1 Steinar Nørstebø, styreleder steinar@kins.no Hva er KiNS Foreningen Kommunal Informasjonssikkerhet KiNS 2003 Over 200 kommuner/fylkeskommuner Samarbeider nært med KS, Datatilsynet, DiFi, NSM, ehelse, Senter for IKT i undervisningen. KiNS arrangerer årlig én stor konferanse KiNS arrangerer også regionale dags-/flerdags kurs gratis for medlemmer 1
Hva gjør så KiNS og KS med GDPR? (General Data Privacy Regulation) Hva gjør så KiNS og KS med GDPR? (General Data Privacy Regulation) KiNS og KS har startet et to-årig prosjekt Informere rådmennene Ansatte i alle kommuner som jobber med informasjonssikkerhet og personvern får 2-dagers introduksjon til vervet Bidragsytere er Datatilsynet, Difi, e-helse og Senter for IKT i Undervisningen 2
Kursinnhold dag 1 Hva må vi gjøre? Hva er personvern, Datatilsynet og det nye regelverket Grunnleggende jus Rettigheter Ansvarlighet, systematikk og informasjonssikkerhet Personvernombud etter nytt regelverk Kort om andre nyheter og spørsmål Kursinnhold dag 2 Hvordan gjør vi det? Presentasjon av sektorene i et informasjonssikkerhetsperspektiv Hva er informasjonssikkerhet? Krav til sikkerhet i helsesektoren Krav til sikkerhet i skolesektoren Styringssystem og internkontroll Risikovurderinger - DPIA Databehandleravtaler 3
Er to dager nok? Dypere dyktiggjøring som et studie eller annen læring Datatilsynet har samarbeid med flere høyskoler/universitet + evt private aktører KiNS etablerer virtuelt nettverk for kommunale personvernombud Regionale samlinger nasjonale fagdager 4
Hvor drar vi og når? Pilot: Tromsø 7-8. november Østlandet Gardermoen 11-12. desember Region Vest Bergen 8-9. januar Agderfylkene Kristiansand 15-16. januar Region Midt Trondheim 8-9. februar Region 1 Nord Bodø 14-15. februar Region 2 Nord Alta 12-13. mars Gardermoen 2 og oppsamling 19-20. mars Og nå over til. Hva dette egentlig er. Fagdirektør Ove Skåra, Datatilsynet 5
13.09.2017 11 Bakgrunn personvernregelverk Personopplysningsloven og personopplysningsforskriften 2001 Nye norske personvernregler 2018 1890 EUs personverndirektiv 1995 EUs personvernforordning 2016 12 6
Nye rammer for behandling av personopplysninger! (EU 2016/679) Vedtatt i EU 2016 og trer i kraft 25.05.2018 Hvorfor? Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrensene Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter Hvordan? Gjennom en forordning Erstatter nasjonal lovgivning Direkte gjeldende i EU/EØS Begrenset spillerom for nasjonale tilpasninger 13 Hva er nytt? For de registrerte: Informasjon og samtykke Retten til å bli glemt Retten til dataportabilitet Rett til å nekte profilering Barn gis styrkede rettigheter 14 For virksomhetene: Kraftigere sanksjoner (20 mill euro) og gruppesøksmål Likere regler i Europa Melde- og konsesjonsplikt faller bort Ansvarlighetsprinsippet mer selvstendighet og ansvar Databehandlere får selvstendige plikter og solidarisk ansvar for erstatning Personvernombud Innebygd personvern og personvern som standardinnstilling Utrede personvernkonsekvenser Rapportere sikkerhetsbrudd Til Datatilsynet Til registrerte 7
Gamle personvernprinsipper i ny drakt Lovlig, rimelig og gjennomsiktig Opplysningene skal behandles lovlig, rimelig og på en gjennomsiktig måte. Respekter de registrertes interesser og rimelige forventninger. Informasjon skal gis på en tilgjengelig og forståelig måte. Formålsbegrensning Opplysningene skal brukes til uttrykkelig angitte og legitime formål. Opplysningene skal ikke brukes til andre uforenlige formål Dataminimering Personopplysningene skal være tilstrekkelige, relevante og begrenset til hva som er nødvendig for formålet. (Artikkel 5) Korrekte og oppdaterte Opplysningene skal være korrekte og om nødvendig ajourførte. Ukorrekte eller utdaterte personopplysninger skal rettes eller slettes. Rutiner for lagring og sletting Det skal være rutiner som sikrer at det ikke er mulig å identifisere de registrerte lenger enn hva som er nødvendig for de formål de er samlet inn for. Integritet og konfidensialitet Personopplysninger sikres mot uautorisert eller ulovlig tilgang og mot utilsiktet tap, ødeleggelse eller skade. Det skal brukes egnede tekniske og organisatoriske tiltak. Ansvarlighet Den behandlingsansvarlige har ansvar for, og må kunne dokumentere, at personvernprinsippene blir etterlevd Informasjonsplikt (13,14) Artikkel 13: Når den registrerte bidrar med opplysninger Navn og kontaktinformasjon til behandlingsansvarlig Navn og kontaktinformasjon til ev. personvernombud Formål og rettslig grunnlag for behandlingen Ev berettigede interesser Eventuelle mottakere av personopplysningene Informasjon om hvor lenge dataene skal lagres, ev kriterier for lagringstid Rett til innsyn, korrigering, sletting, til å protestere mot behandling Rett til dataportabilitet Rett til å be om sletting Rett til å trekke tilbake et samtykke Rett til å fremme en klage til Datatilsynet Informasjon om ev. gjenbruk av data til annet formål Bruk av automatiserte avgjørelser og profilering Artikkel 14: Når personopplysningene ikke kommer fra den registrerte selv Som artikkel 13, men i tillegg: Hvilken kategori personopplysninger som samles inn Hvor dataene kommer fra og om dette er offentlig tilgjengelige data NÅR? Ved første gangs kommunikasjon med den registrerte, Eller ved første gangs utlevering til en tredjepart Men senest innen en måned etter innhenting av dataene 16 8
13.09.2017 Oversikt over behandlingsaktiviteter art. 30 Kontaktinformasjon til behandlingsansvarlig Formål Kategorier av registrerte og kategorier av personopplysninger Kategorier av mottakere Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkelig beskyttelse Tidsfrister for sletting Tekniske og organisatoriske sikkerhetstiltak Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige 17 Fra forhåndskontroll til risikobasert egenkontroll Risikovurderinger skal alltid foretas som en del av internkontroll jf. art. 32(1) Identifisere behandlinger som vil kunne medføre en høy risiko for personvernet Der behandlingen vil kunne resultere i høy risiko, plikter behandlingsansvarlig/databehandler å gjennomføre en vurdering av personvernkonsekvensene (DPIA) Den behandlingsansvarlige skal identifisere risikoreduserende tiltak Der risikoen ikke kan håndteres av den behandlingsansvarlig på en tilfredsstillende måte, skal forhåndsdrøftelser (prior consultation) igangsettes, jf. art 36 Gi råd Bruke andre virkemidler (pålegg, sanksjoner) Forby behandlingen 18 9
Vurdering av personvernkonsekvenser art. 35 Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang systematisk overvåking av offentlig område i stort omfang I tilfelle man er i tvil anbefaler vi å utføre en DPIA. Datatilsynet må publisere liste over når det er påkrevd. Datatilsynet kan publisere liste over når det ikke er påkrevd. 19 Hva skal beskyttes, hvordan ivareta etterrettelighet? Artikkel 5 (2) accountability Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at personvernprinsippene overholdes. Konfidensialitet Åpenhet Transparency Integritet Den registrertes perspektiv Mulighet til å gripe inn Intervenability Kan ikke kobles Unlinkability Tilgjengelighet Oversatt fra en artikkel om DPIA-prosessen: http://friedewald.website/wp-content/uploads/2016/06/apf2016.pdf 20 10
Alle skal bygge personvern i løsningene sine Ta hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Det er både kostnadsbesparende og mer effektivt enn å endre et ferdig system. Tekniske og organisatoriske tiltak F.eks. pseudonymisering, automatiske sletterutiner, dynamisk samtykke ol Utformet for å ivareta personvernprinsipper F.eks. minimalisering Det minst personverninngripende alternativet som standard: mengde omfang lagringstid tilgjengelighet 21 Informasjonssikkerhet og avviksmeldinger 11
Avviksmeldinger art. 33 Sikkerhetsbrudd (art. 4 (12)): «brudd på personopplysningssikkerheten» - er et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet Dette omhandler mer enn dagens 2-6 tredje ledd: «uautorisert utlevering av personopplysninger som krever konfidensialitet» 23 Avviksmeldinger art. 33 og 34 Behandlingsansvarlig må melde avvik innen 72 timer. Kan meldes trinnvis. Databehandler melder til behandlingsansvarlig Stilles krav til innholdet i avviksmeldingen. Vårt skjema i Altinn tar høyde for dette. Finnes en uttalelse fra Artikkel 29-gruppen (2014) som skal oppdateres i løpet av året. Berørte skal informeres så raskt som mulig, slik at de skal kunne foreta seg noe for å begrense skaden. 24 12
Alle kommuner skal ha personvernombud Viktigste endringer Fremhevet og lovregulert Skjerpede krav og tydeligere rolle Fra frivillig til obligatorisk for mange Artikkel 37, 38 og 39 i forordningen Retningslinjer fra WP29 26 13
Oppgaver Samle inn og ha oversikt over behandlingsaktiviteter Involvere seg tidlig, informere og gi råd Kontrollere overholdelse av personvernregelverket og interne retningslinjer, deriblant ansvarsfordeling, opplæring, holdningsskapende tiltak mv, Gi råd og delta ved vurdering av personvernkonsekvenser (DPIA) Være kontaktpunkt for de registrerte Være et kontaktpunkt for, og samarbeide med Datatilsynet Skal ha en risikobasert tilnærming til sitt arbeide Mao: En viktig støttende funksjon for å sikre behandlingsansvarliges etterlevelse av kravene i personvernlovgivningen, men PVO overtar ikke behandlingsansvarliges rolle eller ansvar! 27 Art. 39 Om utpeking av personvernombud Både behandlingsansvarlige og databehandlere er omfattet av reglene Konserner kan ha felles ombud for underliggende virksomheter og offentlige etater kan oppnevne felles ombud Må være forsvarlig mht tilgang til vedkommende, og mht struktur, størrelse på virksomhetene og omfang og kompleksitet Kan kjøpe PVO som ekstern tjeneste Ikke mer enn ett ombud i en og samme virksomhet Art. 37 28 14
Må finne balanse mellom flere ulike interessenter Toppledelse og mellomledere organisasjonsenheter og driftsmiljøer internt Databehandlere De registrerte (kunder, ansatte mv) Datatilsynsmyndigheter Sektormyndigheter 29 Hva slags kvalifikasjoner må ombudet ha? Faglige og formelle kvalifikasjoner bør stå i forhold til skala og kompleksitet Dybdekunnskap om personvernlovgivning og praksis på området Kjennskap til sektoren og forståelse av behandlingsaktivitetene, IT-systemer, informasjonssikkerhet mv. Evne til å utføre oppgavene Personlige kvaliteter og kunnskap Posisjon i virksomheten Personlig integritet og evne til å gjøre etiske vurderinger Evne til å kommunisere og stimulere resten av organisasjonen 30 Art. 37 15
Virksomhetens ansvar mht personvernombudet Skal sørge for at personvernombud blir utnevnt iht kravene Må involveres i prosesser Skal få ressurser og tilgang til informasjon og systemer Skal ha mulighet til å opprettholde sakkunnskap Respektere den uavhengige rollen. Skal ikke motta instrukser eller straffes Skal rapportere til høyeste ledelsesnivå Må ikke ha andre oppgaver som fører til interessekonflikt Kan ikke ha stilling som innebærer at ombudet skal bestemme formålet og metode for behandling av personopplysninger Art. 38 31 Datatilsynets rolle og planer Skal ikke lenger behandle søknader om ombud Skal få beskjed om hvem som er ombud Mål om å ha offentlig oversikt Tilpasset opplæring i 2017 og 2018(?) Er i kontakt med eksterne utdanningsaktører om fremtidig kursing Informasjon til ombud og virksomheter som må ha ombud 32 16
Hvordan komme i mål til mai 2018? Åtte steg til forberedelse 1. Gjør deg selv, øvrig ledelse og medarbeidere kjent med ny personvernlovgivning. 2. Få oversikt over hvilke personopplysninger dere behandler, med hvilket formål, rettslig grunnlag og med hvem dere deler disse videre med. 3. Hvem er ansvarlig internt for ulike behandlinger? 4. Behandler dere opplysninger som det knyttes særlig stor risiko til? Vurder personvernkonsekvensene! 5. Opprett personvernombud, hvorfor vente? 34 17
Åtte steg til forberedelse 6) Få rutiner på plass for å oppdage, rapportere og reparere avvik 7) Bygg personvern inn i løsninger som dere utvikler begynn likegodt nå 8) Tilrettelegg for de registrertes rettigheter Gir vi informasjon på et tilpasset, tydelig og enkelt språk, for eksempel via en personvernerklæring? Er rutinene for innhenting av samtykke ok? Hvordan er det med den registrertes rett til innsyn, retting, sletting og sperring? Dataportabilitet, reservasjon mot profilering, automatiske beslutninger 35 Datatilsynet.no/forordning 18
Takk for meg! Datatilsynet Ove Skåra, fagdirektør Tlf 22 39 69 30 Mobil 917 91 797 Epost osk@datatilsynet.no www.datatilsynet.no www.personvernbloggen.no Twitter.com/datatilsynet Husk å abonnere på nyhetsbrevene fra Datatilsynet og personvernbloggen! 19