Jura og brug af testdata med personoplysninger

Transkript

1 12. september 2016 Jura og brug af testdata med personoplysninger KOMBIT A/S Halfdansgade København S Tlf [email protected] CVR Side 1/10

2 Indholdsfortegnelse 1. Indledning Retsgrundlag Retningslinjer for testdata med personoplysninger Quick-guide for brug af testdata med personoplysninger Testdatatyper Dataflow for testdata med personoplysninger Anonymisering og maskering af testdata med personoplysninger Sikkerhed i systemet ved brug af testdata med personoplysninger Databehandleraftale for brug af testdata med personoplysninger Krigsregel Behandling af testdata med personoplysninger uden for EU (tredjelande) KOMBIT A/S Halfdansgade København S Tlf [email protected] CVR Side 2/10

3 1. Indledning Når der i projekterne anvendes testdata, er det vigtigt at undersøge, om testdataene indeholder oplysninger, der gør det muligt at identificere individer fx CPR-nummer, navn, adresse, telefonnummer mm (herefter personoplysninger). Er det tilfældet, vil testdataene være personoplysninger i persondatalovens forstand og dermed underlagt persondatalovgivningen. Dette notat indeholder en kort introduktion til både de tekniske og juridiske temaer, som projekterne skal undersøge og vurdere nærmere, når der skal træffes beslutning om brug af testdata, som kan indeholde personoplysninger. Spørgsmålet om, hvad man må (og ikke må) med testdata, vil bero på en konkret vurdering af de enkelte temaer i forhold til det konkrete projekt. Derfor er det ikke muligt at opstille en facitliste, som kan bruges i alle projekter. Notatet vil i stedet fremhæve de overvejelser, som projektet skal gøre sig, hvis man ønsker at anvende testdata, som kan indeholde personoplysninger. Begrebet identifikation af individer omfatter i dette notat alle typer af personoplysninger almindelige personoplysninger og følsomme personoplysninger, idet beskyttelseshensynet i testdatamæssig sammenhæng er det samme. Vær opmærksom på, at det ikke er ulovligt at bruge testdata, som indeholder personoplysninger, men at brug af sådanne testdata stiller krav om overholdelse af persondatalovgivningen samt den tilhørende sikkerhedsmæssige regulering jf. punkt 8. Er der tale om testdata, som ikke indeholder personoplysninger, vil anvendelsen heraf ikke være underlagt persondatalovgivningens regler. I sådanne tilfælde er der således ikke behov for at gennemføre en nærmere analyse og vurdering af temaerne nedenfor. Man bør dog være opmærksom på problemstillingen vedrørende maskererede testdata under punkt 7, da sådanne testdata kan være omfattet af persondatalovgivningens regler. Bemærk, at her er tale om et generelt juridisk notat, og det kan derfor ikke udelukkes, at der kan være situationer, hvor projekterne, ud fra en konkret forretnings- og risikomæssig vurdering, vil kunne anlægge en alternativ praksis for håndteringen af testdata, som indeholder personoplysninger. 2. Retsgrundlag Behandling af personoplysninger er reguleret af persondataloven og sikkerhedsbekendtgørelsen. Disse regler bidrager dog ikke til afklaring af retningslinjer for anvendelse af persondata i forbindelse med test. Datatilsynet er i afgørelse af 30. maj 2011 vedr. Offentliggørelse af kundeoplysninger på kommet med en række generelle betragtninger, jf. KOMBIT A/S Halfdansgade København S Tlf [email protected] CVR Side 3/10

4 Persondatalovens behandlingsregler samt de grundlæggende krav om saglighed og proportionalitet begrænser mulighederne for at benytte rigtige personoplysninger i testøjemed. I de tilfælde, hvor det måtte være nødvendigt at benytte personoplysninger, vil loven finde fuldt ud anvendelse og de sikkerhedsforanstaltninger, som kræves efter loven, skal således være på plads også i testen. Ved test i forbindelse med program- og systemudvikling bør der efter Datatilsynets opfattelse anvendes egentlige testdata, dvs. oplysninger om fiktive personer, og ikke oplysninger om eksisterende personer. Der bør således ikke som testdata anvendes kopi af produktionsdata, medmindre der forinden er foretaget en effektiv anonymisering af disse. Herudover har den svenske pendant til Datatilsynet, Datainspektionen, ligeledes forholdt sig til problemstillingen, jf. Uddrag fra afgørelsen: For at sikre, at ikke flere personoplysninger end nødvendigt behandles i forhold til formålet med testmiljøet, skal testmiljøet så vidt muligt udformes på en måde, som medfører at personoplysninger ikke behandles. Heraf følger, at hvis der findes alternative måder at teste systemet, for eksempel med fiktive eller anonymiserede data bør de anvendes i stedet. Dette gælder, selv om en sådan procedure er dyrere end at bruge en kopi af oplysningerne i kundedatabasen. I tilfælde, hvor de personoplysninger der anvendes er faktiske data, er det også vigtigt, at ikke flere personoplysninger behandles end nødvendigt for at udføre den egentlige test. Personoplysninger må ikke opbevares i længere tid end nødvendigt med henblik på behandlingen. Personlige data, der anvendes til testformål bør slettes relativt kort tid efter afslutning af behandlingen. 3. Retningslinjer for testdata med personoplysninger Der gælder ikke et egentligt forbud mod at anvende personoplysninger i forbindelse med test, men praksis fra Datatilsynet m.v. har fastsat en række retningslinjer, som skal følges. Opsummeret synes disse retningslinjer at være følgende: Der skal være en saglig grund for, at det er nødvendigt at anvende persondata i forbindelse med test. Økonomi er i udgangspunktet ikke en saglig grund. Hvis det er nødvendigt at anvende personoplysninger i forbindelse med test gælder følgende: o o Der må ikke behandles flere personoplysninger end højst nødvendigt for at udføre den egentlige test. Personoplysninger må ikke opbevares i længere tid end nødvendigt med henblik på behandlingen. KOMBIT A/S Halfdansgade København S Tlf [email protected] CVR Side 4/10

5 o o Personoplysninger, der anvendes til testformål, bør slettes relativt kort tid efter afslutning af behandlingen. De sikkerhedsforanstaltninger, som kræves efter loven (dvs. især sikkerhedsbekendtgørelsen), skal være på plads også i test. 4. Quick-guide for brug af testdata med personoplysninger Start med at finde ud af, hvilke testdatatyper projektet har behov for at bruge. Se nærmere herom i punkt 5. Hvis der er tale om testdata, som ikke gør det muligt at identificere individer, enten fordi data er født anonyme, eller fordi data er anonymiseret eller tilstrækkeligt maskeret, falder disse testdata uden for den persondataretlige beskyttelse. Hvis der er tale om en test, hvor der ikke testes med brug af persondata er det vigtigt at være opmærksom på, om der alligevel i det konkrete testdatasæt indgår personoplysninger, som vil stille krav om overholdelse af den persondataretlige beskyttelse, som blandt andet vil stille krav om tilstrækkelig anonymisering. Se mere herom under punkt 7. Hvis der er tale om testdata, som gør det muligt at identificere individer jf. punkt 5, da falder det inden for den persondataretlige beskyttelse, og følgende skal foretages: - etablering af en oversigt over, hvor disse data behandles (dataflow). Se nærmere herom i punkt 6. - overvejelse af om disse data kan anonymiseres eller maskeres således, at det ikke er muligt at identificere enkeltindivider. Se nærmere herom i punkt 7. - sikring af at behandlingen af disse data overholder Sikkerhedsbekendtgørelsen mm. Se nærmere herom i punkt 8. - overvejelse af, om anvendelsen af data er dækket af allerede indgåede databehandleraftaler og instrukser med kommuner, eller om der er behov for at udarbejde nye databehandleraftaler og instrukser, som nærmere angiver hvilke data (datatyper), der behandles og på hvilke betingelser, de behandles. Se nærmere herom i punkt 9. - overvejelse af om der skal stilles krav om, hvor data må behandles, herunder overvejelser om den såkaldte krigsregel finder anvendelse. Se nærmere herom i punkt overvejelse af om data må behandles udenfor Danmark. Se mere herom i punkt 10 og punkt Testdatatyper Persondatalovgivningen og den sikkerhedsmæssige regulering heraf gælder kun, hvis der sker behandling af personoplysninger. KOMBIT A/S Halfdansgade København S Tlf [email protected] CVR Side 5/10

6 Det skal derfor i første omgang undersøges, om der i forbindelse med gennemførelsen af testen sker behandling af personoplysninger. Hvis der er tale om behandling af data om fx cpr-nummer, navn, adresse, telefonnummer eller andre data, som gør det muligt at identificere individer, da vil disse data være omfattet af den persondataretlige regulering. Alt afhængig af, om der er tale om følsomme personoplysninger, oplysninger om andre rent private forhold og almindelige personoplysninger, vil der være knyttet nogle særlige betingelser for, at oplysningerne må behandles. I KOMBITs standardkontrakts bilag 6 (afsnit 4.6) er fastlagt følgende definitioner af datatyper, som kan indgå i vurderingen af testdata med personoplysninger: 1. Ægte produktionsdata a. Faktiske data, som kan omfatte både personoplysninger (eksempelvis CPR-data) og ikke-personoplysninger (eksempelvis bygningsoplysninger). b. Kræver databehandleraftale hvis der behandles personoplysninger og skal håndteres efter samme principper som produktionsdata. 2. Maskerede data a. Faktiske data, der er maskeret ved at køre dem igennem en algoritme eller lignende. Dermed kan data genskabes, hvis man kender eller kan gætte algoritmen/mod-algoritmen. b. Data er ikke umiddelbart genkendelige i forhold til virkeligheden, men det er muligt at finde mønstre m.v., således at data kan relateres til virkeligheden. c. Kræver databehandleraftale hvis der behandles personoplysninger og skal håndteres efter samme principper som produktionsdata. 3. Anonymiserede data a. Faktiske data, som er blevet anonymiseret, eksempelvis ved at fjerne data og erstatte dem med konstruerede data. b. Det er ikke muligt at finde mønstre m.v. i disse data. Derfor kan de ikke relateres til virkeligheden, hvilket dog påvirker deres anvendelighed og værdi i test. c. Det er ikke muligt at gendanne data ved hjælp af en algoritme eller lignende. 4. Konstruerede/syntetiske data a. Data, som er opfundet til brug for test, og som ikke tager udgangspunkt i rigtige data. b. Data er 100% afkoblet fra virkeligheden. 6. Dataflow for testdata med personoplysninger Hvis der er tale om testdata, som gør det muligt at identificere individer, skal der udarbejdes en oversigt over disse datas transport gennem hele fødekæden det vil sige fra testdatas oprindelse til testdatas anvendelse. I en sådan oversigt skal de forskellige integrationer beskrives, herunder hvem der står bag de forskellige systemer, som data passerer eller behandles i. Formålet med KOMBIT A/S Halfdansgade København S Tlf [email protected] CVR Side 6/10

7 at udarbejde oversigt over dataflow er, at etablere et samlet overblik over hvilke data, der behandles hvor og af hvem således, at dataansvarlig kan kontrollere, at de data, som dataansvarlig er ansvarlig for, behandles i overensstemmelse med de databehandleraftaler der er udarbejdet i forbindelse hermed. En oversigt over dataflow skal ligeledes bruges, hvis en registreret fx anmoder om indsigt i hvor og med hvilke data, denne er registreret i løsningerne. Oversigten skal herudover indeholde oplysninger om testdata sameksisterer og dermed deles med flere andre systemer, som har adgang hertil, eller om testdata befinder sig i et isoleret miljø. Hvis flere forskellige anvendersystemer kan teste i samme miljø fx SP-Extest-miljø, da vil det skulle sikres, at de forskellige anvendersystemer ikke kan se hinandens data. Alternativt, hvis alle anvendersystemer kan se hinandens data, da vil oversigten over dataflow skulle indeholde oplysninger herom, så det aktuelle dataflow er dokumenteret med tilhørende databehandleraftaler herfor. 7. Anonymisering og maskering af testdata med personoplysninger Hvis de anvendte testdata er anonymiseret i en sådan grad, at det ikke er muligt at identificere individer, vil behandlingen af disse data ikke være omfattet af persondatalovens og sikkerhedsbekendtgørelsens bestemmelser. Anonymiserede testdata er data, som er ændret i en sådan grad, at det ikke er muligt direkte eller indirekte at identificere individer, og sådanne anonymiserede data bringer dermed testdata uden for persondatalovens og sikkerhedsbekendtgørelsens bestemmelser. Anonymisering af testdata er imidlertid typisk meget ressourcetungt både økonomisk og timemæssigt, og det vil derfor ofte være mere hensigtsmæssigt enten at anvende maskerede testdata med eventuelle tilhørende databehandleraftaler for behandlingen af de relevante testdata. Maskerede testdata er en gradbøjning af anonymisering, og omfatter ofte tilfælde, hvor det efter maskering stadig er muligt at identificere individer. I sådanne tilfælde vil en anvendelse af maskerede testdata være omfattet af persondatalovens og sikkerhedsbekendtgørelsens bestemmelser. Læs mere om anonymisering hos Datatilsynet: 8. Sikkerhed i systemet ved brug af testdata med personoplysninger Hvis de anvendte testdata gør det muligt at identificere individer, vil behandlingen af testdata være omfattet af Sikkerhedsbekendtgørelsens bestemmelser, som altså gælder både for brug af data under udvikling, herunder data i test, og data i drift og produktion. KOMBIT A/S Halfdansgade København S Tlf [email protected] CVR Side 7/10

8 Sikkerhedsbekendtgørelsen indeholder en lang række bestemmelser, hvor der fx stilles krav om udarbejdelse af sikkerhedsinstrukser, logning, databehandleraftaler og kontrol med bl.a. autorisation og adgangskontrol. Du kan læse mere om krav til sikkerhed i Sikkkerhedsbekendtgørelsen og vejledning til Sikkerhedsbekendtgørelsen, som du kan finde på Retsinformation ( 9. Databehandleraftale for brug af testdata med personoplysninger Hvis testdata indeholder personoplysninger, som ikke er anonymiseret eller maskeret tilstrækkeligt, skal der indgås en databehandleraftale mellem den dataansvarlige (kommunen) og KOMBIT (databehandler). Databehandleraftalen skal blandt andet indeholde oplysninger om datatyper og dataflow samt beskrivelser af den sikkerhed, som systemet har for behandlingen af testdata. Databehandleraftalen skal også indeholde oplysninger om logning og redegørelse for formålet med behandlingen samt processer for sletning og øvrige rettigheder, som fremgår af lovgivningen. Databehandleraftalen indgås mellem dataansvarlig (kommunerne) og KOMBIT, og KOMBIT indgår tilsvarende en underdatabehandleraftale med den leverandør (underdatabehandler), som udvikler og forvalter systemet. Det vil ofte være en god ide tidligt i udviklingsforløbet at tage stilling til behovet for databehandleraftale for de persondata, som skal behandles i den færdige løsning, men også behovet for at anvende testdata med persondata i udviklingsforløbet. På den måde får man en databehandleraftale, der dækker både testdata og produktionsdata. Hvis der skal gennemføres test med brug af persondata, og der endnu ikke er udarbejdet en databehandleraftale for den behandling, der skal finde sted i den færdige løsning, skal der udarbejdes en databehandleraftale for behandlingen af persondata til test. Hvis der skal gennemføres test med brug af persondata, og der allerede er udarbejdet en databehandleraftale for brug af persondata i den færdige løsning uden aftale om behandling af testdata, kan der udarbejdes et tillæg (instruks) til den gældende databehandleraftale, der omhandler brugen af testdata. Kontakt Jura og Kontraktstyring eller projektets jurist, når der skal udarbejdes en databehandleraftale for brugen af testdata. KOMBIT A/S Halfdansgade København S Tlf [email protected] CVR Side 8/10

9 10. Krigsregel Krigsreglen er kun relevant, hvis testdata er af særlig interesse for fremmede magter/besættelsesmagter. Hvis testdata kan anonymiseres eller krypteres tilstrækkeligt, da er Krigsreglen ikke relevant. Krigsreglen indeholder et krav om, at persondata kun behandles i Danmark. Hvis testdata er 100 procent anonymiseret må det antages, at disse ikke vil være omfattet af krigsreglen. I forhold til datastrukturer, datamodeller og databaseinfrastruktur og lignende må der foretages en konkret vurdering af, om disse databærende dele af løsningen ligeledes vil være omfattet af krigsreglen. Det vil ofte være fastlagt tidligt i projektforløbet, om systemets data helt eller delvist er omfattet af Krigsreglen. Er dette tilfældet, skal projektet foretage en konkret vurdering i hvert enkelt tilfælde, om Krigsreglen har betydning for anvendelsen af testdata. I overvejelserne om brug af Krigsreglen bør det også undersøges, om testdata kan arrangeres på en måde, hvor testdata tilpasses således, at de ikke indeholder persondata eller anonymiseres således, at disse vil kunne anvendes til test uden for Danmark. Krigsreglen fremgår af Persondatalovens 41, stk. 4: For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. I hvert projekt skal det overvejes, om det er relevant at stille krav om overholdelse af Krigsreglen. Ifølge forarbejderne til loven, skal der fx tages stilling til, om systemet indeholder oplysninger, som en besættelsesmagt eller en magt, der har erobret en del af landet, vil have særlig interesse i blandt andet for dermed hurtig og effektivt at kunne overtage den almindelige administration. Digitaliseringsstyrelsen anbefaler bl.a., at der i overvejelserne foretages en vurdering af, om det overhovedet er en sikkerhedsmæssig fordel at kunne lokalisere præcis, hvor data er placeret, og om det vil give en ekstra teknisk beskyttelse at placere data inden for Danmarks grænser. Digitaliseringsstyrelsen anbefaler desuden, at det overvejes at gøre brug af andre teknikker (fx anonymisering eller kryptering), der kan imødekomme kravet om, at oplysninger kan slettes i tilfælde af krig eller lignende. Herudover anbefaler Digitaliseringsstyrelsen, at det overvejes at bruge en sikkerhedsmodel, hvor data, der placeres hos en cloud-leverandør, krypteres således, at dekrypteringsnøglen opbevares under strenge kontrolforanstaltninger i KOMBIT A/S Halfdansgade København S Tlf [email protected] CVR Side 9/10

10 Danmark med en tilhørende klar procedure for, hvordan denne nøgle kan slettes i tilfælde af krig eller lignende forhold. 11. Behandling af testdata med personoplysninger uden for EU (tredjelande) Ved et tredjeland forstås en stat, som ikke indgår i Det Europæiske Fællesskab og de såkaldte EØS-lande. Dette betyder, at fx Norge og Island ikke er at betragte som tredjelande, men at Grønland og Færøerne skal betragtes som tredjelande. Hvis der er tale om testdata, som gør det muligt at identificere individer, og hvis projektet ønsker, at test med disse data skal finde sted i et tredjeland (uden for EU), er der nogen usikkerhed, om og hvordan dette kan ske lovligt. Usikkerheden er opstået fordi, den hidtidige ordning Safe Harbor, er blevet erklæret ugyldig af EU-Domstolen. Safe Harbor var en ordning, der nærmere regulerede rammer og vilkår for, hvornår persondata kunne behandles lovligt i tredjelande, I et forsøg på at etablere en ny ordning, som kan afløse Safe Harbor, har EU og USA i februar 2016 indgået en aftale, som har fået navnet EU-US Privacy Shield, hvor EU- Kommissionen har truffet afgørelse om, at det sikrer et tilstrækkeligt beskyttelsesniveau i forbindelse med overførsel af personoplysninger fra EU til USA. Indtil der foreligger en ny ordning, som sikrer lovligheden af behandlingen i tredjelande (ud over USA) af testdata, som gør det muligt at identificere individer, bør projekterne således ikke teste data i tredjelande. KOMBIT A/S Halfdansgade København S Tlf [email protected] CVR Side 10/10