Hva er personvern, hvorfor er det viktig. Roller og ansvar Fylkeskommunale PVO. Seminar for skolesektoren 2. april 2019 Ove Skåra - Datatilsynet
Rundebordssamtale hos Datatilsynet den 20. mars i år 1. Hvordan høyne bevisstheten om informasjonssikkerhet og personvern før gratis programvare tas i bruk? 2. Hvordan forbedre bestillerkompetansen på nye digitale løsninger? 3. Hvordan jobbe frem en god kultur for informasjonssikkerhet i skolen? 2
Kommuner og undervisningssektor vies oppmerksomhet Tilsynsrunde på skoler 2013-14 Viktig med ansvarsplassering kommunen er ansvarlig for skolens systemer Pålegg om oversikt og godkjenning av tjenester som tas i bruk Pålegg om tofaktor-autentisering Pålegg om tilgangsstyring elevmapper Henvendelser til veiledningstjenesten -Fra elever, foresatte, ansatte i skolen, sikkerhetsansvarlige og personvernombud -Økt bevissthet om rettigheter «de registrerte» ønsker å bli hørt -Mye spørsmål knyttet til «gratis» tjenester/applikasjoner Meldinger om brudd på personopplysningssikkerheten Konfidensialitets- og integritetsbrudd som følge av sikkerhetshull, mangelfull tilgangsstyring, mangelfull autentisering, etc.
4
Men personvern handler om mer enn info.sikkerhet! 5
Hva er personvern egentlig? 6
Samuel D. Warren Louis D. Brandeis
Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til å bestemme over egne personopplysninger «Man kan bare utvikles som menneske ved at man har et rom der man kan føle seg fri fra å måtte stå til ansvar for hva man sier eller hva man gjør overfor ytre, ukjente, kontrollører. Den offentlige samtale i et fritt samfunn har sitt utgangspunkt i slike frie og utvungne prosesser, den springer fram fra den beskyttede privatsfære». (Ytringsfrihetskommisjonen, 1997)
En menneskerettighet Art. 8 Den europeiske menneskerettskonvensjon (EMK) Art. 12 FNs verdenserklæring om menneskerettigheter Paragraf 102 i Grunnloven: «Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet.» (mai 2014) 9
Om kjernen i personvernlovgivningen 10
Hva er en personopplysning? Identitet: Navn, fødselsnummer, sivilstatus, høyde, vekt Kontaktinfo: Adresse hjemme, adresse jobb, mobilnummer, e-post, etc. Aktivitet: Adferdsmønstre, interesser, hobbyer, utdanning, yrkesliv, lokasjon, posisjon, kjøpemønster, søkehistorikk, likes etc. Finans: Inntekt, skatt, gjeld, bankkonto, kontoutskrift, utgifter, kredittvurdering etc. Kommunikasjon: MAC-adresse, IPadresse, SMS, MMS, fotografier, videoer, sosiale medier, sosialt nettverk, kontakter, cookies etc. Pseudonymiserte opplysninger mann, 58 år, Bærum, gift, en voksen sønn, hund, Datatilsynet, SPK, Statens informasjonstjeneste, Grimstad kommune, oppvokst i Eigersund Særlige kategorier: Helseopplysninger, fagforeningsmedlemskap, politisk oppfatning, religion, seksuelle forhold/orientering, etnisitet/rase 11
Kjenn din og andres roller Den registrerte: Enkeltperson som det behandles personopplysninger om Behandlingsansvarlig: Virksomheten som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes Databehandler: Virksomhet som behandler personopplysninger på vegne av, (og etter avtale med) den behandlingsansvarlige Behandling (av personopplysninger): Enhver prosessering (innsamling, organisering, lagring, endring, utlevering, sletting, etc) Den registrerte Behandlingsansvarlig Databehandler Databehandler Behandlingsansvarlig Behandling av personopplysninger
Gamle personvernprinsipper i ny drakt Lovlighet, rettferdighet og åpenhet Opplysningene skal behandles lovlig, rettferdig og på en åpen måte. Respekter de registrertes interesser og rimelige forventninger. Informasjon skal være tilgjengelig og forståelig, ikke manipulerende. Formålsbegrensning Opplysningene skal brukes for spesifikke, uttrykkelig angitte og berettigede formål. Opplysningene skal ikke brukes til andre uforenlige formål. Dataminimering Personopplysningene skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Korrekte og oppdaterte Opplysningene skal være korrekte og om nødvendig oppdaterte. Ukorrekte eller utdaterte personopplysninger skal rettes eller slettes. Lagringsbegrensning Det skal være rutiner som sikrer at det ikke er mulig å identifisere de registrerte lenger enn hva som er nødvendig for de formål de er samlet inn for. Integritet, konfidensialitet og tilgjengelighet Personopplysninger skal sikres mot uautorisert eller ulovlig tilgang og mot utilsiktet tap, utilgjengelighet, ødeleggelse eller skade. Det skal brukes egnede tekniske og organisatoriske tiltak. Ansvarlighet Den behandlingsansvarlige har ansvar for, og må kunne dokumentere, at personvernprinsippene blir etterlevd. (Artikkel 5)
En folkelig personverntest Vil en normalt fornuftig person, med et noenlunde vanlig følelsesliv, kunne oppleve det som støtende eller urovekkende at personopplysningene om seg blir innsamlet, analysert, brukt og videreformidlet til andre uten vedkommendes aksept, eller i det minste kjennskap? 14
Kort om Datatilsynets virkemidler 15
16
Datatilsynets virkemidler Saksbehandling Tilsyn og kontroll Kommunikasjon Organisatoriske Teknologiske Økonomiske Utredning og analyse Personvernombud Atferdsnormer Gebyrer Best mulig etterlevelse av personvernprinsipper og regelverk
Bergen kommune Dårlig sikkerhet i innloggingssystemene til Bergen kommune Uvedkommende kunne få tilgang til brukernavn, passord, læringsplattformen It s learning og skoleadministrative systemer 35 000 lærere og elever potensielt eksponert 18
Bergen kommune Kommunen reagerte ikke på varsler som kom inn til kommunen om at det var for dårlig sikkerhet i kommunens systemer. Kommunen reagerte ikke tross advarsler fra personvernombudet, tilbud fra leverandør og pålegg fra Datatilsynet om å innføre tofaktorautentisering. 19
Vedtak om overtredelsesgebyr de siste årene Antall 16 22 16 14 2015 2016 2017 2018
Et harmonisert sanksjonsnivå? https://www.hldataprotection.com/2019/03/articles/internatio nal-eu-privacy/dutch-data-protection-authority-sets-gdpr-finesstructure/
Tilsynsvirksomheten 2018 Bransje/sektor/område Stedlig Brevlig Helsesektoren 0 19 PVO hos offentlige virksomheter 0 177 Sum 0 196 22
Hva nå? Vi har hatt en «hvilefase» når det gjelder tilsynsvirksomhet. Den går over. Vi utvikler ny metodikk for vår kontrollvirksomhet Herunder også hvordan kontrollere systemer som baserer seg på algoritmer og kunstig intelligens Det vil bli gjennomført tilsyn i 2019 23
Valg av tilsyn som virkemiddel Tilsyn som virkemiddel kan være aktuelt når vi: Har mistanke om systematisk lovbrudd i en bransje Trenger nærmere kunnskap om en spesifikk bransje, eller tematikk Ønsker å studere virkningene av regelverket Har mangelfull forvaltningspraksis Ønsker å sette fokus på vårt regelverk i en bransje og skape arena for samhandling med bransje Får tips eller på andre måter blir oppmerksom på konkrete hendelser 24
Dette vil Datatilsynet se etter Rutinebeskrivelser og dokumentasjon Personvernkonsekvensvurdering (DPIA) Avviksmeldinger Personvernombud Risikovurderinger Innebygd personvern Opplæring Informasjon og registrertes rettigheter Behandlingsgrunnlag Databehandleravtaler Protokoll over behandlinger
Toppledelse og mellomledere organisasjonsenheter internt Databehandlere De registrerte (kunder, ansatte mv) Datatilsynsmyndigheter Sektormyndigheter Personvernombudsordningen 26
Oppgaver Samle inn og ha oversikt over behandlingsaktiviteter Involvere seg tidlig, informere og gi råd Kontrollere overholdelse av personvernregelverket og interne retningslinjer, deriblant ansvarsfordeling, opplæring, holdningsskapende tiltak mv, Gi råd og delta ved vurdering av personvernkonsekvenser (DPIA) Være kontaktpunkt for de registrerte Være et kontaktpunkt for, og samarbeide med Datatilsynet Skal ha en risikobasert tilnærming til sitt arbeide Mao: En viktig støttende funksjon for å sikre behandlingsansvarliges etterlevelse av kravene i personvernlovgivningen, men PVO overtar ikke behandlingsansvarliges rolle eller ansvar! Art. 39 27
Hvor er kontaktopplysningene til personvernombudet? 28
Brudd på personopplysningssikkerheten - avvikshåndtering 29
Kraftig vekst i antall avviksmeldinger etter 20. juli 2018 1275 821 siden 20. juli 116 84 206 349 2014 2015 2016 2017 2018 30
Hvem melder avvik? 33% 21% Privat 57 % Offentlig 43 % 13% 11% 10% 4% 3% 2% 2% 1% 0% Finans Kommuner Statsforvaltningen Annen privat Helse Sivilsamfunn Telekom og kraftbransjen Fylkeskommuner Butikk og varehandel Samferdsel Justis 31
Og hvordan ligger det an med fylkeskommunene? 1.1.2018 til og med 29.03.2019: DNB bank ASA: 104 Santander bank :78 Hordaland: 6 Akershus: 5 Buskerud: 4* Oslo, utd.etaten: 4* Nordland: 3 Troms: 3 Oppland: 2 Sogn og fjordane: 2 Vest-agder: 2* Østfold 2 Aust-agder: 1 Finnmark: 1 Rogaland: 1 Telemark: 1 Trøndelag 1 Hedmark: 0 Møre og Romsdal: 0 Vestfold: 0 33 Bærum kommune: 22 Kristiansand kommune: 14 Bergen kommune: 12 Stavanger kommune: 12 Bodø kommune: 0 Tønsberg: 0 Larvik: 0 Sandefjord kommune: 0
Hva nå? 34
Noen tiltak etter rundebordskonferansen Bedre samarbeide i kommunene dele erfaringer og kompetanse med hverandre Hvit- og svartlister for apper og verktøy som pedagoger kan velge blant Adaptiv læremiddelbank Databehandleravtaler Skytjenester IKT-Norge inviterer til samarbeidsforum Nasjonal sikkerhetsmåned KINS-elæring Atferdsnormer tidligere prosess vekkes til live igjen 35
Atferdsnormer artikkel 40 Atferdsnormer skal være et viktig virkemiddel for å oppnå et godt og harmonisert personvern i Europa. Personvernmyndighetene skal derfor oppmuntre til utarbeidelse av atferdsnormer. Utvikles av bransjen selv, men må godkjennes av Datatilsynet. Konkrete regler og retningslinjer for hvordan virksomhetene skal innrette seg for å etterleve GDPRs krav. Fleksible rammer for hva normen regulerer Flere fordeler, f.eks for å påvise regeletterlevelse. 36
Noen råd til dere som ledere 1. Få personvernprinsippene inn i ryggmargen! 2. Etabler oversikt over alle personopplysninger dere behandler og IKT-løsningene som benyttes 3. Bygg personvern inn i nye løsninger 4. Gjør risiko- og personvernkonsekvensvurderinger 5. Dokumenter vurderinger dere gjør og de rutinene dere har 6. Bygg kultur for personvern og sikkerhet, og husk opplæring og ledelsens gjennomgang! 7. Bruk personvernombudsrollen aktivt, men respekter deres uavhengighet! 37
Lykke til! Datatilsynet Ove Skåra, fagdirektør Tlf 22 39 69 30 Mobil 917 91 797 Epost osk@datatilsynet.no www.datatilsynet.no www.personvernbloggen.no Twitter.com/datatilsynet Husk å abonnere på nyhetsbrevene fra Datatilsynet og personvernbloggen!