Hvordan påvirkes konkurransegrunnlag med kontrakt, databehandleravtale og kravspesifikasjon av GDPR?

1. GDPR &Offentlige anskaffelser
Nima utdanning, morgenmøte 10. november
advokat Kjell Steffner

2. Grunnlovens § 102
Enhver har rett til respekt for sitt privatliv og familieliv, sitt
hjem og sin kommunikasjon. Husransakelse må ikke finne
sted, unntatt i kriminelle tilfeller.
Statens myndigheter skal sikre et vern om den personlige
integritet.
2

3. GDPR
• General Data Protection Regulation
• Nye personvernregler 25. mai 2018
• Èn felles forordning for alle
EU/EØS-land
• Betydelig skjerping av reglene og
mulighet for store bøter ved
regelbrudd
3

4. Noen endringer i personvernlovgivningen
• Strengere krav dokumentasjon av IT-systemer og
sikkerhetsløsninger (art 28)
• Bøter inntil 20.000.000 EURO eller 4% av selskapets
omsetning (art 79)
• Utilfredsstillende datasikkerhet for behandling av
personopplysninger vil ha så høy finansiell risiko at det
må rapporteres i års- og revisjonsrapporter
4

5. Betydningen av GDPR
1. Alle norske virksomheter får nye plikter
2. Alle skal gi god informasjon om hvordan de behandler
personopplysninger
3. Alle skal vurdere risiko og personvernkonsekvenser
4. Alle skal bygge personvern inn i nye løsninger
5. Mange virksomheter må opprette personvernombud /
personvernrådgiver
6. Reglene gjelder også virksomheter utenfor Europa
7. Alle databehandlere får nye plikter
8. Alle får nye krav til avvikshåndtering
9. Alle må kunne oppfylle borgernes nye rettigheter
5

6. 6

7. 7
Fungerer GDPR som en gulrot?

8. 8
...eller pisk?

9. Gode innkjøp, inkludert GDPR compliance
• Opplæring – innkjøpere, behovshavere og kravsstillere
må ”kunne” og følge regelverket i egen organisasjon
– Det er vanskelig å stille gode krav til andre om noe man ikke
kan selv
• Sikkerhet, risiko og personvernkonsekvens
9

10. GDPR - Fremtredende rettigheter
• Enklere tilgang til egne data (art 43)
• Dataportabilitet, rett til innsyn og til å fritt overføre data til
annen tjenestetilbyder (art 18)
• Rett til korrigering (art 16)
• Retten til å «bli glemt» (art 17)
• Retten til å vite om din informasjon er utsatt for misbruk
• Tjenestetilbydere; Kun forholde seg til èn tilsynsmyndighet
for hele området (art 55-62)
• «Data protection by design and by default» (art 25)
10

11. Fem viktige
begreper
11Artikkel 4

12. Personopplysninger
”enhver opplysning om en identifisert eller
identifiserbar fysisk person («den registrerte»);
en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en
identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller
flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske,
kulturelle eller sosiale identitet,
12

13. Behandling
”enhver operasjon eller rekke av
operasjoner som gjøres med
personopplysninger, enten automatisert
eller ikke”
f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering,
bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring,
begrensning, sletting eller tilintetgjøring,
13

14. Behandlingsansvarlig
”bestemmer formålet med
behandlingen av personopplysninger
og hvilke midler som skal benyttes”
14

15. Databehandler
”behandler personopplysninger på
vegne av den behandlingsansvarlige”
15

16. Samtykke
”enhver frivillig, spesifikk, informert og
utvetydig viljesytring fra den registrerte der
vedkommende ved en erklæring eller en
tydelig bekreftelse gir sitt samtykke til
behandling av personopplysninger som
gjelder vedkommende”
16

17. 17

18. GDPR er en kontinuerlig prosess
...du kommer aldri i mål

19. Konkurransegrunnlaget
19

20. Hva kan eller må få et snev av GDPR?
• Kontraktsbestemmelsene (SSA)
– Standardiserte ”bøter” (tilsv. dagbøter) for brudd, ikke følge rutiner?
– Skadesløsholdelse, videreføre evt. bøter for brudd?
• Databehandleravtalene
– Adgang til sikkerhetsrevisjon - mulig ved tredjepart
– Sikkerhet, hvor og hvordan data behandles
– SLA på varsling av brudd?
– Varsle / godkjenne endring av underleverandører (påvirker risiko)
20

21. Krav til ytelsene
• Kravspesifikasjon
– Funksjonelle krav - innebygget personvern
– Sikkerhetskrav
• Test med produksjonsdata (nei!)
• Kvalifikasjonskrav
• Evalueringskriterier
21
Bør introdusere elementer av
risikostyring i prosessen for å
produsere konkurransegrunnlaget

22. Privacy by design – innebygd personvern
22
”gjennomføre egnede
tekniske og organisatoriske
tiltak (...) med sikte på en
effektiv gjennomføring av
prinsippene for vern av
personopplysninger”, jf. art 25

23. Risiko: Virkningen av usikkerhet på organisasjonens
mål på en positiv eller negativ måte
Virkningen er en kombinasjon av sannsynlighet for at
hendelsen inntreffer og konsekvensen dersom den gjør det.
Risikostyring er aktiviteter for å avdekke og kontrollere
risiko i organisasjonen.

24. Sannsynlighet x Konsekvens = RISIKO
24

25. Vurdering av personvernkonsekvenser, art. 35
Dersom (...) behandlingens art, omfang, formål og
sammenhengen den utføres i, vil medføre en høy
risiko for fysiske personers rettigheter og friheter,
skal den behandlingsansvarlige før behandlingen
foreta en vurdering av hvilke konsekvenser den
planlagte behandlingen vil ha for
personopplysningsvernet.
25
Data Protection Impact Assessment (DPIA)

26. DPIA - Vurderingen skal minst inneholde
• en systematisk beskrivelse av de planlagte behandlingsaktivitetene og
formålene med behandlingen, herunder, dersom det er relevant, den
berettigede interessen som forfølges av den behandlingsansvarlige,
• en vurdering av om behandlingsaktivitetene er nødvendige og står i
rimelig forhold til formålene,
• en vurdering av risikoene for de registrertes rettigheter og friheter som
nevnt i nr. 1, og
• de planlagte tiltakene for å håndtere risikoene, herunder garantier,
sikkerhetstiltak og mekanismer for å sikre vern av personopplysninger og
for å påvise at denne forordning overholdes, idet det tas hensyn til de
registrertes og andre berørte personers rettigheter og berettigede
interesser.
26

27. 10 sikkerhetskrav fra NSM, del 1
1. Et etablert styringssystem for informasjonssikkerhet og sertifisering
i henhold til internasjonale standarder, for eksempel ISO/IEC
27001:2017
2. Innsyn i sikkerhetsarkitekturen som benyttes for å levere tjenesten.
3. Utvikling av sikkerheten i tjenesteproduksjonen og hos
leverandøren, i tråd med utvikling i teknologi og trusselbildet over
tid.
4. En oversikt over hvem som skal ha innsyn i virksomhetens
informasjon, hvor og hvordan denne skal behandles og lagres
samt grad av mekanismer for segregering fra andre kunder.
5. Tilgangsstyring som inkluderer kryptering, aktivitetslogging, fysisk
og logisk sikkerhet.
27

28. 10 sikkerhetskrav fra NSM, del 2
6. Sikkerhetsovervåkning egnet til å avdekke hendelser og handlinger
i tråd med virksomhetens trusselbilde og relevante trusselaktører.
7. Rutiner for hendelseshåndtering, avviks- og
sikkerhetsrapportering.
8. Krise- og beredskapsplaner som skal harmonisere med
virksomhetens egne planer.
9. At bruk av underleverandører og deres bruk av underleverandører
skal godkjennes før iverksetting.
10.Hvilke aktiviteter som skal utføres ved terminering av kontrakten,
blant annet tilbakeføring/flytting/sletting av virksomhetens
informasjon.
28

29. Testdata, hvordan håndtere det?
Skal håndteres iht. GDPR, altså:
1. Dokumentere all bruk av personopplysninger i testmiljø
2. Gjennomtenkt testprosedyre
1. Hvor kommer data fra? Hvor ender de opp? Eksponeres
andre systemer utilsiktet?
3. ”pseudonomisering” av data
4. Unngå at uautorisert tilgang
5. Ikke bruk produksjonsdata i test
29

30. Prosessen frem
mot mai 2018
30

31. Aktiviteter #1
1. Kartlegge bruk av personopplysninger
Lage oppstilling for virksomhetens bruk av personopplysninger
i ulike datasystemer, knytte til hjemmel, avdekke evt. avvik.
2. Databehandleravtaler
Oppdatere databehandleravtaler iht. GDPR.
3. Risikovurdering
Se forordningens artikler 32 og 40
31

32. Aktiviteter #2
4. Privacy policy
Oppdatere erklæring om hvordan personopplysninger anvendes i
virksomheten
5. Innebygget personvern
Planlegge nye systemer og tilrettelegge dem for innebygget
personvernfunksjonalitet
6. Dataportabilitet
Vil noen enkeltpersoner kunne be om å få utlevert sine personopplysninger,
evt. for overføring til ny leverandør? Hvilke formater vil bli benyttet for
eksport?
32

33. Aktiviteter #3
7. Retten til å bli glemt
Hvordan håndteres enkeltpersoners krav om sletting av sine
personopplysninger? Hva trengs av opplysninger for å opprettholde
offentligrettslige krav?
8. Varsling om brudd på regelverket
Datatilsynet skal ha varsel innen 72 timer om brudd på regelverket for
personvern. Hvordan håndteres dette?
9. Personvernombud
Vurdering av behov. Utforming av arbeidsinstruks og rutiner
33

34. Hva bør gjøres nå?
• Ha en oversikt over hvilke personopplysninger som
behandles
• Oppfylle dagens lovkrav
• Finne ut av det nye regelverket
• Lage rutiner tilpasset de nye reglene
34

35. Dagens lovkrav - 1
• Informasjonssystemer og sikkerhetstiltak skal dokumenteres (pol. § 13 og
pof. § 2-16)
• Dokumenterte internkontrolltiltak (pol. § 14)
• Beskrivelse av sikkerhetsmål og sikkerhetsstrategi (pof. § 2-3)
• Jevnlig gjennomgang av bruk av IT-systemer, som skal dokumenteres (pof. §
2-3)
• Fastlegge kriterier for akseptabel risiko (pof. § 2-4)
• Gjennomføre og dokumentere risikovurderinger (pof. § 2-4)
• Gjennomføre og dokumentere sikkerhetsrevisjoner (pof. § 2-5)
• Melde ifra til Datatilsynet ved visse sikkerhetsbrudd (pof. § 2-6)
35

36. Dagens lovkrav - 2
• Etablere ansvar- og myndighetsstrukturer for bruk av IT-systemet
(pof. § 2-7)
• Konfigurerer IT-systemer for å oppnå tilfredsstillende sikkerhet (pof.
§ 2-7)
• Etablere tilgangskontroll og autorisasjoner (pof. § 2-8)
• Lære opp og trene personell i forsvarlig bruk av IT-systemer (pof. §
2-8)
• Fysiske tiltak mot uautorisert tilgang til IT-systemer (pof. § 2-10)
• Dokumentere tiltak mot autorisert innsyn i konfidensielle
opplysninger (pof. § 2-11)
36

37. Dagens lovkrav - 3
• Krypteringsløsninger ved overføring av konfidensielle
opplysninger (pof. § 2-11)
• Sikre nødvendig tilgjengelighet av opplysninger (pof. § 2-12)
• Forsvarlige backuprutiner (pof. § 2-12)
• Sikkerhetstiltak for å hindre uautorisert bruk og tiltak for å
kunne oppdage slike forsøk (pof. § 2-14)
• Tiltak mot uautoriserte endringer av opplysninger (pof. § 2-
13)
• Tiltak mot ødeleggende programvare (pof. § 2-13)
• Riktig bruk av cookies /infokapsler (ekomloven § 2-7b)
37

38. LYNX advokatfirma DA
Hieronymus Heyerdahls gate 1
N-0160 Oslo
Kjell Steffner
ks@lynx.law
Tlf 905 11 901
http://lynxlaw.no/menneskene/kjell-steffner/
38