Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning Senioradvokat (PhD) Thomas Olsen Normkonferansen 30. november 2017 www.svw.no
GDPR viderefører personvernprinsippene Artikkel 5 Lovlighet, rettferdighet og gjennomsiktighet Formålsbegrensning Data minimering Riktighet Lagringsbegrensning Integritet og fortrolighet Ansvarlighet: den behandlingsansvarlige er ansvarlig for og skal kunne påvise at prinsippene overholdes side 2
Viktige endringer og nyheter Utvidet geografisk virkeområde "One stop shop" Forsterkede internkontrollplikter: Vurdering av personvernkonsekvenser (DPIA) Innebygd personvern (Data protection by design and by default) Data protection officer (DPO) obligatorisk for visse virksomheter Melde- og konsesjonsplikt bortfaller (konsultasjonsplikt i visse tilfeller) Nye og skjerpede rettigheter informasjon og samtykke dataportabilitet sletting ("right to be forgotten") varsling av registrerte ved sikkerhetsbrudd Strengere sanksjoner (20 M Euro / 4 % av årlig omsetning) side 3
Generelle plikter for behandlingsansvarlig Artikkel 24 Implementere tilfredsstillende tekniske og organisatoriske tiltak for å sikre etterlevelse dokumentere etterlevelse ("demonstrating compliance"), jf. også art 5 ("accountability") Tiltakene skal (om nødvendig) revideres og oppdateres Krav om adekvate interne retningslinjer (når forholdsmessig) Codes of conduct (art 40) og sertifiseringsmekanismer (42) kan være et element for å kunne dokumentere etterlevelse side 4
Økte dokumentasjonskrav etter GDPR Artikkel 5, 24, 30, 32 Behandlingsansvarlig (BA) Påvise etterlevelse av personvernprinsippene Konsekvensutredning dersom høy risiko (Data Protection Impact Assessment, DPIA) Innebygd personvern (Data protection by design and by default) Vedlikeholde oversikt over behandlinger Informasjonssikkerhet: risikovurdering og tilfredsstillende tekniske og organisatoriske tiltak Databehandler (DB) Vedlikeholde oversikt over behandlinger Informasjonssikkerhet: risikovurdering og tilfredsstillende tekniske og organisatoriske tiltak side 5
Konsekvensutredning (art. 35) Behandlingsansvarlig Trolig at behandlingen vil medføre en høy risiko for de registrertes rettigheter og friheter Vurdering av personlige aspekter; avgjørelser som har rettsvirkning/betydelig påvirker Storskala behandling av sensitive personopplysinger (Art 9 og 10) Veiledning fra Artikkel 29-gruppen (4. april 2017) Innføring av ny teknologi Innovativ bruk av eksisterende teknologi Evalueringer eller beregning av "score" basert på feks. adferd og preferanser Automatiserte avgjørelser Systematisk monitorering/overvåking Sensitive data Sårbar gruppe registrerte Overføring til tredjeland side 6
Konsultasjonsplikt (art. 36) Konsekvensutredningen viser at behandlingen vil medføre en høy risiko til tross for at den behandlingsansvarlige iverksetter tiltak for å prøve å begrense risikoen Det pålegges gjennom nasjonal lov side 7
Innebygd personvern Art 25 Data protection by design and by default Hensiktsmessige tekniske og organisatoriske tiltak designet for å implementere personvernprinsipper, slik som dataminimalitet (eks. ved pseudonymisering) For å etterleve kravene/ivareta registrertes rettigheter Ved valg av behandlingsmetode/hjelpemidler og hele behandlingsløpet Personvern som standardinnstilling ("by default") Bare behandle opplysninger som er nødvendig for formålet Omfang som innsamles Behandlingsomfang (grad av sammenstilling, videre bruk mv) Lagringstid Tilgang side 8
Oversikt over behandlingen BA Artikkel 30 a) Navn og kontaktopplysninger (evt. også til felles BA, BA's representant og DPO) b) Formålene for behandlingen c) Beskrivelse av kategorier av registrerte og kategorier av personopplysninger d) Kategorier av mottakere, inkl. i tredjeland eller internasjonale organisasjoner e) Spesifisering av overføring til tredjeland - Hensiktsmessige tiltak dersom overføring iht. interesseavveining (art. 49 (1) (2)) f) Hvis mulig, forespeilte slettefrister for ulike kategorier av opplysninger g) Hvis mulig, generell beskrivelse av tekniske og organisatoriske sikkerhetstiltak (jf. 32 (1)) side 9
Oversikt over behandlingen DB Artikkel 30 (2) a) Navn og kontaktopplysninger (evt. også til felles BA, BA's representant og DPO) b) Kategorier av behandling på vegne av hver BA c) Spesifisering av overføring til tredjeland - Hensiktsmessige tiltak dersom overføring iht. interesseavveining (art. 49 (1) (2)) d) Hvis mulig, generell beskrivelse av tekniske og organisatoriske sikkerhetstiltak (jf. 32 (1)) side 10
Krav til informasjonssikkerhet Art 32 BA and DB skal gjennom adekvate tekniske og organisatoriske tiltak sørge for tilfredsstillende informasjonssikkerhet, herunder gjennom: Pseudonymisering og kryptering Sikring av konfidensialitet, integritet, tilgjengelighet og robusthet (resilience) Prosess for å jevnlig teste, måle og vurdere effektiviteten av tiltakene Vurdering av sikkerhetsnivå skal særlig hensynta risikoen ved overføring, lagring og behandling side 11
Sikkerhetsbrudd Art. 4 (12) "et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet Brudd på konfidensialitet, integritet og tilgjengelighet (sml. gjeldende lov) "Utilsiktet eller ulovlig": det er tilstrekkelig at det foreligger brudd på virksomhetens egne sikkerhetstiltak Ikke krav om skyld omfatter også rene uhell Uavhengig av hvilke opplysninger som er berørt side 12
Sikkerhetsbrudd - meldeplikt til Datatilsynet Art. 33 Uten ugrunnet opphold Straks, med mindre det er konkrete legitime grunner for å avvente Krav om begrunnelse hvis senere enn 72 timer etter at bruddet ble oppdaget (rutiner!) Unntak: lite trolig at bruddet medfører risiko for fysiske personers rettigheter og friheter Vurderingen må dokumenteres og skal kunne etterprøves av Datatilsynet Konkrete minstekrav til innholdet i meldingen: Hva har skjedd, hva er sannsynlige konsekvenser, hvilke tiltak er eller blir iverksatt side 13
Sikkerhetsbrudd underretning til de registrerte Art. 34 Uten ugrunnet opphold, dersom bruddet sannsynligvis vil medføre en høy risiko for berørte personer Datatilsynet pålegger det Klar og tydelig individuell informasjon Via egnet kanal ikke krav om skriftlighet (bør evt. dokumenteres senere) Konkrete minstekrav til innholdet Unntak: Det er iverksatt sikkerhetstiltak, for eksempel kryptering eller remote sletting Uforholdsmessig innsats krav om kollektiv underretning (pressemelding el. lign.) side 14
Avsluttende bemerkninger Ny personopplysningslov (inkorporering av GDPR) erstatter dagens personopplysningslov og forskrift Mindre detaljerte krav til internkontroll og informasjonssikkerhet med GDPR Kan utfylles gjennom bransjepraksis Dagens praksis vedr. internkontroll kan være hensiktsmessig mht. å påvise etterlevelse side 15
Databehandlers ansvar Senioradvokat (PhD) Thomas Olsen Normkonferansen 30. november 2017 www.svw.no
Roller og ansvar Behandlingsansvarlig (BA) Bestemmer formål og hjelpemidler Kan være fastlagt i lov Har behandlingsgrunnlag Uttrykt utad/forventninger hos registrerte Databehandler (DB) Behandler personopplysninger på vegne av BA og etter instruks fra BA Grunnlaget for behandlingen følger av databehandleravtalen Ville normalt ellers ikke behandlet opplysningene NB! Anses som BA hvis benytter opplysningene for egne formål (Art 28 nr. 10) side 17
Ansvarlighetsprinsipp GDPR Art 5 nr. 2 Behandlingsansvarlig er ansvarlig for og skal kunne påvise at personvernprinsippene etterleves Gjelder også forsvarlig valg og oppfølgning av databehandlere (art. 28) Krav om databehandleravtale DPIA Risikovurdering Revisjon og styring side 18
Databehandlers ansvar I dag: selvstendig ansvar for informasjonssikkerhet GDPR Reglene om virkeområde Overføringsregler Informasjonssikkerhet Protokoll side 19
Innholdskrav databehandleravtale Art. 28 Beskrivelse av behandlingen: Hva avtalen gjelder (virkeområdet) Behandlingens varighet Behandlingens formål og art Opplysningstyper og kategorier av registrerte Fastslå instruksjonsmyndighet/rådighetsbegrensning for databehandler Kun behandle personopplysninger i henhold til dokumenterte instrukser fra BA Ikke overføre opplysninger til tredjeland uten etter samtykke fra behandlingsansvarlig side 20
Databehandlers plikter Art. 28 Taushetsplikt (lov/erklæring/avtale) Sikkerhetstiltak (selvstendige plikter for databehandler) Bistand til behandlingsansvarlig med å oppfylle de registrertes rettigheter, så langt rimelig og mulig med å oppfylle krav til informasjonssikkerhet Gi all informasjon som er nødvendig for å dokumentere etterlevelse for behandlingsansvarlig herunder tillate revisjon (evt. tredjepartsrevisjon) Slette eller overlate opplysningene til den behandlingsansvarlige ved forholdets opphør side 21
Databehandlers bruk av underleverandører Art 28 Bruk av underleverandører må reguleres Spesifikk tillatelse av hver underleverandør Generell tillatelse, forutsatt at behandlingsansvarlig varsles ved endringer, og gis anledning til å motsette seg endringen (evt. si opp avtalen) Underleverandøren må pålegges de samme forpliktelser Avtale som speiler avtalen med den behandlingsansvarlige (så langt relevant) Databehandleren svarer for underleverandørens behandling (overfor behandlingsansvarlig) side 22
Bøter som kan ilegges databehandler Art 83 nr. 4 (10 M Euro/2%), særlig: Informasjonssikkerhet Manglende overholdelse databehandleravtale Protokoll Art 83 nr. 5 (20 M Euro/4%), særlig: Overføringsregler Manglende overholdelse av pålegg side 23
Erstatning Art 82 Nytt at personvernreglene hjemler erstatningskrav direkte mot databehandler Vilkår Overtredelse av kravene som retter seg mot databehandler eller databehandleravtalen Ansvarsfrihet dersom kan påvise at "på ingen måte " er ansvarlig for skaden BA og DB solidarisk ansvarlige (art 82 nr. 4) Rett til å kreve regress iht. sin del av ansvaret for skaden (art 82. nr 5) side 24
Avsluttende bemerkninger Behandlingsansvarlig fremdeles hovedansvarlig Må gjøre forsvarlig valg og følge opp sine databehandlere Flere selvstendige plikter for databehandlere Økt fokus på fordeling av ansvar mellom kunde og leverandør Ikke mulig å avtale seg bort fra registrertes rettigheter Fokus på partenes oppgaver og ansvar; klare ansvarslinjer Ved skadesløsholdelse gi mulighet til å ha innvirkning på prosessen side 25
Takk for oppmerksomheten! Thomas Olsen Senioradvokat (PhD) tol@svw.no T: +47 21 95 57 55 M: +47 922 56 404 26