Skytjenester og nytt personvernregelverk

15.02.2017

2

Agenda

Thinkstock.com

• Personopplysninger

• Skytjenester

• Problemstillinger som må vurderes

• Nytt personvernregelverk

Personopplysninger

4

Hva er person(opplysnings)vern?

”Den enkeltes rett til å ha kontroll med egne personopplysninger”

Selvbestemmelse – rett til selv

å bestemme hvilke opplysninger som

skal brukes, av hvem, til hvilke formål osv.

Informasjon – hvis man ikke har rett

til å samtykke, har man i det minste rett

til å vite hvilke opplysninger som brukes,

av hvem, til hvilke formål osv.

Personvern er noe mer enn informasjonssikkerhet.

Thinkstock.com

Personopplysninger – hva er det?

5

Peder Aas2020 Lillevik

F.nr 180262 34997

Personopplysninger er også…

• Fødselsnummer: 13087846271

• Telefonnummer: 22396900

• IP-adresse: 195.159.103.82

• Bilnummer: BL 23456

• Bluetooth MAC: 17:35:52:78:4B:CA

• Wi-Fi-adresse MAC: 12:44:32:45:7B:C9

• Autpass-brikke-ID: 7483920983278394

• UDID: f7426bd759856431d9ae2c99175407a0dcd67ab5

6

Skytjenester

Kort om skytjenester

• Er det egentlig noe nytt?

• ASP, Fjerndrift, stormaskin, hosting, …

• Rokker ikke ved ansvarslinjeneVirksomhet LeverandørBehandlingsansvarlig Databehandler

• Skytjenester betyr ikke fravær av kontroll (i så fall er det uforenlig med regelverket)

8

Ulike typer av skytjenester

9 Kilde: Enisa «Cloud Security Guide for SMEs»

Outsourcing av oppgaver er forskjellig

i ulike tjenestetyper

10 Kilde: Enisa «Cloud Security Guide for SMEs»

Problemstillinger som må vurderes

• Hvor lagres data? Overføring til tredjeland?

• Sikkerhetskopiering / speiling

• Segmentering

• Tilgangsstyring

• Dokumentasjon

• Sletting

• Bruk til egne formål (Forbedre egne tjenester? Profilering?)

• Underleverandører

• Sikkerhetsrevisjon• Påse at databehandler iverksetter tiltak og dekker hele kjeden

• Alternativt tredjepartsrevisjon – krev å få se rapporten!

• Sikker kommunikasjon - Kryptering

14

15

Hvem og hva kontrollerer vi i dag

Behandlingsansvarlig - virksomheten

• Internkontroll

– Oversikt over personopplysninger

– Rutiner for innsyn, retting, sletting, informasjon, samtykke…

• Informasjonssikkerhet

– Risikovurdering

– Databehandleravtale

– Sikkerhetsrevisjon

Databehandler- leverandør av skytjeneste

• Databehandlers plikter

• Sikkerhetskrav

16

Utfordring med revisjonsrapport

SOC2-rapporten

• Omfattende rapport (ca 200 sider)

• Tilsvarer revisjon av ISO 27001 og 27002

• Rapporten kan vise at leverandøren er god på sikkerhet

ISO 27018*

• Skal vise etterlevelse av kontroller i 27018 – som viser til 27001

• Ingen egen revisjonsdel

• Ingen detaljer om undersøkelser er gjort og hvordan etterlevelse er kontrollert

• Hvordan kan man kontrollere at leverandøren ikke bruker personopplysninger til andre formål?

* ISO 27018 – Retningslinjer for beskyttelse av personopplysninger i offentlige skytjenester som håndterer personopplysninger

Internasjonalt samarbeid

• Article 29 Working Party (Art. 29 WP), Opinion 5/2012

• Etterlevelse av personverndirektivet

• Article 29 Working Party (Art. 29 WP), Opinion 2/2015

• C-SIG Code of Conduct on Cloud Computing

• International Conference of Data Protection and Privacy Commissioners, Resolution October 2012

• Overordnet

• Berlingruppen (the International Working Group on Data Protection in Telecommunications (IWGDPT)), SopotMemorandum April 2012

• Best Practice - kulepunkter

17

Aktuelt arbeid i Norge og i EU

• KMDs strategi for bruk av skytjenester i offentlig sektor

• Strategien ble lansert 18. april 2016

• KMD har lansert en rapport fra en interdepartemental gruppe som har sett på hindringer i ulike regelverk (juni 2015)

• KS har lansert en rapport (en mulighetsstudie) for bruk av nettsky i kommunal sektor (juni 2015)

• ENISA

• Cloud Security Guide for SMEs m.m.

18

Bakgrunn om forordningen

Bakgrunn

• Arbeidet startet i 2012

• Vedtatt i 2016 og trer i kraft i 2018

• Felles regelverk for personvern i Europa

• Styrke den europeiske borgers rettigheter

• Gjøre det lettere å utveksle personopplysninger over landegrenser

• Styrke tilliten til digitale tjenester

• Sikre samarbeid mellom personvernmyndigheter

20

Hva gjør Datatilsynet?

• Bistår Justis- og beredskapsdepartementet og Kommunal- og moderniseringsdepartementet

• Eget internprosjekt– IKT

– Juridisk

– Nettsider

– Personvernombud

– Kommunikasjon

• Deltar i internasjonalt arbeid og bidrar til utredninger

21

Dagens krav til informasjonssikkerhet

23

Personopplysningsforskriften kapittel 2

§ 2-1 Forholdsmessige krav om sikring av personopplysninger

§ 2-2 Pålegg fra Datatilsynet

§ 2-3 Sikkerhetsledelse

§ 2-4 Risikovurdering

§ 2-5 Sikkerhetsrevisjon

§ 2-6 Avvik

§ 2-7 Organisering

§ 2-8 Personell

§ 2-9 Taushetsplikt

§ 2-10 Fysisk sikring

§ 2-11 Sikring av konfidensialitet

§ 2-12 Sikring av tilgjengelighet

§ 2-13 Sikring av integritet

§ 2-14 Sikkerhetstiltak

§ 2-15 Sikkerhet hos andre virksomheter

§ 2-16 Dokumentasjon

Krav til informasjonssikkerhet i nytt regelverk

Art. 32 – Security of processing

• Risikovurdering

• Sikkerhetstiltak – Pseudonymisering og kryptering av

personopplysninger

– Sikre vedvarende K, I, T og robusthet

– Gjenoppretting av tilgjengelighet og tilganger ved hendelser

– Jevnlig testing, vurdering og evaluering

• Bransjenormer eller godkjent sertifiseringsordning – Element for å vise etterlevelse

• Tiltak for å sørge for at behandling kun skjer på instruks fra behandlingsansvarlig

25

Art. 30 – Oversikt over behandlingsaktiviteter

• Kontaktinformasjon til behandlingsansvarlig

• Formål

• Kategorier av registrerte og personopplysninger

• Kategorier av mottakere

• Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkeligbeskyttelse

• Slettefrister

• Sikkerhetstiltak

Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige

26

Alle får nye krav til avvikshåndtering

• Strengere regler enn i dag

• Melde avvik innen 72 timer

• Stilles krav til innholdet i avviksmeldingen

• De berørte skal varsles i klart språk

27

Innebygd personvern og DPIA

Alle skal bygge personvern inn i nye løsninger

Innebygd personvern (Privacy by design): Å ta hensyn til personvernet i alle utviklingsfasene av et system

• Utviklet av IPC i Ontario

• Vedtatt på internasjonal personvernkonferanse

• Oversatt til norsk

• Og nå blir det en pliktå gjøre det…

29

Innebygd personvern – 7 steg

30

1. Vær i forkant, forebygg fremfor å reparere

2. Gjør personvern til standardinnstilling

3. Bygg personvern inn i designet

4. Skap full funksjonalitet: Både-og, ikke enten-eller

5. Ivareta informasjonssikkerhet fra start til slutt

6. Vis åpenhet

7. Respekter brukerens personvern

31

Innebygd personvern og som standard – Art 25

• Tekniske og organisatoriske tiltak– pseudonymisering

• Utformet for å ivareta personvernprinsipper– minimalisering

• Det minst personverninngripende alternativet som standard: – mengde

– omfang

– lagringstid

– tilgjengelighet

Vurdering av personvernkonsekvenser -

Privacy / Data protection impact assessment (PIA/DPIA)

32

En systematisk prosess, som…

identifiserer og evaluerer…

fra alle interessenters synsvinkel…

potensielle personvernkonsekvenser i…

et prosjekt, initiativ, foreslått system eller prosess…

og som inkluderer det å finne ut…

hvordan dere kan unngå trusler mot personvernet…eller

hvilke tiltak dere må innføre for å avverge trusler mot personvernet

Hva skal beskyttes?

33

Konfidensialitet

Tilgjengelighet

Integritet

Kan ikke koblesUnlinkability

ÅpenhetTransparency

Mulighet til å gripe innIntervenability

Den registrertes perspektiv

Oversatt fra en artikkel om DPIA-prosessen: http://friedewald.website/wp-content/uploads/2016/06/apf2016.pdf

Hva er personvernkonsekvenser?

Eksempler:

• Manglende eller mangelfull kontroll av utlevering – øker sannsynlighet for feilaktig deling.

• Deling og sammenstilling av datasett kan føre til at virksomheter samler inn mer opplysninger enn enkeltpersoner er klar over.

• Identifikatorer som blir samlet inn og knyttet sammen, kan hindre folk fra å bruke en tjeneste anonymt.

34

Hvilke tiltak kan avverge personvernkonsekvenser?

Eksempler:

• Begrense innsamling eller lagring av enkelte typer opplysninger.

• Begrense lagringstid slik at opplysninger kun lagres så lenge det er nødvendig, og planlegge sikker sletting/ødeleggelse av informasjon.

• Utvikle måter for sikker anonymisering når dette er mulig.

• Gjøre det mulig for enkeltpersoner å få lett tilgang til sine opplysninger, og gjøre det enkelt å håndtere innsynsbegjæringer.

35

DPIA - oppsummert fra Art. 35 (1/3)

DPIA er en prosess for å bygge og demonstrere etterlevelse av regelverket.

• Av hvem? Behandlingsansvarlig. PVO kan bidra.

• Når? Før en behandling starter eller før utviklingsstart.

• Når skal den oppdateres? Ved endring av risiko eller kontekst.

• Når skal man be om en forhåndsdrøftelse av Datatilsynet? Når DPIA bekrefter at risikoene er høye.

• I hvilke tilfeller? Høy risiko for den enkelte og påkrevd i Art. 35 (3)

36

DPIA – oppsummert fra Art. 35 (2/3)

Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser:

• systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser

• behandling av sensitive personopplysninger i stort omfang

• systematisk overvåking av offentlig område i stort omfang

I tilfelle man er i tvil anbefaler vi å utføre en DPIA.

37

DPIA – oppsummert fra Art. 35 (3/3)

Vurderingen skal som minimum inneholde:

• Systematisk beskrivelse av behandlingen, formål, og evt. hvilken berettiget interesse den ivaretar.

• Vurdering av nødvendighet og forholdsmessighet, sett opp mot formålet.

• Vurdering av risikoen for rettigheter og frihet til registrerte.

• Tiltak som skal iverksettes for å redusere risikoen.

38

Forhåndsdrøftelser – Art. 36

• Ved høy risiko, som ikke kan begrenses, skal vi involveres i forhåndsdrøftelser

• Det stilles krav til dokumentasjon som skal sendes inn til oss

• Forordningen stiller krav til vår behandlingstid

• Vi kan veilede eller forby behandlingen

39

Nye plikter for databehandlere

Alle databehandlere får nye plikter

• Egne rutiner for behandling av personopplysninger

• Si fra om instrukser er i strid med loven

• Underleverandører skal godkjennes

• Melde avvik til behandlingsansvarlig

• Kan bli erstatningspliktige

41

Databehandleravtale – Art. 28

• Behandling av personopplysninger – kun på instruks

• Overføring til land utenfor EU/EØS – kun på instruks

• Taushetsplikt

• Informasjonssikkerhet (art. 32)

• Underleverandører (art. 28)

• Bistå behandlingsansvarlig– Etterkomme krav fra enkeltpersoner

– Informasjonssikkerhet, avvikshåndtering, DPIA

• Slette eller tilbakeføre alle personopplysninger (også kopier) ved opphør av tjeneste.

• Dokumentasjon som viser etterlevelse av art. 28.

• Tillate og bidra til revisjoner.

• Skriftlig avtale, også elektronisk.

42

44

Mer informasjon på www.datatilsynet.no

• Skytjenester (veileder)

• Risikovurdering (veileder)

• Databehandleravtale(veileder og mal)

• Nye personvernregler:datatilsynet.no/forordning

…og masse mer på www.datatilsynet.no

postkasse@datatilsynet.no

Telefon: +47 22 39 69 00

datatilsynet.no

personvernbloggen.no

Takk for oppmerksomheten!

martha.eike@datatilsynet.no | @marthaeike (Twitter)