Oppfyller norske virksomheter forpliktelsene etter
personvernlovgivningen - og hvordan de ser på
fremtidens krav?
Punkter
• Personvernlandskapet – personrettede tjenester
• Avviksmeldinger til Datatilsynet
• Hva er de største utfordringene for norske virksomheter?
• Hva skjer fram mot 2018?
2
Personrettede tjenester – en enkelt eksempel
3
Side 401.09.2016
Alt kan kobles
• Mobiler
• Klokker
• Klær
• Biler
• Kjøleskap
• Briller
• Lyspærer
• Temperaturmålere
• Mat
• Gulv og vegger
• Huset
5
Hva betyr det?
• Reklame skal skreddersys
• Avisen skal skreddersys
• En politisk budskap skal skreddersys ( en venstremann er ikke en venstremann )
• Forsikring basert på en individuell risiko, ikke en kollektiv
• Persontilpasset medisin
• Selvkjørende biler og etiske vurderinger
• Segmentering av tilbud
• Delingsøkonomi
• Plattformer!
Analyse av avviksmeldinger til Datatilsynet
7
Tall om avviksmeldinger til Datatilsynet
• Basert på 116 saker fra vårt arkiv i 2014
• Kun avvik hvor det har skjedd/ kan ha skjedd en utlevering.
• Fokuser på de store linjene, ikke eksakt prosentfordeling.
• 116 saker om avvik = store mørketall.
• Stor forsiktighet med allmenngyldige konklusjoner.
Etter personopplysningsforskriftens § 2-6 skal virksomheter melde fra til Datatilsynet når beskyttelsesverdige personopplysninger har kommet på avveier.
Typer avvik - Slik gikk det galt
Kategori Antall Prosentandel
Forsendelsesfeil - digitale og analoge 57 48 %
Hacking/datainnbrudd 12 10 %
Snoking 9 8 %
Tilgangsstyring feilet, mangelfull eller manglet 7 6 %
Nettpublisering 6 5 %
Personopplysninger bevisst utlevert (ikke rettslig adgang til
det) 4 3 %
Fysisk innbrudd - digitale eller analoge data forsvunnet 3 3 %
Avhending uten sletting/ makulering 2 2 %
Mistet/gjenglemt/forlagt (analogt og digitalt) 1 1 %
Andre avvik 19 16 %
SUM 120 100 %
Papir og annet analogt
28 %
Minnepinne, CD og andre små digitale
lagringsmedium5 %
Smarttelefon, PDA, nettbrett (små
håndholdte digitale)
0 %
Laptop og liknende 1 %
Stasjonære datamaskiner
1 %
Server, større IT-systemer og skylagring
34 %
E-post og annen digital forsendelse
23 %
Nettpublisering/ åpent på nett
8 %
Primært lagringsmedium/ tenknologi i avviket
Intern85 %
Ekstern15 %
Primær årsak
Ikke følsomme; 23%
Fødselsnummer - for øvrig ikke
følsomme; 20%Følsomme med
hensyn til art eller mengde;
34%
Sensitive personopplysni
nger; 23%
Var personopplysningene følsomme?
Fødselsnummer i 53 % av sakene.
Hva er de største utfordringene for norske virksomheter?
14
Flere viktige elementer i analysen
• Faktisk kjennskap til regelverket (1)
• Erfaringer fra tilsynsvirksomheten (2)
• Erfaring fra råd- og veiledning (3)
• Erfaringer fra saksbehandlingen (4)
• Der skoen trykket før vil den sannsynligvis trykke minste like hardt
• Noen kjennetegn med norsk bedriftsstruktur (5)
• Noen kjennetegn ved regelverket (6)
17
Faktisk kjennskap til regelverket (1)
• I dag: Stor variasjon, men jevnt over liten kjennskap til regelverket
– Erfarer dette på tilsyn
– Lovbrudd er ofte utslag av manglende kjennskap fremfor ond vilje
– Det er et vanskelig regelverk i dag
– …og det er heller ikke et enkelt regelverk etter 2018
– Derfor: Virksomhetene har en jobb å gjøre
– Men; mulighet for ny start
18
Erfaring fra tilsynsvirksomheten (2)
• Mangler ved internkontroll og informasjonssikkerhet
– Ofte likhetstegn mellom informasjonssikkerhet og personvern
• Bedriftshemmelig, brannmurer, sikring
• Ikke samme oppmerksomhet om person/kundedata
• Særlig viktig ettersom borgernes rettigheter styrkes
– Dokumentert internkontroll
• Risikovurderinger
19
Erfaring fra råd- og veiledning (3)
• Internkontroll og informasjonssikkerhet
• Arkitektur og design
• «Vi vil bruke data innhentet fra kundene våre, men vil samtidig ivareta den enkeltes personvern»
• Manglende kjennskap til hva personvern egentlig er
20
Erfaringer fra juridisk veiledningstjeneste (4)
• Veiledningstjenesten
– 8 737 henvendelser fra borgere og virksomheter hvert år
21
Annet23 %
Arbeidsliv21 %
Register14 %
Kameraovervåking12 %
Melding/konsesjon 9 %
Info.sikkerhet 7 %
Internett 7 %
Fødselsnummer4 % Skole/barnehage
3 %
Henvendelser i 2015
Noen kjennetegn ved norsk bedriftsstruktur (5)
• Mange SMB, og vår erfaring er at skoen trykker til dels kraftig i dette segmentet
• Det samme gjelder deler av offentlig sektor, særlig kommuner ( inkludert skole )
22
Noen kjennetegn ved regelverket (6)
• Skjønnsmessig regelverk og vanskelige vurderinger
– Personvernombud eller ikke
• core activity….systematic monitoring
• core activitiy….large scales of data….
– Hvordan anvende prinsippene for innebygd personvern
• implement appropriate technical and organisational measures…
23
Noen kjennetegn ved regelverket (6)
• Skjønnsmessig regelverk og vanskelige vurderinger
– Data protection impact assessment
• likely to result in high risk for the rights and freedoms…
– Forhåndsdrøftelse ( prior consultation )
• …..in the absence of measures taken by the controller to mitigate therisk…
24
Hva skjer fram til mai 2018?
25
Regler som forsvinner eller må gjennomgås
• Særregler om kameraovervåking
• Kredittopplysninger
• Konsesjoner
• Innsyn i epostkasse
• Meldeplikt
26
Hvordan vi jobber mot 2018
• Rigger et fire-delt prosjekt
– Nytt regelverk - juridisk implementering
– IKT / prosesstøtte
– Informasjon til virksomheter og borgere
– Personvernombudsordningen
• Tett dialog med bransjer og virksomheter under marsjen
27
Endring i arbeidsmetodikk i Datatilsynet
• Mer råd- og veiledning– Både overfor virksomheter i enkeltsak – …og generelt
• Mer systemkontroll– Er internkontrollen på plass?– Er et system bygd på prinsippene for innebygd personvern? – Burde det vært opprettet personvernombud
• Ta initiativ til, og bidra i utarbeidelse av bransjenormer
• Saker av overnasjonal karakter
• Sanksjoner
• Personvernombudsordningen
28