SISCON årskonference 2016 Bella Sky Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting Vi skaber muligheder & realiserer potentialet sammen
Birgitte Kofod Olsen Jurist (1991) med Ph.D.-grad i biometri og privatlivsbeskyttelse (1998) Partner og medejer af Carve Consulting CSR-chef i Tryg 2009-14 Vicedirektør, afdelingsleder og forsker i Institut for menneskerettigheder 1994-2009 Ekstern lektor, gæsteforelæser, censor og PhD-bedømmer på Københavns Universitet, Roskilde Universitet, Århus Universitet, Ålborg Universitet, Copenhagen Business School, BI Norwegian Business School 1999- Medlem af repræsentantskabet i Foreningen Nordea Liv og Pension, 2016- Medlem af Ligebehandlingsnævnet 2015- Medstifter af tænke-handle-tanken Dataethics 2015 Formand for Rådet for Digital Sikkerhed 2012-2015 Formand for Ungdomsbyen 2016-, næstformand 2007-15 Formand i teatrene Danskdansk og Teatergrad 2012- Modtog prisen som Årets Erhvervskvinde i 2014 Optaget i Kraks Blå Bog i 2013. 2
3
Dataethic 4
I FOKUS I DAG: Risiko & databeskyttelse Data protection impact assessment, DPIA Dataflow analyse 5
Risiko & databeskyttelse 6
Jeg bestemmer over min krop mine ting mine penge data om mig Retten til respekt for privatliv Derfor skal du spørge mig om lov, hvis du vil bruge mine data fortælle, hvorfor og til hvad, mine data skal bruges til fortælle, hvem der ellers ser dem fortælle, hvis du mister dem - Retten til persondatabeskyttelse 7
Direkte negativ effekt for datasubjektet Fysisk, materiel eller moralsk skade Diskrimination Identitetstyveri og bedrageri Finansielle tab Skade på omdømme Tab af fortrolighed Økonomiske eller sociale ulemper Begrænsning i udøvelsen af rettigheder og friheder Begrænsning i udøvelse af kontrol over persondata Indirekte negativ effekt for datasubjektet Afdækning af oplysninger om race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, medlemskab af fagforening og om sundhed, sexliv samt strafbare forhold Profilering til forudsigelse af fx arbejdsindsats, økonomisk situation, sundhed, personlige præferencer eller interesser, troværdighed og adfærd, lokation eller bevægelser Behandling af persondata om udsatte grupper, herunder børn Behandling af data i stor skala, der har effekt I forhold til et stort antal datasubjekter Negativ effekt pga sikkerhedshændelse Uautoriseret afpseudonymisering Hændelig eller ulovlig destruktion, tab eller ændring af data Uautoriseret offentliggørelse af persondata Uautoriseret adgang til persondata under transmission, opbevaring eller anden behandling 8
Kundens/borgerens rettigheder Respekt for datasubjektets egen kontrol med data Service og kvalitet Data som aktiv Overholdelse af forordningen Retlige forpligtelse Datatilsynets kontrol Klager og krav fra kunder og borgere Økonomi Bødekrav 10 mio og op til 2% 20 mio og op til 4% Erstatning 9
Hvad: Data Protection Impact Assessment, artikel 35 (konsekvensanalyse) Hvornår: Når det er sandsynligt at databehandlingen indebærer en høj risko for den enkelte persons (datasubjektets) rettigheder og friheder Alle menneskerettigheder EU charter om grundlæggende rettigheder rummer 50 rettigheder og friheder Når risikoen ændrer sig. Hvad: Udførelse af en vurdering af konsekvenserne af databehandlingen for at især at evaluere risici-enes oprindelse, natur, egenart og alvorlighed. Hvem: Den dataansvarlige 10
Data protection impact assessment DPIA 11
Hvad skal DPIAen bruges til? 1. Resultatet af risikoanalysen skal danne baggrund for beslutningen om tilstrækkelige tekniske og organisatoriske foranstaltninger, som iværksættes for at dokumentere, at databehandlingen sker i overensstemmelse med forordningen. 2. Hvis DPIA-en viser at databehandlingen indebærer en høj risiko, som den dataansvarlige ikke har mulighed for at mitigere ved brug af tilstrækkelige foranstaltninger i form af tilgængelig teknologi og de involverede omkostninger, skal Datatilsynet konsulteres. DPIA Beslutning om foranstaltninger Dokumentation DPIA Egen mitigering Datatilsynet 12
EU s persondataforordning stiller krav om risikoanalyser ved bebehandling af data i stor skala og i andre særlige tilfælde: Behandling af følsomme data: race to etnisk oprindelse, politisk eller filosofisk overbevisning, religion, medlemskab af fagforening, genetiske og biometriske data, sundhed, sexliv og seksuel orientering. Behandling af data om strafbare forhold Behandling af data på nationalt, regionalt og supranationalt niveau, som berører et stort antal mennesker og indebærer høj risiko for deres følsomme data Overvågning af offentligt tilgængelige steder, især ved anvendelse af optisk-elektronisk teknologi Når der er høj risiko for at datasubjektet bliver begrænset i at udøve sine rettigheder eller gøre brug af en kontrakt eller en service Ved brug af nye teknologier Ved profilering, dvs systematisk og intensiv evaluering af enkeltpersoner med henblik på at træffe en beslutning, der vedrører vedkommende En dataansvarligs anvendelse af fælles applikation på tværs af sektorer eller brancher 13
Databehandling Sikkerhed Databeskyttelsespoliti Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesseer Overførsel til tredjeland Oplysninf om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Dataansvarlighed Datarettigheder 14
*Data Protection Impact and Risk Assessment Tool, DPIRAT, er udviklet af Carve Consulting til at understøtte vurderinger og analyser af de negative konsekvenser af persondatabehandling I forhold til datasubjektets rettigheder og friheder, herunder særligt retten til privatlivsbeskyttelse og persondatabeskyttelse. 15
fortrolighed Gap analyse politikker 3 2,5 2 1,5 1 0,5 0 leverandører tilgængelighed datainput datarettigheder behandling 16
Konsekvens integreret persondatabskyttelse Det er Carve Consultings vurdering, at princippet om integreret persondatabeskyttelse bør gives mere opmærksomhed i såvel VIRKSOMHED som hos leverandørerne. På grund af de anvendte datatyper og de risici, der knytter sig til behandlingen af dem, vil det være bedst stemmende med EU-forordningens formål at undersøge, om nogle datatyper kan udelades eller anvendes i et format, der sikrer effektiv persondatabeskyttelse. Konsekvens sletning Det er Carve Consultings vurdering, at der mangler kravsspecifikationer og/eller instrukser fra VIRKSOMHED til leverandørerne om, hvornår og hvordan der skal foretages sletning af persondata, der ikke længere er nødvendige i forhold til formålet med dataindsamlingen. Implementeringsniveau Sletning Bestemt formål 3 Nyt formål Opdatering Oplysning 2 1 Relevans og tilstrækkelighed Nødvendighed Andet lovligt grundlag Samtykke ved følsomme data Samtykke Integreret persondatabeskyttelse 17
Dataflow analyse 18
TEGNING & BESKRIVELSE IT arkitektur Systemkomponenter Software Algoritmer Interfaces Databaser Cloudløsninger Alle aktører eller løsninger, der håndterer data er relevante uanset, at de ikke har direkte adgang til at gøre sig bekendt med indholdet af data 19
1. Identifikation af forretningsområder, hvor databehandling er knyttet til funktionsområder eller til datasæt, der er afgrænset ved aftale. 2. Identifikation af leverandører, der leverer, modtager, opbevarer eller på anden måde håndterer persondata Dataindhetning Berigelse Validering Udvikling Databehandling Opbevaring Analyser Videregivelse vil tredjeparter if/uf EU Tredjepartscookies 20
De dataflows der knytter sig til kundekortet kortlægges og tegnes. Interne og eksterne komponenter til datainput og dataoutput identificeres. 21
Datakilde: CPR register, RKI Dataelement: navn, adresse, cpr, gæld Datatype: Almindelig, CPR, økonimiske forhold Funktionsområde eller datasæt Data output: Videregivelse - Tredjeparter - Leverandører - Myndigheder 22
Dataelementer: Felter, der indeholder oplysninger om identificerbare personer Eller sammen med: andre felter kan afdække oplysninger af privat karakter ved berigelse fra eksterne kilder kan afdække oplysninger af privat karakter 23
Opsummering 24
IT ARKITEKTUR FUNTKIONSOMRÅDER DATAFLOWS DPIA Skab overblik over IT landskabet Identificer relevante funktionsområder eller datasæt Beskriv dataflows: - datakilder - dataelementer - datayper - videregivelse af data Dataansvarlighed Databehandling Datarettigheder Datasikkerhed 25
EU forordning om persondatabeskyttelse stiller krav om: Beskrivelse af databehandlingen og den formål Vurdering af proportionalitet mellem formålet med databehandlingen og de data, der behandles Vurdering af de risici, datasubjektet udsættes for i forhold til negativ effekt på vedkommendes rettigheder og friheder Beskrivelse af de foranstaltninger, der iværksættes for at imødegå risikoen, herunder garantier og sikkerhedsmekanismer, der sikrer beskyttelsen af persondata Med DPIA-EN viser I, at I overholder EU s persondataforordning jeres databehandling tager hensyn til datasubjektet og andre berørte personers rettigheder og legitime interesser 26
DPIA processen og resultatet kan også anvendes til at: Identificere behovet for organisatoriske foranstaltninger, fx behov for politikker, procedurer og retningslinjer, adgangsrettigheder, kontroller og revision, artikel 24 Identificere behovet for at anvende redskaber til privacy by design og privacy by default, artikel 25 Føre kontrol med, at databehandlere opfylder forordningens krav, artikel 28 Opfyldelse af dokumentationskravet, art. 30 Identificere behovet for sikkerhedsmæssige foranstaltninger, fx brug af kryptering, anomymisering, psudunymisering, artikel 32 Udarbejde handlingsplaner til mitigering, eliminering og forebyggelse af sikkerhedsbrud Udarbejde beredskabsplaner 27
PrivacyKompasset - Indeholder test med 34 spørgsmål - Giver adgang til at generere en privatlivspolitik https://privacykompasset.erhvervsstyrelsen.dk/ DI Skabelon for Privacy Impact Assessment http://digital.di.dk/sitecollectiondocuments/vejledninger/di's%20skabelon%20for%20privacy%20impact%20assessm ent.pdf DI Vejledning Persondataforordningen implementering i danske virksomheder ControlManager Siscon.dk DPIRAT Carve Data Protection Impact and Risk Assessment Tool bko@carve.dk 28
29
Birgitte Kofod Olsen Partner, phd Carve Consulting Nørre Voldgade 11, 2. sal 1358 København K +45 25 26 09 03 bko@carve.dk Carve.dk 30