Personvern i skyen Medlemsmøte i Cloud Security Alliance 31. oktober 2018 Trond Ericson
Agenda Personvern i skyen Kort om Devoteam Kort om GDPR GDPR i skyen Oppsummering
Devoteam Fornebu Consulting
Devoteam Fornebu Consulting et sterkt uavhengig rådgivningsselskap Forretningsutvikling og digital transformasjon Gjennomførings ledelse 4 Forretningssystemer Informasjonssikkerhet
Kort om GDPR
Ny personopplysningslov GDPR - General Data Protection Regulation EUs personvernforordning (GDPR) (2016/679) er gjennomført som personvernlov i hele EU/EØSområdet Ny norsk lov om behandling av personopplysninger trådte i kraft 20. juli 2018 Personopplysningsloven fra 2000, er opphevet Lov om behandling av personopplysninger (personopplysningsloven) 6
Personvern i skyen Artikkel 4, Noen definisjoner Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte») Behandling av personopplysninger: Enhver operasjon eller rekke av operasjoner som gjøres med Roller personopplysninger, enten automatisert eller ikke Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes Skyleverandørens kunde eller skyleverandør Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige Skyleverandøren Den registrerte: En identifiserbar fysisk person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet Rettighetshaver 7
Hovedendringer i forhold til tidligere personopplysningslov Personvernkonsekvens skal vurderes for alle behandlinger som kan medføre risiko for brudd på personvernsikkerheten Sterkere rettigheter for de registrerte f.eks. dataportabilitet Strengere krav for databehandlere/skyleverandører Skriftlig godkjenning av underdatabehandlere Bistå behandlingsansvarlige med å overholde sine forpliktelser Varsle behandlingsansvarlige dersom en instruks strider mot regelverket Krav til innebygd personvern og personvern som standardinnstilling til leverandører av programvare og tjenester Krav til personvernombud for mange (ikke alle) virksomheter Strengere bøteregime (overtredelsesgebyr) Det høyeste beløpet av 20.000.000 eller 4% av brutto global omsetning 8
Prinsipper for behandling av personopplysninger Artikkel 5 1. Lovlighet, rettferdig og åpen 9 Personopplysningene skal behandles lovlig, rettferdig og på en åpen måte 2. Formålsbegrensning Personopplysningene skal kun registreres for det uttrykkelig angitte og berettigede formålet og kan ikke benyttes til andre formål enn de er innsamlet for 3. Dataminimering Det skal ikke samles inn flere eller andre personopplysninger enn det som er nødvendig for det formålet som er angitt 4. Korrekthet Personopplysningene som behandles skal være korrekte 5. Lagringsbegrensning Personopplysninger får en «holdbarhetsdato» og skal slettes etter dette 6. Integritet og konfidensialitet Personopplysninger skal beskyttes mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade («integritet og konfidensialitet») 7. Ansvarlighet Behandlingsansvarlige skal kunne dokumentere at disse prinsippene er overholdt
GDPR i skyen
Roller Informasjon om behandlingen Samtykke pr behandling Databehandleravtale Den registrerte Behandlingsansvarlige Databehandler Skyleverandørens kunde Skyleverandør Skyleverandør Artikkel 12 23 Artikkel 24 27 Artikkel 28 11
Den registrertes rettigheter Artikkel 12 23 Forståelig informasjon om behandlingen før den iverksettes Få innsyn om formålet med behandlingen, hvilke personopplysninger som omfattes, hvem som har tilgang Få uriktige personopplysninger rettet Sletting («retten til å bli glemt») Begrenset behandling (ved spørsmål til behandlingen) Dataportabilitet Protestere mot behandlingen (fx mot behandling med henblikk på markedsføring) Kreve å ikke være gjenstand for automatisert behandling Anmodninger fra den registrerte skal besvares innen 1 mnd 12
Behandlingsansvarliges ansvar Artikkel 24 27 Behandlingsansvarlige skal sikre at rettighetene til de registrerte blir ivaretatt og overholdt Datatilsynet har utarbeidet en sjekkliste på 17 punkter som behandlingsansvarlige må følge. Bl.a. Dokumentert protokoll over behandlingsaktiviteter Dokumentert formål og behandlingsgrunnlag for behandlingen Overholde informasjonsplikten mot de registrerte (åpen behandling) Gjennomføre vurdering av personvernkonsekvens Sikre innebygd personvern og personvern som standardinnstilling i applikasjoner og tjenester Etablere databehandleravtaler som setter klare rammer for hvordan databehandleren kan behandle personopplysninger Avviksbehandling i tilfelle brudd på personopplysningssikkerheten Rapport til Datatilsynet innen 72 timer ved sikkerhetsbrudd https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/sjekkliste/ 13
Skyleverandør (databehandler) Artikkel 28 Behandlingen skal være underlagt en avtale som regulerer hvordan databehandler kan behandle personopplysningene Databehandlers plikt til bistand for å kunne ivareta den registrertes rettigheter Informasjonsplikten Innsyn Sletting Dataportabilitet Databehandlerens bruk av underleverandører skal godkjennes skriftlig av behandlingsansvarlige og endringer skal også godkjennes Sikre at underleverandører er pålagt samme instrukser om behandlingen som databehandler er underlagt Treffe tiltak som er nødvendige for personopplysningssikkerheten Varsling til behandlingsansvarlige om brudd på personopplysningssikkerheten uten ugrunnet opphold Databehandleren skal kunne demonstrere etterlevelse av hele artikkel 28 14
15 Sporingsteknologi
Sporingsteknologi Enhver behandling av personopplysninger krever at det foreligger et behandlingsgrunnlag (Samtykke) Ekomloven dekker evt. behandling på brukerens utstyr (f.eks. plassering av informasjonskapsler) Opplysninger om en brukers adferd på et nettsted behandles hos leverandør av sporingsteknologi GDPR gjelder også for både direkte identifiserbare og indirekte identifiserbare opplysninger Kravene til samtykke og begrensningene i kreativ bruk av personopplysninger synes å våre lite kjent blant utviklere av sporingsteknologi Databehandlere har ofte liten kontroll på hvem som faktisk får tilgang til personopplysningene gjennom slik teknologi 16
Oppsummering
Oppsummering Hva må gjøres Utarbeide protokoll over behandlingsaktiviteter Etablere personvernorganisasjon Roller og ansvar: Linjeledere / informasjonseiere / prosesseiere/ systemeiere / personvernombud Gjennomføre vurdering av personvernkonsekvens for behandlingene Utarbeide informasjon om behandlingene (personvernerklæringer) til ansatte, kunder, medlemmer Etablere rutiner som sikrer håndtering av brudd på personopplysningssikkerheten Varsler Datatilsynet innen 72 timer dersom det er nødvendig Etablere rutiner og sikre at systemene kan imøtekomme de registrertes rettigheter ved anmodning om innsyn Svar innen 1 mnd. Sikre krav om innebygd personvern og personvern som standardinnstilling i programvare og tjenester Dokumentere vurderinger, forutsetninger og kommunikasjon med de registrerte 18
Ta utgangspunkt i BS 10012 Personal information management system ISO 27552 Privacy Information Management (extension to ISO 27001/ISO 27002) ISO 29134 Privacy Impact Assessment Veiledninger fra European Data Protection Board (https://edpb.europa.eu/) Veiledninger fra Datatilsynet (https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/) ISO 27017 Information security controls based on ISO 27002 for cloud services ISO 27018 Protection of Personally Identifiable Information in public clouds 19
Trond Ericson Sjefsrådgiver Trond.Ericson@devoteam.no +47 93 05 26 66