September Indledning

Transkript

1 September 2016 Eksempel fra KOMBIT: Vejledning til gennemførelse af indledende overordnet kortlægning af it-løsningers parathed i forhold til efterlevelse af kendte krav i Databeskyttelsesforordningen Det skal understreges, at denne vejledning er et internt KOMBIT-dokument udarbejdet til brug i KOMBITs organisation og projekter. Der er således tale om et eksempel på KOMBITs tilgang, som udelukkende deles til inspiration. Dokumentet deles i sin oprindelige form og indholdet i dokumentet afspejler derfor udelukkende den viden om Databeskyttelsesforordningens indhold, som var kendt på det tidspunkt, hvor KOMBIT udarbejdede dokumentet til internt brug. Vi gør opmærksom på, at dette dokument derfor ikke vil være tilpasset eventuelle senere anbefalinger fra f.eks. Justitsministeriet, KL eller Datatilsynet vedr. fortolkning og national implementering af Databeskyttelsesforordningen. For at undgå en overimplementering af forordningens krav, anbefaler vi, at kommuner løbende orienterer sig om KL s og Justitsministeriets arbejde med at kortlægge hvordan forordningen skal implementeres vi henviser i den forbindelse til KL s hjemmeside, hvor man kan finde KL s anbefalinger til implementering af forordningen. Enhver brug af dette dokument i original eller tilpasset form sker på eget ansvar. Indledning Databeskyttelsesforordningen træder i kraft maj 2018, hvor alle it-løsninger skal indeholde funktionalitet og forvaltes med tilhørende processer, der gør det muligt for kommunerne at overholde forordningens regler om håndtering af persondata. Der er i KOMBIT derfor igangsat et indledende arbejde med at få kortlagt alle it-løsninger, som udvikles og forvaltes på vegne af kommunerne, i forhold til at få et systematisk overblik over om, og i hvilket omfang løsningerne allerede overholder denne lovgivning. Der er i første omgang tale om en helt overordnet kortlægning af status på itløsningerne, som skal give en indikation af, hvor der skal sætte ind i forhold til at sikre, at it-løsningerne efterlever de af forordningens krav, som er kendt på nuværende tidspunkt. Det er i den forbindelse vigtigt, at alle eventuelle udeståender, hvor itløsningerne ikke måtte overholde forordningen, bliver kortlagt, idet det vil være på det grundlag, der efterfølgende skal træffes beslutning om og i givet fald i hvilket omfang, der vil skullle igangsættes compliancemæssige tiltag. Der skal derfor foretages en gennemgang af it-løsningerne ved at besvare spørgsmålene i kortlægningsskabelonen med ja/nej. Besvarelsen Ja vil i den sammenhæng betyder, at man kan dokumentere, at det konkret krav er opfyldt, og besvarelsen Nej vil betyde, at man skal have igangsat et arbejde med at få løsningerne teknisk og administrativt indrettet således, at disse er compliant med forordningen inden maj Der kan naturligvis også svares ikke relevant, hvis man finder, at det er tilfældet. Man bør dog kort begrunde dette svar. Kortlægningsskabelonen Kortlægningsskabelonen er inddelt i syv temaer, som hver vil indeholde en række spørgsmål, som skal besvares. Hvert tema vil indeholde en kort introduktion til temaet samt en henvisning til Databeskyttelsesforordningens regler herom. Side 1 af 8

2 Kortlægningsskabelonen er inddelt i følgende syv temaer: 1. Formål 2. Dataansvarlig 3. Databehandler 4. Datatyper 5. Dataflow 6. Registreredes rettigheder 7. Teknisk sikkerhed/sikkerhedsforanstaltninger Temaerne er valgt som ramme for kortlægningen fordi det vil være de samme temaer, der vil skulle indgå i en eventuel efterfølgende udarbejdelse af konsekvensanalyse for løsningen. Databeskyttelsesforordningen stiller således et nyt krav om, at der som afløser for den hidtidige anmeldelsesordning i visse situationer skal foretages en konsekvensanalyse, hvis der foretages en type behandling der, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Viser en konsekvensanalyse, at der vil være en høj risiko for den registrerede skal Datatilsynet høres, inden behandlingen iværksættes. Generelle principper (artikel 5) Databeskyttelsesforordningen indeholder en række principper, der skal implementeres i de it-løsninger, hvor der indgår behandling af personoplysninger. Principperne er i vidt omfang de samme, som følger af den gældende Persondatalov, og inkluderer blandt andet: at personoplysningerne skal behandles lovligt (fx med samtykke), fair, transparent, at oplysningerne kun må behandles til et specifikt, eksplicit og legitimt formål, at der ikke må behandles flere oplysninger end nødvendigt, at oplysningerne skal være korrekte og opdaterede, at oplysningerne ikke må lagres længere end nødvendigt og, at oplysningerne skal beskyttes via sikkerhedsforanstaltninger iværksat efter en risikovurdering. Den dataansvarlige har som udgangspunkt en kontrakt med en leverandør eller indkøber, der er databehandler i løsningerne. I mange tilfælde vil det være sådan, at leverandøren/databehandleren skal stille funktionalitet til rådighed, der gør det muligt for den dataansvarlige at overholde lovgivningen. Dette vil fremgå af den underliggende udviklings eller driftsaftale. Dette skal naturligvis tjekkes. Side 2 af 8

3 Vejledning til brug for besvarelse af spørgsmål i kortlægningsskabelonen. 1. Formål Der skal udarbejdes en beskrivelse af det grundlæggende formål med løsningen. Behandlingen af personoplysninger kræver i mange tilfælde en lovhjemmel, som bør klarlægges som en del af beskrivelsen af formålet. 1.1 Lovlighed Løsningerne må alene behandle persondata, hvis der enten er indhentet samtykke eller hvis der, alt afhængig af hvilken type data, der er tale om, på anden vis eksisterer et retligt grundlag for behandlingen. 1.2 Samtykke (artikel 7 og 8) For at behandlingen af personoplysninger kan være lovlig, skal der i en række sammenhænge indhentes samtykke til behandlingen fra de registrerede. Samtykket til behandling af personoplysninger skal være frit, specifikt, informeret og utvetydigt. Det nye er, at samtykket skal være utvetydig, og hvis der behandles følsomme personoplysninger, skal samtykket være eksplicit. Samtykket er utvetydigt, når de registrerede foretager en bekræftende handling, som tilkendegiver, at de registrerede accepterer den konkrete behandling af personoplysningerne til det konkrete formål. Eksempler på et sådant samtykke inkluderer, at de registrerede klikker i en boks, vælger indstillinger, afgiver en erklæring eller på anden måde udviser en adfærd, der tilkendegiver samtykket. Den dataansvarlige er forpligtet til at kunne dokumentere, at samtykket er givet. 2. Dataansvarlig (artikel 24) Man skal have slået fast, hvem der er den dataansvarlige. Den dataansvarlige har en række pligter i forhold til at beskytte personoplysninger tilstrækkeligt og herunder i et vist omfang at designe it-systemer til at beskytte personoplysninger (privacy by design & privacy by default). Disse tiltag skal baseres på en risikoanalyse, men kan også i en række tilfælde baseres på den tidligere omtalte konsekvensanalyse (Data Protection Impact Assessment/DPIA). 3. Databehandler (artikel 28) Det skal slås fast, hvem der er databehandler på den konkrete it-løsning. Som udgangspunkt vil det være udviklings- eller driftsleverandøren eller indkøberen, der er databehandler. Som noget nyt får databehandleren sine egne forpligtelser i henhold til forordningen. Databehandlerens forpligtelser har hidtil alene være reguleret i databehandleraftalen indgået mellem den dataansvarlige og databehandleren, men der introduceres altså nu i forordningen særlige forpligtelser. Der kan idømmes bøde, hvis de ikke efterleves. Side 3 af 8

4 Væsentligst er det, at databehandleren er forpligtet til at hjælpe den dataansvarlige med at efterleve en række af sine forpligtelser, og at databehandleren har en forpligtelse til at oplyse den dataansvarlige, hvis de vurderer, at fx en instruks er ulovlig. 3.1 Databehandleraftaler (artikel 29) Databehandleren behandler alene data, hvis der er indgået en databehandleraftale med denne herom, og hvis databehandleren i den forbindelse har modtaget konkret(e) instruks(er), som nærmere regulerer hvad databehandleren må behandle, og i hviket omfang det behandlede må blive videregivet og til hvem. Hvis databehandleren indgår en aftale med en underleverandør, som fx skal forvalte løsningerne, vil der skulle udarbejdes en underdatabehandleraftale mellem leverandøren og underleverandøren, som svarer til den databehandleraftale, som den dataansvarlige har med sin databehander. Den dataansvarlige skal kunne kontrollere, at de data, som den dataansvarlige har ansvaret for, behandles i overensstemmelse med reglerne herfor. Den dataansvarlige skal sikres indsigts- og indsigelsesret i forhold til de underdatabehandleraftaler og underunderdatabehandleraftaler, som deres databehandler og deres underdatabehandlere indgår i forbindelse med udvikling og forvaltning af it-løsningen. I vurderingen af behovet for og omfanget af databehandleraftaler kan der med fordel tages afsæt i en oversigt over behandlingsaktiviteter og dataflow således, at der i det omfang, der anvendes databehandler, underdatabehandler og eventuelt underunderdatabehandler, da vil der skulle foreligge databehandleraftaler herfor. 4. Datatyper Forordningen indeholder en opdeling af personoplysninger i forskellige kategorier. Nogle personoplysninger er almindelige mens andre er følsomme (race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering). Det er som hovedregel forbudt at behandle disse følsomme data. Dog vil følsomme personoplysninger kunne behandles, hvis der indhentes samtykke eller i øvrigt er anden hjemmel til at behandle disse. Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger, må kun foretages under kontrol af en offentlig myndighed, eller hvis behandling har hjemmel i EU-retten eller medlemsstaternes nationale ret, som giver passende garantier for registreredes rettigheder og frihedsrettigheder. Ethvert omfattende register over straffedomme må kun føres under kontrol af en offentlig myndighed. Ud fra en kategorisering og klassifikation af personoplysningerne i løsningen skal det sikres, at der er det fornødne retlige grundlag (lovlighed) for at behandle de pågældende oplysninger i eller med baggrund i løsningen. Side 4 af 8

5 Klassificeringen bør som minimum forholde sig til typen af de behandlede oplysninger i forhold til: Almindelige personoplysninger Oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold Oplysninger om strafbare forhold, væsentlige sociale problemer og andre private forhold Oplysninger om personnummer (CPR-nummer). Det kan efter omstændighederne også være relevant at klassificere i forhold til interne retningslinjer fx om oplysninger er fortrolige, til intern brug eller offentlige. Klassificeringen bruges dels som input til konsekvensanalysen og dels udløser nogle af oplysningerne krav til implementering af kontroller. 5. Dataflow Der skal fastlægges roller og forpligtelser for henholdsvis den dataansvarlige og databehandler i forhold til behandlingen af personoplysninger i løsningen (dataflow). Det betyder, at den dataansvarlige skal kunne dokumentere det samlede dataflow, herunder hvor persondata behandles og hvor persondata kommer fra (DATA-IND) og videregives til (DATA-UD). Hver dataansvarlig, hver databehandler og, hvis det er relevant, den dataansvarliges og databehandlerens repræsentanter skal føre fortegnelser over behandlingsaktiviteter under deres ansvar. Oversigten skal blandt andet indeholde oplysninger om navn på kontaktperson og kontaktoplysninger, formålene med behandlingen, en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger, de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer og hvor det er relevant, overførsler af personoplysninger til tredjeland mm. En databehandler skal således løbende vedligeholde en (tværgående) oversigt over behandlingsaktiviteter. Oversigten kan fx indeholde oplysninger om: Kilde til oplysninger hvor kommer data fra Indsamlingsmetode hvordan indsamles data fx via egen indrapportering eller digitalt fra andre løsninger eller registre Oversigt over databehandlere Oversigt over videregivelse til tredjeparter (ikke databehandlere) Sletning en proces for sletning af oplysninger, når behandlingsformålet ophører og alternativt angives hjemmel til længere opbevaring. Side 5 af 8

6 6. Registrerede rettigheder Den dataansvarlige har ansvaret for, at de registrerede sikres en række rettigheder i forhold til de personoplysninger, som behandles i it-løsninger, og der skal gives langt flere oplysninger om behandlingen end tidligere. De registrerede har blandt andet generelt ret til at blive informeret om behandlingen og ret til at få rettet eller slettet personoplysninger. De registrerede har også ret til at få deres oplysninger udleveret, så de kan bæres videre til en anden tjeneste-udbyder, og desuden har de i udgangspunktet ret ikke at være genstand for en afgørelse, der alene baseres på automatisk behandling, herunder profilering. Profilering er afgørelser, der alene er baseret på automatiserede behandlinger, som har retsvirkning eller betydelige konsekvenser. 6.1 Oplysning og indsigt Den dataansvarlige skal give den registrerede oplysninger, som blandt andet indeholder; formålet med behandlingen, lovligheden af behandlingen, evt. overførsel til tredjeparter, perioden for behandlingen (inkl. lagring), retten til at gøre indsigelse og begrænse behandlingen, muligheden for at trække samtykke tilbage, muligheden for at klage til Datatilsynet og angivelse af om behandlingen indgår i en profilering. Oplysningspligten som nævnt her, vil ikke gælde, hvis den dataansvarlige kan dokumentere, at den registrerede allerede er bekendt med oplysningerne. I forhold til indsigtsret, så har den registrerede ret til at få den dataansvarliges bekræftelse på, om og hvilke personoplysninger, der behandles om den registrerede. 6.2 Berigtigelse, begrænsning og sletning Den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Den registrerede har i en række tilfælde ret til at få slettet sine oplysninger. 6.3 Dataportabilitet Der introduceres en helt ny rettighed, som indebærer, at de registrerede kan kræve at få udleveret deres personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format således, at de registrerede kan sende disse personoplysninger til en anden dataansvarlig. Formålet er at gøre det let for den registrerede dels at få overblik over alle sine data og dels at kunne portere sine data til en konkurrerende serviceudbyder. Det skal bemærkes, at det endnu er uafklaret, om kravet kun gælder nye eller alle løsninger. 6.4 Ret til indsigelse og automatiske individuelle afgørelser (profilering) Det introduceres en helt ny rettighed til de registrerede, som skal sikre, at de ikke kan profileres. Profilering er afgørelser, der alene er baseret på automatiserede behandlinger, Side 6 af 8

7 som har retsvirkning eller betydelige konsekvenser. Profilering må således alene bruges hvis den er nødvendig for indgåelsen eller opfyldelsen af en kontrakt mellem den registrerede og en dataansvarlig, hvis der er lovhjemmel eller hvis den registrerede har givet et udtrykkeligt samtykke. 7. Teknisk sikkerhed/sikkerhedsforanstaltninger (artikel 25, 32, 33, 34 & 35) 7.1 Privacy by default & Privacy by design Databeskyttelsesforordningens artikel 25 fastsætter principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger vedrører helt overordnet, hvordan den dataansvarlige skal indrette sig teknisk og organisatorisk for at opnå effektiv implementering af databeskyttelsesprincipper og integrering af de fornødne garantier i behandlingen for at opfylde kravene i databeskyttelsesforordningen og beskytte de registreredes rettigheder. Bestemmelsens nærmere rækkevidde giver navnlig grundet dens forholdsvis abstrakte indhold anledning til ganske betydelig tvivl, herunder navnlig i forhold til, hvornår en dataansvarlig med sikkerhed kan siges at have henholdsvis overtrådt og efterlevet bestemmelsens krav. Muligheden for at anvende godkendte certificeringsmekanismer til at dokumentere overholdelse af kravene om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger er et af de tiltag, som man overvejer i forhold til at konkretisere indholdet og rækkevidden af kravene. Det skal bemærkes, at det er endnu er uafklaret, om kravet kun gælder nye eller alle løsninger, men det vil formodentligt alene gælde fremadrettet. 7.2 Behandlingssikkerhed (artikel 32) Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. 7.3 Anmeldelse af brud på persondatasikkerheden Den dataansvarlige skal sikre sig, at der er etableret de fornødne procedurer og aftaler med databehandlere, for at kunne overholde reglerne om anmeldelse af brud på persondatasikkerheden til Datatilsynet. Ved brud på persondatasikkerheden er der et krav om, at den dataansvarlige, uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, skal anmelde bruddet på persondatasikkerheden til Datatilsynet. Side 7 af 8

8 7.4 Underretning om brud på persondatasikkerheden til den registrerede (artikel 34) Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden. 7.5 Konsekvensanalyse (DPIA) (artikel 35) Databeskyttelsesforordningens artikel 35 fastlægger, at der skal udarbejdes en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Endvidere regulerer bestemmelsen i hvilket omfang og i forbindelse med hvilke behandlingsaktiviteter, der skal udarbejdes en konsekvensanalyse samt indholdet i en konsekvensanalyse. Artikel 35 kan delvist anskues som en erstatning for anmeldelsespligten til Datatilsynet, som er reguleret i Persondataloven. Artikel 30 om fortegnelse over behandlingsaktiviteter jf. ovenfor under punkt 5 erstatter også delvist anmeldelsespligten. Som nævnt i indledningen så vil en konsekvensanalyse skulle indeholde de temaer, som er nævnt ovenfor, og derfor vil skulle indgå i en konsekvensanalyse, der som minimum skal omfatte: en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, herunder i givet fald de legitime interesser, der forfølges af den dataansvarlige, en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene, en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1, og de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser. Det skal bemærkes, at det fortsat er uafklaret, om kravet kun gælder nye eller alle løsninger. Side 8 af 8