Bruk av produksjonsdata til testing

Like dokumenter
PERSONVERN TIL HINDER FOR BRUK AV BIG DATA? Advokat Therese Fevang, Bisnode Norge

GDPR i et nøtteskall

Innføring av nytt personvernregelverk ved UiO

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

PERSONVERN I C-ITS

Personvernperspektivet og oppbevaring av intervjumateriale

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

GDPR HVA ER VIKTIG FOR HR- DATA

GDPR - viktige prinsipper og rettigheter

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Høringssvar til forslaget til regler om at Skatteetaten og Tolletaten kan bruke personopplysninger til å utvikle og teste it - system.

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvern, studentoppgaver og undervisning. Johannes Elgvin April 2019

Hjemmelsgrunnlag for anonymiseringsprosess i forbindelse med etablering av nasjonal, anonym sekvensvariantdatabase

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

REKRUTTERING OG GDPR

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Saksnr. 18/ Høringsnotat - adgang for Skatteetaten og Tolletaten til å bruke personopplysninger ved utvikling og testing av itsystemer

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

Tillitsvalgtes håndtering av personopplysninger - GDPR GK2

Nytt personvernregelverk på 1-2-3

Nye personvernregler fra mai 2018

EUs personvernforordning- Betydningen av den registrertes samtykke

PERSONVERN OG DELING FRA KVALITETSREGISTRE

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Hvilke krav stiller Folkehelseinstituttet ved søknad om data fra helseregistrene?

Nye personvernregler

EcoNovas personvernerklæring

GDPR Prosjektgjennomføring Sjekkliste

NINAs personverndokument

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Veileder for tillitsvalgt ved behandling av personopplysninger

Nye personvernregler

Personvern i praksis, GDPR personvernforordningen erfaringer

Hvordan ivareta personvernet ved skikkethetsvurderinger?

GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017

Personvernforordningen

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Denne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg.

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Databehandleravtale. Charlotte Lindberg Difi

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

SJEKKLISTE v1.1. God Skikk ved rådgivning og annen kundebehandling

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Informasjonssikkerhet og personvern i skole og klasserom NKUL 2018 Ida Thorsrud og Harald Torbjørnsen

GDPR General Data Protection Regulativ

Finansdepartementet 10. april Høringsnotat

Er din bedrift klar for ny personopplysningslov?

Personvernforordning, offentleglov og arkivlov - hvordan forholde seg til disse regelverkene samlet. 6. juni 2019 KINS

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Krav til informasjonssikkerhet i nytt personvernregelverk

102 Definisjoner og forklaringer

OM PERSONVERN TRONDHEIM. Mai 2018

PERSONVERN ARKIVKONFERANSE

Plassering og bevegelse

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet.

Juridiske utfordringer ved innhenting av PROM-data

Hvilke muligheter og begrensninger gir den nye personvernlovgivingen? Universitetet i Oslo 3. Mai 2019

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Deres referanse Vár referanse Dato 18/ / /EOL

Arbeidsgivers personvernplikter

De nasjonale e-helseløsningene i Direktoratet for e-helse og nye personvernregler. Maryke Silalahi Nuth Normkonferansen

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Implementering av det nye personvernregelverket ved UiB

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Personvernforordningen

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personvernkonsekvensvurderinger

Dato: Versjon: 1.0 Forfatter: Berit Hartviksen Arkivref:

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Smarte bygg og personvern

Sjekkliste for vurdering av personvernkonsekvenser (DPIA)

Personvernerklæring. Sist oppdatert

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Personvern i Amento AS

Christian Jonasson, NTNU. Viktige elementer for å lykkes med en søknad om helsedata

Felles datakatalog. Espen Slotvik, avdeling for digitalisering

BEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Personvernforordningen en praktisk tilnærming

Kunstig intelligens i Lånekassen

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

Transkript:

Bruk av produksjonsdata til testing 14. september 2018 Asbjørn Tingulstad Hem & Trine Smedbold 14.09.2018 1

Juridisk utgangspunkt Inneholder dataen personopplysninger, gjelder personopplysningsloven og personvernforordningen (GDPR) for bruken Dette gjelder også selv om dataene er avidentifiserte/pseudonymiserte Dersom dataene er fullt ut anonyme, er det fritt frem å bruke produksjonsdata i testing faller da utenfor det GDPR regulerer 14.09.2018 2

Personvernprinsippene Alle bestemmelsene i GDPR koker ned til personvernprinsippene som er knesatt i artikkel 5: Lovlighet: Vi må ha rettslig grunnlag for å behandle personopplysninger, og det rettslige grunnlaget må omfatte all behandling som skal foregå også testing. Åpenhet: De registrerte må få beskjed om eller på annen måte ha forstått at dataene også vil kunne brukes til testing. Dataminimering: Personopplysningene må være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for 14.09.2018 3

Formålsbegrensning Datasett kan kun brukes til formål som er forenlige med de formål dataene ble samlet inn for Knesatt i art. 6 nr. 4 Hva har de registrerte blitt fortalt ved innsamlingen av deres data? Hvis formålet med et system er X, kan produksjonsdataene i systemet kun brukes til Y (testing) dersom formålet med testingen er forenlig med det opprinnelige formålet for datainnsamlingen F.eks.: Data hentet inn til et studentsystem kan ikke brukes til å utvikle et system for ansatte 14.09.2018 4

Formålsbegrensning, forts. Utgangspunkt: Det er ulovlig å behandle personopplysninger med mindre du har behandlingsgrunnlag. Må ha hjemmel, spesifikt formål, tilstrekkelig sikkerhet, behandlingen må være nødvendig, må ha opplyst de registrerte om hva man gjør med dataene Ikke noe nytt i GDPR personvernregelverket har alltid operert slik. Konsekvensene ved brudd er imidlertid mye større etter innføringen av det nye regelverket I stedet for maks. 1 mill. kr. i bot, er det nå 200 mill. kr. Jo større datasett, jo større konsekvenser. 14.09.2018 5

14.09.2018 6

Anonymiserte data Faller utenfor GDPR dermed fritt frem Krav til fullstendig anonymitet dataene må ikke på noen måte, enten direkte eller indirekte, kunne kobles til enkeltpersoner Krevende: irreversibel anonymisering av all data, ikke bare deler av den MEN: prosessen å anonymisere er også en behandling av personopplysninger, som også må ha behandlingsgrunnlag 14.09.2018 7

Syntetiske data Vil falle utenfor GDPR dermed fritt frem Er ikke personopplysninger 14.09.2018 8

Reelle data Tre situasjoner: 1. Eksplisitt samtykke fra de registrerte for bruk av produksjonsdata I test Helt lovlig Problemer: Vanskelig å innhente nok samtykker til å lage datasett som er omfattende nok? Samtykker kan trekkes tilbake usikkert behandlingsgrunnlag Samtykke skal være frivillig 14.09.2018 9

2. Vi har allerede dataene kan vi ikke bare finne et nytt behandlingsgrunnlag (som ikke er samtykke) for å bruke dem til testing? NEI Vanskelig slik gjenbruk av personopplysninger til nye formål må være bestemt i lov eller samtykkes til Høyesterett: Ikke lovlig 14.09.2018 10

3. Bruken av reelle produksjonsdata i testing er helt nødvendig for at tjenesten/systemet skal fungere Kan hevdes at dette ligger innenfor formålet for opprinnelig datainnsamling Må i så fall være helt nødvendig, dvs. at det ikke finnes andre effektive eller rimelige alternativer for å oppnå samme formål (andre alternativer er urimelige, ubrukelige eller veldig dyre) Bruken må ha samme sikkerhet som systemet de er hentet fra Dataminimering: mengden personopplysninger som brukes må reduseres i så stor grad som mulig Må legges vekt på om dataene kan avidentifiseres/pseudonymiseres à Konkret helhetsvurdering IKKE rett frem 14.09.2018 11

Spørsmål en må stille Hvilke(t) formål ble dataene opprinnelig hentet inn for? Brukes dataene for vedlikehold av et system, eller test av et system som er under utvikling? Hvor nødvendig er det å bruke reelle data? Hvilke alternativer finnes? Kompromitterer testbruken sikkerheten? 14.09.2018 12

Oversikt Kilde Data Type Personopplysninger skjult? Produksjonsdata i testing lovlig Reguleres av GDPR Produksjon Reelle Nei (Ja) Ja Produksjon Anonymisert Fullstendig Ja Nei Syntetisk Generert Fullstendig Ja Nei 14.09.2018 13

Anonymiserte data Kostnad Syntetiske data Reelle data Etterlevelse/compliance 14.09.2018 14

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding