Persondata, compliance og datasikkerhed - Bech

Persondata, compliance og
datasikkerhed
Ved Charlotte Bagger Tranberg
2
Agenda

Indledende bemærkninger

Status på den kommende persondataforordning

Persondata compliance

Datasikkerhed
Indledende bemærkninger
4
Historisk blik på behandling af personoplysninger hos
offentlige myndigheders/organisationer

Cloud Odense

Sikkerhedsbrister

Borgerservicecentre
5
Aktuelle eksempler
Kilder: Berlingske Tidende
6
Øget fokus på persondata

Den teknologisk udvikling skaber nye muligheder for indsamling og anvendelse af data (big data,
profilering, anvendelse af GPS-data mv.)

Bech-Bruun persondata-survey offentlige organisationer 2015:

Korrekt håndtering af persondata er hos 4 ud af 10 offentlige organisationer i dag højere
prioriteret end sidste år. Kun 1 ud af 205 adspurgte offentlige organisationer prioriterer
persondata lavere i 2015 end året før.

Medier har fået særligt fokus på persondata

Det øgede fokus på beskyttelse af persondata skyldes, at læk og misbrug af data traditionelt kan
medføre forretningskritisk tab af image/tillid, kunder, samarbejdspartnere, investorer mv.

Tillid er altafgørende – borgerne kan ikke finde et alternativ

Ny EU-forordning skærper kravene i forbindelse med behandlingen af persondata

Bødeniveauet hæves (forventeligt) til 1 mio. EUR – EU-Parlamentet har foreslået 100 mio. EUR (!)
7
Hvad er personoplysninger?
Cpr-nr.
Fødselsdato
Navn
Køn
Foto
Race
Adresse
Genetisk information
Personlighedstest
Telefonnummer
Pasnr.
Initialer/Loginnavn
Stilling
IP-adresse
Størrelse på tøj og sko
Familiemæssige
oplysninger
Uddannelse
(karakterer)
Personlige
produktionstal
Elektroniske spor
Fagforeningsmæssige
tilhørsforhold
Helbredsoplysninger
Væsentlige sociale
problemer
Religion
GPSoplysninger

Pseudonyme
oplysninger
Seksuel
overbevisning
Interesser
?
Politisk
overbevisning
÷
E-mail-adresse
Adgangskontrol
Kreditkortnummer
Nummerplade
MedarbejderID
Anonyme
oplysninger
Biometriske
oplysninger
Rejseoplysninger
Videoovervågning
Logning i IT-systemer
Straffeattest
MAC-adresse
Løn
8
Hvornår skal man tænke persondataret?

Hver gang man støder på en personoplysning

Mere konkret i forhold til:

Borgere

Ansatte

Forretningsforbindelser (leverandører og kunder)

Samarbejdspartnere (offentlige og private)
Status på persondataforordningen
10
Hvor langt er forhandlingerne om forordningen, og hvornår
forventes den vedtaget?

Hvorfor en forordning i stedet for et direktiv? Betydning?

Forslag fremsat af Kommissionen den 25. januar 2012 – COM(2012)11

Parlamentets ændringsforslag den 12. marts 2014

Rådets ændringsforslag den 15. juni 2015

24. juni 2015: 1. runde trilogforhandlinger

14. juli 2015: 2. runde trilogforhandlinger

September – december 2015: Yderligere trilogforhandlinger

Forventet vedtagelse af alle 3 institutioner : Ultimo 2015

Forordningen træder i kraft 2 år efter vedtagelsen
11
Tidsplan
Juli
• Territorialt
anvendelsesområde
• Internationale
overførsler
September
• Principper for
behandling
• Den registreredes
rettigheder
• Den
dataansvarliges og
databehandlerens
forpligtelser
Oktober
• One Stop Shop
November
• Særlige områder
• Ansættelsesforhold
• Forskning
• Journalistik
December
• Kommissionens
mulighed for
vedtagelse af
delegerede
retsakter og
gennemførelsesretsakter
Vedtagelse af samlet persondataforordning med udgangen af 2015
12
Den kommende forordning – væsentligste ændringer

Øgede dokumentationskrav

Privacy Impact Assessment

Data protection by design/Data protection by default

Givetvis krav om udpegning af Data Protection Officer (DPO)

Datatilsynet får aktiv rolle

Sanktioner skærpes
13
Dokumentationskrav

Både dataansvarlige og databehandlere skal opbevare dokumentation for enhver behandling af
personoplysninger

Dokumentationen skal mindst omfatte:

navn og kontaktoplysninger på den dataansvarlige eller den fælles dataansvarlige og dennes eventuelle
repræsentant

navn og kontaktoplysninger på DPO

formålene med behandlingen, herunder de legitime interesser, der forfølges af den dataansvarlige, hvis
behandlingen er hjemlet i ”interesseafvejningsreglen”

en beskrivelse af kategorierne af registrerede og de kategorier af personoplysninger, der vedrører dem

modtagerne eller kategorierne af modtagere af personoplysningerne, herunder dataansvarlige, som
personoplysninger videregives til som led i de legitime interesser, de forfølger

eventuelle videregivelser af personoplysninger til et tredjeland eller en international organisation, herunder
identifikation af dette tredjeland eller denne internationale organisation, og i tilfælde af videregivelser til ikkesikre tredjelande, dokumentation af fornødne garantier

en generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger

en beskrivelse af de mekanismer, der har til formål at kontrollere effektiviteten af de foranstaltninger, med
henblik på at sikre og være i stand til at påvise, at behandlingen af personoplysninger foretages i
overensstemmelse med forordningen
14
Den dataansvarliges ansvar

Den dataansvarlige indfører regler og gennemfører passende foranstaltninger med henblik på at
sikre og være i stand til at påvise, at behandlingen af personoplysninger foretages i
overensstemmelse med forordningen

Foranstaltningerne omfatter navnlig:


opbevaring af dokumentation

gennemførelse af datasikkerhedskrav

gennemførelse af konsekvensanalyser vedrørende databeskyttelse

overholdelse af kravene om forudgående godkendelse eller høring af tilsynsmyndigheden

udpegning af en DPO
Den dataansvarlige gennemfører mekanismer, der har til formål at kontrollere effektiviteten af de
foranstaltninger, der er nævnt ovenfor (KPI’er)
15
Forpligtelser overfor registrerede

Øget mænge af information til den registrerede i forbindelse med indsamling af oplysninger, fx det
tidsrum hvori oplysningerne opbevares

Etablering af procedure/system til håndtering af indsigtsanmodninger

Retten til at blive glemt

Retten til sletning
16
Privacy Impact Assessment

Konsekvensanalyse

Behandlinger af personoplysninger der indebære specifikke risici for registreredes rettigheder og
frihedsrettigheder i medfør af dens karakter, omfang eller formål (både dataansvarlig og
databehandler)


Profilering

Behandling af helbredsoplysninger mhp. at træffe foranstaltninger eller beslutninger vedr. bestemte grupper

Overvågning af offentlig tilgængelige områder, navnlig ved omfattende brug af videoovervågning

Personoplysninger i omfattende registre vedrørende børn, genetiske data eller biometriske data

Alle øvrige former behandling, som kræver, at tilsynsmyndigheden høres (fastlægges af tilsynsmyndigheden)
Minimumskrav til PIA.

Generel beskrivelse af den planlagte behandling,

Analyse af risiciene for registreredes rettigheder og frihedsrettigheder

De foranstaltninger, der er nødvendige for at afhjælpe disse risici, samt

Garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelsen af personoplysninger og
påvise overensstemmelse med persondataforordningen
17
Data protection by design/by default


Indbygget databeskyttelse

iværksættes under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med
gennemførelsen

både når metoderne til behandling fastlægges, og når selve behandlingen foretages, passende tekniske og
organisatoriske foranstaltninger og procedurer, så behandlingen opfylder denne forordnings krav og sikrer
beskyttelsen af den registreredes rettigheder.
Databeskyttelse gennem indstillinger:


Gennemførelse af mekanismer med henblik på som udgangspunkt at sikre

at kun de personoplysninger, der er nødvendige til det specifikke formål med behandlingen, behandles,

at de navnlig ikke indsamles eller opbevares ud over, hvad der er nødvendigt til disse formål, både med hensyn til
mængden af oplysninger og opbevaringsperioden.
Disse mekanismer sikrer navnlig, at personoplysninger som udgangspunkt ikke stilles til rådighed for et
ubegrænset antal personer.
18
Data Protection Officer (DPO)

Offentlige organer, virksomheder > 250 ansatte, kerneaktivitet indgående behandling af
personoplysninger

Koncern udpege én fælles dataansvarlig

Udpeges på grundlag af:


Faglige kvalifikationer

Ekspertise inden for persondatalovgivning og -praksis

Evne til at udføre de opgave, som er opregnet i forordningen

Underretning og rådgivning af dataansvarlig om forpligtelser i henhold til forordningen, dokumentation

Overvåge gennemførelsen og anvendelsen af den dataransvarliges regler om beskyttelse af personoplysninger

Kontrollere gennemførelsen og anvendelsen af persondataforordningen’

Sikre vedligeholdelse af dokumentation

Kontrollere dokumentation, anmeldelse og meddelelser vedrørende brud på persondatasikkerheden

Kontrollere den dataansvarliges gennemførelse af PIA og anvendelsen af forudgående godkendelse eller høring af
tilsynsmyndigheden i de situationer, hvor der er krav om dette

Kontrollere besvarelsen af anmodninger fra tilsynsmyndigheden og samarbejde med tilsynsmyndigheden (på anmodning
eller på eget initiativ)

Fungere som tilsynsmyndighedens kontaktpunkt
Dataansvarlig/databehandler sikrer at DPO inddrages i alle spørgsmål vedr. beskyttelsen af
personoplysninger
19
Notifikationspligt

”Brud på persondatasikkerheden": brud på sikkerheden, der fører til hændelig eller ulovlig
tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er
videregivet, lagret eller på anden måde behandlet

Ved sikkerhedsbrud: Anmeldelse af brud til Tilsynsmyndighed inden 24 timer (72 timer)

Indholdskrav til anmeldelse:

Beskrivelse af karakteren af bruddet på persondatasikkerheden, herunder kategorierne og antallet af berørte
registrerede samt kategorierne og antallet af berørte registreringer

Angivelse af identitet og kontaktoplysninger for DPO’en eller et andet kontaktpunkt, hvor yderligere oplysninger
kan indhentes

Anbefaling af foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på
persondatasikkerheden

Beskrivelse af konsekvenserne af bruddet på persondatasikkerheden

Beskrivelse af de foranstaltninger, som den dataansvarlige foreslår eller har iværksat for at afhjælpe bruddet på
persondatasikkerheden
20
Sanktioner
Bøde op til EUR 1.000.000!
Overtrædelsestype:
Bødeniveau:
Ingen fastlæggelse af ordninger for registreredes
anmodninger
Ej rettidig besvarelse heraf
Op til EUR 250.000
•
•
Ikke giver relevante oplysninger ved
indsigtsanmodning
Ikke sletter oplysninger
Manglende ajourføring af dokumentation
Op til EUR 500.000
•
•
•
•
•
•
Behandler oplysninger uden hjemmel
Ikke respekterer en indsigelse
Ikke varsler tilsynet om brud på sikkerheden
Ikke gennemfører konsekvensanalyser
Ikke udpeger en DPO
Overfører oplysninger til tredjelande uden hjemmel
Op til EUR 1.000.000
•
•
•
21
Sammenhæng mellem bøder og medieomtale

Medierne har øget fokus på behandling af personoplysninger

DSB-sagen

Medie-”hype” i forbindelse med de første bøder

Medieomtalen er sværere at kontrollere

Dårlig omtale  reduceret tillid
Persondata compliance
23
Er det relevant at tale compliance i forhold til offentlige
myndigheder/organisationer?

Compliance ikke traditionelt anvendt som begreb i offentligt regi

Compliance: Efterlevelse af krav (lovgivning, regulative krav, omverdenen eller myndigheden selv)

Offentlige myndigheder skal altid være compliant!

Så meget desto mere grund til at have fokus på compliance

Ikke uafdækkede risici som private virksomheder

Opretholdelse af tillidsniveau essentielt for offentlige myndigheder/organisationer
24
Hvordan kan en compliance-proces i forhold til persondata
med fordel gribes an?

Pre-audit

Afdækning af datastrømme

Privacy Risk Assessment

PERSONDATASTRATEGI
Fundamentet for persondatastrategien
25
Opstart af compliance projekt

Identifikation af persondataretlige nøglepersoner i organisationen

Ledelsesforankring!

Estimat over interne ressourcer forbundet med compliance projekt

Overblik over datastrømme (vigtigt!) via interviews og spørgeskemaer

Overblik over databehandlere og databehandleraftaler

Overvejelser omkring udpegning af DPO

Persondataretlig Pre-audit for afklaring af risiko-niveauet?
26
Afdækning af GAP ( risiko)
Forpligtelser i kommende
lovgivning
Forpligtelser i nuværende
lovgivning
Myndighedens nuværende
complianceniveau
GAP
GAP
Datasikkerhed
28
Hvad siger persondataloven om datasikkerhed?

Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger
mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de
kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven

Hvis den dataansvarlige gør brug af en databehandler, som derved får adgang til oplysninger, må
databehandleren kun behandle oplysningerne efter instruks fra den dataansvarlige

Det er den dataansvarliges ansvar at sikre, at databehandleren træffer de fornødne tekniske og
organisatoriske sikkerhedsforanstaltninger

Den dataansvarlige er forpligtet til at indgå en databehandleraftale med alle databehandlere, der
har adgang til oplysninger
29
Sikkerhedsbekendtgørelsen

Bekendtgørelse nr. 528 af 15. juni 2000 med senere ændringer

Foranstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes,
kan f.eks. bestå i, at der efter nærmere fastlagte rutiner foretages sikkerhedskopiering

Organisatoriske foranstaltninger

Dataansvarlig myndighed fastsætte nærmere interne bestemmelser, instrukser og retningslinjer om
sikkerhedsforanstaltninger (beskrivelse af tilrettelæggelsen af sikkerhedsarbejdet )

Medarbejdere, som håndterer personoplysninger, skal modtage uddannelse og instruktion i korrekt behandling

Ved brug af databehandlere: Fremgå af databehandleraftaler, at behandlingen skal ske efter reglerne i
sikkerhedsbekendtgørelsen

Kun personer med et arbejdsbetinget behov må have adgang til personoplysninger + autorisation

Kontrol med autorisationerne halvårligt
30
Sikkerhedsbekendtgørelsen

Tekniske foranstaltninger


Etablering af en teknisk adgangskontrol (personlige adgangskoder) i systemerne

Koder bør bestå af tal og store og små bogstaver og skiftes minimum en gang om året

Krav om registrering af ethvert afvist forsøg på adgang til systemet uanset årsag

Blokering, hvis registrering af et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg

Etablering af antivirus og firewall

Transmission af følsomme og fortrolige oplysninger bør sikres gennem kryptering

Sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers
ægthed) bør sikres fx ved brug af elektronisk signatur eller individuelle, fortrolige adgangskoder

Enhver behandling af fortrolige personoplysninger skal logges

Loggen opbevares i 6 måneder

Arbejdsdokumenter

Batch-kørsler

Statistiske eller videnskabelige undersøgelser
Underretningspligt i forbindelse med sikkerhedsbrister

Sletning af data eller eventuel afhentning eller returnering af data fra uberettigede modtagere

Hurtig underretning af berørte personer

Tiltag med henblik på at undgå gentagelser
31
Datatilsynets minimumskrav til behandling af HRoplysninger
1. Beskrivelse af hvordan personaleoplysninger beskyttes
2. Autorisation af personer, der har et sagligt behov for adgang til oplysningerne – så få personer som
muligt
3. Instruktion og oplæring af medarbejdere, der håndterer personaleoplysninger
4. Personaleoplysninger på papir – f.eks. i kartoteker og ringbind – skal opbevares aflåst, når de ikke er i
brug.
5. Adgangskontrol til systemer – personlige koder
6. Forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger skal registreres
7. Beskyttelse af bærbare datamidler (USB-nøgler mv.) med adgangskode og kryptering
8. PC’er koblet til internettet skal have en opdateret firewall og viruskontrol installeret
9. Kryptering af hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan
indtastes og fremsendes
10. Kryptering af e-mails, der indeholder følsomme personaleoplysninger og personnummer
11. Sikkerhedsforanstaltninger i forbindelse med reparation og service af dataudstyr, der indeholder
personoplysninger, og når datamedier skal sælges eller kasseres
12. Indgåelse af databehandleraftaler med databehandlere
32
Tak for opmærksomheden
33
Kontakt
Charlotte Bagger Tranberg
Persondataspecialist · Aarhus
IP & Technology
T
M
E
København
Danmark
+45 72 27 34 76
+45 25 26 34 76
cbt@bechbruun.com
Aarhus
Danmark
Shanghai
Kina
T +45 72 27 00 00
www.bechbruun.com