Mellom IT-sikkerhet og personvern Jarle Langeland Mellom IT-sikkerhet og personvern 2
Mellom IT-sikkerhet og personvern IT-sikkerhet en forutsetning for godt personvern Mellom IT-sikkerhet og personvern 3
Mellom IT-sikkerhet og personvern 4
Mellom IT-sikkerhet og personvern IT-sikkerhet en forutsetning for godt personvern IT-sikkerhetstiltak kan likevel etter omstendighetene være en trussel mot personvernet og ulovlige etter personopplysningsloven Mellom IT-sikkerhet og personvern 5
Trender IT-sikkerhet Skjerpet trusselbilde (NSM, PST, E-tjenestens vurderinger) Kompetansemangel «Security as a service» Økende bevissthet Mer data, mer analyse, IoT? Mellom IT-sikkerhet og personvern 6
Trender Personvern Ny forordning i 2018 Mer oppdatert regelverk (Vesentlig) høyere bøter Europeisk regulering «Privacy by design» Mye fokus Snowden Lekkasjer Myndigheter / store selskaper Mellom IT-sikkerhet og personvern 7
Personopplysningsloven Svært mange virksomhetsprosesser innebærer behandling av personopplysninger, jf. personopplysingsloven Enhver bruk av opplysninger som kan knyttes til enkeltperson, jf. 2, også lagring og overføring Virksomheten selv vil alltid være behandlingsansvarlig for sine opplysninger og ha ansvaret etter personopplysningsloven Behandling av personopplysninger krever et behandlingsgrunnlag. Sikkerhet ofte å oppfylle lovkrav eller interesseavveining, jf. 8 f. Mellom IT-sikkerhet og personvern 8
Mitt tema denne morgenen Hvordan gjennomføre IT-sikkerhetstiltak på en måte som ivaretar personvernet Forholdsmessighet og dataminimalisering Bruk av logger/sikkerhetsovervåking Overføring til andre? Informasjon til brukerne Noen utviklinger Sikkerheten i skyen Personvernforordningen Kryptering og personopplysninger Mellom IT-sikkerhet og personvern 9
Dataminimalisering Ikke behandle mer personopplysninger over lenger tid enn nødvendig for å oppnå formålet med behandlingen, jf. personopplysningsloven 28. Logger vil svært ofte inneholde personopplysninger Hvilke logger trenger dere? Hvor lenge trenger dere dem? Særregel for sikkerhetsrelatert informasjon «Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registreringer av alle andre hendelser med betydning for informasjonssikkerheten.» jf. personopplysningsforskriften 2-16 Mellom IT-sikkerhet og personvern 10
Dataminimalisering hvorfor viktig? Når dataene først finnes, kan formålet med «behandlingen» lett endres: Kompromitteres I seg selv være mål for angrep Friste til å ta i bruk ny stordataanalyse / «BI» Mellom IT-sikkerhet og personvern 11
Bruk av logger til andre formål Personopplysningsforskriften 9-2 jf. 7-11: Arbeidsgiver har ikke rett til å overvåke arbeidstakers» bruk av elektronisk utstyr, herunder bruk av Internett, ut over: a) å administrere systemet, eller b) å avdekke/oppklare brudd på sikkerheten i edb-systemet. Personopplysninger som fremkommer som følge av slike behandlinger «kan ikke senere behandles for å overvåke eller kontrollere den enkelte» Logger/informasjon fra sikkerhetsovervåkning kan som det klare utgangspunkt ikke brukes til andre formål som f.eks. Personalsaker Måling av de ansattes effektivitet Mellom IT-sikkerhet og personvern 12
Overføring til andre? Overføring av logger eller andre personopplysninger til andre krever behandlingsgrunnlag eller databehandleravtale Sikkerhetskonsulenter «Managed Security» / Security as a service CERT Myndigheter? Overføring utenfor EU krever særlige forholdsregler No more Safe Harbor Standardavtaler Mellom IT-sikkerhet og personvern 13
Informasjon til brukere/ansatte De ansatte skal vite at det foretas logging/sikkerhetsovervåkning hva loggene skal brukes til hva som utgjør uakseptabel bruk Nivå? ikke for teknisk språk kategorier data og bruk gjerne greit Mellom IT-sikkerhet og personvern 14
Noen utviklinger Sikkerhet i skyen Mellom IT-sikkerhet og personvern 15
Mellom IT-sikkerhet og personvern 16
Mellom IT-sikkerhet og personvern 17
Sikkerhet i skyen Sky vs. tradisjonell IT-drift Ulike risiki Tradisjonell IT-drift Fysisk sikkerhet (tilgang, brannsikring etc. etc) Operasjonell sikkerhet (vaskedame og reboot) Redundans Sky Nettilgang Datatilgang Internkompetanse Tilgangshåndtering Mellom IT-sikkerhet og personvern 18
Personvern og sikkerhet i skyen Dokumentasjon få og kunne dele (revisjonsrapporter, databehandleravtaler etc.). Hva logges egentlig? AWS eksempel: We may monitor the external interfaces (e.g., ports) of Your Content to verify your compliance with the Agreement. You will not block or interfere with our monitoring, but you may use encryption technology or firewalls to help keep Your Content confidential. Mellom IT-sikkerhet og personvern 19
Ny personvernforordning (49) The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping denial of service attacks and damage to computer and electronic communication systems. Mellom IT-sikkerhet og personvern 20
Kryptering og personvern Kryptering kan være et ypperlig tiltak for informasjonssikkerhet og personvern Opplysningene fortsatt personopplysninger, man kan ikke kryptere seg ut fra personopplysningsloven Mellom IT-sikkerhet og personvern 21
Advokatfullmektig Jarle Langeland Mobil: +47 932 35 365 E-post: jl@foyentorkildsen.no