Personvernlandskapet 2016, med hovedvekt på personvernforordning og hva den betyr for skytjenester 21.06.2016
Punkter Personvernlandskapet Teknologi Politikk..som en bakgrunn både for Privacy Shield og Hva er norske virksomheters hovedutfordring Skytjenester hva må på plass? og hvordan påvirkes dette av ny forordning? 2
3
21.06.201 Side 4
21.06.201 Side 6
Alt kan kobles Mobiler Klokker Klær Biler Kjøleskap Briller Lyspærer Temperaturmålere Mat Gulv og vegger Huset 7
Annonsørens del av nettsiden Nettstedeiers del av siden 8
Individualisering og personretting 9
Hvilke opplysninger inneholder en profil? Demografiske data: Hvor du bor, hva du jobber med, gift, skilt, barn Lokasjonsdata: hvor de beveger deg (reiser til legen en gang i uka) Tekniske data: PC eller Mac-bruker Interessedata: leser om sykler og jakt, shopper sko online Prediktive data: sannsynligheten for at du vil kjøpe ny bil Atferd og holdninger: foretrekker kortreist mat Din personlighet: liker å være først med det siste Viktige livshendelser: nygift, gravid, skilt, flyttet
Hva betyr det? Reklame skal skreddersys Avisen skal skreddersys En politisk budskap skal skreddersys ( en venstremann er ikke en venstremann ) Forsikring basert på en individuell risiko, ikke en kollektiv Persontilpasset medisin Selvkjørende biler og etiske vurderinger Segmentering av tilbud Delingsøkonomi Plattformer!
12
13 Hva er de største utfordringene for norske virksomheter?
Flere viktige elementer i analysen Faktisk kjennskap til regelverket (1) Erfaringer fra tilsynsvirksomheten (2) Erfaring fra råd- og veiledning (3) Erfaringer fra saksbehandlingen (4) Der skoen trykket før vil den sannsynligvis trykke minste like hardt 14
Faktisk kjennskap til regelverket (1) I dag: Stor variasjon, men jevnt over liten kjennskap til regelverket Erfarer dette på tilsyn Lovbrudd er ofte utslag av manglende kjennskap fremfor ond vilje Det er et vanskelig regelverk i dag og det er heller ikke et enkelt regelverk etter 2018 Derfor: Virksomhetene har en jobb å gjøre Men; mulighet for ny start 15
Erfaring fra tilsynsvirksomheten (2) Mangler ved internkontroll og informasjonssikkerhet Ofte likhetstegn mellom informasjonssikkerhet og personvern Bedriftshemmelig, brannmurer, sikring Ikke samme oppmerksomhet om person/kundedata Særlig viktig ettersom borgernes rettigheter styrkes Dokumentert internkontroll Risikovurderinger 16
Erfaring fra råd- og veiledning (3) Internkontroll og informasjonssikkerhet Arkitektur og design «Vi vil bruke data innhentet fra kundene våre, men vil samtidig ivareta den enkeltes personvern» Manglende kjennskap til hva personvern egentlig er 17
Erfaringer fra juridisk veiledningstjeneste (4) Veiledningstjenesten 8 737 henvendelser fra borgere og virksomheter hvert år Fødselsnummer 4 % Internett 7 % Henvendelser i 2015 Skole/barnehage 3 % Info.sikkerhet 7 % Annet 23 % Melding/konsesjon 9 % Arbeidsliv 21 % Kameraovervåking 12 % Register 14 % 18
Hovedproblemer veiledningstjenesten Arbeidsliv Kontrolltiltak Kameraovervåking Logging i saksbehandlingssystemer GPS-sporing Innsyn i epost Adgangskontroll Etter forordningen Internkontroll Risikovurderinger Bruk av opplysningene til nye formål Ingen grunn til at dette bli mindre aktuelt for virksomhetene å ta tak i 19
Skytjenester - problemstillinger som må vurderes Hvor lagres data? Overføring til tredjeland? Sikkerhetskopiering / speiling Segmentering Tilgangsstyring Dokumentasjon Sletting Bruk til egne formål (Forbedre egne tjenester? Profilering?) Underleverandører Sikkerhetsrevisjon Påse at databehandler iverksetter tiltak og dekker hele kjeden Alternativt tredjepartsrevisjon krev å få se rapporten! Sikker kommunikasjon - Kryptering 20
Nye plikter Systemplikter og virksomhetsansvar Utredning av personvernkonsekvenser Innebygd personvern Personvernombud Avviksmeldinger Forhåndsdrøftelse Overtredelsesgebyr 21
Nye rettigheter Dataportabilitet Sletteplikt/retten til å bli glemt Styrket eiendomsrett ( profilering, sletteplikt ) 22
Noen kjennetegn ved norsk bedriftsstruktur Mange SMB, og vår erfaring er at skoen trykker til dels kraftig i dette segmentet Det samme gjelder deler av offentlig sektor, særlig kommuner ( inkludert skole ) 23
Noen kjennetegn ved regelverket Skjønnsmessig regelverk og vanskelige vurderinger Personvernombud eller ikke core activity.systematic monitoring core activitiy.large scales of data. Hvordan anvende prinsippene for innebygd personvern implement appropriate technical and organisational measures 24
Noen kjennetegn ved regelverket Skjønnsmessig regelverk og vanskelige vurderinger Data protection impact assessment likely to result in high risk for the rights and freedoms Forhåndsdrøftelse ( prior consultation )..in the absence of measures taken by the controller to mitigate the risk 25
Regler som forsvinner eller må gjennomgås Særregler om kameraovervåking Kredittopplysninger Konsesjoner Innsyn i epostkasse Meldeplikt 26
Hvordan vi jobber mot 2018 Rigger et fire-delt prosjekt Nytt regelverk - juridisk implementering IKT / prosesstøtte Informasjon til virksomheter og Personvernombudsordningen Tett dialog med bransjer og virksomheter under marsjen 27
Endring i arbeidsmetodikk i Datatilsynet Mer råd- og veiledning Både overfor virksomheter i enkeltsak og generelt Mer systemkontroll Er internkontrollen på plass? Er et system bygd på prinsippene for innebygd personvern? Burde det vært opprettet personvernombud Ta initiativ til, og bidra i utarbeidelse av bransjenormer Saker av overnasjonal karakter Sanksjoner Personvernombudsordningen 28