Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

GDPR datainnsamling på web

Oppsummering av viktige GDPR-betemmelser om personvern på web

  • Login to see the comments

  • Be the first to like this

GDPR datainnsamling på web

  1. 1. GDPR &datainnsamling på web ItumX og Sitecore, 5. desember 2017 advokat Kjell Steffner
  2. 2. GDPR • General Data Protection Regulation • Nye personvernregler 25. mai 2018 • Èn felles forordning for alle EU/EØS-land • Betydelig skjerping av reglene og mulighet for store bøter ved regelbrudd 2
  3. 3. Noen endringer i personvernlovgivningen • Strengere krav dokumentasjon av IT-systemer og sikkerhetsløsninger (art 28) • Bøter inntil 20.000.000 EURO eller 4% av selskapets omsetning (art 79) • Utilfredsstillende datasikkerhet for behandling av personopplysninger vil ha så høy finansiell risiko at det må rapporteres i års- og revisjonsrapporter 3
  4. 4. Betydningen av GDPR 1. Alle norske virksomheter får nye plikter 2. Alle skal gi god informasjon om hvordan de behandler personopplysninger 3. Alle skal vurdere risiko og personvernkonsekvenser 4. Alle skal bygge personvern inn i nye løsninger 5. Mange virksomheter må opprette personvernombud / personvernrådgiver 6. Reglene gjelder også virksomheter utenfor Europa 7. Alle databehandlere får nye plikter 8. Alle får nye krav til avvikshåndtering 9. Alle må kunne oppfylle borgernes nye rettigheter 4
  5. 5. Opplæring er avgjørende for GDPR compliance • Opplæring –innkjøpere, behovshavere og kravsstillere må ”kunne” og følge regelverket i egen organisasjon –Det er vanskelig å stille gode krav til andre om noe man ikke kan selv • Sikkerhet, risiko og personvernkonsekvens 5
  6. 6. GDPR - Fremtredende rettigheter • Enklere tilgang til egne data (art 43) • Dataportabilitet, rett til innsyn og til å fritt overføre data til annen tjenestetilbyder (art 18) • Rett til korrigering (art 16) • Retten til å «bli glemt» (art 17) • Retten til å vite om din informasjon er utsatt for misbruk • Tjenestetilbydere; Kun forholde seg til èn tilsynsmyndighet for hele området (art 55-62) • «Data protection by design and by default» (art 25) 6
  7. 7. Fem viktige begreper 7Artikkel 4
  8. 8. Personopplysninger ”enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet, 8
  9. 9. Behandling ”enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke” f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, 9
  10. 10. Behandlingsansvarlig ”bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes” 10
  11. 11. Databehandler ”behandler personopplysninger på vegne av den behandlingsansvarlige” 11
  12. 12. Samtykke ”enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende” 12
  13. 13. Lag en samtykkestrategi 13
  14. 14. 14
  15. 15. GDPR er en kontinuerlig, gjentagende prosess
  16. 16. Informasjon som skal gis ved innsamling av personopplysninger fra den registrerte, jf. art. 13 16
  17. 17. Personvern policy – art 13 • kontaktopplysningene til den behandlingsansvarlige • kontaktopplysningene til personvernrådgiveren (/- ombudet) • formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen • mottakere eller kategorier av mottakere av personopplysningene 17
  18. 18. Rettferdig og gjennomsiktig behandling • tidsrom personopplysningene vil bli lagret • retten til å anmode den behandlingsansvarlige om innsyn i og korrigering eller sletting av personopplysninger eller begrensning av behandlingen som gjelder den registrerte, eller til å protestere mot behandlingen samt retten til dataportabilitet • forekomsten av automatiserte avgjørelser, herunder profilering 18
  19. 19. Viderebehandling Dersom den behandlingsansvarlige har til hensikt å viderebehandle personopplysningene for et annet formål enn det opplysningene ble samlet inn for, skal den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen nødvendig informasjon 19
  20. 20. Retten til innsyn, art 15 • Formålene med behandlingen • Berørte kategoriene av personopplysninger • Mottakerne eller kategoriene av mottakere • Forventet lagringstid • All tilgjengelig informasjon om hvor personopplysningene stammer fra • Forekomsten av automatiserte avgjørelser 20
  21. 21. Rett til korrigeringer, art 16 Den registrerte skal ha rett til å få uriktige personopplysninger om seg selv korrigert av den behandlings- ansvarlige uten ugrunnet opphold. 21
  22. 22. ”Rett til å bli glemt” Rett til sletting, art 17 Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold. Men unntak, f.eks. Ytringsfrihet. 22
  23. 23. Automatiserte individuelle avgjørelser, art 22 Den registrerte skal ha rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende. 23
  24. 24. Formålet med bestemmelsen • Unngå låsing av enkeltpersoner til foreslåtte preferanser • Skal ikke redusere adgangen til å velge • Søker å unngå unøyaktige prediksjoner / antagelser, som evt. kan lede til nektelse av visse typer tjenester og varer. • WP 29 har laget utkast til retningslinjer for GDPR art 22 24
  25. 25. Privacy by design – innebygd personvern 25 ”gjennomføre egnede tekniske og organisatoriske tiltak (...) med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger”, jf. art 25
  26. 26. Testdata, hvordan håndtere det? Skal håndteres iht. GDPR, altså: 1. Dokumentere all bruk av personopplysninger i testmiljø 2. Gjennomtenkt testprosedyre 1. Hvor kommer data fra? Hvor ender de opp? Eksponeres andre systemer utilsiktet? 3. ”pseudonomisering” av data 4. Unngå at uautorisert tilgang 5. Ikke bruk produksjonsdata i test 26
  27. 27. Vurdering av personvernkonsekvenser, art. 35 Dersom (...) behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet. 27 Data Protection Impact Assessment (DPIA)
  28. 28. DPIA - Vurderingen skal minst inneholde • en systematisk beskrivelse av de planlagte behandlingsaktivitetene og formålene med behandlingen, herunder, dersom det er relevant, den berettigede interessen som forfølges av den behandlingsansvarlige, • en vurdering av om behandlingsaktivitetene er nødvendige og står i rimelig forhold til formålene, • en vurdering av risikoene for de registrertes rettigheter og friheter som nevnt i nr. 1, og • de planlagte tiltakene for å håndtere risikoene, herunder garantier, sikkerhetstiltak og mekanismer for å sikre vern av personopplysninger og for å påvise at denne forordning overholdes, idet det tas hensyn til de registrertes og andre berørte personers rettigheter og berettigede interesser. 28
  29. 29. Kontrakter trenger en GDPR-oppdatering • Kontraktsbestemmelsene – Standardiserte ”bøter” (tilsv. dagbøter) for brudd, ikke følge rutiner? – Skadesløsholdelse, videreføre evt. bøter for brudd? • Databehandleravtalene – Adgang til sikkerhetsrevisjon - mulig ved tredjepart – Sikkerhet, hvor og hvordan data behandles – SLA på varsling av brudd? – Varsle / godkjenne endring av underleverandører (påvirker risiko) 29
  30. 30. Krav til ytelsene • Kravspesifikasjon – Funksjonelle krav - innebygget personvern – Sikkerhetskrav • Test med produksjonsdata (nei!) • Kvalifikasjonskrav • Evalueringskriterier 30 Bør introdusere elementer av risikostyring i prosessen for å produsere konkurransegrunnlaget
  31. 31. 10 sikkerhetskrav fra NSM, del 1 1. Et etablert styringssystem for informasjonssikkerhet og sertifisering i henhold til internasjonale standarder, for eksempel ISO/IEC 27001:2017 2. Innsyn i sikkerhetsarkitekturen som benyttes for å levere tjenesten. 3. Utvikling av sikkerheten i tjenesteproduksjonen og hos leverandøren, i tråd med utvikling i teknologi og trusselbildet over tid. 4. En oversikt over hvem som skal ha innsyn i virksomhetens informasjon, hvor og hvordan denne skal behandles og lagres samt grad av mekanismer for segregering fra andre kunder. 5. Tilgangsstyring som inkluderer kryptering, aktivitetslogging, fysisk og logisk sikkerhet. 31
  32. 32. 10 sikkerhetskrav fra NSM, del 2 6. Sikkerhetsovervåkning egnet til å avdekke hendelser og handlinger i tråd med virksomhetens trusselbilde og relevante trusselaktører. 7. Rutiner for hendelseshåndtering, avviks- og sikkerhetsrapportering. 8. Krise- og beredskapsplaner som skal harmonisere med virksomhetens egne planer. 9. At bruk av underleverandører og deres bruk av underleverandører skal godkjennes før iverksetting. 10.Hvilke aktiviteter som skal utføres ved terminering av kontrakten, blant annet tilbakeføring/flytting/sletting av virksomhetens informasjon. 32
  33. 33. Prosessen frem mot mai 2018 33
  34. 34. Aktiviteter #1 1. Kartlegge bruk av personopplysninger Lage oppstilling for virksomhetens bruk av personopplysninger i ulike datasystemer, knytte til hjemmel, avdekke evt. avvik. 2. Databehandleravtaler Oppdatere databehandleravtaler iht. GDPR. 3. Risikovurdering Se forordningens artikler 32 og 40 34
  35. 35. Aktiviteter #2 4. Privacy policy Oppdatere erklæring om hvordan personopplysninger anvendes i virksomheten 5. Innebygget personvern Planlegge nye systemer og tilrettelegge dem for innebygget personvernfunksjonalitet 6. Dataportabilitet Vil noen enkeltpersoner kunne be om å få utlevert sine personopplysninger, evt. for overføring til ny leverandør? Hvilke formater vil bli benyttet for eksport? 35
  36. 36. Aktiviteter #3 7. Retten til å bli glemt Hvordan håndteres enkeltpersoners krav om sletting av sine personopplysninger? Hva trengs av opplysninger for å opprettholde offentligrettslige krav? 8. Varsling om brudd på regelverket Datatilsynet skal ha varsel innen 72 timer om brudd på regelverket for personvern. Hvordan håndteres dette? 9. Personvernombud / -rådgiver Vurdering av behov. Utforming av arbeidsinstruks og rutiner. 36
  37. 37. Hva bør gjøres nå? • Ha en oversikt over hvilke personopplysninger som behandles • Oppfylle dagens lovkrav • Finne ut av det nye regelverket • Lage rutiner tilpasset de nye reglene 37
  38. 38. Dagens lovkrav - 1 • Informasjonssystemer og sikkerhetstiltak skal dokumenteres (pol. § 13 og pof. § 2-16) • Dokumenterte internkontrolltiltak (pol. § 14) • Beskrivelse av sikkerhetsmål og sikkerhetsstrategi (pof. § 2-3) • Jevnlig gjennomgang av bruk av IT-systemer, som skal dokumenteres (pof. § 2-3) • Fastlegge kriterier for akseptabel risiko (pof. § 2-4) • Gjennomføre og dokumentere risikovurderinger (pof. § 2-4) • Gjennomføre og dokumentere sikkerhetsrevisjoner (pof. § 2-5) • Melde ifra til Datatilsynet ved visse sikkerhetsbrudd (pof. § 2-6) 38
  39. 39. Dagens lovkrav - 2 • Etablere ansvar- og myndighetsstrukturer for bruk av IT-systemet (pof. § 2-7) • Konfigurerer IT-systemer for å oppnå tilfredsstillende sikkerhet (pof. § 2-7) • Etablere tilgangskontroll og autorisasjoner (pof. § 2-8) • Lære opp og trene personell i forsvarlig bruk av IT-systemer (pof. § 2-8) • Fysiske tiltak mot uautorisert tilgang til IT-systemer (pof. § 2-10) • Dokumentere tiltak mot autorisert innsyn i konfidensielle opplysninger (pof. § 2-11) 39
  40. 40. Dagens lovkrav - 3 • Krypteringsløsninger ved overføring av konfidensielle opplysninger (pof. § 2-11) • Sikre nødvendig tilgjengelighet av opplysninger (pof. § 2-12) • Forsvarlige backuprutiner (pof. § 2-12) • Sikkerhetstiltak for å hindre uautorisert bruk og tiltak for å kunne oppdage slike forsøk (pof. § 2-14) • Tiltak mot uautoriserte endringer av opplysninger (pof. § 2- 13) • Tiltak mot ødeleggende programvare (pof. § 2-13) • Riktig bruk av cookies /infokapsler (ekomloven § 2-7b) 40
  41. 41. En god plan og dokumentasjon av valg gjør det meste mulig 41
  42. 42. LYNX advokatfirma DA Hieronymus Heyerdahls gate 1 N-0160 Oslo Kjell Steffner ks@lynx.law Tlf 905 11 901 http://lynxlaw.no/menneskene/kjell-steffner/ 42

×