysningssikkerheten» - er et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet (art. 4 nr. 12) Ikke bare konfidensialitet, men også tilgjengelighet og integritet Art

19 til ettertanke Et hvert uoppdaget avvik, er et tapt forbedringspotensial. Sørg for å ha interne rutiner for å oppdage avvik og for å ha rutiner for hendelseshåndtering når avvik har oppstått. Et brudd på personopplysningssikkerheten er et brudd på sikkerheten, men et brudd på sikkerheten er ikke alltid et brudd på personopplysningssikkerheten. Sørg for å ha interne rutiner for hendelseshåndtering - uansett. 19

20 Anbefalte tiltak for å øke virksomheters egenevne Ledelse Risikostyring Kartlegg verdikjeder, informasjonsverdier, utstyr og brukertilganger Inkluder digital sikkerhet i virksomhetskulturen Leverandørkontroll Sikker konfigurasjon Kontroll på nettverk og systemkomponenter E-post og websikkerhet Tilgangskontroll Hendelsesberedskap Kilde: regjeringen.no - Strategi og tiltaksoversikt ble lansert 30. januar

21 Hallstein Husand avdelingsdirektør Følg oss: datatilsynet.no personvernbloggen.no Twitter.com/datatilsynet 21