COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

Transkript

1 COMPLIANCE GENERAL DATA PROTECTION REGULATION Johnny Berntsen ISO/IEC Master Knowit

2 Hva er GRDP? GDPR står for General Data Protection Regulation og er erstattningen og oppdatering av EU s 20 år gamle Data Protection Directive. Har vært arbeidet på siden januar 2012 Det endelige forslaget ble ratifisert 15. desember 2015 Skal vedtas av EU parlamentet tidlig 2016 Trer i kraft i 2018!

3 Hvilke utfordringer skal GDPR løse? Erstatter Data Protection Directive Fastsetter minimumskrav til datalovgiving i medlemslandene! Medlemslandene kan gjøre som de vil så lenge de oppfyller minstekravene. Har ført til et lappeteppe av datalovgiving fra veldig strenge lover til noen ganske unike lover.

4 Hva skjer når GDPR blir vedtatt? GDPR blir en EU lov når vedtatt Fastsetter en felles, uniformt regime for IT sikkerhetslovgivning i EU Ikke behov for å endre eksisterende lovgiving - GDPR blir automatisk en del av lovverket til EU medlemslandene når vedtatt av EU parlamentet.

5 Hva med Norge og GDPR? Som følge av EØS avtalen blir GDPR grunnlaget for Ny Norsk Person Opplysningslov (POL)! Må vedtas som lov i Stortinget! Ikrafttredelse i 2018!

6 Hovedpunkter i GDPR Virkeområde...også utenfor EU! Må forholde seg til datatilsynet i flere land! Innebygd personvern! Større kontroll med egne persondata! Retten til å bli slettet!

7 Hovedpunkter i GDPR Accountebility! Eksplisitt samtykke fra den som blir behandlet! Frister for varsling av brudd...72 timer! Egne Sikkerhetsansvarlige lokalisert i EU! Økte bøter for brudd..opptil 4% av brutto omsetning!

8 Virkeområde Er beskrevet i helhet i artikkel 3 og definerer hvor loven er i virke, helt enkelt kan det sies slik: Enhver bedrift som markedsfører varer eller tjenester til borgere av EU er underlagt GDPR, uavhengig om selskapet er lokalisert eller bruker utstyr innenfor EU eller ikke!

9 Må forholde seg til Data Protection Authority i flere land! Den som behandler data må forholde seg til flere lands DPA, Data Protection Authority Må dokumentere hvilke lovgivninger som er i bruk Ett European Data Protection Board som koordinerer DPA, Data Protection Authority

10 Innebygd personvern Artikkel 23 Forretningsprosesser og datasystemer som behandler persondata skal ha innebygd personvern i designet, og alle personsikkerhetsvalg skal være satt til høy sikkert som standard.

11 Større kontroll med egne persondata Artikkel 30, 39, 58, 63a Dataeiere og databehandlere er pålagt å iverksette hensiktsmessige tekniske og organisatoriske tiltak som tar hensyn til kostnadene ved implementering, hvilke type data, scope, kontekst og formål med behandlingen sammen med risiko og konsekvenser for individets frihet og rettigheter.

12 Større kontroll med egne persondata GDPR gir konkrete forslag til sikkerhetsteknikker som ansees som passende i henhold til risiko, dette kan f.eks være Evnen til å sikre konfidensialitet, integritet, tilgjengelighet og fleksibilitet av systemer og tjenester som behandler personopplysninger. Evnen til å gjenopprette tilgjengelighet og tilgang til data på en riktig måte i tilfelle en fysisk eller teknisk hendelse Pseudonymisation og kryptering av personopplysninger. Prosess for regelmessig testing, vurdering og evaluering på effekten av tekniske og organisatoriske tiltak har for å sikre sikkerheten av behandlingen.

13 Rett til sletting Artikkell 17 GDPR har nedfelt rett for den som er registrert til å be om å bli slettet.

14 Accountebility Artikkell 5 I GDPR er det en formell ide om accountability Dette betyr at Databehandler er er ansvarlig for - og skal være i stand til å vise samsvar med loven

15 Eksplisitt samtykke Artikkel 4 og 7 En av de viktigste endringene i GDPR er samtykke fra den som blir behandlet. Dette skal være ett aktivt samtykke der det ikke er nok med ferdig utfylte skjemaer som skal trykkes ok på. Samtykket kan når som helst trekkes tilbake.

16 Frister for varsling av sikkerhetsbrudd Artikkel 31 og 32 Under GDPR, er et "personlig datainnbrudd" et sikkerhetsbrudd fører til tilfeldig eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av, eller tilgang til, personlige data som overføres, lagret eller behandlet på annen måte. I tilfelle av et personlig datainnbrudd, må den behandlingsansvarlige varsle den aktuelle tilsynsmyndighet "uten ugrunnet opphold, og der det er mulig, ikke senere enn 72 timer etter å ha blitt klar over det." Hvis ikke er gjort varsel innen 72 timer, må den behandlingsansvarlige gi en "begrunnet rettferdiggjørelse" for forsinkelsen

17 Frister for varsling av sikkerhetsbrudd Artikkel 32 Når en databehandler opplever en personlig datainnbrudd, må den behandlingsansvarlige varsles, men har utover dette ingen andre varsling eller rapporteringsplikt under GDPR. Om den behandlingsansvarlige har fastslår at det personlige datainnbruddet "sannsynligvis resultere i en høy risiko for rettigheter og frihet til enkeltpersoner," må også formidles informasjon om det personlige datainnbruddet til de berørte registrerte. I henhold til artikkel 32, må dette skje "uten ugrunnet opphold".

18 Data Protection Officer Artikkel 35 Hvis kjernevirksomheten til selskapet involverer "systematisk overvåking av personer (Data Subjects) i større skala", eller behandling av spesielle kategorierav data - rase eller etnisk opprinnelse, politiske oppfatninger, religiøs eller filosofisk overbevisning, biometriske data, helse, sexliv eller seksuell legning - da er du pålagt å ha en DPO. Med større skala menes over 5000 Data Subjects i løpet av 12 mnd

19 Bøter for brudd Artikkel 28, 31,32,33 I GDPR er det lagdelt struktur for bøter Et selskap bli bøtelagt opp til 2% av global omsetning for ikke å ha dokumentasjonen i orden (artikkel 28), ikke varsle tilsynsmyndighet (DPA) og personer ( Data Subjects) om brudd (artiklene 31, 32), eller ikke gjennomfører konsekvensutredninger (artikkel 33).

20 Bøter for brudd Artikkel 5 og 7 Alvorligere overtredelser kan bli bøtlagt med opptil eller 4% av brutto global omsetning. Dette omfatter brudd på grunnleggende prinsipper knyttet til datasikkerhet (artikkel 5) og vilkår for samtykke (artikkel 7) - disse er i hovedsak brudd på Privacy by design konseptet i loven.

21 Hva så med Safe Harbour? Glem Safe Harbour! Det er ventet at EU kommisjonen vil komme med en midlertidig avtale i slutten av januar. GDPR Artikkel 3 vil ta over for midlertidig avtale

22 GDPR og Ny POL Disse to vil ha innvirkning på foretningen Start NÅ!... To år går fort!!

23 Hva nå? Start ett forprosjekt med Forretning, IT, Sikkerhet/Juridisk for å få oversikt over hva dette betyr for forretningen. Vurder å ansette/leie Sikkerhetsansvarlig

24 Hva nå? Implementer rettningslinjene i Privacy By Design for nye systemer. Kartlegg eksisterende systemer Hvilke systemer må bygges om for å møte kravene?

25 Hva nå? Vurder ISO/IEC ISMS eller tilsvarende ISO/IEC Information Security Management System vil sammen med Privacy By Design dekke mange av kravene i GDPR/POL

26 Hva nå? Finn ut hvilke data som samles inn Hvor kommer disse dataene fra? Hvorfor samles disse dataene? Hvordan brukes de?

27 Hva nå? Har forretningen rett til å bruke disse dataene? Stopp å samle data du ikke har rett til Stopp å bruke data du ikke har rett til å bruke

28 Hva nå? Relasjoner til tredjeparts leverandører må gjennomgåes og sikres, slik at disse relasjonen ikke fører til brudd på GDPR eller POL.

29

30 Takk for oppmerksomheten