Hvordan reguleres informasjonssikkerhet
Transcription
Hvordan reguleres informasjonssikkerhet
Ny personvernforordning – Hvordan reguleres informasjonssikkerhet Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 41 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring, arbeidsliv) Faggruppe 2 (veiledning, kamera, kredittopplysning, krenkelser og sletting på nett) Faggruppe 3 (samferdsel, telekom, skole, digitalisering i offl.) Faggruppe 4 (helse, forskning) Informasjonsavdeling Administrasjonsavdeling 2 Hva handler personvern om? • Autonomi / selvbestemmelse • Å vite = retten til å velge • Forutsigbarhet • Tillit • Informasjonssikkerhet Personopplysning: - Opplysninger og vurderinger som kan knyttes til en enkeltperson Regelverket gjelder de fleste! (De som har ansatte, kunder, pasienter, klienter etc.) 3 Thinkstock.com Hvor er vi nå? Personopplysningslov Personopplysningsforskrift Lov fra 2000 Basert på EU-direktiv fra 95 4 Hvor skal vi? Personvernforordning vedtas etter planen ved utgangen av året Bindende i Norge Lik regulering i Europa • • • • • 2 års implementeringstid Utvidet geografisk anvendelsesområde Flere plikter for behandlingsansvarlig og databehandler Mer dialog Mer standardisering Strengere sanksjoner 5 De «gamle» prinsippene dagens lov er bygd på • • • • • • Selvbestemmelse – samtykke og reservasjonsrett Informasjon og innsyn Sletting av opplysninger Korrekt informasjon God informasjonssikkerhet God internkontroll 6 Prinsipper som styrkes i den nye forordningen • Retten til å bli glemt – en styrket sletteplikt • En styrking av eiendomsretten til egne data • Retten til å motsette seg visse typer behandling • Innebygd personvern Personvern skal bygges inn i de teknologiske løsningene Personvernet skal ivaretas i ”opplysningens levetid” – fra den fødes til den dør 7 Saksbehandlingsregler - En egen enighetsprosedyre - consistency mechanism - Lead authority – one stop shop - European data protection board 24.11.201 Side 8 Viktige endringer – Sikkerhet og internkontroll • • • • • • Accountability (Internkontroll) Privacy by design and by default Fremdeles en risikobasert tilnærmet – men utvides Strengere regeler ved avvik (personal data breach) Data protection impact assessment (PIA) Bruk av bransjenormer (Code of conducts) og sertifiseringer 9 Accountability • Krav om rutiner, vurderinger, og dokumentasjon flere steder – bl.a.: – Article xx - Responsibility of the controller – Article xx - Processor – Article xx - Records of processing activities • “…adopt policies and implement appropriate measures to ensure and be able to demonstrate that the processing of personal data is performed in compliance with this Regulation” • Mye tydeligere krav til databehandlere – Selvstendig internkontrollplikt • Internkontroll • Risikobasert / Organisasjonens størrelse / type opplysninger 10 Data protection impact assessment • Article xx - Data protection impact assessment • Behandlinger med høy risiko for personvernet til de registrerte • Og noen konkret angitte behandlinger – Angitt i regelverket – Angitt av Datatilsynet • Resultatet tilsier om en skal konsultere Datatilsynet eller ikke (Article xx Prior consultation) – Høy risiko – Ombud eller ikke – Tidsfrister 11 Privacy by design and by default • Article xx- Data protection by design and by default • • • • Når løsninger designes og underveis Dataminimalisering Pseudonymisering Tiltak for å sikre at behandlinger er i samsvar med regelverket 12 Informajsonssikkerhet etter nytt regelverk 13 SECTION 2 DATA SECURITY • Article xx Security of processing • Article yy Notification of personal data breach to the supervisory authority • Article zz Communication of personal data breach to the data subject 14 Still a risk based approach • Article 30 - Security of processing • “….shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risks…” • confidentiality, integrity, availability and resilience of systems • Regulering på forskriftsnivå? • Ingen nasjonal regulering vil bli gitt • Ikke svært eksplisitt på dokumentasjonsplikten 15 Personal data breach-handling • Article yy - Notification of a personal data breach to the supervisory authority • Article zz - Communication of a personal data breach to the data subject • 72h timers tidsfrist • Uavklart: Alle brudd, eller bare ved høy risiko 16 Codes of conducts & Certifications • Oppfordrer til bruk av bransjenormer (Code of Conducts), Privacy seals and certifications • Datatilsynet skal vurdere utkast til CoC • Datatilsynet utnevner (bransje)organ som overser etterlevelsen av CoC. • Dette er en viktig tilnærming til etterlevelse, og er nevnt i de fleste bestemmelser som omhandler krav til virksomheten • I tillegg kommer (felles europeiske) veiledninger til etterlevelse 17 Sanksjoner • Overtredelsesgebyr – max 100 000 000 eller 5% av omsetningen • I dag: ca 850 000 kroner max Summary • • • • It will come! It will revitalize privacy- and information security work Still a risk based approach We will be harmonized – For cross border business, but – Also for information security work and standardisation • Look forward to it – It will effect your profession in a positive way • …. And no more detailed Norwegian security regulations… Some will miss them 19 Takk for meg! [email protected] Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no