Ny EU-forordning: informasjonssikkerhet Tommy Tranvik
Utgangspunkt Hovedkonklusjon informasjonssikkerhet tillegges større vekt enn tidligere, både kvalitativt og kvantitativt Agenda gjennomgå hovedreglene om informasjonssikkerhet i forordningen Finnes noen flere regler om informasjonssikkerhet enn de som gjennomgås her
EU-forordningen Den nye personvernforordningen erstatter EUs personverndirektiv fra 1995 personopplysningsloven med forskrift Forordningen ble vedtatt av EU i april 2016 Gjelder som norsk lov fra 25. mai 2018 Ikke oversatt til norsk enda
Oversikt 11 kapitler, 99 artikler kapittel 1: generelle regler kapittel 2: prinsipper kapittel 3: den registrertes rettigheter kapittel 4: behandlingsansvarlig og databehandlers plikter kapittel 5: overføring av personopplysninger til utlandet kapittel 6 og 7: tilsyn oppgaver og samordning kapittel 8: sanksjoner kapittel 9: spesielle behandlingssituasjoner kapittel 10 og 11: administrative bestemmelser
Sikkerhet som grunnkrav Nytt at informasjonssikkerhet er et grunnkrav ved behandling av personopplysninger (artikkel 5) tilfredsstillende teknisk og organisatorisk informasjonssikkerhet mht. konfidensialitet og integritet ( ) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures ( integrity and confidentiality ) Krav til dokumentasjon av informasjonssikkerheten
Design og default Nye krav til innebygd personvern og personvernvennlige standardinnstillinger (artikkel 25) Innebygd personvern inkluderer krav til innebygd informasjonssikkerhet, for eksempel pseudonymisering Personvernvennlige standardinnstilling inkluderer krav til at standardinnstillinger skal ivareta informasjonssikkerheten, spesielt konfidensialiteten (offentlig publisering)
Databehandlere Mer detaljerte krav til bruk av databehandlere (artikkel 28 og 29) databehandleravtaler, spesifiserer krav til innhold tydeliggjør ansvarsdeling informasjonssikkerhet hos leverandører og underleverandører overføring til utlandet varslingsplikt (avvik og sikkerhetsbrudd) Databehandlere får større selvstendig ansvar for informasjonssikkerheten Databehandlere kan nå bli ilagt sanksjoner ved brudd på sikkerhetsreglene
Hovedbestemmelsen Gjelder for behandlingsansvarlig og databehandler (artikkel 32) Konfidensialitet, integritet, tilgjengelighet og robusthet («resilience») Risikostyrt prosess Rettslig standard tilfredsstillende informasjonssikkerhet Pseudonymisering og kryptering nevnes spesielt Kontinuitet og beredskap Testing og evaluering av sikringstiltak Organisatoriske sikringstiltak (rutiner og retningslinjer) ( ) the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk
Avvik varsling til Datatilsynet Varslingsplikt til Datatilsynet ved sikkerhetsbrudd (artikkel 33) innen 72 timer krav til innholdet i varslingen unntak for mindre sikkerhetsbrudd Krav til dokumentasjon årsaken til sikkerhetsbruddet og gjenopprettende tiltak
Avvik varsling til de berørte Varslingsplikt til de berørte ved alvorlige sikkerhetsbrudd (artikkel 34) hver enkelt berørt («registrert») umiddelbart etter at bruddet blir kjent krav til tydelighet (forståelig språk) krav til innholdet i varslingen Unntak for mindre alvorlige sikkerhetsbrudd dersom effektive sikringstiltak allerede er iverksatt Hvis varsling til hver enkelt berørt er særlig vanskelig eller kostnadskrevende, kan dette skje via offentlige bekjentgjørelser
Andre særlig relevante bestemmelser Artikkel 3 virksomheter utenfor EØS Artikkel 24 og 30 dokumentert internkontroll Artikkel 35 Privacy Impact Assessment Artikkel 37-39 personvernombud Artikkel 40-43 sertifiseringer og bransjenormer
Sanksjoner Ved regelbrudd kan straffen maksimalt bli 10 mill. euro, alternativt to prosent av årsomsetningen, eller 20 mill. euro, alternativt fire prosent av årsomsetningen Avhenger blant annet av hvilke regler som brytes