Brudd på personopplysningssikkerheten
Hva skal vi snakke om? 1 2 3 4 Hva er brudd på personopplysningssikkerheten? Eksempler på avvik meldt til Datatilsynet Prosessen for å behandle avvik Personvernombudets rolle
1 Hva er brudd på personopplysningssikkerheten?
Brudd på personopplysningssikkerheten Ikke bare konfidensialitet, men også tilgjengelighet og integritet Definisjon: «- er et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig (uautorisert) spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet» Art. 4 4
Avviksmeldinger Når må virksomheten sende melding om avvik til Datatilsynet? «Ved brudd på personopplysningssikkerheten, med mindre det er lite trolig at bruddet vil medføre en risiko for fysiske personers rettigheter og friheter.» Art. 33 5
Informasjon til de berørte Dersom det er sannsynlig at bruddet vil medføre en høy risiko Berørte skal informeres så raskt som mulig, slik at de skal kunne foreta seg noe for å begrense skaden. Bruk den kanal som det er størst sjanse for å nå ut til den berørte (f.eks. telefon, SMS, e-post, brev..) Unntak i kravet om varsling: Eksisterende tiltak som gjør informasjonen uleselig, f.eks. kryptering Tiltak i ettertid som sikrer at den høye risikoen ikke lengre vil oppstå Uforholdsmessig innsats. Må i stedet informere offentlig eller tilsvarende. Personopplysningsloven 16 4. ledd, jf. bokstav a, b og d Art. 34 6
Når er det høy risiko Risiko er høy når det er sannsynlig at bruddet kan føre til (f.eks.): Diskriminering Identitetstyveri eller svindel Økonomisk tap Skade på omdømme Brudd som innebærer personopplysninger som avslører (f.eks.): Rase eller etnisk opprinnelse Politisk oppfatning Religion eller filosofisk tro Fagforeningstilhørighet Opplysninger om genetikk, helse eller sexliv Straffedommer og lovovertredelser eller relaterte sikkerhetstiltak kan sannsynligvis medføre skade for den registrerte 7
2 Eksempler på avvik meldt til Datatilsynet
Vanligste sikkerhetshendelser i 2017 Kilde: «Mørketallsundersøkelsen 2018» https://www.nsr-org.no/
Vanligste årsak til at hendelsen ble oppdaget var ved en tilfeldighet (eller flaks!) Virksomheter med internkontroll eller styringssystem baserer seg mindre på tilfeldigheter og mer på intern sikkerhetsmonitorering
Kraftig vekst i antall avviksmeldinger etter 20. juli 2018 1275 2000? 821 siden 20. juli 718 349 116 84 206 2014 2015 2016 2017 2018 2019 11
Innmeldte avvik fra kommuner 25 20 15 10 5 0 20. juli 2018 28. mai 2019 126 kommuner har meldt inn avvik 4 av 30 kommuner med under 1000 innbyggere har meldt inn avvik 296 kommuner har ikke meldt inn avvik Sandefjord: 0 (63 000 innb) Asker: 0 (61 000 innb) Bodø: 0 (52 000 innb).. Karmøy: 0 (42 000 innb) Haugesund: 0 (37 000 innb) Antall 12
men mange skyldes feilsendte e-poster «menneskelig svikt»
3 Prosessen for å behandle avvik
Håndtering av personvernavvik Sikre at nødvendige skadebegrensende og forebyggende tiltak blir iverksatt. Beslutning om å informere basert på korrekt informasjon og vurderinger. Motta og vurdere informasjon om hendelse Iverksette tiltak Varsle internt og melde til Datatilsynet Informere de berørte Oppfølging, evaluering og læring Sikre at informasjon om mulige personvernavvik blir tatt i mot og behandlet. Sikre at behov for å sette krisestab avklares basert på korrekt informasjon. Sikre at vi melder Datatilsynet innen fristen. Rydde opp etter hendelsen og lære av den for å unngå at det skjer igjen.
Prinsipper for håndtering av personvernavvik Ansvar Den virksomheten/fagenheten som har ansvar i en normalsituasjon, har også ansvar for å håndtere ekstraordinære hendelser Nærhet Hendelser/ kriser skal organisatorisk håndteres på lavest mulig nivå. Likhet Den organisasjonen man opererer med i forbindelse med avvik skal være mest mulig lik den organisasjonen man har til daglig.
Det er viktig å forstå.. Personvernkonsekvenser Konsekvenser for den registrertes rettigheter og friheter Personvernrisiko Hvor ille er / kan det bli for den registrerte? Personvernrisiko vurderes høyere hvis det gjelder barn det er store mengder personopplysninger og/eller det gjelder mange personer
Avvikssystemet noen erfaringer HMS Tjenestekvalitet Personvern og sikkerhet Øvrige avvik Avvikene blir ikke meldt Avvikene stopper opp i avvikssystemet (Les: blir ikke åpnet og behandlet av ledere) Avvikene eskaleres til fylkesrådmann (i systemet) Tiden går
Det handler om praktiske løsninger Si fra til nærmeste leder! Håndtere og få kontroll Rapportere
4 Personvernombudets rolle
Roller og ansvar Rolle Leder med daglig ansvar for behandlingen Personvernkoordinator Personvernombud IKT og databehandlere Fylkesdirektøren/ - rådmann Kommunikasjonsenheten Ansvar Hovedansvar for håndtering av personvernavviket, iverksettes tiltak, informere de berørte og melde til Datatilsynet. Bistå daglig ansvarlig i håndtering av personvernavviket. Rådgiver og støttespiller i hele prosessen. Skal bli informert Kan melde avvik til Datatilsynet Bidra i forståelse av hendelsen, og eventuell iverksette tiltak. Bli informert ved behov Sette krisestab ved behov Sikre god og riktig informasjon til de berørte og andre eksternt.
Opplæring Alle må forstå hva avvik er og hvor de skal si fra (Elæring) Da må alle forstå hva som er god personopplysningssikkerhet Bygge kultur for å melde avvik Opplæring og øvelser i ledergrupper Opplæring av personvernkoordinatorer
Øvelse i ledergruppa; Stjålet PC PC-en til en av de ansatte i ledergruppa i Innlandet er stjålet. Tyveriet skjedde på toget da flere i ledergruppa var på reise PC-en innehold bl.a. dokumenter med navn, kontaktinformasjon og notater om ansatte som var aktuelle for innplassering på nivå 3. Notatene inkluderer innstilling til stillinger på nivå 3 fra Mercuri Urval, og egen oppsummering av diskusjoner etter gjennomførte intervjuer der kandidatenes sterke og svake sider og egnethet Den ansatte meldte selv fra om at PC-en var blitt stjålet Senere får kommunikasjonsleder en telefon fra en journalist med kritiske spørsmål knyttet til innplasseringsprosessen. Spørsmålene er formulert slik at det er tydelig at de bygger på informasjon fra den stjålne PC-en.
Skjer det avvik hos oss? 1 2 August 2018 Mai 2019
Personvernombudets erfaringer og «dilemmaer» Hvordan skal den ansatte vite og forstå hva et avvik er? Skal vi melde avvikene eller ikke? Hva er et avvik hvordan ivareta kravene i personopplysningsloven Andre prioriteringer/ politikk, mangel på kunnskap og forståelse og «gamle rutiner» (f eks adgangskontroll) Hvem skal rapportere til Datatilsynet?
Endre atferd Ha kjennskap til regler Akseptere regler Forstå teknologi Vilje til etterlevelse Motta og vurdere informasjon om hendelse
Avvik skjer! Det er ingen skam å rapportere avvik! Det er ikke sladring! Vis åpenhet! Evner dere å oppdage og håndtere avvik? Iverksett og gjennomgå tiltak (organisatoriske og tekniske) Bør vi endre våre rutiner? Kan vi gi bedre opplæring? Backup og oppdatering av SW? God tilgangsstyring? Gjør vi (sikkerhets)testing? Vurder risiko - Skal de berørte varsles? Skal Datatilsynet varsles? Lær av egne og andres hendelser, og bruk dem som scenarioer i risikovurderinger Hold dere oppdatert på trusselbildet og ikke bagatelliser egne verdier 31
Anbefalte tiltak for å øke virksomheters egenevne 32 Kilde: regjeringen.no - Strategi og tiltaksoversikt ble lansert 30. januar 2019
så litt reklame
Veileder for programvareutvikling med innebygd personvern med sjekklister er tilgjengelig på Datatilsynets nettsider. Konkurransen «Innebygd personvern i praksis» frist 1. desember 2019. https://www.datatilsynet.no/regelverk-ogverktoy/veiledere/programvareutvikling-med-innebygd-personvern/