ny personvernforordning er vi alle forberedt? · gdpr - historikk trer i kraft som lov i alle...
TRANSCRIPT
Ny personvernforordning – Er vi alle forberedt?
GDPR - historikk
► Trer i kraft som lov i alle medlemslandene samtidig
► Gis anvendelse for alle selskaper som yter tjenester mot borgere i Europa
General Data Protection Regulation (GDPR)
Kommisjon fremlegger
forslag
De tre EU-institusjoner blir enige om
teksten
Formell adopsjon
Ikraft-tredelse
2012 2015 2016 25. mai 2018
GDPR – formål
► Beskytte individers grunnleggende rettigheter og friheter i forbindelse med behandling av personopplysninger.
► Styrke borgernes grunnleggende rettigheter samtidig som den understøtter den digitale tidsalderen.
Omfanget av behandling av personopplysninger øker betraktelig med digitalisering av kommunikasjon og tjenester.
Økt digitalisering krever at personvernrisikoer vurderes og tiltak iverksettes slik at akseptabelt risikonivå opprettholdes.
GDPR – gammelt konsept med ny vinkling
GDPR må ses i sammenheng med spesiallovgivning fra forskjellige sektorer samt med eventuelle kontrakter
Beskyttelse av retten til personvern er ikke et nytt konsept som først kommer med GDPR, mange krav er gamle og kjente …
... men flere sider av tenkemåten om personvern er ny. Beskyttelse av personvern må ivaretas mer helhetlig i en organisasjon
Drivere mot etterlevelse
Forretningsmessige motivasjoner
► Bygge tillit
► Konkurransemessig fortrinn
► Beskytte fremtidige inntektskilder
► Forbedre omdømme
► Raskere/billigere utvikling
► Harmonisere forretningsprosedyrer
► Understøtte globale tjenester
► Overholde lover, forskrifter, kontrakter mv.
► Økte bøter og straffer
► Risiko for tap av kunder og markedsandel
► Vesentlige kostnader knyttet til brudd
GDPR – vesentlige endringer fra personopplysningsloven
Vesentlig endringer
Felles regler for alle som yter tjenester I Europa
EU-borgere gis mer kontroll over sine personopplysninger
Globale selskaper rapporterer til én tilsynsmyndighet
Økt krav om «Accountability»
Krav om «Privacy by design»
Økt fokus på risikobaserttilnærming ved valg av tiltak
Flere organisasjoner vil trenge et personvernombud
Økt fokus på dataminimering
Tydeligere rettigheter til den enkelte
Data portabilitet
«Right to be forgotten»
Eksplisitt samtykke
Økt tilrettelegging for overføring mellom land
Økt adgang til bøter
Tydeliggjøring av databehandlers ansvar
Hovedregel om frist på 72 timer til å rapportere brudd
Krav til accountability -dokumenterbarhet
Accountability krever:
► Tiltak for å fremme og sikre ivaretakelse av kravene ved alle aktiviteter også over tid
► Være i stand til når som helst å dokumentere overholdelse av kravene til den registrerte, for allmennheten og til tilsynsmyndigheter
For å sikre god etterlevelse av nye forordning, må enhver organisasjon kartlegge, dokumentere og sikre tydelig ansvarsfordeling innen organisasjon og overfor tredjepartspartner.
----------------------------------------------------------------------------------------------
Er roller og ansvar tilstrekkelig dokumentert og forankret i organisasjonen?
Har organisasjonen behov for et personvernombud?
Hvor tydelig er roller og ansvar gjennom hele verdikjeden?
• For eksempel mellom: Nettselskap – Elhub / Statnett –Kraftomsetting
• Leverandørbytter
• Flytting
Utfordringer som bør adresseres i Kraftnæringen Roller og ansvar
Bruk av detaljert informasjon om menneskers strømforbruk over tid stiller krav til tilfredsstillende informasjonssikkerhet, noe som bl.a. krever innsikt i sårbarheter som kan utnyttes. En risikovurdering vil bidra til å identifisere nødvendige og hensiktsmessige tiltak.
----------------------------------------------------------------------------------------------
Hvem er ansvarlig for sikring av data?
Er det utførte en risikovurdering på tvers av hele verdikjeden og er behovet for sikkerhetstiltak identifisert?
Er nødvendige tiltak for å sikre tilfredsstillende informasjon implementerte?
Hvordan sikres «Privacy by design» i utviklings- og endringsprosessene?
Er dokumentasjonen knyttet til informasjonssikkerhet tilgjengelig for relevante myndigheter, ansatte og forbrukere?
Utfordringer som bør adresseres i Kraftnæringen Sikring av data
Utfordringer som bør adresseres i Kraftnæringen Innsynsretten
Tillit til selskapet og deres omdømme i markedet er sentralt når det implementeres smarte målere. For å opprettholde kundens tillit må organisasjon informere kundene sine om hvordan personopplysninger er behandlet og for hvilket formål.
----------------------------------------------------------------------------------------------
Hvem ivaretar informasjonsplikten?
Hvem ivaretar innsynsretten?
Er rekkevidden av den enkeltes rettigheter avklart? For eksempel «The right to be forgotten»?
Personopplysninger skal ikke oppbevares mer enn nødvendig for å fullføre formålet med behandlingen. Med mindre det finnes krav om oppbevaringsrett/plikt i særlovgivning. Slik avveiing av kryssende lovkrav kan være utfordrende å avveie
----------------------------------------------------------------------------------------------
Er formålet med behandling klargjort og tilhørende rett og plikt til oppbevaringstid avklart?
Er det rutiner og løsninger på plass for å sikre etterlevelse av fastsatt oppbevaringstid til ulike formål?
Utfordringer som bør adresseres i Kraftnæringen Arkivering og sletting
Fallgruver
Vi anbefaler ikke å…
► starte forberedelsene for sent► under- eller overvurdere omfanget av kravene► anse personvern som noe personvernombudet eller en
avdeling fikser på vegne av virksomheten− å tro at personvernombudet fikser alt− å gjøre dette til en IT-avdelingsoppgave, løsrevet fra
forretningssiden
Suksesskriterier (1/2)
Vi anbefaler å …
► gjøre en innledende vurdering av hvilke nye krav som treffer egen virksomhet
► gjøre en vurdering av egen status snarest mulig – slik at tiltak kan prioriteres i en fornuftig rekkefølge og mest mulig i sammenheng med andre pågående prosesser
− starte med å gjøre en første overordnet vurdering for å komme i gang, fremfor å bruke for mye tid på detaljerte dypdykk i en tidlig fase
Suksesskriterier (2/2)
Vi anbefaler å …
► gjenbruke eksisterende prosjekter, prosesser, utviklingsløp for hva det er verdt – for eksempel når det gjelder:
− roller og ansvar − virksomhetsstyring/rapporteringsløp− utviklingsmetode/prosesser
► sikre bred involvering− stikkord: tålmodighet – dette er et område som krever
modning og justering underveis− skreddersy budskap/opplegg for ulike målgrupper
► sikre tydelig «tone from the top»
EY har lang erfaring med personvern og harpublisert flere artikler innen området
Lenker:
GDPR-publikasjoner
http://www.ey.com/Publication/vwLUAssets/ey-can-privacy-really-be-protected-anymore/$FILE/ey-can-privacy-really-be-protected-anymore.pdf
http://www.ey.com/Publication/vwLUAssets/EY-eu-general-data-protection-regulation-are-you-ready/$FILE/EY-eu-general-data-protection-regulation-are-you-ready.pdf
http://www.ey.com/Publication/vwLUAssets/ey-global-information-security-survey-2015/$FILE/ey-global-information-security-survey-2015.pdf
https://iapp.org/media/pdf/resource_center/IAPP-2016-GOVERNANCE-SURVEY-FINAL2.pdf
Page 16
Ekstra slider – ikke vist
Kartlegging av behandlinger (1/2)
Alle virksomheter må etablere og vedlikeholde en oversikt over data som behandles, «Personal Data Inventory»
• En del av dokumentasjonen for å demonstrere accountability• Skal bidra til å sikre etterlevelse og være utgangspunkt for kontroller• Underlag for − Risikovurderinger− vurderinger av personvernkonsekvenser ved endringer og − tilhørende tiltak; data protection by design/by default,
• Må kunne fremvises til tilsynsmyndighetene
Kartlegging av behandlinger (2/2)
Økt fokus på risikobasert tilnærming
Risikovurdering:
Vurdering av risikoene ved en behandling, spesielt i form av risiko for ødeleggelse, tap, endring, uautorisert utlevering eller tilgang til personlige data som overføres, lagres eller på annen måte behandles.
Privacy
Data Privacy Impact Assessment
(DPIA)
Privacy by design
Risk Assessment
Risiko –og verdivurdering for å identifisere nødvendige og
hensiktsmessige tiltak for sikring av data.
• Vurdering av risiko og identifisering av nødvendige tiltak, herunder hensynta «Privacy by design» i utviklings- og endringsløp.
• Praktisk tilnærming og vedlikehold av risiko-vurderinger over tid
Konsekvensvurdering (DPIA) og Privacy by Design
DPIAVurdering av konsekvensene av den planlagte behandlingen for den enkeltes personvern:
Beskrivelse av behandlingen Formål med behandlingen Vurdering av behovet for
opplysninger mot formål Vurdering av risiko for den
registrertes rettigheter Tiltak for å håndtere risiko
Privacy by designKrav om å vurdere personvern gjennom alle faser av utvikling av et system/prosesser og implementere ivaretakelse av personvern som standard ved å gjennomføre hensiktsmessige tekniske og organisatoriske tiltak, for eksempel:
► Formålsbegrensning ► Dataminimering► Personvernvennlige
forhåndsinnstillinger► Bruk av sikkerhetsstandarder
fra start
Pseudonymisering og kryptering
Tilgjengelighet og tilgang til data i tråd med tjenstlig behov
Regelmessig testing, vurdering og evaluering
Sikkerhetstiltak eksempler
Sletting vs. oppbevaringsrett/-plikt (1/2)
Krav til oppbevaring av personopplysninger,
samt avveiing mellom oppbevaringsrett/plikt i særlovgivning med krav til sletting når formålet
er oppfylt.
• Avklare formål med behandling med tilhørende rett/plikt til oppbevaring i særlovgining og krav til sletting.
• Rutiner/løsning for å sikre etterlevelse i praksis.
En god avveiing krever at virksomheten har oversikt over: • Behandlinger, • Alle lovkrav, • Til hvilke formål informasjon behandles • Hvilken gjenbruk til andre formål det foreligger et
behandlingsgrunnlag for
Opplysninger skal slettes når formålet er oppnådd og det ikke foreligger lovbestemt plikt eller rett til fortsatt oppbevaring. − dette kan variere mellom sektorer og land
Sletting vs. oppbevaringsrett/-plikt (2/2)• Hva tilsier formålet og gjenbruk til forenelige formål?• Hva finnes av rett eller plikt til oppbevaring (minimum eller maksimumkrav)
• Lov(er)• Forskrift(er)• Konsesjonsvilkår• bransjestandard?
• Skjæringspunkt for beregning?• Riktig detaljeringsnivå? - Per formål vs enkeltelement?• Gjelder formål/oppbevaringsplikt/rett én eller flere forekomster?• Kontroll på lagringssteder? (epost, filserver, applikasjon, mellomlagring, backup mv)• Om ikke oppbevaringsrett/plikt:
• Anonymisering (om godt nok utført)• Sletting
• Faktisk sletting • Manuelt vs maskinelt• «Tagging»
Role of the privacy officer in GDPR
… monitor compliance with this Regulation, with other Union or Member State data
protection provisions and with the policies of the controller or
processor.
… the data protection officer, due regard to
the risk associated with the processing
operations, take into account the nature, scope, context and
purposes of the processing.
… to monitor responses to request from the supervisory
authorities
… to inform and advise the controller or the processor and the employees who
are processing personal data of their obligations pursuant to this Regulation.
… to provide advice where requested as
regards the data protection impact assessment and
monitor its performance
… to act as the contact point for the
supervisory authority. Including prior consultation.
Oppsummering
Aktuelle tema som en virksomhet må ivareta
• Sikre klare rolle- og ansvarsforhold
• Utarbeide og vedlikeholde oversikt over lovkrav av betydning for den enkelte virksomhet
• Utarbeide oversikt over personopplysninger som behandles og tilhørende behandlingsgrunnlag og formål
• Iverksette tiltak for å sikre ivaretakelse av informasjonsplikt, den enkeltes rett til innsyn og begjæringer om retting og sletting mv.
• Identifisere opplysningenes beskyttelsesbehov og gjennomføre risikovurderinger for å vurdere behov for tiltak for å sikre tilfredsstillende informasjonssikkerhet
• Planlegge og iverksette systematiske tiltak for å sikre hensiktsmessig internkontroll over tid og dokumentere dette
Slide 24