Nye personvernregler og innebygd personvern

Like dokumenter
Nye personvernregler (GDPR)

Nye personvernregler fra 2018

Informasjonssikkerhet i forordningen

Nøkkelen til morgendagens personvern innebygd personvern

Nye personvernregler (GDPR)

Skytjenester og nytt personvernregelverk

Nye personvernregler

Nye personvernregler

Nye personvernregler

Nye personvernregler fra mai 2018

Ansvarlighetsprinsippet og virksomhetens plikter

Hva gjør så KiNS og KS med GDPR?

NORID - Registrarseminar 26. april 2017

EUs nye forordning for personvern

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvern og informasjonssikkerhet ved anskaffelser

Innebygd personvern og personvern som standard. 27. februar 2019

Innebygd personvern personvernforordningen artikkel 25

Programvareutvikling med innebygd personvern nye personvernregler

Nye personvernregler fra mai 2018, hva nå?

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Krav til informasjonssikkerhet i nytt personvernregelverk

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Personvern i digitaliseringens tid Kommuner og nytt regelverk

Arbeidsgiverens behandling av personopplysninger om sine ansatte. Personvernforordningen i det daglige. Dana Jaedicke juridisk seniorrådgiver

Programvareutvikling med innebygd personvern og personvern som standardinnstilling. Eirik Saltkjel Veronica Jarnskjold Buer

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

KINS-tech: Innebygd personvern bestemmelsen som implementerer hele forordningen.

Nye personvernregler fra mai 2018, hva nå?

Nye personvernregler fra mai 2018, hva nå?

Vi blir "smartere og smartere", snart er nesten alt tilknyttet alt, alltid. Det stiller store krav til sikkerhet og personvern

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28.

Steinar Nørstebø, styreleder

INF37000 Informasjonsteknologi og samfunn. Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet

EUs nye forordning for personvern

Nye personvernregler fra 2018 hva betyr det for din virksomhet?

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Personvern - vurdering av personvernkonsekvenser - DPIA

Nye personvernregler i GDPR i helsesektoren

Nye personvernregler fra mai 2018

Hvordan opprettholde DIGITALISERINGSFARTEN etter ny personvernforordning?

Underbygger lovverket kravene til en digital offentlighet

Nye personvernregler fra mai 2018

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Personvern i digitalisering av forvaltningen

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21.

OM PERSONVERN TRONDHEIM. Mai 2018

Personvern - Hva er det

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Personvernmessige utfordringer ved sammenslåing av kommuner Den nye personvernforordningen

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Personvern og det påtrengende behovet for data om oss.

Nye personvernregler fra mai Mars 2017

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Nye personvernregler Gullik Gundersen juridisk rådgiver

Nytt personvernregelverk GDPR e-kommunedagen Hordaland

Personvern for apputviklere

Vurdering av personvernkonsekvenser (DPIA)

Er det så farlig å dele data fra trafikantene?

Personvern i praksis, GDPR personvernforordningen erfaringer

Nye personvernregler fra mai 2018

Bruk av skytjenester og sosiale medier i skolen

Implementering av det nye personvernregelverket ved UiB

GDPR - viktige prinsipper og rettigheter

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Personvern og informasjonssikkerhet i UH sektoren

Personvernforordningen

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

SUSANNE HELLAND FLATØY PUBLIC & HEALTHCARE SOLUTIONS. Få oversikt og kontroll, sikre etterlevelse av kravene i GDPR

Kan du legge personopplysninger i skyen?

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Perspektiver og planer ved Universitetet i Oslo

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Personvernkonsekvensvurderinger

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personvernforordningen

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

DIFI - Seminar om Skytjenester

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Bakgrunn. EU har vedtatt ny personvernforordning

Nytt personvernregelverk på 1-2-3

Personvernforordningen

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Hvilke krav stiller personvernforordningen (GDPR) til din virksomhet? ALSO webinar 15. desember 2017 senioradvokat Jens C. Gjesti

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

EUs personvernforordning (GDPR)

Transkript:

Nye personvernregler og innebygd personvern

Agenda Personopplysninger Bakgrunn for nye personvernregler Hendelser Innebygd personvern og DPIA Prosjekt i Datatilsynet

Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem og til hvilke formål Personvern er noe mer enn informasjonssikkerhet. 3

Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 4

Personopplysninger er også Fødselsnummer: 13087846271 Telefonnummer: 22396900 IP-adresse: 195.159.103.82 Bilnummer: BL 23456 Bluetooth MAC: 17:35:52:78:4B:CA Wi-Fi-adresse MAC: 12:44:32:45:7B:C9 Autpass-brikke-ID: 7483920983278394 UDID: f7426bd759856431d9ae2c99175407a0dcd67ab5 5

Bakgrunn for nye personvernregler

Bakgrunn personvernregelverk Personopplysningsloven og -forskriften 2000 (2001) Nye norske personvernregler 2018 EUs personverndirektiv 1995 EUs personvernforordning (GDPR) 2016

Bakgrunn EUs arbeid med nytt regelverk Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter 8

Overordnede krav i forordningen Krav i regelverket: Innebygd personvern og personvern som standardinnstilling Vurdering av personvernkonsekvenser Tydeligere krav til informasjon og samtykke Strengere sanksjoner Strategier for etterlevelse av regelverket: Obligatorisk med personvernombud Risikobasert tilnærming Forhåndsdrøftelser Bransjenormer og sertifisering Europeisk samarbeid 9

Hva gjør Datatilsynet? Bistår Justis- og beredskapsdepartementet og Kommunal- og moderniseringsdepartementet Eget internprosjekt IKT Juridisk WEB Personvernombud Kommunikasjon Deltar i internasjonalt arbeid og bidrar til utredninger 10

Eksempler der personvernet ikke er innebygd

12 Kilde: http://www.osloby.no/nyheter/hafslund-applagret-tekstmeldinger-i-skjul-8005733.html

Kilde: http://www.washingtonpost.com/business/technology/flashlight-app-kept-users-in-the-dark-about-sharing-location-data-ftc/ 2013/12/05/1be26fa6-5dc7-11e3-be07-006c776266ed_story.html

Kilde: http://www.vg.no/nyheter/utenriks/usa/utro-datingside-hacket-truer-med-aa-lekke-informasjon-om- 37-millioner-brukere/a/23492119/

Innebygd personvern og Vurdering av personvernkonsekvenser (DPIA)

Alle skal bygge personvern inn i nye løsninger Innebygd personvern (Privacy by design): Å ta hensyn til personvernet i alle utviklingsfasene av et system Utviklet av IPC i Ontario Vedtatt på internasjonal personvernkonferanse Oversatt til norsk Og nå blir det en plikt å gjøre det 18

Innebygd personvern 7 steg 1. Vær i forkant, forebygg fremfor å reparere 2. Gjør personvern til standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet: Både-og, ikke enten-eller 5. Ivareta informasjonssikkerhet fra start til slutt 6. Vis åpenhet 7. Respekter brukerens personvern 19

Innebygd personvern i nytt regelverk Art. 25 Tekniske og organisatoriske tiltak pseudonymisering Utformet for å ivareta personvernprinsipper minimalisering Det minst personverninngripende alternativet som standard: mengde omfang lagringstid tilgjengelighet 20

Hans Finne Innebygd personvern (i praksis) Hans Finne GPS: Online Batteri: 88% Eksempel lånt fra Sintef

Vurdering av personvernkonsekvenser - Privacy / Data protection impact assessment (PIA/DPIA) En systematisk prosess, som identifiserer og evaluerer fra alle interessenters synsvinkel potensielle personvernkonsekvenser i et prosjekt, initiativ, foreslått system eller prosess og som inkluderer det å finne ut hvordan dere kan unngå trusler mot personvernet eller hvilke tiltak dere må innføre for å avverge trusler mot personvernet 22

Hva skal beskyttes? Konfidensialitet Åpenhet Transparency Integritet Den registrertes perspektiv Mulighet til å gripe inn Intervenability Kan ikke kobles Unlinkability Tilgjengelighet Oversatt fra en artikkel om DPIA-prosessen: http://friedewald.website/wp-content/uploads/2016/06/apf2016.pdf 23

Vurdering av personvernkonsekvenser art. 35 Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang systematisk overvåking av offentlig område i stort omfang I tilfelle man er i tvil anbefaler vi å utføre en DPIA. Datatilsynet må publisere liste over når det er påkrevd. Datatilsynet kan publisere liste over når det ikke er påkrevd. 24

Minst to av følgende ti kriterier 1. Evaluering eller poengvurdering (scoring) 2. Automatiserte avgjørelser 3. Systematisk overvåkning (monitoring) 4. Sensitive personopplysninger 5. Behandling av personopplysninger i stor skala 6. To eller flere datasett som sammenstilles 7. Personopplysninger om registrerte med særskilt beskyttelsesbehov 8. Ny teknologi eller bruk av eksisterende teknologi til nye formål 9. Overføring til utlandet 10. Konteksten begrenser muligheten for de registrerte til å utøve rettigheter

Eksempler på spørsmål ved kartlegging Hvilke personopplysninger skal applikasjonen få tilgang til, samle inn eller overføre? Hvordan kan dette berøre brukerne? Dokumenter at innsamlingen har et legitimt formål, og i hvilken grad du er berettiget til å samle inn slike data. Hvilke følger kan det få for en bruker av applikasjonen dersom data skulle bli misbrukt? Hvor presist og hvor enkelt kan en spesifikk person eller enhet identifiseres basert på disse opplysningene? Hvor lenge skal personopplysningene lagres? Er applikasjonen rettet mot barn? Hvor lett er det for brukeren å slette personopplysningene eller brukerkonti? 26

Prosjekt: Innebygd personvern praktisk veiledning

Oppdrag Veiledning Utvikling skjer ikke lenger nødvendigvis av fagfolk Utvikling av produkt må sees også utenfor kontekst Rammeverk for utvikling følges ikke Produkt blir ikke opplæring, mer en huskeliste for hver aktivitet. MS SDL: Secure Development Life Cycle Software Development Life Cycle, radugaapps.com 28

Fremdrift i prosjektet Deltakere: Utviklere og sikkerhetsfolk i privat og offentlig sektor, i tillegg til et par fra Datatilsynet Tidsperspektiv: Februar juni 2017 To workshops hvor alle har presentert og diskutert gjennom de fire første fasene. Neste workshop er i neste uke med de tre resterende fasene. Referansegruppe? Estimert ferdig «produkt» i sommer. 29

Innholdet så langt (1/4) Opplæring Personvern (nødvendig å kunne og ha kjennskap til) Informasjonssikkerhet (nødvendig å kunne og ha kjennskap til) Virksomhetens metodikk for utvikling, og arbeid med sikkerhet og personvern Krav Personvernkrav (personvernprinsipper, lovens krav til virksomheter og rettigheter til den enkelte) Sikkerhetskrav Toleransenivå for personvern og informasjonssikkerhet Vurdering av personvernkonsekvenser og informasjonssikkerhetsrisiko 30

Innholdet så langt (2/4) Design Designkrav (dataorienterte og prosessorienterte) Analyse av angrep og tiltak Trusselvurdering Implementering Godkjente verktøy og rammer i utviklingsmiljø Ugyldiggjøre utrygge funksjoner/moduler Statisk testing 31

Innholdet så langt (3/4) Test Sjekke at personvern- og sikkerhetskrav som ble satt i kravsetting faktisk er implementert og riktig implementert Sikkerhetstesting - utfordre sikkerhetssårbarheter i programvaren Dynamisk testing Fuzz testing Penetrasjonstesting Gjennomgang av angrepsflaten for å verifisere at man har håndtert Angrepsvektorer avdekket i designfasen, og Nye angrepsvektorer introdusert under implementasjon 32

Innholdet så langt (4/4) Produksjonssetting Lage en plan for hendelseshåndtering Full sikkerhetsgjennomgang Godkjenne produksjonssetting og arkivering Drift og forvaltning Håndtering av hendelser og avvik 33

Mer informasjon Innebygd personvern og DPIA: 7 steg og sjekkliste for utviklere Vurdering av konsekvenser for personvernet (veileder 2014) Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is «likely to result in a high risk» for the purposes of Regulation 2016/679 (utkast til veileder fra EU på høring til 23. mai 2017) Apper: Hva vet appen om deg? (kartlegging 2011) Godt personvern for apputviklere (veileder 2014) Appenes informasjon om tilgang til personopplysninger (kartlegging 2014) Annet som er relevant: Rapporter: Big Data, Det store datakappløpet og Sporing i offentlig rom Anonymiseringsveileder Skytjenester (veileder) og masse mer på www.datatilsynet.no 34

Datatilsynet.no/forordning

Takk for oppmerksomheten! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no martha.eike@datatilsynet.no @marthaeike (Twitter)

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding