Oppfyller norske virksomheter forpliktelsene etter

personvernlovgivningen - og hvordan de ser på

fremtidens krav?

Punkter

• Personvernlandskapet – personrettede tjenester

• Avviksmeldinger til Datatilsynet

• Hva er de største utfordringene for norske virksomheter?

• Hva skjer fram mot 2018?

2

Personrettede tjenester – en enkelt eksempel

3

Side 401.09.2016

Alt kan kobles

• Mobiler

• Klokker

• Klær

• Biler

• Kjøleskap

• Briller

• Lyspærer

• Temperaturmålere

• Mat

• Gulv og vegger

• Huset

5

Hva betyr det?

• Reklame skal skreddersys

• Avisen skal skreddersys

• En politisk budskap skal skreddersys ( en venstremann er ikke en venstremann )

• Forsikring basert på en individuell risiko, ikke en kollektiv

• Persontilpasset medisin

• Selvkjørende biler og etiske vurderinger

• Segmentering av tilbud

• Delingsøkonomi

• Plattformer!

Analyse av avviksmeldinger til Datatilsynet

7

Tall om avviksmeldinger til Datatilsynet

• Basert på 116 saker fra vårt arkiv i 2014

• Kun avvik hvor det har skjedd/ kan ha skjedd en utlevering.

• Fokuser på de store linjene, ikke eksakt prosentfordeling.

• 116 saker om avvik = store mørketall.

• Stor forsiktighet med allmenngyldige konklusjoner.

Etter personopplysningsforskriftens § 2-6 skal virksomheter melde fra til Datatilsynet når beskyttelsesverdige personopplysninger har kommet på avveier.

Typer avvik - Slik gikk det galt

Kategori Antall Prosentandel

Forsendelsesfeil - digitale og analoge 57 48 %

Hacking/datainnbrudd 12 10 %

Snoking 9 8 %

Tilgangsstyring feilet, mangelfull eller manglet 7 6 %

Nettpublisering 6 5 %

Personopplysninger bevisst utlevert (ikke rettslig adgang til

det) 4 3 %

Fysisk innbrudd - digitale eller analoge data forsvunnet 3 3 %

Avhending uten sletting/ makulering 2 2 %

Mistet/gjenglemt/forlagt (analogt og digitalt) 1 1 %

Andre avvik 19 16 %

SUM 120 100 %

Papir og annet analogt

28 %

Minnepinne, CD og andre små digitale

lagringsmedium5 %

Smarttelefon, PDA, nettbrett (små

håndholdte digitale)

0 %

Laptop og liknende 1 %

Stasjonære datamaskiner

1 %

Server, større IT-systemer og skylagring

34 %

E-post og annen digital forsendelse

23 %

Nettpublisering/ åpent på nett

8 %

Primært lagringsmedium/ tenknologi i avviket

Intern85 %

Ekstern15 %

Primær årsak

Ikke følsomme; 23%

Fødselsnummer - for øvrig ikke

følsomme; 20%Følsomme med

hensyn til art eller mengde;

34%

Sensitive personopplysni

nger; 23%

Var personopplysningene følsomme?

Fødselsnummer i 53 % av sakene.

Hva er de største utfordringene for norske virksomheter?

14

Flere viktige elementer i analysen

• Faktisk kjennskap til regelverket (1)

• Erfaringer fra tilsynsvirksomheten (2)

• Erfaring fra råd- og veiledning (3)

• Erfaringer fra saksbehandlingen (4)

• Der skoen trykket før vil den sannsynligvis trykke minste like hardt

• Noen kjennetegn med norsk bedriftsstruktur (5)

• Noen kjennetegn ved regelverket (6)

17

Faktisk kjennskap til regelverket (1)

• I dag: Stor variasjon, men jevnt over liten kjennskap til regelverket

– Erfarer dette på tilsyn

– Lovbrudd er ofte utslag av manglende kjennskap fremfor ond vilje

– Det er et vanskelig regelverk i dag

– …og det er heller ikke et enkelt regelverk etter 2018

– Derfor: Virksomhetene har en jobb å gjøre

– Men; mulighet for ny start

18

Erfaring fra tilsynsvirksomheten (2)

• Mangler ved internkontroll og informasjonssikkerhet

– Ofte likhetstegn mellom informasjonssikkerhet og personvern

• Bedriftshemmelig, brannmurer, sikring

• Ikke samme oppmerksomhet om person/kundedata

• Særlig viktig ettersom borgernes rettigheter styrkes

– Dokumentert internkontroll

• Risikovurderinger

19

Erfaring fra råd- og veiledning (3)

• Internkontroll og informasjonssikkerhet

• Arkitektur og design

• «Vi vil bruke data innhentet fra kundene våre, men vil samtidig ivareta den enkeltes personvern»

• Manglende kjennskap til hva personvern egentlig er

20

Erfaringer fra juridisk veiledningstjeneste (4)

• Veiledningstjenesten

– 8 737 henvendelser fra borgere og virksomheter hvert år

21

Annet23 %

Arbeidsliv21 %

Register14 %

Kameraovervåking12 %

Melding/konsesjon 9 %

Info.sikkerhet 7 %

Internett 7 %

Fødselsnummer4 % Skole/barnehage

3 %

Henvendelser i 2015

Noen kjennetegn ved norsk bedriftsstruktur (5)

• Mange SMB, og vår erfaring er at skoen trykker til dels kraftig i dette segmentet

• Det samme gjelder deler av offentlig sektor, særlig kommuner ( inkludert skole )

22

Noen kjennetegn ved regelverket (6)

• Skjønnsmessig regelverk og vanskelige vurderinger

– Personvernombud eller ikke

• core activity….systematic monitoring

• core activitiy….large scales of data….

– Hvordan anvende prinsippene for innebygd personvern

• implement appropriate technical and organisational measures…

23

Noen kjennetegn ved regelverket (6)

• Skjønnsmessig regelverk og vanskelige vurderinger

– Data protection impact assessment

• likely to result in high risk for the rights and freedoms…

– Forhåndsdrøftelse ( prior consultation )

• …..in the absence of measures taken by the controller to mitigate therisk…

24

Hva skjer fram til mai 2018?

25

Regler som forsvinner eller må gjennomgås

• Særregler om kameraovervåking

• Kredittopplysninger

• Konsesjoner

• Innsyn i epostkasse

• Meldeplikt

26

Hvordan vi jobber mot 2018

• Rigger et fire-delt prosjekt

– Nytt regelverk - juridisk implementering

– IKT / prosesstøtte

– Informasjon til virksomheter og borgere

– Personvernombudsordningen

• Tett dialog med bransjer og virksomheter under marsjen

27

Endring i arbeidsmetodikk i Datatilsynet

• Mer råd- og veiledning– Både overfor virksomheter i enkeltsak – …og generelt

• Mer systemkontroll– Er internkontrollen på plass?– Er et system bygd på prinsippene for innebygd personvern? – Burde det vært opprettet personvernombud

• Ta initiativ til, og bidra i utarbeidelse av bransjenormer

• Saker av overnasjonal karakter

• Sanksjoner

• Personvernombudsordningen

28