Skytjenester og nytt personvernregelverk 15.02.2017
Agenda Personopplysninger Skytjenester Problemstillinger som må vurderes Nytt personvernregelverk Thinkstock.com 2
Personopplysninger
Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål osv. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem, til hvilke formål osv. Personvern er noe mer enn informasjonssikkerhet. Thinkstock.com 4
Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 5
Personopplysninger er også Fødselsnummer: 13087846271 Telefonnummer: 22396900 IP-adresse: 195.159.103.82 Bilnummer: BL 23456 Bluetooth MAC: 17:35:52:78:4B:CA Wi-Fi-adresse MAC: 12:44:32:45:7B:C9 Autpass-brikke-ID: 7483920983278394 UDID: f7426bd759856431d9ae2c99175407a0dcd67ab5 6
Skytjenester
Kort om skytjenester Er det egentlig noe nytt? ASP, Fjerndrift, stormaskin, hosting, Rokker ikke ved ansvarslinjene Virksomhet Leverandør Behandlingsansvarlig Databehandler Skytjenester betyr ikke fravær av kontroll (i så fall er det uforenlig med regelverket) 8
Ulike typer av skytjenester 9 Kilde: Enisa «Cloud Security Guide for SMEs»
Outsourcing av oppgaver er forskjellig i ulike tjenestetyper 10 Kilde: Enisa «Cloud Security Guide for SMEs»
Problemstillinger som må vurderes Hvor lagres data? Overføring til tredjeland? Sikkerhetskopiering / speiling Segmentering Tilgangsstyring Dokumentasjon Sletting Bruk til egne formål (Forbedre egne tjenester? Profilering?) Underleverandører Sikkerhetsrevisjon Påse at databehandler iverksetter tiltak og dekker hele kjeden Alternativt tredjepartsrevisjon krev å få se rapporten! Sikker kommunikasjon - Kryptering 14
Hvem og hva kontrollerer vi i dag Behandlingsansvarlig - virksomheten Internkontroll Oversikt over personopplysninger Rutiner for innsyn, retting, sletting, informasjon, samtykke Informasjonssikkerhet Risikovurdering Databehandleravtale Sikkerhetsrevisjon Databehandler - leverandør av skytjeneste Databehandlers plikter Sikkerhetskrav 15
Utfordring med revisjonsrapport SOC2-rapporten Omfattende rapport (ca 200 sider) Tilsvarer revisjon av ISO 27001 og 27002 Rapporten kan vise at leverandøren er god på sikkerhet ISO 27018* Skal vise etterlevelse av kontroller i 27018 som viser til 27001 Ingen egen revisjonsdel Ingen detaljer om undersøkelser er gjort og hvordan etterlevelse er kontrollert Hvordan kan man kontrollere at leverandøren ikke bruker personopplysninger til andre formål? * ISO 27018 Retningslinjer for beskyttelse av personopplysninger i offentlige skytjenester som håndterer personopplysninger 16
Internasjonalt samarbeid Article 29 Working Party (Art. 29 WP), Opinion 5/2012 Etterlevelse av personverndirektivet Article 29 Working Party (Art. 29 WP), Opinion 2/2015 C-SIG Code of Conduct on Cloud Computing International Conference of Data Protection and Privacy Commissioners, Resolution October 2012 Overordnet Berlingruppen (the International Working Group on Data Protection in Telecommunications (IWGDPT)), Sopot Memorandum April 2012 Best Practice - kulepunkter 17
Aktuelt arbeid i Norge og i EU KMDs strategi for bruk av skytjenester i offentlig sektor Strategien ble lansert 18. april 2016 KMD har lansert en rapport fra en interdepartemental gruppe som har sett på hindringer i ulike regelverk (juni 2015) KS har lansert en rapport (en mulighetsstudie) for bruk av nettsky i kommunal sektor (juni 2015) ENISA Cloud Security Guide for SMEs m.m. 18
Bakgrunn om forordningen
Bakgrunn Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter 20
Hva gjør Datatilsynet? Bistår Justis- og beredskapsdepartementet og Kommunal- og moderniseringsdepartementet Eget internprosjekt IKT Juridisk Nettsider Personvernombud Kommunikasjon Deltar i internasjonalt arbeid og bidrar til utredninger 21
Dagens krav til informasjonssikkerhet
Personopplysningsforskriften kapittel 2 2-1 Forholdsmessige krav om sikring av personopplysninger 2-2 Pålegg fra Datatilsynet 2-3 Sikkerhetsledelse 2-4 Risikovurdering 2-5 Sikkerhetsrevisjon 2-6 Avvik 2-7 Organisering 2-8 Personell 2-9 Taushetsplikt 2-10 Fysisk sikring 2-11 Sikring av konfidensialitet 2-12 Sikring av tilgjengelighet 2-13 Sikring av integritet 2-14 Sikkerhetstiltak 2-15 Sikkerhet hos andre virksomheter 2-16 Dokumentasjon 23
Krav til informasjonssikkerhet i nytt regelverk
Art. 32 Security of processing Risikovurdering Sikkerhetstiltak Pseudonymisering og kryptering av personopplysninger Sikre vedvarende K, I, T og robusthet Gjenoppretting av tilgjengelighet og tilganger ved hendelser Jevnlig testing, vurdering og evaluering Bransjenormer eller godkjent sertifiseringsordning Element for å vise etterlevelse Tiltak for å sørge for at behandling kun skjer på instruks fra behandlingsansvarlig 25
Art. 30 Oversikt over behandlingsaktiviteter Kontaktinformasjon til behandlingsansvarlig Formål Kategorier av registrerte og personopplysninger Kategorier av mottakere Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkelig beskyttelse Slettefrister Sikkerhetstiltak Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige 26
Alle får nye krav til avvikshåndtering Strengere regler enn i dag Melde avvik innen 72 timer Stilles krav til innholdet i avviksmeldingen De berørte skal varsles i klart språk 27
Innebygd personvern og DPIA
Alle skal bygge personvern inn i nye løsninger Innebygd personvern (Privacy by design): Å ta hensyn til personvernet i alle utviklingsfasene av et system Utviklet av IPC i Ontario Vedtatt på internasjonal personvernkonferanse Oversatt til norsk Og nå blir det en plikt å gjøre det 29
Innebygd personvern 7 steg 1. Vær i forkant, forebygg fremfor å reparere 2. Gjør personvern til standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet: Både-og, ikke enten-eller 5. Ivareta informasjonssikkerhet fra start til slutt 6. Vis åpenhet 7. Respekter brukerens personvern 30
Innebygd personvern og som standard Art 25 Tekniske og organisatoriske tiltak pseudonymisering Utformet for å ivareta personvernprinsipper minimalisering Det minst personverninngripende alternativet som standard: mengde omfang lagringstid tilgjengelighet 31
Vurdering av personvernkonsekvenser - Privacy / Data protection impact assessment (PIA/DPIA) En systematisk prosess, som identifiserer og evaluerer fra alle interessenters synsvinkel potensielle personvernkonsekvenser i et prosjekt, initiativ, foreslått system eller prosess og som inkluderer det å finne ut hvordan dere kan unngå trusler mot personvernet eller hvilke tiltak dere må innføre for å avverge trusler mot personvernet 32
Hva skal beskyttes? Konfidensialitet Åpenhet Transparency Integritet Den registrertes perspektiv Mulighet til å gripe inn Intervenability Kan ikke kobles Unlinkability Tilgjengelighet Oversatt fra en artikkel om DPIA-prosessen: http://friedewald.website/wp-content/uploads/2016/06/apf2016.pdf 33
Hva er personvernkonsekvenser? Eksempler: Manglende eller mangelfull kontroll av utlevering øker sannsynlighet for feilaktig deling. Deling og sammenstilling av datasett kan føre til at virksomheter samler inn mer opplysninger enn enkeltpersoner er klar over. Identifikatorer som blir samlet inn og knyttet sammen, kan hindre folk fra å bruke en tjeneste anonymt. 34
Hvilke tiltak kan avverge personvernkonsekvenser? Eksempler: Begrense innsamling eller lagring av enkelte typer opplysninger. Begrense lagringstid slik at opplysninger kun lagres så lenge det er nødvendig, og planlegge sikker sletting/ødeleggelse av informasjon. Utvikle måter for sikker anonymisering når dette er mulig. Gjøre det mulig for enkeltpersoner å få lett tilgang til sine opplysninger, og gjøre det enkelt å håndtere innsynsbegjæringer. 35
DPIA - oppsummert fra Art. 35 (1/3) DPIA er en prosess for å bygge og demonstrere etterlevelse av regelverket. Av hvem? Behandlingsansvarlig. PVO kan bidra. Når? Før en behandling starter eller før utviklingsstart. Når skal den oppdateres? Ved endring av risiko eller kontekst. Når skal man be om en forhåndsdrøftelse av Datatilsynet? Når DPIA bekrefter at risikoene er høye. I hvilke tilfeller? Høy risiko for den enkelte og påkrevd i Art. 35 (3) 36
DPIA oppsummert fra Art. 35 (2/3) Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang systematisk overvåking av offentlig område i stort omfang I tilfelle man er i tvil anbefaler vi å utføre en DPIA. 37
DPIA oppsummert fra Art. 35 (3/3) Vurderingen skal som minimum inneholde: Systematisk beskrivelse av behandlingen, formål, og evt. hvilken berettiget interesse den ivaretar. Vurdering av nødvendighet og forholdsmessighet, sett opp mot formålet. Vurdering av risikoen for rettigheter og frihet til registrerte. Tiltak som skal iverksettes for å redusere risikoen. 38
Forhåndsdrøftelser Art. 36 Ved høy risiko, som ikke kan begrenses, skal vi involveres i forhåndsdrøftelser Det stilles krav til dokumentasjon som skal sendes inn til oss Forordningen stiller krav til vår behandlingstid Vi kan veilede eller forby behandlingen 39
Nye plikter for databehandlere
Alle databehandlere får nye plikter Egne rutiner for behandling av personopplysninger Si fra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Kan bli erstatningspliktige 41
Databehandleravtale Art. 28 Behandling av personopplysninger kun på instruks Overføring til land utenfor EU/EØS kun på instruks Taushetsplikt Informasjonssikkerhet (art. 32) Underleverandører (art. 28) Bistå behandlingsansvarlig Etterkomme krav fra enkeltpersoner Informasjonssikkerhet, avvikshåndtering, DPIA Slette eller tilbakeføre alle personopplysninger (også kopier) ved opphør av tjeneste. Dokumentasjon som viser etterlevelse av art. 28. Tillate og bidra til revisjoner. Skriftlig avtale, også elektronisk. 42
Mer informasjon på www.datatilsynet.no Skytjenester (veileder) Risikovurdering (veileder) Databehandleravtale (veileder og mal) Nye personvernregler: datatilsynet.no/forordning og masse mer på www.datatilsynet.no 44
Takk for oppmerksomheten! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no martha.eike@datatilsynet.no @marthaeike (Twitter)