Hvordan reguleres informasjonssikkerhet

Ny personvernforordning –
Hvordan reguleres informasjonssikkerhet
Datatilsynet
Uavhengig forvaltningsorgan
Tilsyn og ombud
Forvalter personopplysningsloven og forskrifter
41 medarbeidere
Faggruppe 1 (justis, bank/finans/forsikring, arbeidsliv)
Faggruppe 2 (veiledning, kamera, kredittopplysning, krenkelser og
sletting på nett)
Faggruppe 3 (samferdsel, telekom, skole, digitalisering i offl.)
Faggruppe 4 (helse, forskning)
Informasjonsavdeling
Administrasjonsavdeling
2
Hva handler personvern om?
• Autonomi /
selvbestemmelse
• Å vite = retten til å velge
• Forutsigbarhet
• Tillit
• Informasjonssikkerhet
Personopplysning:
- Opplysninger og vurderinger som kan
knyttes til en enkeltperson
Regelverket gjelder de fleste! (De som har
ansatte, kunder, pasienter, klienter etc.)
3
Thinkstock.com
Hvor er vi nå?
Personopplysningslov
Personopplysningsforskrift
Lov fra 2000
Basert på EU-direktiv
fra 95
4
Hvor skal vi?
Personvernforordning
vedtas etter planen ved
utgangen av året
Bindende i Norge
Lik regulering i Europa
•
•
•
•
•
2 års
implementeringstid
Utvidet geografisk anvendelsesområde
Flere plikter for behandlingsansvarlig og databehandler
Mer dialog
Mer standardisering
Strengere sanksjoner
5
De «gamle» prinsippene dagens lov er bygd på
•
•
•
•
•
•
Selvbestemmelse – samtykke og reservasjonsrett
Informasjon og innsyn
Sletting av opplysninger
Korrekt informasjon
God informasjonssikkerhet
God internkontroll
6
Prinsipper som styrkes i den nye forordningen
• Retten til å bli glemt – en styrket sletteplikt
• En styrking av eiendomsretten til egne data
• Retten til å motsette seg visse typer behandling
• Innebygd personvern
 Personvern skal bygges inn i de teknologiske løsningene
 Personvernet skal ivaretas i ”opplysningens levetid” – fra den
fødes til den dør
7
Saksbehandlingsregler
- En egen enighetsprosedyre - consistency mechanism
- Lead authority – one stop shop
- European data protection board
24.11.201
Side 8
Viktige endringer – Sikkerhet og internkontroll
•
•
•
•
•
•
Accountability (Internkontroll)
Privacy by design and by default
Fremdeles en risikobasert tilnærmet – men utvides
Strengere regeler ved avvik (personal data breach)
Data protection impact assessment (PIA)
Bruk av bransjenormer (Code of conducts) og
sertifiseringer
9
Accountability
• Krav om rutiner, vurderinger, og dokumentasjon flere steder –
bl.a.:
– Article xx - Responsibility of the controller
– Article xx - Processor
– Article xx - Records of processing activities
• “…adopt policies and implement appropriate measures to
ensure and be able to demonstrate that the processing of
personal data is performed in compliance with this Regulation”
• Mye tydeligere krav til databehandlere
– Selvstendig internkontrollplikt
• Internkontroll
• Risikobasert / Organisasjonens størrelse / type opplysninger
10
Data protection impact assessment
• Article xx - Data protection impact assessment
• Behandlinger med høy risiko for personvernet til de registrerte
• Og noen konkret angitte behandlinger
– Angitt i regelverket
– Angitt av Datatilsynet
• Resultatet tilsier om en skal konsultere Datatilsynet eller ikke
(Article xx Prior consultation)
– Høy risiko
– Ombud eller ikke
– Tidsfrister
11
Privacy by design and by default
• Article xx- Data protection by design and by default
•
•
•
•
Når løsninger designes og underveis
Dataminimalisering
Pseudonymisering
Tiltak for å sikre at behandlinger er i samsvar med
regelverket
12
Informajsonssikkerhet
etter nytt regelverk
13
SECTION 2 DATA SECURITY
• Article xx Security of processing
• Article yy Notification of personal data breach to the
supervisory authority
• Article zz Communication of personal data breach to the
data subject
14
Still a risk based approach
• Article 30 - Security of processing
• “….shall implement appropriate technical and
organisational measures to ensure a level of security
appropriate to the risks…”
• confidentiality, integrity, availability and resilience of systems
• Regulering på forskriftsnivå?
• Ingen nasjonal regulering vil bli gitt
• Ikke svært eksplisitt på dokumentasjonsplikten
15
Personal data breach-handling
• Article yy - Notification of a personal data breach to the
supervisory authority
• Article zz - Communication of a personal data breach to
the data subject
• 72h timers tidsfrist
• Uavklart: Alle brudd, eller bare ved høy risiko
16
Codes of conducts & Certifications
• Oppfordrer til bruk av bransjenormer (Code of
Conducts), Privacy seals and certifications
• Datatilsynet skal vurdere utkast til CoC
• Datatilsynet utnevner (bransje)organ som overser
etterlevelsen av CoC.
• Dette er en viktig tilnærming til etterlevelse, og er nevnt i
de fleste bestemmelser som omhandler krav til
virksomheten
• I tillegg kommer (felles europeiske) veiledninger til
etterlevelse
17
Sanksjoner
• Overtredelsesgebyr – max 100 000 000 eller 5% av
omsetningen
• I dag: ca 850 000 kroner max
Summary
•
•
•
•
It will come!
It will revitalize privacy- and information security work
Still a risk based approach
We will be harmonized
– For cross border business, but
– Also for information security work and standardisation
• Look forward to it – It will effect your profession in a
positive way
• …. And no more detailed Norwegian security
regulations… Some will miss them
19
Takk for meg!
postkasse@datatilsynet.no
Telefon: +47 22 39 69 00
datatilsynet.no
personvernbloggen.no