Hvilke forberedelser kræver EUpersondataforordningen? Klaus Kongsted, kka@dubex.dk Dubex A/S, 11. juni 2015
Agenda Hvordan ser det ud i dag? Hvem vedrører forordningen? Skal min organisation gøre noget? - Hvad? - Hvornår? Kan/skal vi forberede os nu? Er der nogle vi kan lære af? Roadmap
Hvordan ser det ud i dag? Den nuværende persondatalov Fra år 2000, løbende smårevisioner Bunder hovedsaglig i et EU-direktiv Tre niveauer af personoplysninger Følsomme oplysninger (lovovertrædelser, helbred, seksualitet, religion mm.) Oplysninger om rent private forhold Ikke-følsomme oplysninger Som udgangspunkt anmeldelsespligt for registre Lang række undtagelser Bliver i stort omfang ikke fulgt, sanktioner stærkt begrænsede...
Sanktioner?
Den nye forordning, med EU-Parlamentets ændringer Forordning direkte lovgyldighed i alle lande Ensartede regler i hele EU / EØS samt one-stop myndighedsudøvelse Retten til at få slettet oplysninger (ikke kun til at blive glemt ) Kun registrering ved aktivt samtykke Ingen forhåndsgodkendelse af registre (til myndighed) Breach Notification Som udgangspunkt inden for 24 timer Data Protection Officer (databeskyttelsesansvarlig) SMV er som udgangspunkt undtaget (< 250 ansatte) Obligatorisk Privacy Impact Assesment SMV er som udgangspunkt undtaget (< 250 ansatte) Store bøder (højeste af EUR 100 mio eller 2% / 5% af omsætning)
Roadmap EU-Kommisionens oprindelige forslag 25/1-2012 LIBE giver OK EU s kommite for Borgernes Rettigheder og Retlige og Indre Anliggender (LIBE) giver OK for videre fremdrift 22/10 2013 Ministerrådsvedtagelse Helt grundlæggene ændringer kan ikke foretages uden at genstarte processen. Endelig, fuld gyldighed Ikke flere overgangsbestemmelser 2012 2013 2014 2015 2016 2017/18 Høringsrunde Politikere og høringsberretigede organisationer i alle EUlande kunne kommentere EU-parlamentsvedtagelse 3000+ ændringer. Vedtaget 12/3 2014 Delvis ikræfttrædelse Overgangsordninger på op til to år de indgående elementer
Forberedelse Forberedelsen starter NU: Dokumentér databehandlingssystemer Lav baseline Log adgang Kryptér data også data i transit Stil krav til tredjeparts-databehandlere Identificér risikofaktorer Forbered Data Privacy Impact Assessments Lav plan for DPO er tag udgangspunkt i ISO 2700x
Er vi forberedte? http://www.scmagazineuk.com/infosec-teams-unprepared-for-new-eu-data-protection-laws/article/394614/
Myndighedsudøvelse, jurisdiktion One-stop myndighedsudøvelse Organisationerne er som udgangspunkt kun underlagt deres egen nationale datamyndighed (men overnationalt tilsyn) Ikke-EU/EØS-virksomheder, der udbyder varer/ydelser til EU-borgere/- virksomheder, er også underlagt. Også gratis -ydelser!
Lobby-arbejde fra landene - eksempel Hvis nogen stadig skulle være i tvivl om hvem der bestemmer i EU:
Lobby-arbejde fra landene - eksempel Hvis nogen stadig skulle være i tvivl om hvem der bestemmer i EU:
Data Protection Officers Refererer direkte til ledelsen Udpeget for fire år, beskyttet mod afskedigelse (sammenligneligt med sikkerhedsrepræsentanter) eksternt sourcede dog to år SMV er (< 250 ansatte) kun hvis databehandling er kernevirksomhed * dog alle offentlige myndigheder ** Få lande har i dag tvungne DPO er Tyskland er tættest på Formentlig ofte ekstern Find dem snart der bliver rift om dem! *: Og/eller behandler over 5000 data-subjekter/år **: der foregår kraftigt lobbyarbejde mod dette i Ministerrådet
Hvem er DPO erne? Skal have ekspertkendskab til: Relevant lovgivning (Data Protection Act) Databeskyttelse Privacy Assesments hvor mange har den kombination? Må ikke have interessekonflikter (?) Ansvarlig for forordningens overholdelse i organisationen Point-of-contact for data-subjekter og myndigheder Ansvarlig for procedurer, risikovurderinger, dokumentation, DPIA mm. Klageansvarlig Ansvarlig over for revision Potentielt under strafansvar
Informeret samtykke og right-to-be-erased Informeret samtykke Eksplicit samtykke for registrering Som udgangspunkt en rettighed for borgeren Ikke kun opt-out Kræver i praksis formentlig afkrydsningsbokse eller lignende Breach Notification-krav (se senere) Right to be erased EU-Parlamentets udvidelse fra right-to-be-forgotten EU-domstolen har yderligere stadfæstet princippet Naturligvis ikke absolut (kriminalregistre etc.) Som udgangspunkt en rettighed for borgeren Store konsekvenser tænk på gamle backups Og så har borgerne ret til at få deres data flyttet til anden udbyder ( Right to data portability )
Breach Notification Inden for 24 timer (under visse omstændigheder 72) Også hvis data ligger hos tredjepart Både til myndigheder og berørte borgere Krav til mængden af information Tidspunkt Karakter af lækket data Hvor mange entiteter der er omfattet Undtagelser hvis det kan påvises data er ubrugelige (effektivt krypterede) Overstiger allerede vedtagne krav til TelCos Ligner eksisterende krav i Tyskland og Frankrig Kræver i praksis effektive loghåndteringssystemer og IAM Kræver i praksis 7x24 beredskab eget eller SOC-leverandør
Data Protection Impact Assessment Ofte kaldet Privacy Impact Assessment (PIA) Obligatorisk når der er særlige risici Erstatter anmeldelsespligten til national myndighed (dog foreslået undtagelse ved stoe konkrete risici ) SMV er (< 250 ansatte) kun hvis databehandling er kernevirksomhed * Offentlige myndigheder undtaget, hvis behandlingen er et EU-krav Risikobaseret tilgang ledelsen burde juble Der findes en del frameworks tilgængelige Vigtigt at få sat i system, og integreret del af projektplaner Stort erfaringsgrundlag i de angelsaksiske lande (AU, CA, NZ, UK, US)! *: Og/eller behandler over 5000 data-subjekter/år
Hvad indeholder en (D)PIA? Risikovurdering med udgangspunkt i datasubjekterne! Dokumentation Organisatoriske foranstaltninger Tekniske foranstaltninger Compliance i forhold til forordningen Evt. høring af datasubjekter Evt. høring af myndigheder (ved forøget risiko) Evt. foretagen begrænsning af risici Konsekvensanalyser Yderligere dokumentationskrav uden for (D)PIA Formål Kontaktoplysninger Evt. tilladelser/hjemmel Klageadgang Kontrolforanstaltninger Subjekttyper, datatyper, modtagere, sletningskrav, evt. overførsler
Hvornår skal (D)PIA laves? Forordningens artikel 33 om konsekvensanalyse: Foretages når behandlingen af personoplysninger kan indebære specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af behandlingens karakter, omfang eller formål Eksempler kunne være indsamling/behandling af oplysninger om personers: Sygdom Økonomi Seksualitet Etnicitet Alle former for vaner/aktioner, der måtte opfattes som personlige
Hvordan laver man en (D)PIA? Beskrivelse af den/det påtænkte behandling/system Risikoanalyse Høring blandt (potentielt) registrerede Konsekvensanalyse Eventuelle afhjælpningsforanstaltninger Sikkerhedsforanstaltninger Dokumentér processer og efterlevelse
PIA frameworks - eksempler
Yderligere henvisninger Fact-sheet om EU-Parlamentets ændringer til Kommissionens forslag http://ec.europa.eu/justice/dataprotection/files/factsheets/factsheet_dp_plenary_vote_14031 2_en.pdf Samlet oversigt over Parlamentets ændringer og Ministerrådets nuværende positioner (tungt!) http://www.statewatch.org/news/2015/apr/eu-council-dp-reg- 4column-2015.pdf DI ITEK s skabelon for Privacy Impact Assessment http://itek.di.dk/sitecollectiondocuments/vejledninger/di's% 20skabelon%20for%20Privacy%20Impact%20Assessment.p df
TAK! For mere information kontakt Klaus Kongsted kka@dubex.dk