Vi fikk ny personopplysningslov 20. juli 2018
2 Et personvern i endring
Den gamle måten å tenke personvern på Konsesjoner og forhåndstillatelser fra Datatilsynet Minst mulig registrering av data Ingen deling av data Personvern og informasjonssikkerhet er noe virksomhetene tar med «helt på slutten» av en utviklingsprosess, hvis de husker det Personvern er noe datafolk holder på med 3
Teknologi og internasjonalisering Alt er digitalt, alt kan deles og alt kan gjenbrukes 3,5 millioner Google-søk per minutt, 1,8 millioner snaps og 70017 timer film på Netflix Mennesker fases ut av beslutninger Algoritmer, kunstig intelligens, automatiserte avgjørelser Personvernverdenen er internasjonal Facebook, Google, Amazon, Uber etc 4
Den nye måten å tenke personvern på Folk forventer at dataene deres blir brukt Fra ingen bruk av data, til riktig bruk av data Personvern må bygges inn helt fra starten av Godt informerte innbyggere med stor selvbestemmelser og bedre rettigheter balanserer makt 5
(Riktig) bruk av data er godt personvern 6
Personopplysninger er mer enn du kanskje tror. 7
Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem og til hvilke formål. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem og til hvilke formål 8
Hva er en personopplysning? Identitet: Navn, fødselsnummer, sivilstatus, høyde, vekt Kontaktinfo: Adresse hjemme, adresse jobb, mobilnummer, e-post, etc. Finans: Inntekt, skatt, gjeld, bankkonto, kontoutskrift, utgifter, kredittvurdering etc. Særlige kategorier: Helseopplysninger, fagforeningsmedlemskap, politisk oppfatning, religion, seksuelle forhold/orientering, etnisitet/rase Aktivitet: Adferdsmønstre, interesser, hobbyer, utdanning, yrkesliv, lokasjon, posisjon, kjøpemønster, søkehistorikk, likes etc. Kommunikasjon: MAC-adresse, IPadresse, SMS, MMS, fotografier, videoer, sosiale medier, sosialt nettverk, kontakter, cookies etc. Pseudonymiserte opplysninger mann, 57 år, Drøbak, gift, 3 barn, kjører Audi, Datatilsynet, Brønnøysundregistrene, Politiet oppvokst i Sømna. 9
Forordningen (GDPR), litt om hva og hvordan
#GDPR: Nytt regelverk fra 20. juli 2018 Innebygd personvern Data portabilitet Rett til å motsette seg profilering Nye verktøy Krav til bransjenormer 11 Strengere krav til samtykke Personvern -ombud
Finne oversikt Artikkel 1 Formål og mål Artikkel 2 Materielt virkeområde Artikkel 3 Geografisk virkeområde Artikkel 4 Definisjoner Artikkel 5 Prinsipper for behandling av personopplysninger Artikkel 6 Behandlingens lovlighet 12
Alle norske virksomheter får nye plikter Alle må finne ut hva regelverket betyr Nye rutiner er et ledelsesansvar Alle ansatte skal følge nye rutiner «GDPR er ikke et nytt IKT prosjekt» Torgeir Waterhouse IKT-Norge 13
Hvor starter man? Lag først en oversikt over alle personopplysningene du behandler Side 14
Sjekk om du har behandlingsgrunnlag: Behandlingsgrunnlag For å behandle personopplysninger må man ha et behandlingsgrunnlag. 15
Behandlingsgrunnlag Ikke sensitive personopplysninger Samtykke Oppfyllelse av kontrakt Rettslig forpliktelse Vitale interesser Oppgave i samfunnets interesse Offentlig myndighetsutøvelse Å behandle sensitive personopplysning er er forbudt, men kan skje ved Samtykke Lovhjemmel levaretakelse av den registerets vitale interesser. Ivareta vesentlige samfunnsinteresser Side 16 06.12.2018
Hvorfor er dette med avvik så viktig? 17
18
Antall meldte avvik fra 2014 til i dag? 1300 Siden 20. juli 346 116 92 191 2014 2015 2016 2017 2018?
Vanligste årsak til at hendelsen ble oppdaget var ved en tilfeldighet (eller flaks!) Virksomheter med internkontroll eller styringssystem baserer seg mindre på tilfeldigheter og mer på intern sikkerhetsmonitorering
til ettertanke Et hvert uoppdaget avvik, er et tapt forbedringspotensial. Sørg for å ha interne rutiner for å oppdage avvik og for å ha rutiner for hendelseshåndtering når avvik har oppstått. Et brudd på personopplysningssikkerheten er et brudd på sikkerheten, men et brudd på sikkerheten er ikke alltid et brudd på personopplysningssikkerheten. Sørg for å ha interne rutiner for hendelseshåndtering - uansett. 21
Hva blir nytt i 2018? Vi har laget en veiledning for virksomheter om de nye personvernreglene som trådte i kraft i juli 2018. Vi har også laget en liste med punkter som oppsummerer hva som blir nytt, samt hva virksomhetene bør gjøre nå.
Hallstein Husand avdelingsdirektør hhu@datatilsynet.no Følg oss: datatilsynet.no personvernbloggen.no Twitter.com/datatilsynet 23