Persondataforordningen Fra papir til handling
Hvad er privacy? Hvad er det egentlig vi vil beskytte? Territorial privacy: Afgrænsning af privatsfæren vs. arbejdspladsen, det offentlige rum - f.eks. i forhold til videoovervågning eller ID-tjek Kropslig privacy: Retten til at beskytte kroppen mod f.eks. genetiske tests og ejerskab til væv Kommunikationsprivacy: Retten til at kommunikere privat: samtale, breve, mails, telefonopkald, internetanvendelse Informationsprivacy: Databeskyttelse. The right to be let alone Louis Brandeis, 1890 No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence Verdenserklæringen om Menneskerettighederne, 1948 Privacy er muligheden for selv (at kunne håndtere risikoen for ikke) at have kontrol over hvilken information man vil dele med hvem hvornår og hvordan. 2
Hvorfor er privacy vigtigt? Individsynspunkt Være i kontrol med sine personoplysninger, selv bestemme hvem vi vil dele med Risiko for anvendelse imod individets interesser Historisk og geografisk betydning Refleksion, ytringsfrihed, demokrati, konstruktion af ego, altid noget galt Kilde: "De overvågede", Henning Mortensen, m.fl. 3
Trusler opsummering Fjender - Fremmede lande - Klassiske it-kriminelle - Idealister - Fejl Motiver - Snyd, afpresning og salg af stjålne aktiver - Nationale, strategiske eller konkurrencemæssige fordele - Uvidenhed, uheld eller dumhed Mere generelt: OCTAVE trusselsterminologi - Menneskelige fejl (interne/eksterne; bevidste/ubevidste) - Systemmæssige fejl - Trusler udenfor virksomhedens kontrol 4
Persondataforordningen - baggrund Formål: Styrke individernes ret til databeskyttelse Understøtte det frie flow af data (inden for EU) Reducere administrative byrder 5
Lovens opbygning Der er nogle principper for god behandlingsskik som skal efterleves Der skal findes et hjemmelsgrundlag til behandling Den registrerede har nogle rettigheder, som vedkommende skal kunne udøve Den dataansvarlige og databehandlere skal efterleve nogle forpligtelser Datatilsynet har ret til at føre tilsyn, komme med påbud, advarsler og bøder 6
Hvad er omfattet Reglerne beskytter fysiske personer Personoplysninger som behandles automatiseret eller anden behandling af personoplysninger som indgår i et arkiv. Personoplysninger er alle informationer relateret til en identificeret eller identificerbar person - herunder inklusiv pseudonymer, eksklusiv anonymisering (pseudonymisering kan til dels sætte den registreredes rettigheder ud af drift, jf. A11) En identificerbar person er en person som kan identificeres (direkte eller indirekte eller udpeges) under henvisning til: en identifier som f.eks. navn, ID-nummer, lokationsdata eller en online identifier af alle slags (f.eks. IP, cookie, RFID) eller andre faktorer som er specifikke for personen (fysisk, genetisk, mental, økonomisk, kulturel eller social identitet) 7
Hvem er omfattet? Alle dataansvarlige og databehandlere, som har etableret sig i EU - uanset om behandlingen finder sted i EU Virksomheder der laver varer eller services rettet mod borgere i EU, defineret ved f.eks. sprog, valuta eller kunder indenfor EU Virksomheder som registrerer adfærd (tracking, profilering, præferencer) for de registrerede der befinder sig i EU Virksomheder, som omfattes af de to sidste bullets, skal udpege en repræsentant i EU (Dataansvarlige uden for EU, men hvor EU lov gælder i medfør af internationale aftaler (ambassader)) 8
Principper for behandling 1 Lovlig (A6+A9) for almindelige og følsomme oplysninger F.eks. samtykke (frit, specifik, informeret og utvetydigt (og eksplicit)), kontrakt eller interesseafvejning Rimelig og gennemsigtig Herunder oplysning (A13+A14) Rimelig i forhold til opfyldelse af de registreredes øvrige rettigheder Formålsbegrænsning Udtrykkeligt angivne og legitime formål (ikke mere end formålet tilsiger) Dataminimering Behandlingen af data skal være tilstrækkelig, relevant og begrænset i henhold til formål Rigtighed Data skal være korrekte og om nødvendigt ajourførte Opbevaringsbegrænsning Ikke lagring i identificerbar form længere tid end nødvendigt 9
Principper for behandling 2 Integritet og fortrolighed Behandlingen må kun ske, hvis der er taget de fornødne sikkerhedsforanstaltninger Ansvarlighed (accountability) Den dataansvarlige er ansvarlig for compliance med principperne og skal kunne påvise compliance med principperne 10
Datasubjektets rettigheder 1 Oplysningspligt (A13+A14) Indsigt (A15) Berigtige (A16) Slette (A17) Sletteret stort set som i dag. Dog gælder at den dataansvarlige der har gjort personoplysninger offentlige, og som om pålægges at slette disse, også skal tage rimelige skridt til at få andre dataansvarlige som behandler de pågældende oplysninger til at slette disse eller links hertil. Begrænse behandling (A18) Underretning (A19) Dataportabilitet (A20) Ny ret, hvor praksis afventes Indsigelse (A21) 11
Datasubjektets rettigheder 2 Profilering (A22) Ret til ikke at blive profileret Profilering: afgørelse alene baseret på automatiseret behandling, som har retsvirkning eller betydelige konsekvenser. Eksempler: kreditvurdering eller e-rekruttering Undtagelser til rettigheder (A23) Skal fastsættes i lov og med krav til detaljer i lov 12
DA og DBs pligter 1 Overordnet ansvarsplacering: Dataansvarlig Data Protection by Design og Default (A25) Særlige pligter til databehandler bl.a. gennem databehandleraftale (A28) Fortegnelse over behandlingsaktiviteter (A30) Risikobaserede tekniske og organisatoriske sikkerhedsforanstaltninger (A32) Anmeldelse og underretning om hændelser (A33-34) Data Protection Impact Assessment (A35) Data Protection Officer (A37-39) Adfærdskodeks og standarder (A40-43) 13
Overførsel til tredje lande Privacy Shield (og andre godkendelser fra EU) SCC BCR Undtagelser (f.eks. samtykke og særlig lovhjemmel) 14
Operationelle anbefalinger til virksomheder (GDPR) 15
DI's aktiviteter Vejledning om forordningen med: Tjekliste Anbefalinger GDPR-krav formuleret som controller Bud på Data Protection by Design DPIA-skabelon opdateret DPO-netværk etableret Politisk overvågning 16
Tjekliste Besvar de overordnede spørgsmål Er virksomheden omfattet af forordningen? Er informationerne, som virksomheden ønsker at behandle, omfattet af forordningen; er informationerne at betragte som personoplysninger? Hvilke kategorier af personoplysninger ønsker virksomheden at behandle? Hvilke behandlinger ønsker virksomheden at foretage? Spiller virksomheden en rolle som dataansvarlig eller databehandler i forhold til de konkrete behandlinger? Har virksomheden et retligt grundlag til at behandle de ønskede kategorier af personoplysninger? Opfylder virksomheden principperne for behandling af oplysningerne? Er behandlingen nødvendig (proportional)? Kan virksomheden behandle oplysningerne på en mindre indgribende måde og stadig opnå formålet? Opfylder virksomheden de registreredes rettigheder ved behandling af oplysningerne? Opfylder virksomheden sine forpligtelser (herunder vedrørende overførsel og sikkerhed) ved at behandle personoplysninger? Er der særlige forhold, der gør sig gældende, for virksomhedens behandling af personoplysninger? 17
Konkrete anbefalinger 1 Topledelsen Det er jeres ansvar: Bøder, image og konsekvenser for de registrerede Udpeg CISO og DPO/CPO og nedsæt projektgruppe Lyt til deres råd Godkendt politikker og procedurer, risikovurderinger og system/dataklassifikation ca. årligt Få korte kvartalsvise statusopdateringer Være rollemodeller i at skabe en sikkerhedskultur (Hvis det ikke betyder noget for chefen, betyder det heller ikke noget for mig) 18
Konkrete anbefalinger 2 CISO / DPO Samarbejd med hinanden (i projektgruppe) Lav politikker og procedurer (inkl. dokumentation jf. A5, stk. 2) og få dem godkendt af topledelsen Lav ikke romaner Lav praktisk anvendelige skabeloner med spørgsmål Spørgsmålene/kontrollerne fra DI s vejledning DI s DPIA skabelon og valg af design Dokumenter, kontroller og vedligehold Gennemgå databehandleraftaler Gennemgå hjemmelsgrundlag for behandling Gennemgå ISO27002-kontrollerne 19
Konkrete anbefalinger 3 System og dataansvarlige Følg vejledninger, politikker og procedurer Lad være med at bøje reglerne Hvis i har spørgsmål, så gå til CISO/DPO og tag altid dem med i et itprojektforløb (allerede når det er på tankeplan) Besvar spørgsmål i de redskaber der stilles til rådighed Det handler ikke bare om compliance eller teknik: Det handler om ikke at save den gren over I sidder på 20
Konkrete anbefalinger 4 Forretningen: Se det som en mulighed! Det er ikke bare udgifter og besvær I kommer til at kende jeres data på en ny måde i forbindelse med kortlægningen => måske nye forretningsmuligheder I kommer til at kunne strømline nogle processer, når I ved hvor data flyder rundt => måske mulighed for at effektivisere I kommer til at kunne give den beskyttelse af data, som I egentlig gerne ville give, men som I bare håber, at ingen opdager, at I ikke giver lige nu => bedre håndtering af organisationens risici 21
Vejledningen, mapning, ex GDPR (15. december 2015 udgaven), Artikel 30, stk. 1, litra c: the controller shall implement appropriate technical and organizational measures, to ensure a level of security appropriate to risk including the ability to restore the availability and access to data in a timely manner in the event of a physical or technical incident ISO/IEC 27002:2013, Control 12.3.1: Backup copies of information, software and system images should be taken and tested regularly in accordance with an agreed policy DI s beskrivelse af kontrollen og mapping af de to kilder: Virksomheden skal sikre, at personoplysninger kan genskabes indenfor rimelig tid. Artikel X, stk. Y A.12.7.1 (kontroller i forbindelse med audit af informationssystemer) A.12.3.1 (backup af information) A.17.1.1 (planlægning af informationssikkerhedskontinuitet) A.17.1.2 (implementering af informationssikkerhedskontinuitet) A.18.2 (gennemgang af informationssikkerhed) Virksomheden skal sikre, at sikkerhedstiltagene bliver testet og at personoplysninger kan genskabes indenfor rimelig tid 22
DI's bud på DPbD DPbD Data Loss Prevention Data Discovery Identity and Access Governance Log management Backup Shadow-it discovery Information Lifecycle Management Pseudonymization Encryption Anonymization Virtual or partial identities 23
DPIA - "definition" Definition En DPIA er en vurdering af risici, set fra et individs synspunkt, ved at en aktør behandler individets personoplysninger. Indhold DPIA'en består af en analyse og af en proces. Analysen sikrer, at de rette spørgsmål bliver stillet og besvaret. Processen sikrer, at spørgsmål stilles og svar gives på dette rette tidspunkt i en teknologis livscyklus. 24
DPIA-proces DPIA-proces Idefase Planlægning og arkitektur Teknologivalg Implementering og test Drift og ændringer Idefase: Er der behov for DPIA? (A) og compliance-betragtning (B) Planlægning og arkitektur: dataflowanalyse (C), de registreredes risici (D) og planlægning af korrigerende foranstaltninger (E) Teknologivalg: Privacy Enhancing Technologies (G) Implementering og test: Information til datasubjekter (F) og anonymisere/slette Drift og ændringer: Følge op på DPIA og implementere kontroller 25
DPIA - dataflowanalyse Hvilke personoplysninger vil blive behandlet? Hvilke typer af teknologier anvendes? Hvordan foregår indsamlingen af personoplysninger? Til hvilket formål behandles personoplysningerne? Andre formål? Ekstra data? På hvilket retligt grundlag foretages behandlingen? Samtykke? Hvilken behandling finder sted? Hvem har adgang til data? Hvem har ansvaret for personoplysningernes sikkerhed? Hvordan ser dataflowet ud efter indsamling? Tegnet flowdiagram? Hvordan organiseres personoplysningerne? Videregives data til andre? 26
DPO-netværk Løbende opdatering af udviklingen - herunder fortolkningsbidrag Invitation til arrangementer 27
Myndighederne EU Virkning fra 25. maj 2018 eprivacy-direktivet under revision Vejledninger fra artikel 29-gruppen og Kommissionen bl.a. ifht. dataportabilitet, DPIA, DPO, certificering, code of conducts og ikoner Justitsministeriets persondatakontor m.fl. Udnyttelse af hvilke af fleksibilitetsbestemmelserne, der skal udnyttes Hvilke særlove og sektorspecifikke love skal ændres/opretholdes Datatilsynets regulering og organisering Hjemmel til staf og administrative bøder Afklare forhold til anden EU ret 100-150 notater og rapport ultimo 1. kvartal 2017 Lovforslag oktober 2017 Al lovgivning på plads i 1. kvartal 2018 28
Links DI's vejledning om forordningen http://di.dk/virksomhed/produktion/it/itsikkerhed/personoplysninger/pages/v ejledningompersondataforordningen.aspx DI's DPIA-skabelon http://di.dk/virksomhed/produktion/it/itsikkerhed/personoplysninger/pages/d IsskabelonforPrivacyImpactAssessment.aspx DI's vejledning om sikkerhed ved cloud computing og outsourcing http://di.dk/virksomhed/produktion/it/itsikkerhed/vejledninger/pages/sikkerh edsmaessigeovervejelservedcloudcomputingogoutsourcing.aspx DI's sikkerhedsside http://di.dk/virksomhed/produktion/it/itsikkerhed/pages/default.aspx DI's arrangementer om persondataforordningen http://digital.di.dk/arrangementer/pages/arrangementer.aspx DI's DPO-netværk Mail til Henning Mortensen, hem@di.dk 29