Styrket personvern, svekkede bedrifter? Deloittes personvernundersøkelse Februar 2017

Like dokumenter
Ny personvernlovgivning er på vei

Ny personvernlovgivning er på vei

GDPR krav til innhenting av samtykke

Erfaringer med klyngedannelse «Fra olje og gass til havbruk»

Revisors rolle - Utfordringer og begrensninger. 5. Desember 2016, Aase Aamdal Lundgaard

Trafikklys i PO3. Konsekvenser av et rødt lys. Anders Milde Gjendemsjø, Leder for sjømat i Deloitte 14. mars 2019

Det kommunale og fylkeskommunale risikobildet - Sammendrag

Forvaltningsrevisjon Bergen kommune Effektivitet og kvalitet i internkontrollen Prosjektplan/engagement letter

Hva kan Deloitte hjelpe deg med innen personvern?

Hva kan Deloitte hjelpe deg med innen personvern?

Det kommunale og fylkeskommunale risikobildet

Finansiell analyse og modellering for strategiske og finansielle beslutninger

Agenda. v Innledning. v Basic personvern. v Hvordan forberede seg på GDPR? v Hvor starter du? v Hva kan vi tilby? Personopplysning

Praktisk Husleierett 2018

Eierstrategi for Drammensbadet KF. Bakgrunn for forslag til ny Eierstrategi

Insentiver for god samhandling i lokalbasert rus og psykisk helsearbeid. Sentrale funn i prosjektet

Hvordan kan kontrollutvalget få best mulig effekt av arbeidet som gjøres? En evaluering av kontrollutvalg/ kontrollutvalgssekretariat

Mentalisering og ledelse. Morten Hegdal

Utredning om kommunesammenslåing Asker, Røyken og Hurum

Offentlig-offentlig samarbeid

Behandling av plan- og byggesaker

Sammenligning av produksjonskostnader

Forslag til ny tomtefestelov - juridiske betraktninger Deloitte AS

Offentlig anskaffelse og solidaransvar. Geir Melby & Elisabeth Brattebø Fenne 29/11/2018

Dropp de lange strategiene

Frokostmøte HADELANDSHAGEN

Endring av kontrakt innenfor anskaffelsesregelverket. Deloitte Advokatfirma 5. august 2018

Effektiv gjennomføring med OPS. Næringslivets forum for offentlige anskaffelser 4. Mars 2014

Styremøte Helse Midt-Norge Presentasjon rapport evaluering internrevisjonen

April Hvitvasking Hvor kommer pengene fra? Granskning og Forensic Services

Kommunereformarbeid. Kommunikasjonsplan som del av en god prosess Deloitte AS

Fremtidsstudien: Hva mener millennials i Norge at næringslivet bør bidra med i samfunnet? Sammendrag av norske resultater, februar 2016

NIRF. Hvitvaskingsregelverket og internrevisorer. Advokat Roar Østby

Eiendomsskatt. Hvem har risikoen og hvordan bør det håndteres? Bjørn Olav Johansen og T horvald Nyquist, 3. mars Deloitte Advokatfirma AS

Forhold knyttet til salg av virksomhet

Den gode arbeidsgiver

Fredrik Vestli Deloitte Deloitte Advokatfirma AS

Velkommen til leverandørkonferanse Fagsystemer for Nye Veier AS

Endring av kontrakt innenfor anskaffelsesregelverket. Deloitte Advokatfirma 23. november 2018

Kan en Norsk Standard sikre at man får den beste leveransen til den beste prisen?

April Kampen mot korrupsjon og misligheter Granskning og Forensic Services

U37 Tid for omstilling

Behov for bedre måling i oppdrett? Klynge til klynge - Olje og gass møter havbruk

Eiendomstransaksjoner

Leietakertilpasninger. Hva lønner seg egentlig? Thorvald Nyquist 26. februar Deloitte AS

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Forslag til ny tomtefestelov - økonomiske betraktninger

Inngåelse av justeringsavtaler

Muligheter og risiko ved ulike driftsformer i hestenæringen. Advokat Jens-Petter Pedersen, 16.

Oppdrag for Kunnskapsdepartementet Kostnadskartlegging av universiteter og høyskoler. NIFU i samarbeid med Deloitte AS

Presentasjon av forvaltningsrevisjon av investeringsprosjekter

Presentasjon. Analyse og tjenesteinnovasjon Rus og psykisk helse i Drammen kommune. Deloitte og Telemarksforsking

Juridisk fagseminar - bank. Betydningen av juridisk godt håndverk. Advokat Anne Helsingeng Deloitte Advokatfirma AS

Ny supertraktat. Over 100 land kan endre over 2000 skatteavtaler

Regulering av veiavgift Internasjonal kartlegging. 16. desember 2018

O v e r o r d n e t m a k r o p e r s p e k t i v p å d i g i t a l e m u l i g h e t e r

Plan for forvaltningsrevisjon Revidert plan Tysnes kommune

Nye personvernregler

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Helse Møre og Romsdal HF Evaluering / analyse av organisasjonsmodellen



Internrevisjonsstudien 2017:

av retningsvalg for Sande kommune

Forvaltningsrevisjon Luster kommune Økonomi - og prosjektstyring. Kommunestyret 27. april 2017


Plan for forvaltningsrevisjon Karmøy kommune.

Vedtaksoppfølging i Hordaland fylkeskommune Prosjektplan

Samhandlingsreformen hva planlegger kommunene, og hvordan vil dette påvirke sykehusenes aktivitetsnivå


Stiftelser og skatt. Advokat Rune Sandseter Deloitte Advokatfirma AS

Deloittehuset i Bjørvika. Flytting som katalysator for endring. 26. oktober 2015

OPS - et innovativt valg Hva er OPS og når skal det brukes?

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Nye personvernregler

Kunstig intelligens i helse

Regnskap 2015, 2016 og 2017

Verdipapirfondenes forening. Ny personvernforordningen GDPR


Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Blokkjeder og hva de kan brukes til i offentlig sektor

Regnskap 2015, 2016 og 2017

Forvaltningsrevisjon Bergen kommune Juridisk kvalitetssikring i Etat for byggesak og private planer. Prosjektplan

Haugesund kommune Plan for forvaltningsrevisjon

OM PERSONVERN TRONDHEIM. Mai 2018

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Forvaltningsrevisjon Vik kommune Helse og omsorg Revidert prosjektplan/engagement letter

Helse Møre og Romsdal HF Kartlegging av organisasjonsmodeller i andre helseforetak

Ny personvernlovgivning

Familieeide selskaper - Kjennetegn - Styrker og utfordringer - Vekst og nyskapning i harmoni med tradisjoner

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg


Personvern - sjekkliste for databehandleravtale

Arbeidsgiverpolitikk i kommunesammenslåinger Kunnskapsbaserte innspill til gode prosesser. Lansering av FoU-rapporten


DD-PROSESSEN. Rettslig rammeverk. 10. februar 2015 Thorvald Nyquist og Odd Erik Johansen Deloitte AS

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Finans Norges bransjenormer. PwC 1


UNDERSØKELSE OM BRUKEN AV ØYEBLIKKELIG HJELP DØGNOPPHOLD I KOMMUNENE

Transkript:

Styrket personvern, svekkede bedrifter? Deloittes personvernundersøkelse 2017 Februar 2017

Innhold Innledning Tidslinje for utviklingen i personvern Behandling av personopplysninger Lagring av personopplysninger Overføring av personopplysninger i og utenfor EU Bruk av databehandler Ny personopplysningslov

Innledning Mange virksomheter behandler personopplysninger, og forplikter seg dermed til et krevende og komplisert regelverk. Når individets rettigheter skal ivaretas, krever det en større bevissthet rundt behandlingen av personopplysninger. I Deloittes personvernundersøkelse har 200 respondenter i alderen 20 år og oppover svart på spørsmål om behandling av personopplysninger og den nye personvernforordningen. De spurte er it-ledere, hr-rådgivere og daglig ledere, og befinner seg i virksomheter med minst 20 ansatte. Flertallet av de spurte er 40 år eller eldre. I hvilken grad er din virksomhet forberedt på den nye personvernloven som kommer våren 2018? Ikke forberedt Mindre godt forberedt Nøytral 12% 25% 45% En stadig tettere kobling mellom menneske og teknologi gjennom Internet of Things, blockchain og kunstig intelligens har gitt oss tjenester og produkter som gjør livet bedre og enklere, men som samtidig gir flere aktører tilgang til våre personopplysninger. Godt forberedt Svært godt forberedt 5% 14%

Våren 2018 får Norge en ny personvernlov. Bare fem prosent av de spurte virksomhetene svarer at de er svært godt forberedt på endringene som kommer. 26 prosent svarer at de ikke er forberedt på den nye personvernlovgivningen, mens 45 prosent forholder seg nøytrale. I enkelte bransjer er forberedelsene mer mangelfulle: 32 prosent av virksomhetene i varehandel og 33 prosent av virksomhetene innen kommunikasjon svarer at de ikke er forberedt på den nye loven. De begynner å få dårlig tid. Den nye loven gir også flere og tydeligere krav til virksomheter i alle EU- og EØS-land, i tillegg til et skjerpet bøtenivå på inntil fire prosent av virksomhetens globale bruttoomsetning. Det begynner å bli dyrt å ikke følge personopplysningslovens reguleringer. Hensynet til personvern vil også i mye større grad påvirke hvilke løsninger som velges, og enkeltpersoners data må enkelt kunne fjernes etter individets ønske. Gjennom å tenke personvern først sørger også virksomhetene for å bygge tillit og ivareta omdømme. I denne sammenhengen har Deloitte gjennomført en undersøkelse for å kunne se hvor bevisste virksomhetene er når de behandler personopplysninger, og i hvilken grad de er forberedt på den nye personvernlovgivningen. Svarene tyder på at mange ikke har tatt innover seg i hvilken grad loven krever økt bevissthet rundt rutiner, risikovurderinger og personvernkonsekvenser. Tre råd ønsker vi å gi alle virksomheter, uavhengig av størrelse og hvilken kontroll de i dag har på personopplysningene i virksomheten: Kartlegg personopplysningene dere behandler, og sørg for å kunne dokumentere hvorfor dere henter inn informasjonen Sørg for at dere kan dokumentere gode rutiner for behandling av personopplysninger og at disse rutinene er kommunisert til hele virksomheten Sjekk at opplysningene dere har tilgang til er godt sikret Bjørn Ofstad Director, Deloitte Legal

Tidslinje for utviklingen i personvern 2000 EU-kommisjonen og det amerikanske næringsdepartementet blir enige om Safe Harbor-prinsippene, som sørger for at amerikanske virksomheter gir samme personvern som EUs personvernlover. 2015 EU-domstolen i Luxembourg avgjør at avtalen mellom EU og USA om utveksling av personopplysninger, er ugyldig. 2018 Norge og andre EU/EØS-land implementerer EUs nye personvernordning, som markerer den største endringen innen personvernlovgivning i Europa på over 20 år. 2001 Dagens personvernlovgivning blir implementert 13. mai 2014 Stortinget vedtar å styrke vernet om personlig integritet ved å ta inn bestemmelse om personvern i Grunnloven 2014 Irsk høyesterett behandler en klage på Safe Harbour på vegne av jusstudent Maximillian Schrems (27) 2016 EU-U.S. Privacy Shield blir godkjent av Europakommisjonen og erstatter Safe Harbor-avtalen

Behandling av personopplysninger Hva er en personopplysning? Personopplysninger er eksempelvis et individs navn, adresse, telefonnummer, e-postadresse, fingeravtrykk eller fødselsnummer, kort fortalt en opplysning som knyttes til en enkeltperson. Opplysninger om atferdsmønstre, for eksempel hva og hvor ofte du handler i matbutikken, regnes også som en personopplysning. Når man behandler personopplysninger kan det med andre ord være ulike typer informasjon. 87 prosent av de spurte i vår undersøkelse svarer at de jobber i en virksomhet som behandler personopplysninger. Privatpersoner eier sine egne opplysninger. Andre aktører har ikke lov til å behandle opplysningene med mindre det foreligger et behandlingsgrunnlag. Et samtykke til å melde seg på nyhetsbrev per e-post er ett eksempel på en tillatelse til bruk av opplysningene, men ikke til et annet formål enn det som opprinnelig er satt. Derfor krever loven at virksomhetene har rutiner for å informere om bruk av opplysningene til den registrerte og sletting av personopplysninger som ikke lenger er i bruk. Å behandle personopplysninger Nesten alle virksomheter i vår undersøkelse, 95 prosent, oppgir at de vet hvem som har ansvar for å behandle personopplysninger i virksomheten. I utgangspunktet er virksomhetens øverste administrative leder behandlingsansvarlig. I andre tilfeller kan det være vanskelig å svare på dette spørsmålet da øverste leder har delegert ansvaret og man ikke vet hvem som har samlet inn opplysningene, eller hvem som bestemmer hva opplysningene skal brukes til. Behandler din virksomhet personopplysninger? 87 % 13 %

Hva behandler virksomheten? Inntoget av smarte dingser har ført til at personopplysningene er til salgs, i bytte mot et produkt som skal gjøre livet enklere eller bedre. For enkeltpersoner blir det stadig mer utfordrende å holde oversikten over aktørene som sitter på personopplysninger. De aller fleste virksomheter behandler personopplysninger på et eller annet nivå, eksempelvis fordi det er nødvendig for å utarbeide arbeidsavtale eller utbetale lønn, og rapportere lønnsutbetalingen til skattemyndighetene. I tillegg vil alle opplysninger man henter inn og registrerer om kunder falle under kategorien personopplysninger. 90 prosent svarer at de har rutiner for hvordan personopplysninger skal behandles, mens 8 prosent svarer at de ikke har rutiner. Vi vet ikke om svaret de oppgir gjelder skriftlige rutiner, og hvorvidt rutinene gjelder alle krav til hvordan personopplysninger behandles. Svarene må ses i sammenheng med spørsmålet om hvilken oversikt man har over virksomhetens behandling av personopplysninger. 57 prosent av de spurte svarer at de har svært god oversikt over hvilke personopplysninger som virksomheten behandler, mens 30 prosent mener de har god oversikt. Bare fem prosent svarer at de har mindre god eller ingen oversikt, mens 9 prosent stiller seg nøytrale til spørsmålet. Det er vanskelig å ha gode rutiner over noe man ikke har oversikt over. Har virksomheten rutiner for hvordan personopplysninger skal behandles? 90% 8% 2% Ja Nei Vet ikke

Loven krever at behandlingsansvarlig skal etablere og holde ved like planlagte og systematiske tiltak for å oppfylle kravene i eller i medhold av personopplysningsloven. Ny personvernlovgivning fører til krav om etterlevelser, og å kunne demonstrere etterlevelse, av personvernprinsippene. Tilsyn gjort av Datatilsynet viser at mange ikke møter regelverkets krav. God kommunikasjon sørger for at kundene i virksomheten kan vite mer om hvordan opplysningene behandles, hvordan de brukes, hvem som har tilgang, hvor lenge de lagres, muligheter for å slette dem og hvem de kan utleveres til. 47% Er du enig i at rutinene rundt personvern er godt nok kommunisert ut i din virksomhet? Vi spurte virksomhetene om de mente nåværende rutiner rundt personvern var godt nok kommunisert i sin virksomhet. 20 prosent svarer «vet ikke» til spørsmålet, mens 30 prosent bare delvis er enig i at rutinene er godt nok kommunisert. 30% 20% 3% 1% Helt enig Litt enig Nøytral Litt uenig Helt uenig

Lagring av personopplysninger Dagens personvernlovgivning forbyr lagring av unødvendige personopplysninger og krever at registrerte personopplysninger ikke skal lagres lengre enn nødvendig. Kravet vil bli ytterligere skjerpet i ny personvernlovgivning. Datatilsynet er svært opptatt av at opplysninger det ikke lenger er bruk for, skal slettes. Hvor flinke er virksomhetene til å slette personopplysninger, eksempelvis om egne ansatte når de slutter eller når man ikke lenger ønsker å ha et kundeforhold til virksomheten? Personvernregelverket krever at den behandlingsansvarlige skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet. Tiltakene skal evalueres jevnlig og ved endringer som har betydning for informasjonssikkerheten. En av fem spurte svarer at de ikke har noen rutine på å evaluere informasjonssikkerheten i sin virksomhet. De fleste svarer at de evaluerer informasjonssikkereten en gang i året, samtidig svarer nesten en av tre at de evaluerer informasjonssikkerheten løpende. Kan din virksomhet dokumentere at dere sletter personopplysninger? 43% 44% 14% Ja Nei Vet ikke

44 prosent svarer nei på om de kan dokumentere at virksomheten sletter personopplysninger. I vår undersøkelse skiller vi ikke på opplysninger om kunder og ansatte, og vet således ikke om virksomhetene har ulike rutiner for håndtering av personopplysninger for disse. Samfunnet går i retning av økt digitalisering, og store datamengder lagres i dataskyen. Mange av systemene som har blitt innført de siste årene mangler derimot en automatikk for sletting, og lagrer data lengre enn det som er lovlig. Hvor ofte evaluerer dere informasjonssikkerheten i din virksomhet? Vet ikke 10% Ingen rutine på dette Hver 12. måned Hver 6. måned 9% 22% 31% Annen hver måned 2% Løpende 28%

Overføring av personopplysninger i og utenfor EU Virksomheter som vil overføre personopplysninger til utlandet, kan bare overføre dem til stater som sikrer en forsvarlig behandling av opplysningene. Det nye personvernregelverket endrer hvordan virksomheter kan bruke personopplysninger fra europeiske borgere uavhengig av om personopplysningene behandles i eller utenfor EU/EØS. For overføring av personopplysninger ut over dette trenger du som hovedregel å søke Datatilsynet om tillatelse. Du må også kunne gi tilstrekkelige garantier for vern av den registrertes rettigheter. Stadig flere norske selskaper overfører personopplysninger ut av Norge og ut av EU/ EØS. Eksempelvis benyttes fjernsupportløsninger for IT-drift i India, eller vi ser eksempler på at internasjonale konsern har sentralisert personaladministrasjonen for alle deler av konsernet i lavkostland i EU. Årsaken kan være både jakten på kompetanse eller ønske om å kutte kostnader. Likevel svarer 97 prosent av de spurte i vår undersøkelse at de ikke overfører personopplysninger ut av EU, et tall som er overraskende lavt, globaliseringen tatt i betraktning.

Bruk av databehandler En databehandler behandler personopplysninger på vegne av den behandlingsansvarlige i en bedrift. Databehandleren har et selvstendig ansvar for at informasjonssikkerheten er tilfredsstillende, i henhold til personopplysninglovens 13. Databehandleren har også et selvstendig ansvar for å behandle personopplysninger. I vår undersøkelse svarer 46 prosent ja og 49 prosent nei på spørsmålet om de gjør bruk av databehandler. Den nye personvernloven innebærer at alle databehandlere får nye plikter og flere krav. Databehandlere vil få plikt til å sørge for informasjonssikkerhet, varsle om avvik og opprette personvernombud, etter forordningens artikkel 28. Enkelte virksomheter benytter underleverandører som behandler personopplysninger på vegne av en databehandler. Med den nye forordningen må underleverandør godkjennes skriftlig av behandlingsansvarlig i virksomheten. Over halvparten av virksomhetene gir ikke informasjon til kunder om hvilke personopplysninger de lagrer om dem, med mindre de ber om det. Personopplysningsloven har et eget krav om informasjonsplikt 19, som blir ytterligere skjerpet ved ny lov. Dette er helt essensielt for at man skal kunne ivareta sine rettigheter etter loven. Eksempelvis hvem har ansvaret for mine personopplysninger, hvilke opplysninger om meg behandles, og hvor lenge de kan lagres. Gir dere uoppfordret informasjon til kunder om hvilke personopplysninger dere lagrer om dem? 28% 64% 9% Ja Nei Vet ikke

Virksomheter som behandler personopplysninger har blant annet plikt til å informere de aktuelle om navn og adresse på den aktuelle virksomheten, formålet med behandlingene og hvorvidt opplysningene vil bli utlevert til andre. Informasjonsplikten gjelder både når opplysningene samles inn direkte og når de hentes fra tredjepart. Virksomheter som ikke informerer sine kunder handler dermed i strid med loven, med unntak av innsamling som er kjent fra tidligere eller fastsatt ved lov.

Ny personopplysningslov Når de nye personvernreglene trer i kraft mai 2018, vil det være den største endringen innen personvernlovgivning i Europa på over 20 år. Selv om det er kort tid til endringene innføres i Norge, svarer 21 prosent av bedriftene av de ikke har vurdert hvorvidt det er mulig å etterleve kravene i personopplysningsloven. 33 prosent mener det er litt mulig å etterleve de nye kravene. Enkelte bransjer er dårligere forberedt enn andre. Innen omsetning og drift av fast eiendom, svarer eksempelvis halvparten av de spurte at de ikke er forberedt på de nye reglene. Den nye loven vil også i større grad bøtelegge virksomheter som ikke overholder loven. Bøtenivået i den nye personvernloven ligger på opptil 4 prosent av global bruttoomsetning. I vår undersøkelse svarer 46 prosent at det er for strenge sanksjoner for brudd på personopplysningsloven, mens 21 prosent av de spurte svarer «vet ikke». Undersøkelser fra Næringslivets Sikkerhetsråd viser at norske virksomheter daglig både utsettes for hackerangrep og bryter personopplysningsloven. Ny lov foreslår at eventuelle hendelser skal rapporteres til Datatilsynet innen 24 timer, men tidsrammen er ikke endelig besluttet. Den nye loven ser på egenkontroll og dokumentasjon for at virksomhetene behandler personopplysninger i tråd med lovens rammer. Virksomhetene kan bli pålagt å dokumentere tekniske og organisatoriske sikkerhetstiltak, og retten til å bli glemt vil bli understreket. Innebygget personvern blir også et sentralt prinsipp i den nye loven. Man skal tenke på hvem som skal ha tilgang til personopplysningene og når de skal slettes. Synes du bøtestraffen er i den nye personvernlovgivningen er for streng? Ja46 % 34 %Nei Vet ikke 20 %

En av fem virksomheter har ennå ikke vurdert om de nye reglene er mulig å etterleve. Vet virksomhetene nok om hva som kommer? Vi mener svarene i vår undersøkelse er et grunnlag for å stille spørsmål ved det. Selv om mange svarer at de har rutiner for behandling av personopplysninger, svarer en fjerdedel av de spurte virksomhetene at de ikke er forberedt på den nye personvernlovgivningen som kommer. Vi anbefaler alle virksomheter som er i tvil å ta en grundig gjennomgang av nåværende rutiner, og starte forberedelsen mot nytt lovverk. «Privacy by design» er kommet for å bli. I hvilken grad mener du det er mulig å etterleve kravene i personopplysningsloven? Umulig Krevende Ikke vurdert Litt mulig Fult mulig

Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee ( DTTL ), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as Deloitte Global ) does not provide services to clients. Please see www.deloitte.no for a more detailed description of DTTL and its member firms. Deloitte provides audit, consulting, financial advisory, risk advisory, tax and related services to public and private clients spanning multiple industries. Deloitte serves four out of five Fortune Global 500 companies through a globally connected network of member firms in more than 150 countries and territories bringing world-class capabilities, insights, and high-quality service to address clients most complex business challenges. To learn more about how Deloitte s approximately 245,000 professionals make an impact that matters, please connect with us on Facebook, LinkedIn, or Twitter. This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the Deloitte Network ) is, by means of this communication, rendering professional advice or services. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No entity in the Deloitte Network shall be responsible for any loss whatsoever sustained by any person who relies on this communication. 2017 Deloitte AS

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding