ansvarlighetsprinsippet og virksomhetens plikter · 2017-09-12 · presentasjon av hver aktivitet i...
TRANSCRIPT
Ansvarlighetsprinsippet og virksomhetens plikter
Ansvarlighet og internkontroll
3
Source: LinkedIn
Artikkel 5 (2) ‘accountability’Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at personvernprinsippene overholdes.
• Mindre forhåndskontroll – bortfall av melde- og konsesjonsplikt• Flere (og til dels tydeligere) rettigheter og plikter• Risikobaserte tiltak (DPIA, forhåndsdrøftelse, etterkontroll)• Strengere sanksjoner
Nøkkelen til etterlevelse (accountability)?
Internkontroll og ansvar
Finnes i personopplysningsloven i dag som planlagte og systematiske tiltak i pliktene om internkontroll og informasjonssikkerhet.
Artikkel 24 ‘Den behandlingsansvarliges ansvar’
• Forholdsmessighet
– Art, omfang, formål og sammenheng
– Risiko for rettigheter og friheter
• Egnede tekniske og organisatoriske tiltak
– Etablere og ta i bruk nødvendige rutiner for vern av personopplysninger
• Sikre og dokumentere etterlevelse
• Kontinuerlig prosess
4
Oversikt over behandlingsaktiviteter – art. 30
• Kontaktinformasjon til behandlingsansvarlig
• Formål
• Kategorier av registrerte og personopplysninger
• Kategorier av mottakere
• Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkeligbeskyttelse
• Slettefrister
• Sikkerhetstiltak
Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige 5
Informasjonssikkerhet og avviksmeldinger
Fra boken «The Art of War»
«Therefore I say: One who knows the enemy and knows himself will not be in danger in a hundred battles.
One who does not know the enemy but knows himself will sometimes win, sometimes lose.
One who does not know the enemy and does not know himself will be in dangerin every battle.»
Det er viktig å kjenne seg selv og sine trusler!
7
Sikkerhet ved behandling – art. 32
• Risikovurdering
• Sikkerhetstiltak
– Pseudonymisering og kryptering av personopplysninger
– Sikre vedvarende K, I, T og robusthet
– Gjenoppretting av tilgjengelighet og tilganger ved hendelser
– Jevnlig testing, vurdering og evaluering
• Bransjenormer eller godkjent sertifiseringsordning
– Element for å vise etterlevelse
• Tiltak for å sørge for at behandling kun skjer på instruks fra behandlingsansvarlig
8
Avviksmeldinger – art. 33
Sikkerhetsbrudd (art. 4 (12)):«brudd på personopplysningssikkerheten» - er et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet
Dette omhandler mer enn dagens § 2-6 tredje ledd: «uautorisert utlevering av personopplysninger som krever konfidensialitet»
9
Avviksmeldinger – art. 33 og 34
• Behandlingsansvarlig må melde avvik innen 72 timer. Kan meldes trinnvis.
• Databehandler melder til behandlingsansvarlig
• Stilles krav til innholdet i avviksmeldingen. Vårt skjema i Altinn tar høyde for dette.
• Finnes en uttalelse fra Artikkel 29-gruppen (2014) som skal oppdateres i løpet av året.
• Berørte skal informeres så raskt som mulig, slik at de skal kunne foreta seg noe for å begrense skaden.
10
Alle databehandlere får nye plikter
• Egne rutiner for behandling av personopplysninger
• Si fra om instrukser er i strid med loven
• Underleverandører skal godkjennes
• Melde avvik til behandlingsansvarlig
• Kan bli erstatningspliktige
11
Databehandleravtale – Art. 28
• Behandling av personopplysninger – kun på instruks
• Overføring til land utenfor EU/EØS – kun på instruks
• Taushetsplikt
• Informasjonssikkerhet (art. 32)
• Underleverandører (art. 28)
• Bistå behandlingsansvarlig
– Etterkomme krav fra enkeltpersoner
– Informasjonssikkerhet, avvikshåndtering, DPIA
• Slette eller tilbakeføre alle personopplysninger (også kopier) ved opphør av tjeneste.
• Dokumentasjon som viser etterlevelse av art. 28.
• Tillate og bidra til revisjoner.
• Skriftlig avtale, også elektronisk.
12
Vurdering av personvernkonsekvenser (DPIA) og
forhåndsdrøftelse
Vurdering av personvernkonsekvenser -
Privacy / Data protection impact assessment (PIA/DPIA)
14
En systematisk prosess, som…
identifiserer og evaluerer…
fra alle interessenters synsvinkel…
potensielle personvernkonsekvenser i…
et prosjekt, initiativ, foreslått system eller prosess…
og som inkluderer det å finne ut…
hvordan dere kan unngå trusler mot personvernet…eller
hvilke tiltak dere må innføre for å avverge trusler mot personvernet
Hva skal beskyttes?
15
Konfidensialitet
Tilgjengelighet
Integritet
Kan ikke koblesUnlinkability
ÅpenhetTransparency
Mulighet til å gripe innIntervenability
Den registrertes perspektiv
Oversatt fra en artikkel om DPIA-prosessen: http://friedewald.website/wp-content/uploads/2016/06/apf2016.pdf
Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser:
• systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser
• behandling av sensitive personopplysninger i stort omfang
• systematisk overvåking av offentlig område i stort omfang
I tilfelle man er i tvil anbefaler vi å utføre en DPIA.
Datatilsynet må publisere liste over når det er påkrevd.
Datatilsynet kan publisere liste over når det ikke er påkrevd.
16
Vurdering av personvernkonsekvenser – art. 35
Vurderingen skal som minimum inneholde:
• Systematisk beskrivelse av behandlingen, formål, og evt. hvilken berettiget interesse den ivaretar.
• Vurdering av nødvendighet og forholdsmessighet, sett opp mot formålet.
• Vurdering av risikoen for rettigheter og frihet til registrerte.
• Tiltak som skal iverksettes for å redusere risikoen.
17
Vurdering av personvernkonsekvenser – art. 35
Lær mer om DPIA…
Veiledning fra Artikkel 29-gruppen:• http://ec.europa.eu/newsroom/document.cfm?doc_id=44137
Dette er et utkast på høring med frist 23. mai 2017
Datatilsynets veiledning (blir oppdatert i løpet av 2017):• https://www.datatilsynet.no/Teknologi/Innebygd-personvern/hvordan-vurdere-
personvernkonsekvenser-pia/
Eksempler på rammeverk innen EU og internasjonalt:• Conducting privacy impact assessments code of practice, ICO, 2014
https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf
• Privacy and Data Protection Impact Assessment Framework for RFID Applications, Art.29, 2011http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp180_annex_en.pdf
• ISO 29134 – Utkast til standard. Estimert våren 2017.
18
Forhåndsdrøftelser – Art. 36
• Ved høy risiko, som ikke kan begrenses, skal vi involveres i forhåndsdrøftelser
• Det stilles krav til dokumentasjon som skal sendes inn til oss
• Forordningen stiller krav til vår behandlingstid
• Vi kan veilede eller forby behandlingen
19
Innebygd personvern og personvern som standardinnstilling
Kilde: http://www.washingtonpost.com/business/technology/flashlight-app-kept-users-in-the-dark-about-sharing-location-data-ftc/2013/12/05/1be26fa6-5dc7-11e3-be07-006c776266ed_story.html
Art. 25: Innebygd personvern og personvern som
standardinnstilling
22
Innebygd personvern og personvern som standard
23
• Vær i forkant, forebygg fremfor å reparere.
• Gjør personvern til standardinnstilling.
• Bygg personvern inn i designet.
• Skap full funksjonalitet: Både-og, ikke enten-eller.
• Ivareta informasjonssikkerhet fra start til slutt.
• Vis åpenhet.
• Respekter den registrertes personvern.
Oppsummert art 25:• Obligatorisk
• Tekniske og organisatoriske tiltak.
• Sett det minst personverninngripende alternativet som standard, mht mengde, omfang, lagringstid, tilgjengelighet.
• Ivareta personvernprinsipper og den registrertes rettigheter.
Presentasjon av hver aktivitet i veilederen
Opplæring
• Mål: Basiskunnskap og forståelse for personvern og informasjonssikkerhet, og risiko tilknyttet dette
• Hva skal det gis opplæring i: Når og hvorfor personvern og informasjonssikkerhet er viktig i de ansattes daglige arbeidsoppgaver.
• Suksesskriterier er at virksomheten har etablert retningslinjer for personvern og informasjonssikkerhet, og at intern opplæring i disse retningslinjene er adressert.
25
Personvern- og sikkerhetskrav
26
Type personopplysninger?
Kan slutninger trekkes om individer?
Hvem er brukere og eiere?
Behandlingsansvarlig, databehandler, mottaker?
• Prinsipper skal være oppfylt og rettigheter ivaretatt
• Nødvendig? Mengde, omfang, lagringstid, tilgjengelighet
• Åpenhet – gi informasjon så den registrerte kan ivareta sine rettigheter
• Informasjonssikkerhet
27
Design
• Designkrav
– Dataorienterte
– Prosessorienterte
• Analyser angrepsflaten i den designede programvaren
• Trusselmodellering
– Analyser komponenter, tilgangspunkter, dataflyt og prosessflyt i programvaren
– Forutse misbruk og utbedre designet for å få et mer herdet og robust sluttprodukt
28
Koding
• Bruk godkjente verktøy, infrastruktur og rammeverk
• Ugyldiggjør utrygge funksjoner og moduler
• Statisk kodeanalyse og kodegjennomgang
29
Testing
• Test om kravene er implementert og riktig
• Sikkerhetstesting
– Dynamisk testing
– Fuzz testing
– Penetrasjonstesting / sårbarhetsanalyse
• Gjennomgang av trusselmodell og angrepsflate
30
Produksjonssetting
• Utarbeid plan for hendelseshåndtering
• Full sikkerhetsgjennomgang av programvaren
• Godkjenning av produksjonssetting
• Arkivering
31
Forvaltning
• Håndtere hendelser og avvik etter planen
• Forvaltning, drift og vedlikehold av programvaren skal følge etablerte rutiner for hvordan personvern og sikkerhet skal ivaretas over tid
32
Konkurranse «Innebygd personvern i praksis 2018»
34
Innebygd personvern i praksis 2018
Datatilsynet inviterer til konkurranse om beste programvare utviklet utfra prinsippene for innebygd personvern.
Jury: • Dag Wiese Schartum• Lillian Røstad• Maria Bartnes• Torgeir Waterhouse• Veronica J. Buer og
Martha Eike, Datatilsynet
Hvordan delta i konkurransen? Sende oss et utfylt søknadsskjema med beskrivelse av produktet. Mer informasjon på datatilsynet.no
Frist for innsending av bidrag1. desember 2017
Veilederen ligger på datatilsynet.no
35
Telefon: +47 22 39 69 00
datatilsynet.no
personvernbloggen.no
Takk for oppmerksomheten!
@datatilsynet (Twitter)
@marthaeike