Privacy by Design
0 likes1,230 views
Haavinds eksperter innen personvern og digital vern presenterer her betydningen av å inkludere og tenke sikkerhet allerede i design- og utviklingsfasen av digitale løsninger.
Privacy by Design
- 1. Privacy by design and default
- 2. Advokatfirmaet Haavind AS Innledning Alt og alle er snart på internett Helseapper Be My Eyes Ansiktsgjenkjenning Ambulansedroner Tekniske hjelpemidler som kan samle og analysere data. Big Data Nye/endrede produkter, tjenester og inntektsstrømmer «Gratistjenester» Nettaviser Sosiale medier Forsikringsprodukter Utfordringer for personvernet
- 3. Advokatfirmaet Haavind AS Persondata har stor kommersiell verdi Digitaliseringen av samfunnet har medført at persondata har fått stor kommersiell verdi. Forutsetter riktig og lovlig bruk Article 29 Working Party Støtter utviklingen av Big Data som kan gi individer fordeler Økt fokus på overholdelse av rammeverk Hvordan bruke de kommersielle mulighetene innenfor rammeverket som gjelder?
- 4. Advokatfirmaet Haavind AS Personvern Store datamengder om den enkelte For eksempel: Søkemotorer samler inn opplysninger om hva du har søkt etter, enhets-ID, hvilken operatør du bruker, IP-adresse og GPS-posisjon, eventuelt e- postene dine. Analyse av adferdsmønster og profilering I mange tilfeller er ikke brukeren klar over innsamlingen og behandlingen av opplysninger Vanskelig å være anonym
- 5. Advokatfirmaet Haavind AS Undersøkelser viser… 60 Datatilsynet sveipet 60 apper 75 % av appene samler inn personopplysninger (67% på internasjonalt nivå) Av de 75% var det nesten halvparten som samlet inn opplysninger som sveiperen synes det var uklart hvorfor ble samlet inn 70% 70 % hadde personvernerklæring, men mange av dem var for dårlige Kun 10% hadde mekanismer som var ment for å beskytte barn 62% 62% delte personopplysninger med tredjeparter (50% på internasjonalt nivå) Av 60 apper var det kun 17% som gir enkel mulighet for sletting av opplysninger60 25% 25% ivaretok ikke personvernet til barnet
- 6. Advokatfirmaet Haavind AS Personvern Hva er personvern? All behandling av personopplysninger krever lovlig grunnlag – ofte samtykke fra den enkelte Noen grunnleggende prinsipper: Formålsbestemthet Informasjon Ikke mer enn nødvendig Relevante, korrekte og fullstendige
- 7. Advokatfirmaet Haavind AS Regelverket i dag Personopplysningsloven vedtatt i år 2000 Møter ikke den teknologiske utviklingen Vanskelig tilgjengelig – ikke lett å forstå Noen veiledere finnes Datatilsynets veiledning for app utviklere Datatilsynets veiledning for bruk av nettskytjenester Datatilsynets veiledning for anonymisering av persondata NORDMA, IKT-Norge m.fl. veileder om bruk av Bluetooth teknologi
- 8. Advokatfirmaet Haavind AS Hva innebærer kravet til «privacy by design» «Privacy by design» eller «Innebygd personvern»: Det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning
- 9. Advokatfirmaet Haavind AS Privacy by default Å gjøre personvern til en standardinnstilling Behandlingsansvarlig skal implementere mekanismer som sørger for at: Kun personopplysninger som er nødvendige for det spesifikke formål samles inn og at opplysningene kun lagres så lenge som det er nødvendig Personopplysningene ikke gjøres tilgjengelig til en ubegrenset krets Eksempel «Do not track» som standardinnstilling
- 10. Advokatfirmaet Haavind AS Syv steg til innebygd personvern 1. Være i forkant, fremfor å reparere 2. Gjør personvern til en standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet 5. Ivareta personsikkerhet fra start til slutt 6. Vis åpenhet 7. Respekter brukernes personvern Kilde: Datatilsynet
- 11. Advokatfirmaet Haavind AS Andre tips Sjekkliste på Datatilsynet for bestillere og utviklere Vurdering og kartlegging av personvernkonsekvenser Systemets standardinnstilling satt slik den mest personvernvennlige løsning velges og at kun nødvendige opplysninger innhentes Informasjonssikkerhet Trygg tilgangsautorisering, kryptering av kommunikasjon, støtte for generering av sikkerhetskopi Lett tilgjengelig informasjon for brukeren
- 13. Advokatfirmaet Haavind AS Hvordan oppfylle kravet til samtykke Frivillig, uttrykkelig og informert Et aktivt samtykke Forhåndsutfylt samtykke vil ikke oppfylle lovens krav Informasjon til brukeren må være lett tilgjengelig – helst før man laster ned appen, starter å bruke systemet osv.
- 14. Advokatfirmaet Haavind AS Hvordan ivareta funksjonalitet? En utfordring er ofte personvern vs funksjonalitet Nivåbasert tilnærming Eksempel:
- 15. Advokatfirmaet Haavind AS Bruk av geolokasjonstjenester Nødvendig? Krav til synlighet Datatilsynet anbefaler også at behandlingsansvarlig benytter seg av et tydelig og gjenkjennelig ikon som vises på mobilen (iPad osv) hele tiden mens geolokasjonstjenestene er skrudd på. Omtrentlig posisjon vs. nøyaktig
- 16. Advokatfirmaet Haavind AS Beacons Beacons er små sendere eller «fyrlykter» som kan lokalisere og kommunisere med mobiltelefoner Ofte brukt på flyplasser, i butikker eller museer Krever at brukeren har installert app (for eksempel til butikk eller flyplass) og at Bluetooth er aktivert på mobilen
- 17. Advokatfirmaet Haavind AS Bruk av personopplysninger til markedsføring Formålsbegrensning Begrensninger i markedsføringsloven «Salg» av opplysninger til tredjeparter
- 18. Advokatfirmaet Haavind AS Anonymisering av personopplysninger Bruk av aggregert data Statistikk, eller for å lage grupper med ulike profiler Anonymisering innebærer at opplysningene ikke kan føres tilbake til et enkeltindivid Forsikre at opplysningene ikke kan «reidentifiseres»
- 19. Sletting • Plikt til å slette opplysninger det ikke er adgang til å behandle • Sletting etter ønske fra brukeren • Hva innebærer sletting? • Spesielle krav til sletting av IP adresser og geolokasjonstjenester?
- 20. Sletting Nye EU regler – i prosess
- 21. Advokatfirmaet Haavind AS Status EU Safe Harbor dommen – hva innebærer den? Nasjonale tilsynsmyndigheter må ta stilling til overføring til USA Standardavtalene Melding eller samtykke fra lokalt tilsyn Personverndirektivet vil erstattes med en forordning Endelig versjon ventet ved årsskiftet 2015-2016 Vil trolig gjelde fra to år etter at forordningen er vedtatt, trolig i 2017 eller 2018 Strengere krav til samtykke Strengere krav til nødvendighet Økt fokus på rutiner og dokumentasjon Men også forenkling – «one continent one law» etc.
- 22. Takk Leif Eirik Thrane Partner +47 928 81 439 [email protected] Kari Gimmingsrud Partner +47 922 91 006 [email protected] Nora M. Knutrud Advokatfullmektig +47 990 40 513 [email protected]