skytjenester og nytt personvernregelverk · personvern er noe mer enn informasjonssikkerhet....
TRANSCRIPT
Skytjenester og nytt personvernregelverk
15.02.2017
2
Agenda
Thinkstock.com
• Personopplysninger
• Skytjenester
• Problemstillinger som må vurderes
• Nytt personvernregelverk
Personopplysninger
4
Hva er person(opplysnings)vern?
”Den enkeltes rett til å ha kontroll med egne personopplysninger”
Selvbestemmelse – rett til selv
å bestemme hvilke opplysninger som
skal brukes, av hvem, til hvilke formål osv.
Informasjon – hvis man ikke har rett
til å samtykke, har man i det minste rett
til å vite hvilke opplysninger som brukes,
av hvem, til hvilke formål osv.
Personvern er noe mer enn informasjonssikkerhet.
Thinkstock.com
Personopplysninger – hva er det?
5
Peder Aas2020 Lillevik
F.nr 180262 34997
Personopplysninger er også…
• Fødselsnummer: 13087846271
• Telefonnummer: 22396900
• IP-adresse: 195.159.103.82
• Bilnummer: BL 23456
• Bluetooth MAC: 17:35:52:78:4B:CA
• Wi-Fi-adresse MAC: 12:44:32:45:7B:C9
• Autpass-brikke-ID: 7483920983278394
• UDID: f7426bd759856431d9ae2c99175407a0dcd67ab5
6
Skytjenester
Kort om skytjenester
• Er det egentlig noe nytt?
• ASP, Fjerndrift, stormaskin, hosting, …
• Rokker ikke ved ansvarslinjeneVirksomhet LeverandørBehandlingsansvarlig Databehandler
• Skytjenester betyr ikke fravær av kontroll (i så fall er det uforenlig med regelverket)
8
Ulike typer av skytjenester
9 Kilde: Enisa «Cloud Security Guide for SMEs»
Outsourcing av oppgaver er forskjellig
i ulike tjenestetyper
10 Kilde: Enisa «Cloud Security Guide for SMEs»
Problemstillinger som må vurderes
• Hvor lagres data? Overføring til tredjeland?
• Sikkerhetskopiering / speiling
• Segmentering
• Tilgangsstyring
• Dokumentasjon
• Sletting
• Bruk til egne formål (Forbedre egne tjenester? Profilering?)
• Underleverandører
• Sikkerhetsrevisjon• Påse at databehandler iverksetter tiltak og dekker hele kjeden
• Alternativt tredjepartsrevisjon – krev å få se rapporten!
• Sikker kommunikasjon - Kryptering
14
15
Hvem og hva kontrollerer vi i dag
Behandlingsansvarlig - virksomheten
• Internkontroll
– Oversikt over personopplysninger
– Rutiner for innsyn, retting, sletting, informasjon, samtykke…
• Informasjonssikkerhet
– Risikovurdering
– Databehandleravtale
– Sikkerhetsrevisjon
Databehandler- leverandør av skytjeneste
• Databehandlers plikter
• Sikkerhetskrav
16
Utfordring med revisjonsrapport
SOC2-rapporten
• Omfattende rapport (ca 200 sider)
• Tilsvarer revisjon av ISO 27001 og 27002
• Rapporten kan vise at leverandøren er god på sikkerhet
ISO 27018*
• Skal vise etterlevelse av kontroller i 27018 – som viser til 27001
• Ingen egen revisjonsdel
• Ingen detaljer om undersøkelser er gjort og hvordan etterlevelse er kontrollert
• Hvordan kan man kontrollere at leverandøren ikke bruker personopplysninger til andre formål?
* ISO 27018 – Retningslinjer for beskyttelse av personopplysninger i offentlige skytjenester som håndterer personopplysninger
Internasjonalt samarbeid
• Article 29 Working Party (Art. 29 WP), Opinion 5/2012
• Etterlevelse av personverndirektivet
• Article 29 Working Party (Art. 29 WP), Opinion 2/2015
• C-SIG Code of Conduct on Cloud Computing
• International Conference of Data Protection and Privacy Commissioners, Resolution October 2012
• Overordnet
• Berlingruppen (the International Working Group on Data Protection in Telecommunications (IWGDPT)), SopotMemorandum April 2012
• Best Practice - kulepunkter
17
Aktuelt arbeid i Norge og i EU
• KMDs strategi for bruk av skytjenester i offentlig sektor
• Strategien ble lansert 18. april 2016
• KMD har lansert en rapport fra en interdepartemental gruppe som har sett på hindringer i ulike regelverk (juni 2015)
• KS har lansert en rapport (en mulighetsstudie) for bruk av nettsky i kommunal sektor (juni 2015)
• ENISA
• Cloud Security Guide for SMEs m.m.
18
Bakgrunn om forordningen
Bakgrunn
• Arbeidet startet i 2012
• Vedtatt i 2016 og trer i kraft i 2018
• Felles regelverk for personvern i Europa
• Styrke den europeiske borgers rettigheter
• Gjøre det lettere å utveksle personopplysninger over landegrenser
• Styrke tilliten til digitale tjenester
• Sikre samarbeid mellom personvernmyndigheter
20
Hva gjør Datatilsynet?
• Bistår Justis- og beredskapsdepartementet og Kommunal- og moderniseringsdepartementet
• Eget internprosjekt– IKT
– Juridisk
– Nettsider
– Personvernombud
– Kommunikasjon
• Deltar i internasjonalt arbeid og bidrar til utredninger
21
Dagens krav til informasjonssikkerhet
23
Personopplysningsforskriften kapittel 2
§ 2-1 Forholdsmessige krav om sikring av personopplysninger
§ 2-2 Pålegg fra Datatilsynet
§ 2-3 Sikkerhetsledelse
§ 2-4 Risikovurdering
§ 2-5 Sikkerhetsrevisjon
§ 2-6 Avvik
§ 2-7 Organisering
§ 2-8 Personell
§ 2-9 Taushetsplikt
§ 2-10 Fysisk sikring
§ 2-11 Sikring av konfidensialitet
§ 2-12 Sikring av tilgjengelighet
§ 2-13 Sikring av integritet
§ 2-14 Sikkerhetstiltak
§ 2-15 Sikkerhet hos andre virksomheter
§ 2-16 Dokumentasjon
Krav til informasjonssikkerhet i nytt regelverk
Art. 32 – Security of processing
• Risikovurdering
• Sikkerhetstiltak – Pseudonymisering og kryptering av
personopplysninger
– Sikre vedvarende K, I, T og robusthet
– Gjenoppretting av tilgjengelighet og tilganger ved hendelser
– Jevnlig testing, vurdering og evaluering
• Bransjenormer eller godkjent sertifiseringsordning – Element for å vise etterlevelse
• Tiltak for å sørge for at behandling kun skjer på instruks fra behandlingsansvarlig
25
Art. 30 – Oversikt over behandlingsaktiviteter
• Kontaktinformasjon til behandlingsansvarlig
• Formål
• Kategorier av registrerte og personopplysninger
• Kategorier av mottakere
• Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkeligbeskyttelse
• Slettefrister
• Sikkerhetstiltak
Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige
26
Alle får nye krav til avvikshåndtering
• Strengere regler enn i dag
• Melde avvik innen 72 timer
• Stilles krav til innholdet i avviksmeldingen
• De berørte skal varsles i klart språk
27
Innebygd personvern og DPIA
Alle skal bygge personvern inn i nye løsninger
Innebygd personvern (Privacy by design): Å ta hensyn til personvernet i alle utviklingsfasene av et system
• Utviklet av IPC i Ontario
• Vedtatt på internasjonal personvernkonferanse
• Oversatt til norsk
• Og nå blir det en pliktå gjøre det…
29
Innebygd personvern – 7 steg
30
1. Vær i forkant, forebygg fremfor å reparere
2. Gjør personvern til standardinnstilling
3. Bygg personvern inn i designet
4. Skap full funksjonalitet: Både-og, ikke enten-eller
5. Ivareta informasjonssikkerhet fra start til slutt
6. Vis åpenhet
7. Respekter brukerens personvern
31
Innebygd personvern og som standard – Art 25
• Tekniske og organisatoriske tiltak– pseudonymisering
• Utformet for å ivareta personvernprinsipper– minimalisering
• Det minst personverninngripende alternativet som standard: – mengde
– omfang
– lagringstid
– tilgjengelighet
Vurdering av personvernkonsekvenser -
Privacy / Data protection impact assessment (PIA/DPIA)
32
En systematisk prosess, som…
identifiserer og evaluerer…
fra alle interessenters synsvinkel…
potensielle personvernkonsekvenser i…
et prosjekt, initiativ, foreslått system eller prosess…
og som inkluderer det å finne ut…
hvordan dere kan unngå trusler mot personvernet…eller
hvilke tiltak dere må innføre for å avverge trusler mot personvernet
Hva skal beskyttes?
33
Konfidensialitet
Tilgjengelighet
Integritet
Kan ikke koblesUnlinkability
ÅpenhetTransparency
Mulighet til å gripe innIntervenability
Den registrertes perspektiv
Oversatt fra en artikkel om DPIA-prosessen: http://friedewald.website/wp-content/uploads/2016/06/apf2016.pdf
Hva er personvernkonsekvenser?
Eksempler:
• Manglende eller mangelfull kontroll av utlevering – øker sannsynlighet for feilaktig deling.
• Deling og sammenstilling av datasett kan føre til at virksomheter samler inn mer opplysninger enn enkeltpersoner er klar over.
• Identifikatorer som blir samlet inn og knyttet sammen, kan hindre folk fra å bruke en tjeneste anonymt.
34
Hvilke tiltak kan avverge personvernkonsekvenser?
Eksempler:
• Begrense innsamling eller lagring av enkelte typer opplysninger.
• Begrense lagringstid slik at opplysninger kun lagres så lenge det er nødvendig, og planlegge sikker sletting/ødeleggelse av informasjon.
• Utvikle måter for sikker anonymisering når dette er mulig.
• Gjøre det mulig for enkeltpersoner å få lett tilgang til sine opplysninger, og gjøre det enkelt å håndtere innsynsbegjæringer.
35
DPIA - oppsummert fra Art. 35 (1/3)
DPIA er en prosess for å bygge og demonstrere etterlevelse av regelverket.
• Av hvem? Behandlingsansvarlig. PVO kan bidra.
• Når? Før en behandling starter eller før utviklingsstart.
• Når skal den oppdateres? Ved endring av risiko eller kontekst.
• Når skal man be om en forhåndsdrøftelse av Datatilsynet? Når DPIA bekrefter at risikoene er høye.
• I hvilke tilfeller? Høy risiko for den enkelte og påkrevd i Art. 35 (3)
36
DPIA – oppsummert fra Art. 35 (2/3)
Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser:
• systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser
• behandling av sensitive personopplysninger i stort omfang
• systematisk overvåking av offentlig område i stort omfang
I tilfelle man er i tvil anbefaler vi å utføre en DPIA.
37
DPIA – oppsummert fra Art. 35 (3/3)
Vurderingen skal som minimum inneholde:
• Systematisk beskrivelse av behandlingen, formål, og evt. hvilken berettiget interesse den ivaretar.
• Vurdering av nødvendighet og forholdsmessighet, sett opp mot formålet.
• Vurdering av risikoen for rettigheter og frihet til registrerte.
• Tiltak som skal iverksettes for å redusere risikoen.
38
Forhåndsdrøftelser – Art. 36
• Ved høy risiko, som ikke kan begrenses, skal vi involveres i forhåndsdrøftelser
• Det stilles krav til dokumentasjon som skal sendes inn til oss
• Forordningen stiller krav til vår behandlingstid
• Vi kan veilede eller forby behandlingen
39
Nye plikter for databehandlere
Alle databehandlere får nye plikter
• Egne rutiner for behandling av personopplysninger
• Si fra om instrukser er i strid med loven
• Underleverandører skal godkjennes
• Melde avvik til behandlingsansvarlig
• Kan bli erstatningspliktige
41
Databehandleravtale – Art. 28
• Behandling av personopplysninger – kun på instruks
• Overføring til land utenfor EU/EØS – kun på instruks
• Taushetsplikt
• Informasjonssikkerhet (art. 32)
• Underleverandører (art. 28)
• Bistå behandlingsansvarlig– Etterkomme krav fra enkeltpersoner
– Informasjonssikkerhet, avvikshåndtering, DPIA
• Slette eller tilbakeføre alle personopplysninger (også kopier) ved opphør av tjeneste.
• Dokumentasjon som viser etterlevelse av art. 28.
• Tillate og bidra til revisjoner.
• Skriftlig avtale, også elektronisk.
42
44
Mer informasjon på www.datatilsynet.no
• Skytjenester (veileder)
• Risikovurdering (veileder)
• Databehandleravtale(veileder og mal)
• Nye personvernregler:datatilsynet.no/forordning
…og masse mer på www.datatilsynet.no
Telefon: +47 22 39 69 00
datatilsynet.no
personvernbloggen.no
Takk for oppmerksomheten!
[email protected] | @marthaeike (Twitter)