personvern i skyen · personvern i skyen 7 • personopplysninger: enhver opplysning om en...
TRANSCRIPT
Personvern i skyen
Medlemsmøte i Cloud Security Alliance
31. oktober 2018Trond Ericson
Personvern i skyen
Kort om
Devoteam
Kort om GDPR GDPR i skyen
Agenda
Oppsummering
Devoteam Fornebu
Consulting
4
Devoteam Fornebu Consulting – et sterkt uavhengig rådgivningsselskap
Gjennomførings
ledelse
Forretnings-
utvikling og
digital
transformasjon
Forretnings-
systemer
Informasjons-
sikkerhet
Kort om GDPR
Ny personopplysningslov
6
• EUs personvernforordning (GDPR) (2016/679) er gjennomført som personvernlov i hele EU/EØS-
området
• Ny norsk lov om behandling av personopplysninger trådte i kraft 20. juli 2018
• Personopplysningsloven fra 2000, er opphevet
• Lov om behandling av personopplysninger (personopplysningsloven)
GDPR - General Data Protection Regulation
Personvern i skyen
7
• Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person («den
registrerte»)
• Behandling av personopplysninger: Enhver operasjon eller rekke av operasjoner som gjøres med
personopplysninger, enten automatisert eller ikke
• Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og
hvilke midler som skal benyttes
• Skyleverandørens kunde eller skyleverandør
• Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige
• Skyleverandøren
• Den registrerte: En identifiserbar fysisk person som direkte eller indirekte kan identifiseres, særlig
ved hjelp av en identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons
fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet
• Rettighetshaver
Artikkel 4, Noen definisjoner
Roller
Hovedendringer i forhold til tidligere personopplysningslov
8
• Personvernkonsekvens skal vurderes for alle behandlinger som kan medføre risiko for brudd på
personvernsikkerheten
• Sterkere rettigheter for de registrerte – f.eks. dataportabilitet
• Strengere krav for databehandlere/skyleverandører
• Skriftlig godkjenning av underdatabehandlere
• Bistå behandlingsansvarlige med å overholde sine forpliktelser
• Varsle behandlingsansvarlige dersom en instruks strider mot regelverket
• Krav til innebygd personvern og personvern som standardinnstilling til leverandører av programvare og
tjenester
• Krav til personvernombud – for mange (ikke alle) virksomheter
• Strengere bøteregime (overtredelsesgebyr)
• Det høyeste beløpet av € 20.000.000 eller 4% av brutto global omsetning
Prinsipper for behandling av personopplysninger
9
1. Lovlighet, rettferdig og åpen
• Personopplysningene skal behandles lovlig, rettferdig og på en åpen måte
2. Formålsbegrensning
• Personopplysningene skal kun registreres for det uttrykkelig angitte og berettigede formålet og kan ikke
benyttes til andre formål enn de er innsamlet for
3. Dataminimering
• Det skal ikke samles inn flere eller andre personopplysninger enn det som er nødvendig for det formålet som
er angitt
4. Korrekthet
• Personopplysningene som behandles skal være korrekte
5. Lagringsbegrensning
• Personopplysninger får en «holdbarhetsdato» og skal slettes etter dette
6. Integritet og konfidensialitet
• Personopplysninger skal beskyttes mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse
eller skade («integritet og konfidensialitet»)
7. Ansvarlighet
• Behandlingsansvarlige skal kunne dokumentere at disse prinsippene er overholdt
Artikkel 5
GDPR i skyen
Roller
11
Databehandler
• Skyleverandør
Behandlings-ansvarlige
• Skyleverandørens kunde
• Skyleverandør
Den registrerte
Informasjon om behandlingenSamtykke pr behandling Databehandleravtale
Artikkel 12 – 23 Artikkel 24 – 27 Artikkel 28
Den registrertes rettigheter
12
• Forståelig informasjon om behandlingen før den iverksettes
• Få innsyn om formålet med behandlingen, hvilke personopplysninger som omfattes, hvem som har
tilgang
• Få uriktige personopplysninger rettet
• Sletting («retten til å bli glemt»)
• Begrenset behandling (ved spørsmål til behandlingen)
• Dataportabilitet
• Protestere mot behandlingen (fx mot behandling med henblikk på markedsføring)
• Kreve å ikke være gjenstand for automatisert behandling
• Anmodninger fra den registrerte skal besvares innen 1 mnd
Artikkel 12 – 23
Behandlingsansvarliges ansvar
13
• Behandlingsansvarlige skal sikre at rettighetene til de registrerte blir ivaretatt og overholdt
• Datatilsynet har utarbeidet en sjekkliste på 17 punkter som behandlingsansvarlige må følge. Bl.a.
• Dokumentert protokoll over behandlingsaktiviteter
• Dokumentert formål og behandlingsgrunnlag for behandlingen
• Overholde informasjonsplikten mot de registrerte (åpen behandling)
• Gjennomføre vurdering av personvernkonsekvens
• Sikre innebygd personvern og personvern som standardinnstilling i applikasjoner og tjenester
• Etablere databehandleravtaler som setter klare rammer for hvordan databehandleren kan behandle
personopplysninger
• Avviksbehandling i tilfelle brudd på personopplysningssikkerheten
• Rapport til Datatilsynet innen 72 timer ved sikkerhetsbrudd
• https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/sjekkliste/
Artikkel 24 – 27
Skyleverandør (databehandler)
14
• Behandlingen skal være underlagt en avtale som regulerer hvordan databehandler kan behandle
personopplysningene
• Databehandlers plikt til bistand for å kunne ivareta den registrertes rettigheter
• Informasjonsplikten
• Innsyn
• Sletting
• Dataportabilitet
• Databehandlerens bruk av underleverandører skal godkjennes skriftlig av behandlingsansvarlige og
endringer skal også godkjennes
• Sikre at underleverandører er pålagt samme instrukser om behandlingen som databehandler er
underlagt
• Treffe tiltak som er nødvendige for personopplysningssikkerheten
• Varsling til behandlingsansvarlige om brudd på personopplysningssikkerheten uten ugrunnet opphold
• Databehandleren skal kunne demonstrere etterlevelse av hele artikkel 28
Artikkel 28
Sporingsteknologi
15
Sporingsteknologi
16
• Enhver behandling av personopplysninger krever at det foreligger et behandlingsgrunnlag (Samtykke)
• Ekomloven dekker evt. behandling på brukerens utstyr (f.eks. plassering av informasjonskapsler)
• Opplysninger om en brukers adferd på et nettsted behandles hos leverandør av sporingsteknologi
• GDPR gjelder også for både direkte identifiserbare og indirekte identifiserbare opplysninger
• Kravene til samtykke og begrensningene i kreativ bruk av personopplysninger synes å våre lite kjent
blant utviklere av sporingsteknologi
• Databehandlere har ofte liten kontroll på hvem som faktisk får tilgang til personopplysningene gjennom
slik teknologi
Oppsummering
Oppsummering
18
• Utarbeide protokoll over behandlingsaktiviteter
• Etablere personvernorganisasjon
• Roller og ansvar: Linjeledere / informasjonseiere / prosesseiere/ systemeiere / personvernombud
• Gjennomføre vurdering av personvernkonsekvens for behandlingene
• Utarbeide informasjon om behandlingene (personvernerklæringer) til ansatte, kunder, medlemmer
• Etablere rutiner som sikrer håndtering av brudd på personopplysningssikkerheten
• Varsler Datatilsynet innen 72 timer dersom det er nødvendig
• Etablere rutiner og sikre at systemene kan imøtekomme de registrertes rettigheter ved anmodning om
innsyn
• Svar innen 1 mnd.
• Sikre krav om innebygd personvern og personvern som standardinnstilling i programvare og tjenester
• Dokumentere vurderinger, forutsetninger og kommunikasjon med de registrerte
Hva må gjøres
Ta utgangspunkt i
19
• BS 10012 – Personal information management system
• ISO 27552 – Privacy Information Management (extension to ISO 27001/ISO 27002)
• ISO 29134 – Privacy Impact Assessment
• Veiledninger fra European Data Protection Board (https://edpb.europa.eu/)
• Veiledninger fra Datatilsynet (https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/)
• ISO 27017 – Information security controls based on ISO 27002 for cloud services
• ISO 27018 – Protection of Personally Identifiable Information in public clouds