Konsekvensanalyser i praksis: hvorfor, hvornår og hvordan Databeskyttelsesdagen 2017 Birgitte Kofod Olsen, partner, Ph.d., Carve Consulting Vi skaber muligheder & realiserer potentialet sammen
Præsentation Birgitte Kofod Olsen Jurist (1991) med Ph.D.-grad i biometri og privatlivsbeskyttelse (1998) Partner og medejer af Carve Consulting CSR-chef i Tryg 2009-14 Vicedirektør, afdelingsleder og forsker i Institut for menneskerettigheder 1994-2009 Ekstern lektor, gæsteforelæser, censor og PhD-bedømmer på Københavns Universitet, Roskilde Universitet, Århus Universitet, Ålborg Universitet, Copenhagen Business School, BI Norwegian Business School 1999- Forskningssamarbejde med DTU og SDU, 2016- Medlem af repræsentantskabet i Foreningen Nordea Liv og Pension, 2016- Medlem af Ligebehandlingsnævnet 2015- Medstifter af tænke-handle-tanken Dataethics 2015 Formand for Rådet for Digital Sikkerhed 2012-2015 Næstformand for Ungdomsbyen 2007-15, formand 2016- Formand i teatrene Danskdansk og Teatergrad 2012-2016 Årets Erhvervskvinde i 2014 Mangfoldighedsambassadør, Københavns Kommune, 2014 Optaget i Kraks Blå Bog i 2013. 2
Konsekvensanalyse - hvorfor? Datasubjektet har ret til kontrol med egne data Jeg bestemmer over min krop mine ting mine penge data om mig Retten til respekt for privatliv Enhver har ret til respekt for sit privatliv, familieliv,hjem og korrespondance Retten til beskyttelse af data Enhver har ret til beskyttelse af persondata, der vedrører ham eller hende Derfor skal du spørge mig om lov, hvis du vil bruge mine data fortælle, hvorfor og til hvad, mine data skal bruges til fortælle, hvem der ellers ser dem fortælle, hvis du mister dem - 3
Konsekvensanalyse - hvornår? Den dataansvarlige skal foretage en analyse af påtænkte behandlingsaktiviteters konsekvenser for beskyttelsen af persondata, hvis der benyttes nye teknologier eller anden behandlingstype, der på grund af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. 4
Krav om konsekvensanalyse EU-GDPR stiller krav om konsekvensanalyser i en række tilfælde: BEGRÆNSNING I RETTIGHEDER Når der er høj risiko for at datasubjektet bliver begrænset i at udøve sine rettigheder eller gøre brug af en kontrakt eller en service Ved brug af NYE TEKNOLOGIER PROFILERING Når der foretages en systematisk og omfattende evaluering af enkeltpersoner med henblik på at træffe en afgørelsen, der har retsvirkning for vedkommende eller betydeligt påvirker ham eller hende FØLSOMME DATA I STOR SKALA race og etnisk oprindelse, politisk eller filosofisk overbevisning, Religion Medlemskab af fagforening, Genetiske og biometriske data Sundhed Sexliv Seksuel orientering OVERVÅGNING I STOR SKALA af offentligt tilgængelige steder Oplysninger om STRAFBARE FORHOLD I STOR SKALA 5
Konsekvensanalyse hvad skal den vise? EU-GDPR artikel 35 indeholder en række krav til en databeskyttelseskonsekvensanalyse (DPIA). Konsekvensanalysen skal mindst omfatte: en systematisk beskrivelse af de planlagte behandlingsaktiviteter formålene med behandlingen behandlingens lovlige grundlag en vurdering af, om der er et rimeligt forhold mellem formål og behandlingen (proportionalitet) en vurdering af risikoen for at påvirke datasubjektets rettigheder og frihedsrettigheder negativt etablerede eller påtænkte risikoreducerende foranstaltninger. overholdelse af godkendt adfærdskodekster efter forordningen kan også indgå i vurderingen. 6
Beskrivelse af behandlingsaktiviteterne Databehandling Sikkerhed Databeskyttelsespolitik Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandlings-betingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungerevejende interesseer Overførsel til tredjeland Oplysninf om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Risikoreducerende foranstaltninger Dataansvarlighed Datarettigheder 7
Vurdering af risici for datasubjektet Risiko: det lovlige grundlag er ikke etableret - datasubjektet har ikke givet samtykke - der er ikke lovhjemmel til databehandlingen - behandlingen sker ikke til opfyldelse af kontrakt - behandlingen sker ikke til opfyldelse af en samfundsmæssig interesse Risiko: dataansvarlighed - der er ikke vedtaget en politik - der er ikke etableret procedure for databehandlingen og datarettigheder - Der føres ikke fortegnelser over behandlingsaktiviteterne Datamængde & type Lovligt grundlag Dataansvarlighed Behandlingssikkerhed Risiko: Mængden og typen af data - er unødvendig i forhold til formålet (overskudsinformation) - skaber for stor indsigt i datasubjektets privatliv (økonomi, ophold, relationer) - indeholder irrelvante eller ukorrekte oplysninger om datasubjektet - opbevares længere end det er nødvendigt i forhold til formålet Risiko: behandlingssikkerheden er ikke effektiv - Destruktion, tab eller ændring - Uautoriseret offentliggørelse - Uautoriseret adgang 8
Konsekvensanalyse hvordan? Udførelse af konsekvensanalysen forudsætter, at vi kan: IT ARKITEKTUR Skabe overblik over IT landskabet FUNTKIONSOMRÅDER Identificere relevante funktionsområder DATAFLOWS Beskrive dataflows: - datakilder - dataelementer - datayper - overførsel til 3. parter DPIA Dataansvarlighed Databehandling Datarettigheder Datasikkerhed 9
Forudsætning 1: IT arkitekturen TEGNING & BESKRIVELSE IT arkitektur Systemkomponenter Software Algoritmer Interfaces Databaser Cloud løsninger Alle systemer og løsninger, der håndterer data er relevante uanset, at leverandøren ikke har direkte adgang til at gøre sig bekendt med indholdet af data 10
Forudsætning 2: Identifikation af fokusområder Identifikation og beskrivelse af de funktionsområder i forretnings- og stabsfunktioner, der behandler persondata som led i deres opgaveløsning. 11
Valg af niveau Virksomhedsområde Formålsbestemthed Funktionsområde Proces System Salg og marketing Kampagner Telemarketing Kampagne planlægning Kampagne gennemførelse Kampagne statistisk og rapportering Gennemfør salgsopkald CRM Business Intelligence Danmarks statistik Click trace Aktiv Server A Database A Netværk Infrastruktur Serverrum A 12
Forudsætning 3: kortlægning af dataflows Dataflowet skal vise strømme af data ind og ud af organisationen: DATA INPUT DATA OUTPUT DATA UDVEKSLING Funktionsområde DATAKILDER DATAELEMENTER DATATYPER
Data elementer og type Dataelementer Felter, der indeholder oplysninger om identificerbare personer Eller sammen med andre felter kan afdække: - oplysninger af privat karakter - ved berigelse fra eksterne kilder kan afdække oplysninger af privat karakter
Konsekvensanalyse hvordan? Udførelse af konsekvensanalysen forudsætter, at vi kan: IT ARKITEKTUR Skabe overblik over IT landskabet FUNTKIONSOMRÅDER Identificere relevante funktionsområder DATAFLOWS Beskrive dataflows: - datakilder - dataelementer - datayper - overførsel til 3. parter DPIA Dataansvarlighed Databehandling Datarettigheder Datasikkerhed 15
Beskrivelse af behandlingsaktiviteterne Databehandling Sikkerhed Databeskyttelsespolitik Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandlings-betingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungerevejende interesseer Overførsel til tredjeland Oplysninf om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Risikoreducerende foranstaltninger Dataansvarlighed Datarettigheder 16
Vurdering af risici for datasubjektet Risiko: det lovlige grundlag er ikke etableret - datasubjektet har ikke givet samtykke - der er ikke lovhjemmel til databehandlingen - behandlingen sker ikke til opfyldelse af kontrakt - behandlingen sker ikke til opfyldelse af en samfundsmæssig interesse Risiko: dataansvarlighed - der er ikke vedtaget en politik - der er ikke etableret procedure for databehandlingen og datarettigheder - Der føres ikke fortegnelser over behandlingsaktiviteterne Datamængde & type Lovligt grundlag Dataansvarlighed Behandlingssikkerhed Risiko: Mængden og typen af data - er unødvendig i forhold til formålet (overskudsinformation) - skaber for stor indsigt i datasubjektets privatliv (økonomi, ophold, relationer) - indeholder irrelvante eller ukorrekte oplysninger om datasubjektet - opbevares længere end det er nødvendigt i forhold til formålet Risiko: behandlingssikkerheden er ikke effektiv - Destruktion, tab eller ændring - Uautoriseret offentliggørelse - Uautoriseret adgang 17
Fordele ved konsekvensanalyse DPIA processen og resultatet kan også anvendes til at: Identificere behovet for organisatoriske foranstaltninger, fx behov for politikker, procedurer og retningslinjer, adgangsrettigheder, kontroller og revision, artikel 24 Identificere behovet for at anvende redskaber til privacy by design og privacy by default, artikel 25 Føre kontrol med, at databehandlere opfylder forordningens krav, artikel 28 Opfyldelse af dokumentationskravet, art. 30 Identificere behovet for sikkerhedsmæssige foranstaltninger, fx brug af kryptering, anomymisering, psudunymisering, artikel 32 Udarbejde handlingsplaner til mitigering, eliminering og forebyggelse af sikkerhedsbrud, artikel 32 Udarbejde beredskabsplaner 18
19
Relevant materiale Databeskyttelsesreform Datatilsynets informationsside http://dbreform.dk/ UK information commissioner s office https://ico.org.uk/ Siscon ControlManager redskab til informationssikkerhedkontrol http://siscon.dk/ DPIRAT Carve Data Protection Impact and Risk Assessment Tool DPOMM - Carve Data Protection Organisation Maturity Model Information hos bko@carve.dk 20
Kontakt information Birgitte Kofod Olsen Partner, PhD Carve Consulting Nørre Voldgade 11, 2. sal 1358 København K +45 25 26 09 03 bko@carve.dk Carve.dk 21