Privacy initiativer. Henning Mortensen



Relaterede dokumenter
og biometri

God Privacy Praksis. - en guideline for IT-leverandører og kunder

IT-sikkerhedspanelets anbefalinger vedrørende privacy

Data protection impact assessment

Privacy fremmende teknologier - en introduktion til at beskytte privatlivets fred på din computer

Persondatapolitik. Behandling af oplysninger Leasing Fyn behandler ikke personfølsomme oplysninger.

Principper for privacy

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede

EU S PERSONDATAFORORDNING & CLOUD COMPUTING

EU Kommisionens RFID henstilling.

Du kan læse mere om dine rettigheder i Datatilsynets vejledning om de registreredes rettigheder, som du finder på

Forslag. Lov om ændring af lov for Færøerne om rettens pleje

STU Akademiets Persondatapolitik

SMART LIBRARIES OG PERSONDATAFORORDNINGEN

Behandling af personoplysninger

Databeskyttelsespolitik for Medictinedic ApS

RETNIGSLINJER OM SIKRING AF REGISTREREDES RETTIGHEDER

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Høring over udkast til bekendtgørelse om Lægemiddelstyrelsens elektroniske registrering af borgeres medicinoplysninger

PERSONDATA & PERSONDATAORDBOG

Lov om Center for Cybersikkerhed

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Justitsministeriet Lovafdelingen

Privatlivspolitik for Falck Healthcare A/S

Privatlivspolitik for Falck Healthcare A/S

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

Databehandlingsaftale

Cookie- og Privatlivspolitik for Karen Rasmussens Rengøring ApS

Per Løkken, Partner. CAMPUS November 2018

UDKAST. Forslag. til. Lov om ændring af lov for Færøerne om rettens pleje

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

Tilsynsbesøget fandt sted den 9. november 2018.

Bekendtgørelse om rammerne for informationssikkerhed og beredskab 1)

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Svanningevej 2 DK-9220 Aalborg Øst Tel

Sundheds- og Ældreministeriet Holbergsgade København K Danmark. Att.: med kopi til

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

Udvalget for Videnskab og Teknologi (2. samling) UVT alm. del - Bilag 191 Offentligt

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Behandling af personoplysninger

hos statslige myndigheder

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

spørgsmål vedrørende privatlivets fred

Persondata Behandlingssikkerhed. v/rami Chr. Sørensen

FOLKETINGETS RETSUDVALG HØRING OM CFCS-LOVEN 8. MAJ 2014

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

PERSONDATAPOLITIK (EKSTERN)

Privatlivspolitik for Konferencesalen/Storcenter Nord

Vilkårene gælder for tredjeparter, som ønsker at indhente stam- og måledata via den kundestyrede adgang til data i DataHub.

Privatlivspolitik for Lichen Sclerosus Foreningen

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

BILAG 14: DATABEHANDLERAFTALE

Databehandleraftale. (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne )

Tilgængelig på: /udgivelser/status/ /databeskyttelse_delrapport_2016.pdf.

Privatlivs og databehandling

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Privatlivspolitik for LTECH A/S

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

BESKYTTELSE AF PERSONDATA OG COOKIE POLITIK Pure Byte ApS (PB)

Konsekvensanalyse/Data Protection Impact Assessment (DIA)

Rammeaftalebilag 5 - Databehandleraftale

BILAG 5 DATABEHANDLERAFTALE

Bilag A. j2 Global Denmark A/S (VIPRE) Vilkår for Databehandling

Privatlivsimplikationsanalyse (PIA) for RFID.

Må lrettet årbejde med persondåtåforordningen for

VEJLEDNING. om specialklubbernes håndtering af medlemmernes personoplysninger

Kommissorium for Dataetisk Råd 30. januar 2019

Databeskyttelsesdagen

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

UVMs bidrag til GDPR implementering i uddannelsessektoren

DATABEHANDLERAFTALE [LEVERANDØR]

Adfærdskodekser. v/rami Chr. Sørensen

Slettepolitik for Euro Accident Livförsäkring Aktiebolag som dataansvarlig

Databehandleraftale. Mellem. Den dataansvarlige: Helle Melgaard. Fiskerstræde Millinge. Denmark. Databehandleren. Bricksite ApS CVR

Behandling af personoplysninger

Databehandleraftale (v.1.1)

Databeskyttelsespolitik (oplysningspligten) 1. Introduktion. 2. Vores behandlingsaktiviteter Kundesamarbejdet

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Interviewskema Udgangspunkt

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Behandling af personoplysninger

Anbefalinger SAMFUNDSANSVAR I OFFENTLIGE INDKØB

Digital forvaltning og dataudveksling fra forsyningsvirksomheder - nye muligheder?

Generel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS

Databehandleraftale. Version A. Imellem: Dataansvarlig: Den kunde der har købt/erhvervet retten til at anvende app s fra itn vision aps

GML-HR A/S CVR-nr.:

[Firma navn] [Adresse] [Postnummer] [Land] [CVR-nr.] [Navn på kontaktperson] [ ] [Phone number] PSUPPORT.DK ApS. Plantagevej 51, 3460 Birkerød.

H Ø R I N G O V E R U D K A S T T I L L O V O M Æ N D R I N G A F L O V O M F O R S V A R E T S E F T E R R E T N I N G S T J E N E S T E

Ekstern Persondatapolitik - Sankt Lukas Stiftelsen

Transkript:

Privacy initiativer Henning Mortensen hem@di.dk www.itek.di.dk

Disposition baggrund produkter fra privacyarbejdet definition og model teknologier særligt RFID casesamling opsummering

Hvorfor DI og privacy? at stimulere en offentlig dansk debat at tydeliggøre nogle af de sammenhænge, hvor man skal vogte over sin privacy - og dermed beskytte borgere og virksomheder (brugere) at give en opfordring til teknologileverandørerne om at efterleve de skitserede principper og udvikle løsninger, som efterlever privacy at sætte fokus på mulighederne for en særlig dansk nicheindustri indenfor privacy

Aktører En række organisationer og virksomheder er interesseret i emnet CSIS GN IBM Logisys Microsoft Nensome P&K sikkerhed RFIDsec Siemens TDC Unispeed Zebranet Forbrugerrådet Institut for menneskerettigheder Human Rights Finansrådet VTU's IT-sikkerhedspanel IT- og Telestyrelsen Forsvarets Forskningstjeneste AIM Danmark PROSA ITEK / Dansk Industri

Privacy Forskellige definitioner af privacy Retten til at være alene Louis Brandeis Fysisk frirum, uden forstyrrelser, indtrængning, blive sat i forlegenhed eller blive holdt ansvarlig for vores handlinger Robert Ellis Smith Retten til at indsamle, vedligeholde, anvende, videregive/transmittere og behandle personlig information - EPIC Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance - EU

Model for privacy Offentligt tilgængelige data Privacyforbedring Privacy

Roller ITleverandører Kunder Serviceudbydere Professionelle kunder P r i v a c y Produktudviklere Personhenførbare data P r i v a c y Brugere

Kilder De "vigtigste" kilder er gennemgået, men det er ikke et litteraturstudie. I hovedtræk er der tale om følgende kilder: OECD: Guidelines on the Protection of Privacy and Transborder Flows of Personal Data Europarådet: Convention for the Protection of Individuals with regard to the Automatic Processing of Personal Data Convention EU: Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data Danmark: Lov om behandling af personoplysninger

Principper for privacy Brugerne skal kunne styre anvendelsen af data (3) Dataindsamlingen skal være fair Dataindsamlingen skal være lovlig Dataindsamling skal ske med viden fra brugeren Dataindsamling skal ske med accept fra brugeren Dataindsamling kan være krævet af en kontrakt, loven, hensyn til brugeren og offentlig myndighedsudøvelse (3) Dataindsamling kræver konkret afgrænset formål Databehandling må kun finde sted til det formål de er indsamlet Ved ændret formål skal data destrueres eller anonymiseres Databehandlerens eventuelle videregivelse af data kræver at brugeren oplyses herom (og giver accept) Databehandler skal udvise åbenhed overfor brugerens indsigt Data skal have god kvalitet i betydningen præcise, komplette og opdaterede Databehandler kan anvende betingelser for brugerens indsigt og i givet fald skal disse begrundes Brugeren har altid ret til at få adgang til egne data Brugeren har ret til retslig prøvelse af sammenhæng mellem data og formål, datas kvalitet og eventuel manglende efterlevelse af privacypolitikker (1) Brugeren har altid ret at få indsigt i om en enhed har registreret data og i givet fald hvilke, deres anvendelse, formålet med at have dem og hvor de lagres Brugeren har kun ret til indsigt med begrænset frekvens (1) Databehandleren skal give indsigt til brugeren på en forståelig måde, indenfor en rimelig tid og til en rimelig pris

Principper for privacy Databehandler har ansvar for data og disses sikkerhed Dataflow over grænser er betinget til international handel, anvendelse af elektroniske services og dataflow internt i virksomheder. Dette bør reguleres gennem kontrakter Databehandler skal sikre at privacyforanstaltninger implementeres under hensyn til det tekniske niveau (2) Databehandler skal sikre at privacyforanstaltninger implementeres under hensyn til omkostninger (2) Databehandler skal sikre at der findes en opdateret politik for privacy Databehandler skal sikre at brugeren med rimelighed er bekendt med politikken og har accepteret den Databehandler skal anmelde behandling af data til tilsynsmyndighed De nævnte principper gælder ikke hvis der er særlige nationale interesser, der varetages bedre ved en undtagelse (3) De nævnte principper gælder ikke hvis der er tale om behandling af kriminelle forhold (3) De nævnte principper gælder ikke hvis det vurderes at være i brugerens interesse at undtage dem eller hvis det gælder andre personers frihed (3) De nævnte principper gælder ikke hvis for særlige faggrupper herunder anvendelse til historisk, journalistisk, videnskabeligt eller statistisk bearbejdelse (3) De nævnte principper gælder ikke hvis behandling af data sker ved arbejdsmarkedsforhold, foreninger, allerede offentliggjorte data, sygdomme og særlig lovgivning (3) Databehandlers videre beskyttelse end de angivne principper er altid mulig De angivne principper er overordnede og der kan der ske en gradbøjning af dataanvendelse (3) De angivne principper er overordnede og der kan der ske en gradbøjning af foranstaltninger (3) De angivne principper er overordnede og der kan der ske en gradbøjning af risici, som data kan udsættes for (3)

Eksempel på et princip Dataindsamlingen skal være fair En fair indsamling af data betyder at de øvrige principper i denne best practise skal overholdes ved indsamlingen af data. Brugeren må ikke kunne snydes til at afgive data og der må ikke afgives flere data end nødvendigt for formålet. Processen skal således være fair og gennemskuelig overfor brugeren. Leverandør Er formålet med dataindsamlingen tydeligt specificeret? Er løsningen designet så brugeren kun afgiver de nødvendige oplysninger eller indsamles unødvendige oplysninger i den pågældende løsning? Er der gennemført brugervenlighedsanalyser, som sikrer, at systemet virker gennemskueligt for brugeren, så brugeren ikke føler sin privacy krænket? Kunde/databehandler Er formålet med dataindsamlingen tydeligt specificeret? Kan systemet siges kun at indsamle de oplysninger, der er brug for? Er der dokumentation for at de oplysninger der indsamles er relevante? Kan brugeren føle sig snydt til at afgive informationer eller til at få bestemte services - f.eks. elektroniske nyhedsbreve?

Risiko, trust og lov I det orange område er der tale om anvendelse af Privacy Enhancing Technologies Estimeretet risiko Risiko overestimeret Risiko underestimeret Neutral beslutning baseret på realiteter Tillid

Pseudonymer Pointerne ved pseudonymer: - brugeren vurderer den konkrete risiko og dermed hvor meget tillid brugeren kan have til et system - ved pseudonymer behøver brugeren ikke have tillid idet han ikke identificeres og hans oplysninger derfor ikke er personhenførbare - brugeren har kontrol i og med at pseudonymer kan oprettes og nedlægges efter forgodtbefindende - pseudonymet kan revokes på baggrund af kendte regler, hvis der er mistanke om en kriminel handling - brugeren er afhængig af at systemet tilbyder anvendelsen af pseudonymer

Teknologi Som udgangspunkt berøres alle teknologier af privacy i det omfang de indsamler eller behandler personhenførbare oplysninger Nogle teknologier er mere interessante en andre i disse år både på grund af politisk fokus og på grund af standardiseringen: RFID Sensorteknologier - herunder biometri Forskellige smartcards

RFID som case RFID er en fremragende teknologi, der kan give rigtigt mange fordele Der er dog en række forhold, der kan gøres bedre i design, og en række krav vi må stille ved implementering i det omfang chippen kommer i direkte berøring med borgerne: Brugernes kontrol (arkitektur, info, ej destrueres, deaktiveres) Personlig integritet (kodeks for anvendelse) Interoperabilitet (interoperabilitet og dansk deltagelse) Brugervenlighed (forståelse, tilgængelighed) Bæredygtighed (affald og miljøvenlige alternativer)

Brud på privacy Der er behov for politisk forståelse for situationens alvor Derfor har vi lavet en casesamling, som dokumenterer 1) brud på privacy og 2) udvanding af lovgivningen

Case: Logning Et par eksempler på indgreb jf. regeringens handlingsplan for terrorbekæmpelse 15: " udbydere af elektroniske kommunikationsnet og -tjenester får pligt til at indrette deres tekniske udstyr på en måde, der gør indgreb i meddelelseshemmeligheden muligt 16: " det teknologiske område, hvor politiet ikke har nogen umiddelbar mulighed for at sammenholde brugeroplysninger med det enkelte kommunikationsapparat elimineres 17: " politiet skal have mulighed for at indhente fremadrettede tele- og masteoplysninger " 18: " politiet skal have mulighed for at indhente historiske tele- og masteroplysninger 27: " undlade underretning til en mistænkt om et gennemført indgreb i meddelelseshemmeligheden kan ske på baggrund af hensyn til beskyttelse af fortrolige oplysninger om politiets efterforskningsmetoder " 28: " det pålægges udbydere af telenet- og teletjenester at udlevere abonnements oplysninger uden rettens godkendelse " 29: " politiet i ganske særlige situationer må foretage scanning af indholdet af telefon samtaler eller anden tilsvarende kommunikation inden for et nærmere angivet område " 33: " tilvejebringes mulighed for øget og forbedret tv-overvågning af centrale pladser, væsentlige trafikknudepunkter og andre steder "

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback