Programvareutvikling med innebygd personvern og personvern som standardinnstilling Eirik Saltkjel Veronica Jarnskjold Buer 30.11.2017
Agenda Introduksjon til nye personvernregler Pause (10 minutter) Introduksjon til veileder Gruppearbeid forslag til hva aktivitetene inneholder Presentasjon av aktivitetene i veilederen For hver aktivitet Et bord presenterer sine tanker og innspill Innhold fra veileder presenteres
Nye personvernregler
Personvernprinsipper og den registrertes rettigheter
Personopplysninger hva er det? (art 4) enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet 5
Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem og til hvilke formål 6
Hva er person(opplysnings)vern? Hva er det loven beskytter? Er det kun selve informasjonen om et menneske? Dvs med tekniske, organisatoriske, fysiske og menneskelige tiltak? Nei mer.. En krenkelse av personvernet kan skje selv om du beskytter informasjonen aldri så godt. Eks. Informasjonen om deg er feil hva kan det medføre? Viktig informasjon om deg er «borte vekk» Hvis det er personen selv som skal bestemme om du får lov å ha informasjonen, og du ikke har innhentet samtykke. Person(opplysnings)vern er altså noe mer enn informasjonssikkerhet 7
Hvem har plikter og rettigheter De registrerte har rettigheter Behandlingsansvarlig, databehandler, underleverandører har plikter 8
Gamle personvernprinsipper i ny drakt art 5 Lovlig, rimelig og gjennomsiktig Rettslig grunnlag. Respekter de registrertes interesser og rimelige forventninger. Informasjon skal gis på en tilgjengelig og forståelig måte. Formålsbegrensning Opplysningene skal brukes til spesifikke, uttrykkelig angitte og legitime formål. Opplysningene skal ikke brukes til andre uforenlige formål Dataminimering Personopplysningene skal være tilstrekkelige, relevante og begrenset til hva som er nødvendig for formålet. Korrekte og oppdaterte Opplysningene skal være korrekte og om nødvendig ajourførte. Ukorrekte eller utdaterte personopplysninger skal rettes eller slettes. Rutiner for lagring og sletting Personopplysninger skal ikke lagres lengre enn det som er nødvendig for formålet. Automatiske sletterutiner. Integritet og konfidensialitet Personopplysninger sikres mot uautorisert eller ulovlig tilgang og mot utilsiktet tap, ødeleggelse eller skade. Det skal brukes egnede tekniske og organisatoriske tiltak. Ansvarlighet Den behandlingsansvarlige har ansvar for, og må kunne dokumentere, at regelverket blir etterlevd
De registrertes rettigheter Informasjon (art 12-14) Hvordan og hvorfor Innsyn (art 15) Beholde kontroll over egne opplysninger Forutsetning for de resterende rettigheter Korrigering (art 16 & 19) - Unøyaktige opplysninger - Varsling av tredje part - Når? uten ugrunnet opphold Sletting/Retten til å bli glemt (art 17 & 19) - Ikke nødvendige, samtykket trekkes tilbake, registrerte motsetter seg, ulovlig behandling, lovhjemmel - Ingen direkte adgang til å ta kostnadene med i beregningen - Ingen behov for intervensjon fra Datatilsynet - plikt til å informere tredjepart som behandler data som er tilgjengeliggjort for allmenheten (art 17 (2)) 10
De registrertes rettigheter Rett til at personopplysninger begrensning (ny, art 18 &19) den registrerte ønsker at opplysninger skal slettes eller bestrider at opplysningene er korrekte opplysningene kan ikke behandles på noen annen måte enn å bare lagres Noen unntak: samtykke fra den registrertes, forsvare et rettskrav, forsvare en annens rettigheter, eller ivareta viktige samfunnsinteresser. Plikt til å underrette alle som har mottatt opplysningene Dataportabilitet (ny, art 20) Den registrerte kan ha krav på å ta med seg opplysningene sine til en annen virksomhet dersom behandling er basert på samtykke eller avtale Den registrerte kreve at den behandlingsansvarlige sørger for å overføre opplysningene til den nye virksomheten Opplysningene skal være i et strukturert, allment brukt og maskinlesbart format Retten til dataportabilitet gjelder ikke for behandlinger som er nødvendige for å gjennomføre oppgaver i samfunnets interesse eller under offentlig myndighetsutøvelse. 11
De registrertes rettigheter Innsigelse (ny, art 21) rett til å protestere på visse typer behandlinger En rett til å protestere mot visse typer behandlinger, f.eks direkte markedsføring, profilering. Ivaretagelse av retten til innsigelse kan løses gjennom tekniske tiltak, for eksempel innstillinger i en nettleser/applikasjon Automatiserte avgjørelser, inkludert profilering (ny, art 22) Adgangen til å ta i bruk automatiserte avgjørelser, altså avgjørelser basert på algoritmer, er snevret inn etter de nye reglene. Eks. benytter algoritmer for å utarbeide profiler om et individ som igjen avgjør kredittverdighet, adgang til å ta opp lån, forsikringspremier, og så videre. Automatiserte avgjørelser er kun tillatt dersom de er nødvendige for å inngå eller gjennomføre en avtale med de registrerte, er hjemlet i lov som samtidig gir tilfredsstillende garantier for personvernet til de registrerte, er basert på gyldig samtykke. Dersom profiler som har rettsvirkning på et individ også inneholder sensitive personopplysninger, er de eneste gyldige behandlingsgrunnlagene samtykke eller lovhjemmel egnede tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, i det minste retten til menneskelig inngripen fra den behandlingsansvarlige, til å uttrykke sine synspunkter og til å bestride avgjørelsen. 12
Bakgrunn for de nye reglene
Bakgrunn personvernregelverk Personopplysningsloven og -forskriften 2000 (2001) Nye norske personvernregler 2018 EUs personverndirektiv 1995 EUs personvernforordning (GDPR) 2016
Ansvarlighet og internkontroll
Nøkkelen til etterlevelse (accountability)? Artikkel 5 (2) accountability Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at personvernprinsippene overholdes. Mindre forhåndskontroll bortfall av melde- og konsesjonsplikt Flere (og til dels tydeligere) rettigheter og plikter Risikobaserte tiltak (DPIA, forhåndsdrøftelse, etterkontroll) Strengere sanksjoner 16 Source: LinkedIn
Internkontroll og ansvar Finnes i personopplysningsloven i dag som planlagte og systematiske tiltak i pliktene om internkontroll og informasjonssikkerhet. Artikkel 24 Den behandlingsansvarliges ansvar Forholdsmessighet Art, omfang, formål og sammenheng Risiko for rettigheter og friheter Egnede tekniske og organisatoriske tiltak Etablere og ta i bruk nødvendige rutiner for vern av personopplysninger Sikre og dokumentere etterlevelse Kontinuerlig prosess 17
Oversikt over behandlingsaktiviteter art. 30 Kontaktinformasjon til behandlingsansvarlig Formål Kategorier av registrerte og personopplysninger Kategorier av mottakere Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkelig beskyttelse Slettefrister Sikkerhetstiltak Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige 18
Alle skal gi god informasjon om hvordan de behandler personopplysninger Informasjonen skal være lett tilgjengelig Klart språk som er tilpasset leserens nivå Stilles krav til hvilke opplysninger som skal gis 19
Alle må kunne oppfylle borgernes nye rettigheter Retten til å bli glemt Rett til at personopplysninger begrenses Systemer må oppfylle krav til dataportabiliet Strengere regler for automatiserte avgjørelser Håndtere henvendelser fra borgere innen 1 måned 20
Informasjonssikkerhet og avviksmeldinger
Sikkerhet ved behandling art. 32 Risikovurdering Sikkerhetstiltak Pseudonymisering og kryptering av personopplysninger Sikre vedvarende K, I, T og robusthet Gjenoppretting av tilgjengelighet og tilganger ved hendelser Jevnlig testing, vurdering og evaluering Bransjenormer eller godkjent sertifiseringsordning Element for å vise etterlevelse Tiltak for å sørge for at behandling kun skjer på instruks fra behandlingsansvarlig 22
Avviksmeldinger art. 33 Behandlingsansvarlig må melde avvik innen 72 timer. Kan meldes trinnvis. Databehandler melder til behandlingsansvarlig Stilles krav til innholdet i avviksmeldingen. Vårt skjema i Altinn tar høyde for dette. WP29 gruppens veiledning for avviksmeldinger ble godkjent i oktober Kink på våre sider. 23
Behandlingsansvarlig oppdager/ gjøres oppmerksom på en sikkerhetshendelse og fastslår om det har skjedd et avvik mht personopplysninger. Behandlingsansvarlig vurderer risiko for enkeltpersoner. Artikkel 34 Informasjon til de berørte Flytskjema som viser varslingskrav Medfører bruddet en risiko for enkelt personers rettigheter og friheter? Ja Vil bruddet medføre en høy risiko relater til enkeltpersoners rettigheter og friheter? Nei Det er ikke krav om å varsle tilsynsmyndigheter eller enkeltpersoner. Meld bruddet til den aktuelle tilsynsmyndighet. Hvis bruddet påvirker enkeltpersoner I mer enn et medlemsland (EU/EUØ), skal tilsvarende tilsynsmyndighet I det enkelte land varsles. Ja Nei Ingen krav om å varsle enkeltpersoner. Gi informasjon til de berørte personer og om påkrevd (se art 34), gi informasjon om hvilke tiltak de kan gjøre for å beskytte seg mot konsekvenser av bruddet. Alle brudd registreres i henhold til artikkel 33 nr. 5. Den behandlingsansvarlige skal dokumentere og registrere brudd. 24
Alle databehandlere får nye plikter Egne rutiner for behandling av personopplysninger Si fra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Kan bli erstatningspliktige 25
Databehandleravtale Art. 28 Behandling av personopplysninger kun på instruks Overføring til land utenfor EU/EØS kun på instruks Taushetsplikt Informasjonssikkerhet (art. 32) Underleverandører (art. 28) Bistå behandlingsansvarlig Etterkomme krav fra enkeltpersoner Informasjonssikkerhet, avvikshåndtering, DPIA Slette eller tilbakeføre alle personopplysninger (også kopier) ved opphør av tjeneste. Dokumentasjon som viser etterlevelse av art. 28. Tillate og bidra til revisjoner. Skriftlig avtale, også elektronisk. 26
Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse
Vurdering av personvernkonsekvenser - Data protection impact assessment (DPIA) En systematisk prosess, som identifiserer og evaluerer fra alle interessenters synsvinkel potensielle personvernkonsekvenser i et prosjekt, initiativ, foreslått system eller prosess og som inkluderer det å finne ut hvordan dere kan unngå trusler mot personvernet eller hvilke tiltak dere må innføre for å avverge trusler mot personvernet 28
Hva skal beskyttes? Konfidensialitet Åpenhet Transparency Integritet Den registrertes perspektiv Mulighet til å gripe inn Intervenability Kan ikke kobles Unlinkability Tilgjengelighet Oversatt fra en artikkel om DPIA-prosessen: http://friedewald.website/wp-content/uploads/2016/06/apf2016.pdf 29
Vurdering av personvernkonsekvenser art. 35 Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang systematisk overvåking av offentlig område i stort omfang I tilfelle man er i tvil anbefaler vi å utføre en DPIA. Datatilsynet må publisere liste over når det er påkrevd. Datatilsynet kan publisere liste over når det ikke er påkrevd. 30
Minst to av følgende ti kriterier 1. Evaluering eller poengvurdering (scoring) 2. Automatiserte avgjørelser 3. Systematisk overvåkning (monitoring) 4. Sensitive personopplysninger 5. Behandling av personopplysninger i stor skala 6. To eller flere datasett som sammenstilles 7. Personopplysninger om registrerte med særskilt beskyttelsesbehov 8. Ny teknologi eller bruk av eksisterende teknologi til nye formål 9. Konteksten begrenser muligheten for de registrerte til å utøve rettigheter
Vurdering av personvernkonsekvenser art. 35 Vurderingen skal som minimum inneholde: Systematisk beskrivelse av behandlingen, formål, og evt. hvilken berettiget interesse den ivaretar. Vurdering av nødvendighet og forholdsmessighet, sett opp mot formålet. Vurdering av risikoen for rettigheter og frihet til registrerte. Tiltak som skal iverksettes for å redusere risikoen. 32
Forhåndsdrøftelser Art. 36 Ved høy risiko, som ikke kan begrenses, skal vi involveres i forhåndsdrøftelser Det stilles krav til dokumentasjon som skal sendes inn til oss Forordningen stiller krav til vår behandlingstid Datatilsynet kan veilede eller forby behandlingen 33
Lær mer om DPIA Veiledning fra Artikkel 29-gruppen: http://ec.europa.eu/newsroom/document.cfm?doc_id=44137 Dette er et utkast på høring med frist 23. mai 2017 Datatilsynets veiledning (blir oppdatert i løpet av 2017): https://www.datatilsynet.no/teknologi/innebygd-personvern/hvordanvurdere-personvernkonsekvenser-pia/ Eksempler på rammeverk innen EU og internasjonalt: Conducting privacy impact assessments code of practice, ICO, 2014 https://ico.org.uk/media/for-organisations/documents/1595/pia-code-ofpractice.pdf Privacy and Data Protection Impact Assessment Framework for RFID Applications, Art.29, 2011 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp180_annex_en.pdf ISO 29134 Utkast til standard. Estimert våren 2017. 34
Personvernombud
Mange virksomheter må opprette personvernombud Disse må ha ombud: Alle offentlige virksomheter (unntatt domstoler) Virksomheter som har som kjerneaktivitet å gjøre følgende i stor skala: regelmessig og systematisk overvåke personer behandle sensitive personopplysninger eller opplysninger om straffbare forhold 36
Strengere krav til personvernombudene Krav til kompetanse Skal involveres og rapportere til høyeste ledelsesnivå Ombudet skal ikke instrueres eller straffes Oppgavene omfatter å gi råd, overvåke etterlevelse og være kontaktpunkt 37
Internasjonalt og samarbeid
Reglene gjelder også virksomheter utenfor Europa Alle som tilbyr varer eller tjenester til EUeller EØS-borgere De som kartlegger EU- eller EØS-borgeres adferd på nett Virksomheter skal kunne forholde seg til en personvernmyndighet Den registrerte skal kunne klage i eget land Personvernmyndigheter skal samarbeide 39
Alle bør samarbeide i egne nettverk og følge atferdsnormer Sektorvis utforming av retningslinjer Sikrer at de viktigste rutinene er på plass Flere fordeler ved å følge disse Datatilsynet skal godkjenne atferdsnormer 40
Programvareutvikling med innebygd personvern og personvern som standardinnstilling bakgrunn og veileder
Introduksjon
PVF Art. 25: Innebygd personvern og personvern som standardinnstilling 43
Innebygd personvern og personvern som standard Vær i forkant, forebygg fremfor å reparere. Gjør personvern til standardinnstilling. Bygg personvern inn i designet. Skap full funksjonalitet: Både-og, ikke enten-eller. Ivareta informasjonssikkerhet fra start til slutt. Vis åpenhet. Respekter den registrertes personvern. Oppsummert art 25: Obligatorisk Tekniske og organisatoriske tiltak. Sett det minst personverninngripende alternativet som standard, mht mengde, omfang, lagringstid, tilgjengelighet. Ivareta personvernprinsipper og den registrertes rettigheter. 45
Arbeidsgruppen har bestått av: Andreas Hegna Martha Eike Rita Nordtug Johannes Brodwall Eskild Storvik Karoline Klever Eirik Saltkjel Eirin Oda Lauvset Dagfinn Bergsager Trude Talberg-Furulund Veronica J. Buer 46
Presentasjon av hver aktivitet i veilederen
Opplæring
Opplæring Mål: Basiskunnskap og forståelse for personvern og informasjonssikkerhet, og risiko tilknyttet dette Hva skal det gis opplæring i: Når og hvorfor personvern og informasjonssikkerhet er viktig i de ansattes daglige arbeidsoppgaver. Suksesskriterier er at virksomheten har etablert retningslinjer for personvern og informasjonssikkerhet, og at intern opplæring i disse retningslinjene er adressert. 49
Obligatorisk Opplæring Intern Interne krav, mål rutiner og metodikk Marked, kunder, brukere Frivillig Lover og regelverk Industristandarder, bransjenormer Ekstern 50
Krav
Personvern- og sikkerhetskrav Type personopplysninger? Kan slutninger trekkes om individer? Hvem er brukere og eiere? Behandlingsansvarlig, databehandler, mottaker? Prinsipper skal være oppfylt og rettigheter ivaretatt Nødvendig? Mengde, omfang, lagringstid, tilgjengelighet Åpenhet gi informasjon så den registrerte kan ivareta sine rettigheter Informasjonssikkerhet 52
Definere toleransenivå for risiko = Hvor høy risiko virksomheten tar ved ulike scenarier. Sikkerhetskategorier, f.eks utilsiktet endring av data (I) uautorisert utlevering (K) mangel på tilgjengelighet (T) Personvernscenarier, f.eks. at den registrerte mangler kontroll på sine data utsettes for diskriminering ved profilering reidentifiseres fra anonyme data Nulltoleranse Akseptabelt toleransenivå = den risiko som virksomheten er villig til å ta Nivå kritikalitet Kritisk Høy Middels Lav Kategori eks: Skade på liv og helse Dødsfall Personskade som medfører varig uførhet Personskade medfører sykemelding Ingen alvorlig personskade eller sykefravær 53
54
Design
Design Dataorienterte designkrav: Minimer og begrens - «Select before you collect» «Gjem og skjul» Separer Aggreger Personvern som standard Prosessorienterte designkrav: Informer Kontroller Håndheve Demonstrer 56
Design Analyser angrepsflaten i den designede programvaren for å redusere muligheter til å utnytte svake punkter og sårbarheter. Ved trusselmodellering analyserer man komponenter, tilgangspunkter, dataflyt og prosessflyt i programvaren. hvordan noen kan misbruke programvaren ved ulike scenarioer. hvordan designet kan forbedres for å unngå trusler som er identifisert. Resultat er et mer herdet og robust sluttprodukt. 57
Koding
Bruk godkjente verktøy og rammer Beskriv bruksområde Tilhørende sikkerhetsfunksjonalitet Støttekomponenter og verktøy fra tredjeparter Verktøy må risikovurderes og analyseres for sårbarheter 59
Ugyldiggjør utrygge funksjoner og moduler Analyser funksjoner, API, tredjepartsbibliotek og moduler Forby de som er utrygge, oppdater de som er utdaterte eller inneholder kjente sårbarheter Bruk verktøy for kodeskanning for å sjekke koden Deaktiver unødig sporing, logging og innsamling av personopplysninger 60
Statisk kodeanalyse og kodegjennomgang Automatiske verktøy Manuell gjennomgang for å fange opp svakheter som kan medføre feil bruk eller lekkasje av personopplysninger Regelmessig gjennomgang 61
Test
Test om kravene er implementert Er personvern- og sikkerhetskrav ivaretatt gjennom design og koding? Er kravene riktig implementert? Er alle komponenter med? 63
Sikkerhetstesting Dynamisk testing Test funksjonalitet i kjørende kode (verktøy eller manuelt) Undersøk ulike brukerrettigheter og ved kritiske sikkerhetsfeil Fuzz testing Fremprovoser feil i programvaren Bruk verktøy som sender tilfeldig og misformet data inn i programvaren Test alle grensesnitt Penetrasjonstesting/ sikkerhetstesting Kjøres før produksjonssetting og jevnlig Lovlig og autorisert forsøk på å finne, utnytte og avdekke sårbarheter 64
Gjennomgang av trusselmodell og angrepsflate Verifisere at angrepsvektorer som ble avdekket i designfasen er håndtert Verifisere at nye angrepsvektorer introdusert under koding er identifisert og håndtert Ny gjennomgang av trusselmodell Ny gjennomgang av vurdering av personvernkonsekvenser 65
Produksjonssetting
Produksjonssetting Utarbeid plan for hendelseshåndtering for effektivt håndtere oppgaver og hendelser som kan oppstå etter produksjonssetting. Hva en hendelse er og hvilken livssyklus den har (omfatter å detektere, analysere, rapportere, håndtere og normalisere) Ressurser, kontaktpunkt/responssenter, kontaktinformasjon, responstid, kanaler, logger, rutiner, patching, evaluering mm. Varsle ledelsen, den registrerte og Datatilsynet m.fl. 67
Produksjonssetting Full sikkerhetsgjennomgang av programvaren skal baseres på tidligere gjennomganger i utviklingsløpet og inngå i de kontrollpunkter (control gates) som må gjøres før produksjonssetting. Godkjenning av produksjonssetting Sikkerhetsrådgiver og personvernombud skal verifisere at alle definerte sikkerhets- og personvernkrav er implementert og fungerer etter hensikten. Virksomheten må definere hvem som har godkjenningsmyndighet. Arkivering bør gjøres av all relevant data og dokumentasjon fra hele utviklingsløpet. 68
Forvaltning
Forvaltning Håndtere hendelser og avvik etter planen Når akutte hendelser opptrer, er det viktig å bevare roen og å bruke tid på å analysere hendelsen. Responsteamet skal vite hvem de skal kontakte når og hvem som er i stand til å bygge, teste og installere oppdateringer. Responsteamet må vite hvilke prioriteringer som gjelder, samt vite nøyaktig hva de kan og skal gjøre når det virkelig er krise. Øv 70
Forvaltning Forvaltning, drift og vedlikehold av programvaren skal følge etablerte rutiner for hvordan personvern og sikkerhet skal ivaretas over tid. Styringssystem for personvern og informasjonssikkerhet som omfatter anskaffelse, forvaltning, drift og vedlikehold. Rutiner for regelmessige testing og revidering, sikkerhetsovervåkning, målinger, forbedring mm. 71
Veilederen ligger på datatilsynet.no 72
Takk for oppmerksomheten! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no @datatilsynet (Twitter) @veronica_buer @marthaeike