Skytjenester og nytt personvernregelverk

Like dokumenter
Informasjonssikkerhet i forordningen

Nye personvernregler fra 2018

Nye personvernregler (GDPR)

Nye personvernregler

Nye personvernregler (GDPR)

Bruk av skytjenester og sosiale medier i skolen

Kan du legge personopplysninger i skyen?

Nye personvernregler

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Nye personvernregler og innebygd personvern

Nye personvernregler fra mai 2018

Nye personvernregler

Ansvarlighetsprinsippet og virksomhetens plikter

Hva gjør så KiNS og KS med GDPR?

NORID - Registrarseminar 26. april 2017

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Nøkkelen til morgendagens personvern innebygd personvern

EUs nye forordning for personvern

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Underbygger lovverket kravene til en digital offentlighet

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

DIFI - Seminar om Skytjenester

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Krav til informasjonssikkerhet i nytt personvernregelverk

Personvern i digitaliseringens tid Kommuner og nytt regelverk

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler Gullik Gundersen juridisk rådgiver

Personvern og informasjonssikkerhet ved anskaffelser

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Steinar Nørstebø, styreleder

Personvern i digitalisering av forvaltningen

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Nye personvernregler fra mai 2018

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Nye personvernregler fra 2018 hva betyr det for din virksomhet?

Personvern - Hva er det

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Nytt personvernregelverk GDPR e-kommunedagen Hordaland

Nye personvernregler fra mai 2018, hva nå?

EUs nye forordning for personvern

Personvern - sjekkliste for databehandleravtale

Arbeidsgiverens behandling av personopplysninger om sine ansatte. Personvernforordningen i det daglige. Dana Jaedicke juridisk seniorrådgiver

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Nye personvernregler fra mai 2018, hva nå?

Nye personvernregler fra mai Mars 2017

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Nytt personvernregelverk på 1-2-3

Nye personvernregler fra mai 2018

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Internkontroll og informasjonssikkerhet lover og standarder

Databehandleravtale for NLF-medlemmer

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Personvern og informasjonssikkerhet i UH sektoren

Nye personvernregler fra mai 2018, hva nå?

Nye personvernregler fra mai 2018

Privacy Shield og Skytjenester

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013

Databehandleravtaler. Tommy Tranvik Unit

OM PERSONVERN TRONDHEIM. Mai 2018

Vi blir "smartere og smartere", snart er nesten alt tilknyttet alt, alltid. Det stiller store krav til sikkerhet og personvern

Programvareutvikling med innebygd personvern og personvern som standardinnstilling. Eirik Saltkjel Veronica Jarnskjold Buer

Vurdering av personvernkonsekvenser (DPIA)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Personvern i praksis, GDPR personvernforordningen erfaringer

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

GDPR - viktige prinsipper og rettigheter

Hvordan opprettholde DIGITALISERINGSFARTEN etter ny personvernforordning?

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvern - vurdering av personvernkonsekvenser - DPIA

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Databehandleravtaler

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Bedre personvern i skole og barnehage

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Personopplysningsvern med ProFundo som databehandler

Nye personvernregler

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Nytt regelverk, nye muligheter og masse avviksmeldinger!

Bilag 14 Databehandleravtale

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

DATABEHANDLERAVTALE. 1. Bakgrunn

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Programvareutvikling med innebygd personvern nye personvernregler

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Transkript:

Skytjenester og nytt personvernregelverk 15.02.2017

Agenda Personopplysninger Skytjenester Problemstillinger som må vurderes Nytt personvernregelverk Thinkstock.com 2

Personopplysninger

Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål osv. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem, til hvilke formål osv. Personvern er noe mer enn informasjonssikkerhet. Thinkstock.com 4

Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 5

Personopplysninger er også Fødselsnummer: 13087846271 Telefonnummer: 22396900 IP-adresse: 195.159.103.82 Bilnummer: BL 23456 Bluetooth MAC: 17:35:52:78:4B:CA Wi-Fi-adresse MAC: 12:44:32:45:7B:C9 Autpass-brikke-ID: 7483920983278394 UDID: f7426bd759856431d9ae2c99175407a0dcd67ab5 6

Skytjenester

Kort om skytjenester Er det egentlig noe nytt? ASP, Fjerndrift, stormaskin, hosting, Rokker ikke ved ansvarslinjene Virksomhet Leverandør Behandlingsansvarlig Databehandler Skytjenester betyr ikke fravær av kontroll (i så fall er det uforenlig med regelverket) 8

Ulike typer av skytjenester 9 Kilde: Enisa «Cloud Security Guide for SMEs»

Outsourcing av oppgaver er forskjellig i ulike tjenestetyper 10 Kilde: Enisa «Cloud Security Guide for SMEs»

Problemstillinger som må vurderes Hvor lagres data? Overføring til tredjeland? Sikkerhetskopiering / speiling Segmentering Tilgangsstyring Dokumentasjon Sletting Bruk til egne formål (Forbedre egne tjenester? Profilering?) Underleverandører Sikkerhetsrevisjon Påse at databehandler iverksetter tiltak og dekker hele kjeden Alternativt tredjepartsrevisjon krev å få se rapporten! Sikker kommunikasjon - Kryptering 14

Hvem og hva kontrollerer vi i dag Behandlingsansvarlig - virksomheten Internkontroll Oversikt over personopplysninger Rutiner for innsyn, retting, sletting, informasjon, samtykke Informasjonssikkerhet Risikovurdering Databehandleravtale Sikkerhetsrevisjon Databehandler - leverandør av skytjeneste Databehandlers plikter Sikkerhetskrav 15

Utfordring med revisjonsrapport SOC2-rapporten Omfattende rapport (ca 200 sider) Tilsvarer revisjon av ISO 27001 og 27002 Rapporten kan vise at leverandøren er god på sikkerhet ISO 27018* Skal vise etterlevelse av kontroller i 27018 som viser til 27001 Ingen egen revisjonsdel Ingen detaljer om undersøkelser er gjort og hvordan etterlevelse er kontrollert Hvordan kan man kontrollere at leverandøren ikke bruker personopplysninger til andre formål? * ISO 27018 Retningslinjer for beskyttelse av personopplysninger i offentlige skytjenester som håndterer personopplysninger 16

Internasjonalt samarbeid Article 29 Working Party (Art. 29 WP), Opinion 5/2012 Etterlevelse av personverndirektivet Article 29 Working Party (Art. 29 WP), Opinion 2/2015 C-SIG Code of Conduct on Cloud Computing International Conference of Data Protection and Privacy Commissioners, Resolution October 2012 Overordnet Berlingruppen (the International Working Group on Data Protection in Telecommunications (IWGDPT)), Sopot Memorandum April 2012 Best Practice - kulepunkter 17

Aktuelt arbeid i Norge og i EU KMDs strategi for bruk av skytjenester i offentlig sektor Strategien ble lansert 18. april 2016 KMD har lansert en rapport fra en interdepartemental gruppe som har sett på hindringer i ulike regelverk (juni 2015) KS har lansert en rapport (en mulighetsstudie) for bruk av nettsky i kommunal sektor (juni 2015) ENISA Cloud Security Guide for SMEs m.m. 18

Bakgrunn om forordningen

Bakgrunn Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter 20

Hva gjør Datatilsynet? Bistår Justis- og beredskapsdepartementet og Kommunal- og moderniseringsdepartementet Eget internprosjekt IKT Juridisk Nettsider Personvernombud Kommunikasjon Deltar i internasjonalt arbeid og bidrar til utredninger 21

Dagens krav til informasjonssikkerhet

Personopplysningsforskriften kapittel 2 2-1 Forholdsmessige krav om sikring av personopplysninger 2-2 Pålegg fra Datatilsynet 2-3 Sikkerhetsledelse 2-4 Risikovurdering 2-5 Sikkerhetsrevisjon 2-6 Avvik 2-7 Organisering 2-8 Personell 2-9 Taushetsplikt 2-10 Fysisk sikring 2-11 Sikring av konfidensialitet 2-12 Sikring av tilgjengelighet 2-13 Sikring av integritet 2-14 Sikkerhetstiltak 2-15 Sikkerhet hos andre virksomheter 2-16 Dokumentasjon 23

Krav til informasjonssikkerhet i nytt regelverk

Art. 32 Security of processing Risikovurdering Sikkerhetstiltak Pseudonymisering og kryptering av personopplysninger Sikre vedvarende K, I, T og robusthet Gjenoppretting av tilgjengelighet og tilganger ved hendelser Jevnlig testing, vurdering og evaluering Bransjenormer eller godkjent sertifiseringsordning Element for å vise etterlevelse Tiltak for å sørge for at behandling kun skjer på instruks fra behandlingsansvarlig 25

Art. 30 Oversikt over behandlingsaktiviteter Kontaktinformasjon til behandlingsansvarlig Formål Kategorier av registrerte og personopplysninger Kategorier av mottakere Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkelig beskyttelse Slettefrister Sikkerhetstiltak Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige 26

Alle får nye krav til avvikshåndtering Strengere regler enn i dag Melde avvik innen 72 timer Stilles krav til innholdet i avviksmeldingen De berørte skal varsles i klart språk 27

Innebygd personvern og DPIA

Alle skal bygge personvern inn i nye løsninger Innebygd personvern (Privacy by design): Å ta hensyn til personvernet i alle utviklingsfasene av et system Utviklet av IPC i Ontario Vedtatt på internasjonal personvernkonferanse Oversatt til norsk Og nå blir det en plikt å gjøre det 29

Innebygd personvern 7 steg 1. Vær i forkant, forebygg fremfor å reparere 2. Gjør personvern til standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet: Både-og, ikke enten-eller 5. Ivareta informasjonssikkerhet fra start til slutt 6. Vis åpenhet 7. Respekter brukerens personvern 30

Innebygd personvern og som standard Art 25 Tekniske og organisatoriske tiltak pseudonymisering Utformet for å ivareta personvernprinsipper minimalisering Det minst personverninngripende alternativet som standard: mengde omfang lagringstid tilgjengelighet 31

Vurdering av personvernkonsekvenser - Privacy / Data protection impact assessment (PIA/DPIA) En systematisk prosess, som identifiserer og evaluerer fra alle interessenters synsvinkel potensielle personvernkonsekvenser i et prosjekt, initiativ, foreslått system eller prosess og som inkluderer det å finne ut hvordan dere kan unngå trusler mot personvernet eller hvilke tiltak dere må innføre for å avverge trusler mot personvernet 32

Hva skal beskyttes? Konfidensialitet Åpenhet Transparency Integritet Den registrertes perspektiv Mulighet til å gripe inn Intervenability Kan ikke kobles Unlinkability Tilgjengelighet Oversatt fra en artikkel om DPIA-prosessen: http://friedewald.website/wp-content/uploads/2016/06/apf2016.pdf 33

Hva er personvernkonsekvenser? Eksempler: Manglende eller mangelfull kontroll av utlevering øker sannsynlighet for feilaktig deling. Deling og sammenstilling av datasett kan føre til at virksomheter samler inn mer opplysninger enn enkeltpersoner er klar over. Identifikatorer som blir samlet inn og knyttet sammen, kan hindre folk fra å bruke en tjeneste anonymt. 34

Hvilke tiltak kan avverge personvernkonsekvenser? Eksempler: Begrense innsamling eller lagring av enkelte typer opplysninger. Begrense lagringstid slik at opplysninger kun lagres så lenge det er nødvendig, og planlegge sikker sletting/ødeleggelse av informasjon. Utvikle måter for sikker anonymisering når dette er mulig. Gjøre det mulig for enkeltpersoner å få lett tilgang til sine opplysninger, og gjøre det enkelt å håndtere innsynsbegjæringer. 35

DPIA - oppsummert fra Art. 35 (1/3) DPIA er en prosess for å bygge og demonstrere etterlevelse av regelverket. Av hvem? Behandlingsansvarlig. PVO kan bidra. Når? Før en behandling starter eller før utviklingsstart. Når skal den oppdateres? Ved endring av risiko eller kontekst. Når skal man be om en forhåndsdrøftelse av Datatilsynet? Når DPIA bekrefter at risikoene er høye. I hvilke tilfeller? Høy risiko for den enkelte og påkrevd i Art. 35 (3) 36

DPIA oppsummert fra Art. 35 (2/3) Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang systematisk overvåking av offentlig område i stort omfang I tilfelle man er i tvil anbefaler vi å utføre en DPIA. 37

DPIA oppsummert fra Art. 35 (3/3) Vurderingen skal som minimum inneholde: Systematisk beskrivelse av behandlingen, formål, og evt. hvilken berettiget interesse den ivaretar. Vurdering av nødvendighet og forholdsmessighet, sett opp mot formålet. Vurdering av risikoen for rettigheter og frihet til registrerte. Tiltak som skal iverksettes for å redusere risikoen. 38

Forhåndsdrøftelser Art. 36 Ved høy risiko, som ikke kan begrenses, skal vi involveres i forhåndsdrøftelser Det stilles krav til dokumentasjon som skal sendes inn til oss Forordningen stiller krav til vår behandlingstid Vi kan veilede eller forby behandlingen 39

Nye plikter for databehandlere

Alle databehandlere får nye plikter Egne rutiner for behandling av personopplysninger Si fra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Kan bli erstatningspliktige 41

Databehandleravtale Art. 28 Behandling av personopplysninger kun på instruks Overføring til land utenfor EU/EØS kun på instruks Taushetsplikt Informasjonssikkerhet (art. 32) Underleverandører (art. 28) Bistå behandlingsansvarlig Etterkomme krav fra enkeltpersoner Informasjonssikkerhet, avvikshåndtering, DPIA Slette eller tilbakeføre alle personopplysninger (også kopier) ved opphør av tjeneste. Dokumentasjon som viser etterlevelse av art. 28. Tillate og bidra til revisjoner. Skriftlig avtale, også elektronisk. 42

Mer informasjon på www.datatilsynet.no Skytjenester (veileder) Risikovurdering (veileder) Databehandleravtale (veileder og mal) Nye personvernregler: datatilsynet.no/forordning og masse mer på www.datatilsynet.no 44

Takk for oppmerksomheten! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no martha.eike@datatilsynet.no @marthaeike (Twitter)

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding