Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Ny EU-forordning:informasjonssikkerhet
Tommy Tranvik
Utgangspunkt
• Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri bevegelighet for slike opplysninger
– gjennomgå hovedreglene om informasjonssikkerhet i Forordningen
– finnes noen flere regler i Forordningen enn de som gjennomgås her
EUs personvernforordningen
• Gjelder fra 25. mai 2018
• Personvernforordningen erstatter– EUs personverndirektiv fra 1995– personopplysningsloven med forskrift
• Balansere to hensyn– den enkeltes rett til personvern ved behandling av personopplysninger– behovet for utveksling av personopplysninger i EUs indre markedet
• Kjennetegn– mer omfattende og komplisert– mye gjenbruk
Konsekvenser for sektoren
• Hva bør institusjonene gjøre nå?
o bygge opp lokal kapasitet (ressurser og kompetanse)
o samarbeide på tvers (gjenbruk)
o søke råd/veiledning
• Kan starte som prosjekt – forutsetter langsiktig forvaltning og dedikerte ressurser
Anbefalte strakstiltak fra Datatilsynet
• Vil gi et utgangspunkt for å oppfylle pliktene i regelverket dersom institusjonene
– kartlegger personopplysninger de er ansvarlige for
– utfører og dokumenterer risikovurderinger
– etablerer rutiner for innsyn og informasjon
– etablerer internkontroll (oversikt over plikter og rutiner for å overholde dem)
– utnevner personvernombud
Oversikt
• 11 kapitler, 99 artikler
– kapittel 1: generelle regler
– kapittel 2: prinsipper
– kapittel 3: den registrertes rettigheter
– kapittel 4: behandlingsansvarlig og databehandlers plikter
– kapittel 5: overføring av personopplysninger til utlandet
– kapittel 6 og 7: datatilsyn – oppgaver og overnasjonal samordning
– kapittel 8: sanksjoner
– kapittel 9: spesielle behandlingssituasjoner
– kapittel 10 og 11: administrative bestemmelser
Når gjelder regelverket?
• Ved (elektronisk) behandling av personopplysninger
• Behandlinger – innsamling, lagring, overføring, sammenstilling,
gjenbruk, publisering, sletting, osv.
• Personopplysninger – all informasjon og alle vurderinger som kan knyttes til
enkeltpersoner
Informasjonssikkerhet som grunnkrav
• Artikkel 5 i Forordningen
• Grunnleggende krav til behandling av personopplysninger, bl.a. lovlig grunn, formål og formålsbegrensning, dataminimering, datakvalitet og sletting/anonymisering
• Informasjonssikkerhet er et nytt grunnkrav
– tilfredsstillende informasjonssikkerhet mht. konfidensialitet og integritet
– tilfredsstillende sikring mot ulovlig eller uautorisert bruk av personopplysninger
– tekniske og organisatoriske tiltak
• Krav til dokumentasjon av informasjonssikkerhet og andre grunnkrav
• Brudd på grunnkrav kan utløse de høyeste gebyrene
Rettigheter
• Kapittel tre i Forordningen
• De registrerte har rett til
– informasjon– innsyn i egen opplysninger– kreve retting eller sletting av egne opplysninger– kreve begrensning av behandling av egne
personopplysninger– motsette seg visse typer behandlinger– motsette seg automatiske avgjørelser– dataportabilitet
Innebygd personvern
• Artikkel 25 i Forordningen
• Krav til innebygd personvern og personvernvennlige standardinnstillinger
• Oppnås gjennom tekniske og organisatoriske tiltak
• Inkluderer krav til innebygd informasjonssikkerhet, for eksempel pseudonymisering, kryptering og tilgangsstyring
• Personvernvennlige standardinnstilling
– standardinnstillinger i nettlesere skal ivareta personvernet og informasjonssikkerheten, spesielt konfidensialiteten (offentlig publisering)
Hovedbestemmelsen
• Artikkel 32 i Forordningen
• Gjelder både for behandlingsansvarlig og databehandler
• Tilfredsstillende konfidensialitet, integritet, tilgjengelighet og robusthet
• Risikostyrt arbeid
– pseudonymisering og kryptering nevnes spesielt
– krav til beredskap og kontinuitet
– krav til testing og evaluering av sikringstiltak
• Krav til organisatoriske sikringstiltak (instrukser)
Varsling til Datatilsynet
• Artikkel 33 i Forordningen
• Varsling til Datatilsynet ved sikkerhetsbrudd som innebærer risiko for krenkelser av personvernet
– så snart som mulig og senest innen 72 timer – krav til innholdet i varslingen– unntak for mindre alvorlige sikkerhetsbrudd
• Databehandler skal varsle ansvarlig virksomhet uten ubegrunnet opphold
• Krav til dokumentasjon – omstendighetene rundt sikkerhetsbruddet, konsekvensene av sikkerhetsbruddet og gjenopprettende tiltak
Varsling til de berørte
• Artikkel 34 i Forordningen
• Varsling til de berørte ved sikkerhetsbrudd som innebærer høy risiko for krenkelser av personvernet (artikkel 34)
– hver enkelt berørt («registrert») – umiddelbart etter at bruddet blir kjent – krav til tydelighet (forståelig språk) – krav til innholdet i varslingen
• Unntak for – mindre alvorlige sikkerhetsbrudd– effektive sikringstiltak allerede er iverksatt
• Hvis varsling er uforholdsmessig kostnadskrevende, kan de registrerte informeres via offentlige bekjentgjørelser
Konsekvensutredning (PIA)
• Artikkel 35 og 36 i Forordningen
• Utrede konsekvensene for personvernet ved bruk av visse typer tekniske løsninger («høyrisiko-løsninger»)
• Datatilsynet vil offentliggjøre en liste over slike «høyrisiko-løsninger»
– vurdere risiko og foreslå tiltak som reduserer risikoen til et tilfredsstillende nivå, inkludert informasjonssikkerhetstiltak
– konsultere Datatilsynet for å få råd om hvordan personvernrisiko kan håndteres dersom foreslåtte tiltak ikke er effektive
Personvernombud
• Artikkel 37-39 i Forordningen
• Alle offentlige virksomheter pålegges å utnevne personvernombud
– flere virksomheter kan ha samme ombud– ombudet kan være ansatt eller innleid– kan utøve rollen på heltid eller deltid– skal ha spesialkompetanse om personvern og regelverket
• Finnes et nasjonalt personvernombud for forskning (NSD)
• Hva med undervisning og administrasjon?
Ombudets oppgaver
• Involveres i spørsmål vedrørende behandling av personopplysninger
• Risikobasert tilnærming til regeletterlevelsen
– informere og gi råd om regelverket– kontrollere praktisering av regelverket– kontrollere praktiseringen av interne rutiner og retningslinjer (organisering, bevisstgjøring,
opplæring og revisjoner)– gi råd ved konsekvensutredninger (PIA)– bistå de registrerte – kontaktpunkt for og samarbeid med Datatilsynet
• Virksomheten (ikke personvernombudet) må sørge for regeletterlevelse
• Virksomheten (ikke personvernombudet) er ansvarlig for regeletterlevelsen
Ombudets posisjon
• Rapportere direkte til toppledelsen
• Ombudet skal være uavhengig
– kan ikke instrueres av ledelsen– kan ikke avskjediges eller straffes for å gjøre jobben sin– skal ikke ha andre roller som medfører interessekonflikter– taushetsplikt
• Skal få tilgang til nødvendige ressurser
• Skal kunne vedlikeholde sin spesialistkompetanse
Databehandlere
• Artikkel 28 og 29 i Forordningen
• Mer detaljerte og omfattende krav til bruk av databehandlere
– databehandleravtaler– tydeligere ansvarsdeling, spesifiserer krav til innhold– krav til informasjonssikkerhet hos og avtaler mellom leverandører og
underleverandører
• Databehandlere får større selvstendig ansvar for informasjonssikkerheten
• Databehandlere kan bli ilagt sanksjoner ved brudd på sikkerhetsreglene
Krav til avtaleinnhold (1)
• Det stilles krav til inngåelse av skriftlig avtale med databehandler som håndterer personopplysninger på vegne av virksomheten (behandlingsansvarlig)
• I databehandleravtaler skal følgende forhold reguleres:
– behandlingsansvarlig godkjenner underleverandører og databehandler informerer om endringer i bruk av underleverandører
– behandlingsansvarlig gir instrukser for behandling av personopplysningene
– taushetsplikt for personell hos databehandler eller underleverandører som behandler personopplysninger på vegne av behandlingsansvarlig
– sikring av personopplysningene hos databehandler og underleverandører
– databehandler bistår behandlingsansvarlig med ivaretakelse av de registrertes rettigheter
– databehandler bistår behandlingsansvarlig med ivaretakelse av sikkerhetsplikter (inkludert varsling av datatilsynsmyndigheter og de registrerte ved sikkerhetsbrudd)
Krav til avtaleinnhold (2)
– databehandler bistår behandlingsansvarlig ved gjennomføring av personvernutredninger (jf. Artikkel 35-36)
– databehandler sletter og tilbakefører personopplysninger til behandlingsansvarlig,
– databehandler bistår med nødvendig dokumentasjon som viser at plikter i forordningen overholdes
– databehandler bidrar ved gjennomføring av revisjoner og tilsyn
– databehandler varsler behandlingsansvarlig dersom instrukser bryter med bestemmelser i forordningen
– det inngås back-to-back avtaler mellom databehandler og underleverandører
– databehandler er erstatningsansvarlig for feil eller forsømmelser hos underleverandører
– anvendelse av standardkontrakter ved overføring av personopplysninger til ikke-godkjente tredjeland
Andre relevante bestemmelser
• Artikkel 3– virksomheter utenfor EØS
• Artikkel 24 og 30 – dokumentert internkontroll
• Artikkel 40-43– sertifiseringer og bransjenormer
• Kapittel fem– overføring til land utenfor EU/EØS
Sanksjoner
• Ved regelbrudd kan straffen maksimalt bli
– 10 mill. euro, alternativt to prosent av årsomsetningen, eller
– 20 mill. euro, alternativt fire prosent av årsomsetningen
• Avhenger blant annet av hvilke regler som brytes
Arbeidsliste
• Systemoversikt og opplysningsgjennomgang– alminnelige og sensitive personopplysninger
• Rutiner for ivaretakelse av grunnkrav– lovlig grunn, formål, gjenbruk, dataminimering, datakvalitet, sletting/anonymisering, konfidensialitet og integritet
• Rutiner for ivaretakelse av rettigheter– informasjon, innsyn, retting, sletting, begrensning, protest og dataportabilitet
• Innebygd personvern– krav til nye systemer og tjenester
• Varslingsrutiner – rapportering og håndtering av meldinger om sikkerhetsbrudd (internt og fra databehandlere)
• Oppdatering av databehandleravtaler– grunnlag for overføringer til land utenfor EU/EØS
• Dokumentasjonsgjennomgang – hva har vi, hva mangler?
• Personvernombud?