Ny EU-forordning:informasjonssikkerhet

Tommy Tranvik

Utgangspunkt

• Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri bevegelighet for slike opplysninger

– gjennomgå hovedreglene om informasjonssikkerhet i Forordningen

– finnes noen flere regler i Forordningen enn de som gjennomgås her

EUs personvernforordningen

• Gjelder fra 25. mai 2018

• Personvernforordningen erstatter– EUs personverndirektiv fra 1995– personopplysningsloven med forskrift

• Balansere to hensyn– den enkeltes rett til personvern ved behandling av personopplysninger– behovet for utveksling av personopplysninger i EUs indre markedet

• Kjennetegn– mer omfattende og komplisert– mye gjenbruk

Konsekvenser for sektoren

• Hva bør institusjonene gjøre nå?

o bygge opp lokal kapasitet (ressurser og kompetanse)

o samarbeide på tvers (gjenbruk)

o søke råd/veiledning

• Kan starte som prosjekt – forutsetter langsiktig forvaltning og dedikerte ressurser

Anbefalte strakstiltak fra Datatilsynet

• Vil gi et utgangspunkt for å oppfylle pliktene i regelverket dersom institusjonene

– kartlegger personopplysninger de er ansvarlige for

– utfører og dokumenterer risikovurderinger

– etablerer rutiner for innsyn og informasjon

– etablerer internkontroll (oversikt over plikter og rutiner for å overholde dem)

– utnevner personvernombud

Oversikt

• 11 kapitler, 99 artikler

– kapittel 1: generelle regler

– kapittel 2: prinsipper

– kapittel 3: den registrertes rettigheter

– kapittel 4: behandlingsansvarlig og databehandlers plikter

– kapittel 5: overføring av personopplysninger til utlandet

– kapittel 6 og 7: datatilsyn – oppgaver og overnasjonal samordning

– kapittel 8: sanksjoner

– kapittel 9: spesielle behandlingssituasjoner

– kapittel 10 og 11: administrative bestemmelser

Når gjelder regelverket?

• Ved (elektronisk) behandling av personopplysninger

• Behandlinger – innsamling, lagring, overføring, sammenstilling,

gjenbruk, publisering, sletting, osv.

• Personopplysninger – all informasjon og alle vurderinger som kan knyttes til

enkeltpersoner

Informasjonssikkerhet som grunnkrav

• Artikkel 5 i Forordningen

• Grunnleggende krav til behandling av personopplysninger, bl.a. lovlig grunn, formål og formålsbegrensning, dataminimering, datakvalitet og sletting/anonymisering

• Informasjonssikkerhet er et nytt grunnkrav

– tilfredsstillende informasjonssikkerhet mht. konfidensialitet og integritet

– tilfredsstillende sikring mot ulovlig eller uautorisert bruk av personopplysninger

– tekniske og organisatoriske tiltak

• Krav til dokumentasjon av informasjonssikkerhet og andre grunnkrav

• Brudd på grunnkrav kan utløse de høyeste gebyrene

Rettigheter

• Kapittel tre i Forordningen

• De registrerte har rett til

– informasjon– innsyn i egen opplysninger– kreve retting eller sletting av egne opplysninger– kreve begrensning av behandling av egne

personopplysninger– motsette seg visse typer behandlinger– motsette seg automatiske avgjørelser– dataportabilitet

Innebygd personvern

• Artikkel 25 i Forordningen

• Krav til innebygd personvern og personvernvennlige standardinnstillinger

• Oppnås gjennom tekniske og organisatoriske tiltak

• Inkluderer krav til innebygd informasjonssikkerhet, for eksempel pseudonymisering, kryptering og tilgangsstyring

• Personvernvennlige standardinnstilling

– standardinnstillinger i nettlesere skal ivareta personvernet og informasjonssikkerheten, spesielt konfidensialiteten (offentlig publisering)

Hovedbestemmelsen

• Artikkel 32 i Forordningen

• Gjelder både for behandlingsansvarlig og databehandler

• Tilfredsstillende konfidensialitet, integritet, tilgjengelighet og robusthet

• Risikostyrt arbeid

– pseudonymisering og kryptering nevnes spesielt

– krav til beredskap og kontinuitet

– krav til testing og evaluering av sikringstiltak

• Krav til organisatoriske sikringstiltak (instrukser)

Varsling til Datatilsynet

• Artikkel 33 i Forordningen

• Varsling til Datatilsynet ved sikkerhetsbrudd som innebærer risiko for krenkelser av personvernet

– så snart som mulig og senest innen 72 timer – krav til innholdet i varslingen– unntak for mindre alvorlige sikkerhetsbrudd

• Databehandler skal varsle ansvarlig virksomhet uten ubegrunnet opphold

• Krav til dokumentasjon – omstendighetene rundt sikkerhetsbruddet, konsekvensene av sikkerhetsbruddet og gjenopprettende tiltak

Varsling til de berørte

• Artikkel 34 i Forordningen

• Varsling til de berørte ved sikkerhetsbrudd som innebærer høy risiko for krenkelser av personvernet (artikkel 34)

– hver enkelt berørt («registrert») – umiddelbart etter at bruddet blir kjent – krav til tydelighet (forståelig språk) – krav til innholdet i varslingen

• Unntak for – mindre alvorlige sikkerhetsbrudd– effektive sikringstiltak allerede er iverksatt

• Hvis varsling er uforholdsmessig kostnadskrevende, kan de registrerte informeres via offentlige bekjentgjørelser

Konsekvensutredning (PIA)

• Artikkel 35 og 36 i Forordningen

• Utrede konsekvensene for personvernet ved bruk av visse typer tekniske løsninger («høyrisiko-løsninger»)

• Datatilsynet vil offentliggjøre en liste over slike «høyrisiko-løsninger»

– vurdere risiko og foreslå tiltak som reduserer risikoen til et tilfredsstillende nivå, inkludert informasjonssikkerhetstiltak

– konsultere Datatilsynet for å få råd om hvordan personvernrisiko kan håndteres dersom foreslåtte tiltak ikke er effektive

Personvernombud

• Artikkel 37-39 i Forordningen

• Alle offentlige virksomheter pålegges å utnevne personvernombud

– flere virksomheter kan ha samme ombud– ombudet kan være ansatt eller innleid– kan utøve rollen på heltid eller deltid– skal ha spesialkompetanse om personvern og regelverket

• Finnes et nasjonalt personvernombud for forskning (NSD)

• Hva med undervisning og administrasjon?

Ombudets oppgaver

• Involveres i spørsmål vedrørende behandling av personopplysninger

• Risikobasert tilnærming til regeletterlevelsen

– informere og gi råd om regelverket– kontrollere praktisering av regelverket– kontrollere praktiseringen av interne rutiner og retningslinjer (organisering, bevisstgjøring,

opplæring og revisjoner)– gi råd ved konsekvensutredninger (PIA)– bistå de registrerte – kontaktpunkt for og samarbeid med Datatilsynet

• Virksomheten (ikke personvernombudet) må sørge for regeletterlevelse

• Virksomheten (ikke personvernombudet) er ansvarlig for regeletterlevelsen

Ombudets posisjon

• Rapportere direkte til toppledelsen

• Ombudet skal være uavhengig

– kan ikke instrueres av ledelsen– kan ikke avskjediges eller straffes for å gjøre jobben sin– skal ikke ha andre roller som medfører interessekonflikter– taushetsplikt

• Skal få tilgang til nødvendige ressurser

• Skal kunne vedlikeholde sin spesialistkompetanse

Databehandlere

• Artikkel 28 og 29 i Forordningen

• Mer detaljerte og omfattende krav til bruk av databehandlere

– databehandleravtaler– tydeligere ansvarsdeling, spesifiserer krav til innhold– krav til informasjonssikkerhet hos og avtaler mellom leverandører og

underleverandører

• Databehandlere får større selvstendig ansvar for informasjonssikkerheten

• Databehandlere kan bli ilagt sanksjoner ved brudd på sikkerhetsreglene

Krav til avtaleinnhold (1)

• Det stilles krav til inngåelse av skriftlig avtale med databehandler som håndterer personopplysninger på vegne av virksomheten (behandlingsansvarlig)

• I databehandleravtaler skal følgende forhold reguleres:

– behandlingsansvarlig godkjenner underleverandører og databehandler informerer om endringer i bruk av underleverandører

– behandlingsansvarlig gir instrukser for behandling av personopplysningene

– taushetsplikt for personell hos databehandler eller underleverandører som behandler personopplysninger på vegne av behandlingsansvarlig

– sikring av personopplysningene hos databehandler og underleverandører

– databehandler bistår behandlingsansvarlig med ivaretakelse av de registrertes rettigheter

– databehandler bistår behandlingsansvarlig med ivaretakelse av sikkerhetsplikter (inkludert varsling av datatilsynsmyndigheter og de registrerte ved sikkerhetsbrudd)

Krav til avtaleinnhold (2)

– databehandler bistår behandlingsansvarlig ved gjennomføring av personvernutredninger (jf. Artikkel 35-36)

– databehandler sletter og tilbakefører personopplysninger til behandlingsansvarlig,

– databehandler bistår med nødvendig dokumentasjon som viser at plikter i forordningen overholdes

– databehandler bidrar ved gjennomføring av revisjoner og tilsyn

– databehandler varsler behandlingsansvarlig dersom instrukser bryter med bestemmelser i forordningen

– det inngås back-to-back avtaler mellom databehandler og underleverandører

– databehandler er erstatningsansvarlig for feil eller forsømmelser hos underleverandører

– anvendelse av standardkontrakter ved overføring av personopplysninger til ikke-godkjente tredjeland

Andre relevante bestemmelser

• Artikkel 3– virksomheter utenfor EØS

• Artikkel 24 og 30 – dokumentert internkontroll

• Artikkel 40-43– sertifiseringer og bransjenormer

• Kapittel fem– overføring til land utenfor EU/EØS

Sanksjoner

• Ved regelbrudd kan straffen maksimalt bli

– 10 mill. euro, alternativt to prosent av årsomsetningen, eller

– 20 mill. euro, alternativt fire prosent av årsomsetningen

• Avhenger blant annet av hvilke regler som brytes

Arbeidsliste

• Systemoversikt og opplysningsgjennomgang– alminnelige og sensitive personopplysninger

• Rutiner for ivaretakelse av grunnkrav– lovlig grunn, formål, gjenbruk, dataminimering, datakvalitet, sletting/anonymisering, konfidensialitet og integritet

• Rutiner for ivaretakelse av rettigheter– informasjon, innsyn, retting, sletting, begrensning, protest og dataportabilitet

• Innebygd personvern– krav til nye systemer og tjenester

• Varslingsrutiner – rapportering og håndtering av meldinger om sikkerhetsbrudd (internt og fra databehandlere)

• Oppdatering av databehandleravtaler– grunnlag for overføringer til land utenfor EU/EØS

• Dokumentasjonsgjennomgang – hva har vi, hva mangler?

• Personvernombud?