EU personvernforordningen - hvor trykker skoen?
0 likes327 views
Foredrag av Bjørn Erik Thon, direktør i Datatilsynet, hos Bull & Co advokatfirma 010916. Oversikt over bakteppet for forordningen.
EU personvernforordningen - hvor trykker skoen?
- 1. Oppfyller norske virksomheter forpliktelsene etter personvernlovgivningen - og hvordan de ser på fremtidens krav?
- 2. Punkter • Personvernlandskapet – personrettede tjenester • Avviksmeldinger til Datatilsynet • Hva er de største utfordringene for norske virksomheter? • Hva skjer fram mot 2018? 2
- 3. Personrettede tjenester – en enkelt eksempel 3
- 5. Alt kan kobles • Mobiler • Klokker • Klær • Biler • Kjøleskap • Briller • Lyspærer • Temperaturmålere • Mat • Gulv og vegger • Huset 5
- 6. Hva betyr det? • Reklame skal skreddersys • Avisen skal skreddersys • En politisk budskap skal skreddersys ( en venstremann er ikke en venstremann ) • Forsikring basert på en individuell risiko, ikke en kollektiv • Persontilpasset medisin • Selvkjørende biler og etiske vurderinger • Segmentering av tilbud • Delingsøkonomi • Plattformer!
- 7. Analyse av avviksmeldinger til Datatilsynet 7
- 8. Tall om avviksmeldinger til Datatilsynet • Basert på 116 saker fra vårt arkiv i 2014 • Kun avvik hvor det har skjedd/ kan ha skjedd en utlevering. • Fokuser på de store linjene, ikke eksakt prosentfordeling. • 116 saker om avvik = store mørketall. • Stor forsiktighet med allmenngyldige konklusjoner. Etter personopplysningsforskriftens § 2-6 skal virksomheter melde fra til Datatilsynet når beskyttelsesverdige personopplysninger har kommet på avveier.
- 9. Typer avvik - Slik gikk det galt Kategori Antall Prosentandel Forsendelsesfeil - digitale og analoge 57 48 % Hacking/datainnbrudd 12 10 % Snoking 9 8 % Tilgangsstyring feilet, mangelfull eller manglet 7 6 % Nettpublisering 6 5 % Personopplysninger bevisst utlevert (ikke rettslig adgang til det) 4 3 % Fysisk innbrudd - digitale eller analoge data forsvunnet 3 3 % Avhending uten sletting/ makulering 2 2 % Mistet/gjenglemt/forlagt (analogt og digitalt) 1 1 % Andre avvik 19 16 % SUM 120 100 %
- 10. Papir og annet analogt 28 % Minnepinne, CD og andre små digitale lagringsmedium 5 % Smarttelefon, PDA, nettbrett (små håndholdte digitale) 0 % Laptop og liknende 1 % Stasjonære datamaskiner 1 % Server, større IT- systemer og skylagring 34 % E-post og annen digital forsendelse 23 % Nettpublisering/ åpent på nett 8 % Primært lagringsmedium/ tenknologi i avviket
- 11. Intern 85 % Ekstern 15 % Primær årsak
- 12. Ikke følsomme; 23% Fødselsnummer - for øvrig ikke følsomme; 20% Følsomme med hensyn til art eller mengde; 34% Sensitive personopplysni nger; 23% Var personopplysningene følsomme? Fødselsnummer i 53 % av sakene.
- 13. Hva er de største utfordringene for norske virksomheter?
- 14. 14
- 17. Flere viktige elementer i analysen • Faktisk kjennskap til regelverket (1) • Erfaringer fra tilsynsvirksomheten (2) • Erfaring fra råd- og veiledning (3) • Erfaringer fra saksbehandlingen (4) • Der skoen trykket før vil den sannsynligvis trykke minste like hardt • Noen kjennetegn med norsk bedriftsstruktur (5) • Noen kjennetegn ved regelverket (6) 17
- 18. Faktisk kjennskap til regelverket (1) • I dag: Stor variasjon, men jevnt over liten kjennskap til regelverket – Erfarer dette på tilsyn – Lovbrudd er ofte utslag av manglende kjennskap fremfor ond vilje – Det er et vanskelig regelverk i dag – …og det er heller ikke et enkelt regelverk etter 2018 – Derfor: Virksomhetene har en jobb å gjøre – Men; mulighet for ny start 18
- 19. Erfaring fra tilsynsvirksomheten (2) • Mangler ved internkontroll og informasjonssikkerhet – Ofte likhetstegn mellom informasjonssikkerhet og personvern • Bedriftshemmelig, brannmurer, sikring • Ikke samme oppmerksomhet om person/kundedata • Særlig viktig ettersom borgernes rettigheter styrkes – Dokumentert internkontroll • Risikovurderinger 19
- 20. Erfaring fra råd- og veiledning (3) • Internkontroll og informasjonssikkerhet • Arkitektur og design • «Vi vil bruke data innhentet fra kundene våre, men vil samtidig ivareta den enkeltes personvern» • Manglende kjennskap til hva personvern egentlig er 20
- 21. Erfaringer fra juridisk veiledningstjeneste (4) • Veiledningstjenesten – 8 737 henvendelser fra borgere og virksomheter hvert år 21 Annet 23 % Arbeidsliv 21 % Register 14 % Kameraovervåking 12 % Melding/konsesjon 9 % Info.sikkerhet 7 % Internett 7 % Fødselsnummer 4 % Skole/barnehage 3 % Henvendelser i 2015
- 22. Noen kjennetegn ved norsk bedriftsstruktur (5) • Mange SMB, og vår erfaring er at skoen trykker til dels kraftig i dette segmentet • Det samme gjelder deler av offentlig sektor, særlig kommuner ( inkludert skole ) 22
- 23. Noen kjennetegn ved regelverket (6) • Skjønnsmessig regelverk og vanskelige vurderinger – Personvernombud eller ikke • core activity….systematic monitoring • core activitiy….large scales of data…. – Hvordan anvende prinsippene for innebygd personvern • implement appropriate technical and organisational measures… 23
- 24. Noen kjennetegn ved regelverket (6) • Skjønnsmessig regelverk og vanskelige vurderinger – Data protection impact assessment • likely to result in high risk for the rights and freedoms… – Forhåndsdrøftelse ( prior consultation ) • …..in the absence of measures taken by the controller to mitigate the risk… 24
- 25. Hva skjer fram til mai 2018? 25
- 26. Regler som forsvinner eller må gjennomgås • Særregler om kameraovervåking • Kredittopplysninger • Konsesjoner • Innsyn i epostkasse • Meldeplikt 26
- 27. Hvordan vi jobber mot 2018 • Rigger et fire-delt prosjekt – Nytt regelverk - juridisk implementering – IKT / prosesstøtte – Informasjon til virksomheter og borgere – Personvernombudsordningen • Tett dialog med bransjer og virksomheter under marsjen 27
- 28. Endring i arbeidsmetodikk i Datatilsynet • Mer råd- og veiledning – Både overfor virksomheter i enkeltsak – …og generelt • Mer systemkontroll – Er internkontrollen på plass? – Er et system bygd på prinsippene for innebygd personvern? – Burde det vært opprettet personvernombud • Ta initiativ til, og bidra i utarbeidelse av bransjenormer • Saker av overnasjonal karakter • Sanksjoner • Personvernombudsordningen 28