Nye personvernregler og innebygd personvern
Agenda Personopplysninger Bakgrunn for nye personvernregler Hendelser Innebygd personvern og DPIA Prosjekt i Datatilsynet
Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem og til hvilke formål Personvern er noe mer enn informasjonssikkerhet. 3
Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 4
Personopplysninger er også Fødselsnummer: 13087846271 Telefonnummer: 22396900 IP-adresse: 195.159.103.82 Bilnummer: BL 23456 Bluetooth MAC: 17:35:52:78:4B:CA Wi-Fi-adresse MAC: 12:44:32:45:7B:C9 Autpass-brikke-ID: 7483920983278394 UDID: f7426bd759856431d9ae2c99175407a0dcd67ab5 5
Bakgrunn for nye personvernregler
Bakgrunn personvernregelverk Personopplysningsloven og -forskriften 2000 (2001) Nye norske personvernregler 2018 EUs personverndirektiv 1995 EUs personvernforordning (GDPR) 2016
Bakgrunn EUs arbeid med nytt regelverk Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter 8
Overordnede krav i forordningen Krav i regelverket: Innebygd personvern og personvern som standardinnstilling Vurdering av personvernkonsekvenser Tydeligere krav til informasjon og samtykke Strengere sanksjoner Strategier for etterlevelse av regelverket: Obligatorisk med personvernombud Risikobasert tilnærming Forhåndsdrøftelser Bransjenormer og sertifisering Europeisk samarbeid 9
Hva gjør Datatilsynet? Bistår Justis- og beredskapsdepartementet og Kommunal- og moderniseringsdepartementet Eget internprosjekt IKT Juridisk WEB Personvernombud Kommunikasjon Deltar i internasjonalt arbeid og bidrar til utredninger 10
Eksempler der personvernet ikke er innebygd
12 Kilde: http://www.osloby.no/nyheter/hafslund-applagret-tekstmeldinger-i-skjul-8005733.html
Kilde: http://www.washingtonpost.com/business/technology/flashlight-app-kept-users-in-the-dark-about-sharing-location-data-ftc/ 2013/12/05/1be26fa6-5dc7-11e3-be07-006c776266ed_story.html
Kilde: http://www.vg.no/nyheter/utenriks/usa/utro-datingside-hacket-truer-med-aa-lekke-informasjon-om- 37-millioner-brukere/a/23492119/
Innebygd personvern og Vurdering av personvernkonsekvenser (DPIA)
Alle skal bygge personvern inn i nye løsninger Innebygd personvern (Privacy by design): Å ta hensyn til personvernet i alle utviklingsfasene av et system Utviklet av IPC i Ontario Vedtatt på internasjonal personvernkonferanse Oversatt til norsk Og nå blir det en plikt å gjøre det 18
Innebygd personvern 7 steg 1. Vær i forkant, forebygg fremfor å reparere 2. Gjør personvern til standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet: Både-og, ikke enten-eller 5. Ivareta informasjonssikkerhet fra start til slutt 6. Vis åpenhet 7. Respekter brukerens personvern 19
Innebygd personvern i nytt regelverk Art. 25 Tekniske og organisatoriske tiltak pseudonymisering Utformet for å ivareta personvernprinsipper minimalisering Det minst personverninngripende alternativet som standard: mengde omfang lagringstid tilgjengelighet 20
Hans Finne Innebygd personvern (i praksis) Hans Finne GPS: Online Batteri: 88% Eksempel lånt fra Sintef
Vurdering av personvernkonsekvenser - Privacy / Data protection impact assessment (PIA/DPIA) En systematisk prosess, som identifiserer og evaluerer fra alle interessenters synsvinkel potensielle personvernkonsekvenser i et prosjekt, initiativ, foreslått system eller prosess og som inkluderer det å finne ut hvordan dere kan unngå trusler mot personvernet eller hvilke tiltak dere må innføre for å avverge trusler mot personvernet 22
Hva skal beskyttes? Konfidensialitet Åpenhet Transparency Integritet Den registrertes perspektiv Mulighet til å gripe inn Intervenability Kan ikke kobles Unlinkability Tilgjengelighet Oversatt fra en artikkel om DPIA-prosessen: http://friedewald.website/wp-content/uploads/2016/06/apf2016.pdf 23
Vurdering av personvernkonsekvenser art. 35 Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang systematisk overvåking av offentlig område i stort omfang I tilfelle man er i tvil anbefaler vi å utføre en DPIA. Datatilsynet må publisere liste over når det er påkrevd. Datatilsynet kan publisere liste over når det ikke er påkrevd. 24
Minst to av følgende ti kriterier 1. Evaluering eller poengvurdering (scoring) 2. Automatiserte avgjørelser 3. Systematisk overvåkning (monitoring) 4. Sensitive personopplysninger 5. Behandling av personopplysninger i stor skala 6. To eller flere datasett som sammenstilles 7. Personopplysninger om registrerte med særskilt beskyttelsesbehov 8. Ny teknologi eller bruk av eksisterende teknologi til nye formål 9. Overføring til utlandet 10. Konteksten begrenser muligheten for de registrerte til å utøve rettigheter
Eksempler på spørsmål ved kartlegging Hvilke personopplysninger skal applikasjonen få tilgang til, samle inn eller overføre? Hvordan kan dette berøre brukerne? Dokumenter at innsamlingen har et legitimt formål, og i hvilken grad du er berettiget til å samle inn slike data. Hvilke følger kan det få for en bruker av applikasjonen dersom data skulle bli misbrukt? Hvor presist og hvor enkelt kan en spesifikk person eller enhet identifiseres basert på disse opplysningene? Hvor lenge skal personopplysningene lagres? Er applikasjonen rettet mot barn? Hvor lett er det for brukeren å slette personopplysningene eller brukerkonti? 26
Prosjekt: Innebygd personvern praktisk veiledning
Oppdrag Veiledning Utvikling skjer ikke lenger nødvendigvis av fagfolk Utvikling av produkt må sees også utenfor kontekst Rammeverk for utvikling følges ikke Produkt blir ikke opplæring, mer en huskeliste for hver aktivitet. MS SDL: Secure Development Life Cycle Software Development Life Cycle, radugaapps.com 28
Fremdrift i prosjektet Deltakere: Utviklere og sikkerhetsfolk i privat og offentlig sektor, i tillegg til et par fra Datatilsynet Tidsperspektiv: Februar juni 2017 To workshops hvor alle har presentert og diskutert gjennom de fire første fasene. Neste workshop er i neste uke med de tre resterende fasene. Referansegruppe? Estimert ferdig «produkt» i sommer. 29
Innholdet så langt (1/4) Opplæring Personvern (nødvendig å kunne og ha kjennskap til) Informasjonssikkerhet (nødvendig å kunne og ha kjennskap til) Virksomhetens metodikk for utvikling, og arbeid med sikkerhet og personvern Krav Personvernkrav (personvernprinsipper, lovens krav til virksomheter og rettigheter til den enkelte) Sikkerhetskrav Toleransenivå for personvern og informasjonssikkerhet Vurdering av personvernkonsekvenser og informasjonssikkerhetsrisiko 30
Innholdet så langt (2/4) Design Designkrav (dataorienterte og prosessorienterte) Analyse av angrep og tiltak Trusselvurdering Implementering Godkjente verktøy og rammer i utviklingsmiljø Ugyldiggjøre utrygge funksjoner/moduler Statisk testing 31
Innholdet så langt (3/4) Test Sjekke at personvern- og sikkerhetskrav som ble satt i kravsetting faktisk er implementert og riktig implementert Sikkerhetstesting - utfordre sikkerhetssårbarheter i programvaren Dynamisk testing Fuzz testing Penetrasjonstesting Gjennomgang av angrepsflaten for å verifisere at man har håndtert Angrepsvektorer avdekket i designfasen, og Nye angrepsvektorer introdusert under implementasjon 32
Innholdet så langt (4/4) Produksjonssetting Lage en plan for hendelseshåndtering Full sikkerhetsgjennomgang Godkjenne produksjonssetting og arkivering Drift og forvaltning Håndtering av hendelser og avvik 33
Mer informasjon Innebygd personvern og DPIA: 7 steg og sjekkliste for utviklere Vurdering av konsekvenser for personvernet (veileder 2014) Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is «likely to result in a high risk» for the purposes of Regulation 2016/679 (utkast til veileder fra EU på høring til 23. mai 2017) Apper: Hva vet appen om deg? (kartlegging 2011) Godt personvern for apputviklere (veileder 2014) Appenes informasjon om tilgang til personopplysninger (kartlegging 2014) Annet som er relevant: Rapporter: Big Data, Det store datakappløpet og Sporing i offentlig rom Anonymiseringsveileder Skytjenester (veileder) og masse mer på www.datatilsynet.no 34
Datatilsynet.no/forordning
Takk for oppmerksomheten! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no martha.eike@datatilsynet.no @marthaeike (Twitter)