Ny personvernforordning Hvordan reguleres informasjonssikkerhet
Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 41 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring, arbeidsliv) Faggruppe 2 (veiledning, kamera, kredittopplysning, krenkelser og sletting på nett) Faggruppe 3 (samferdsel, telekom, skole, digitalisering i offl.) Faggruppe 4 (helse, forskning) Informasjonsavdeling Administrasjonsavdeling 2
Hva handler personvern om? Autonomi / selvbestemmelse Å vite = retten til å velge Forutsigbarhet Tillit Informasjonssikkerhet Personopplysning: - Opplysninger og vurderinger som kan knyttes til en enkeltperson Regelverket gjelder de fleste! (De som har ansatte, kunder, pasienter, klienter etc.) Thinkstock.com 3
Hvor er vi nå? Personopplysningslov Personopplysningsforskrift Lov fra 2000 Basert på EU-direktiv fra 95 4
Hvor skal vi? Personvernforordning vedtas etter planen ved utgangen av året Bindende i Norge Lik regulering i Europa Utvidet geografisk anvendelsesområde Flere plikter for behandlingsansvarlig og databehandler Mer dialog Mer standardisering Strengere sanksjoner 5 2 års implementeringstid
De «gamle» prinsippene dagens lov er bygd på Selvbestemmelse samtykke og reservasjonsrett Informasjon og innsyn Sletting av opplysninger Korrekt informasjon God informasjonssikkerhet God internkontroll 6
Prinsipper som styrkes i den nye forordningen Retten til å bli glemt en styrket sletteplikt En styrking av eiendomsretten til egne data Retten til å motsette seg visse typer behandling Innebygd personvern Personvern skal bygges inn i de teknologiske løsningene Personvernet skal ivaretas i opplysningens levetid fra den fødes til den dør 7
Saksbehandlingsregler - En egen enighetsprosedyre - consistency mechanism - Lead authority one stop shop - European data protection board 24.11.201 Side 8
Viktige endringer Sikkerhet og internkontroll Accountability (Internkontroll) Privacy by design and by default Fremdeles en risikobasert tilnærmet men utvides Strengere regeler ved avvik (personal data breach) Data protection impact assessment (PIA) Bruk av bransjenormer (Code of conducts) og sertifiseringer 9
Accountability Krav om rutiner, vurderinger, og dokumentasjon flere steder bl.a.: Article xx - Responsibility of the controller Article xx - Processor Article xx - Records of processing activities adopt policies and implement appropriate measures to ensure and be able to demonstrate that the processing of personal data is performed in compliance with this Regulation Mye tydeligere krav til databehandlere Selvstendig internkontrollplikt Internkontroll Risikobasert / Organisasjonens størrelse / type opplysninger 10
Data protection impact assessment Article xx - Data protection impact assessment Behandlinger med høy risiko for personvernet til de registrerte Og noen konkret angitte behandlinger Angitt i regelverket Angitt av Datatilsynet Resultatet tilsier om en skal konsultere Datatilsynet eller ikke (Article xx Prior consultation) Høy risiko Ombud eller ikke Tidsfrister 11
Privacy by design and by default Article xx- Data protection by design and by default Når løsninger designes og underveis Dataminimalisering Pseudonymisering Tiltak for å sikre at behandlinger er i samsvar med regelverket 12
Informajsonssikkerhet etter nytt regelverk 13
SECTION 2 DATA SECURITY Article xx Security of processing Article yy Notification of personal data breach to the supervisory authority Article zz Communication of personal data breach to the data subject 14
Still a risk based approach Article 30 - Security of processing.shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risks confidentiality, integrity, availability and resilience of systems Regulering på forskriftsnivå? Ingen nasjonal regulering vil bli gitt Ikke svært eksplisitt på dokumentasjonsplikten 15
Personal data breach-handling Article yy - Notification of a personal data breach to the supervisory authority Article zz - Communication of a personal data breach to the data subject 72h timers tidsfrist Uavklart: Alle brudd, eller bare ved høy risiko 16
Codes of conducts & Certifications Oppfordrer til bruk av bransjenormer (Code of Conducts), Privacy seals and certifications Datatilsynet skal vurdere utkast til CoC Datatilsynet utnevner (bransje)organ som overser etterlevelsen av CoC. Dette er en viktig tilnærming til etterlevelse, og er nevnt i de fleste bestemmelser som omhandler krav til virksomheten I tillegg kommer (felles europeiske) veiledninger til etterlevelse 17
Sanksjoner Overtredelsesgebyr max 100 000 000 eller 5% av omsetningen I dag: ca 850 000 kroner max
Summary It will come! It will revitalize privacy- and information security work Still a risk based approach We will be harmonized For cross border business, but Also for information security work and standardisation Look forward to it It will effect your profession in a positive way. And no more detailed Norwegian security regulations Some will miss them 19
Takk for meg! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no