Persondata, compliance og datasikkerhed - Bech
Transcription
Persondata, compliance og datasikkerhed - Bech
Persondata, compliance og datasikkerhed Ved Charlotte Bagger Tranberg 2 Agenda Indledende bemærkninger Status på den kommende persondataforordning Persondata compliance Datasikkerhed Indledende bemærkninger 4 Historisk blik på behandling af personoplysninger hos offentlige myndigheders/organisationer Cloud Odense Sikkerhedsbrister Borgerservicecentre 5 Aktuelle eksempler Kilder: Berlingske Tidende 6 Øget fokus på persondata Den teknologisk udvikling skaber nye muligheder for indsamling og anvendelse af data (big data, profilering, anvendelse af GPS-data mv.) Bech-Bruun persondata-survey offentlige organisationer 2015: Korrekt håndtering af persondata er hos 4 ud af 10 offentlige organisationer i dag højere prioriteret end sidste år. Kun 1 ud af 205 adspurgte offentlige organisationer prioriterer persondata lavere i 2015 end året før. Medier har fået særligt fokus på persondata Det øgede fokus på beskyttelse af persondata skyldes, at læk og misbrug af data traditionelt kan medføre forretningskritisk tab af image/tillid, kunder, samarbejdspartnere, investorer mv. Tillid er altafgørende – borgerne kan ikke finde et alternativ Ny EU-forordning skærper kravene i forbindelse med behandlingen af persondata Bødeniveauet hæves (forventeligt) til 1 mio. EUR – EU-Parlamentet har foreslået 100 mio. EUR (!) 7 Hvad er personoplysninger? Cpr-nr. Fødselsdato Navn Køn Foto Race Adresse Genetisk information Personlighedstest Telefonnummer Pasnr. Initialer/Loginnavn Stilling IP-adresse Størrelse på tøj og sko Familiemæssige oplysninger Uddannelse (karakterer) Personlige produktionstal Elektroniske spor Fagforeningsmæssige tilhørsforhold Helbredsoplysninger Væsentlige sociale problemer Religion GPSoplysninger Pseudonyme oplysninger Seksuel overbevisning Interesser ? Politisk overbevisning ÷ E-mail-adresse Adgangskontrol Kreditkortnummer Nummerplade MedarbejderID Anonyme oplysninger Biometriske oplysninger Rejseoplysninger Videoovervågning Logning i IT-systemer Straffeattest MAC-adresse Løn 8 Hvornår skal man tænke persondataret? Hver gang man støder på en personoplysning Mere konkret i forhold til: Borgere Ansatte Forretningsforbindelser (leverandører og kunder) Samarbejdspartnere (offentlige og private) Status på persondataforordningen 10 Hvor langt er forhandlingerne om forordningen, og hvornår forventes den vedtaget? Hvorfor en forordning i stedet for et direktiv? Betydning? Forslag fremsat af Kommissionen den 25. januar 2012 – COM(2012)11 Parlamentets ændringsforslag den 12. marts 2014 Rådets ændringsforslag den 15. juni 2015 24. juni 2015: 1. runde trilogforhandlinger 14. juli 2015: 2. runde trilogforhandlinger September – december 2015: Yderligere trilogforhandlinger Forventet vedtagelse af alle 3 institutioner : Ultimo 2015 Forordningen træder i kraft 2 år efter vedtagelsen 11 Tidsplan Juli • Territorialt anvendelsesområde • Internationale overførsler September • Principper for behandling • Den registreredes rettigheder • Den dataansvarliges og databehandlerens forpligtelser Oktober • One Stop Shop November • Særlige områder • Ansættelsesforhold • Forskning • Journalistik December • Kommissionens mulighed for vedtagelse af delegerede retsakter og gennemførelsesretsakter Vedtagelse af samlet persondataforordning med udgangen af 2015 12 Den kommende forordning – væsentligste ændringer Øgede dokumentationskrav Privacy Impact Assessment Data protection by design/Data protection by default Givetvis krav om udpegning af Data Protection Officer (DPO) Datatilsynet får aktiv rolle Sanktioner skærpes 13 Dokumentationskrav Både dataansvarlige og databehandlere skal opbevare dokumentation for enhver behandling af personoplysninger Dokumentationen skal mindst omfatte: navn og kontaktoplysninger på den dataansvarlige eller den fælles dataansvarlige og dennes eventuelle repræsentant navn og kontaktoplysninger på DPO formålene med behandlingen, herunder de legitime interesser, der forfølges af den dataansvarlige, hvis behandlingen er hjemlet i ”interesseafvejningsreglen” en beskrivelse af kategorierne af registrerede og de kategorier af personoplysninger, der vedrører dem modtagerne eller kategorierne af modtagere af personoplysningerne, herunder dataansvarlige, som personoplysninger videregives til som led i de legitime interesser, de forfølger eventuelle videregivelser af personoplysninger til et tredjeland eller en international organisation, herunder identifikation af dette tredjeland eller denne internationale organisation, og i tilfælde af videregivelser til ikkesikre tredjelande, dokumentation af fornødne garantier en generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger en beskrivelse af de mekanismer, der har til formål at kontrollere effektiviteten af de foranstaltninger, med henblik på at sikre og være i stand til at påvise, at behandlingen af personoplysninger foretages i overensstemmelse med forordningen 14 Den dataansvarliges ansvar Den dataansvarlige indfører regler og gennemfører passende foranstaltninger med henblik på at sikre og være i stand til at påvise, at behandlingen af personoplysninger foretages i overensstemmelse med forordningen Foranstaltningerne omfatter navnlig: opbevaring af dokumentation gennemførelse af datasikkerhedskrav gennemførelse af konsekvensanalyser vedrørende databeskyttelse overholdelse af kravene om forudgående godkendelse eller høring af tilsynsmyndigheden udpegning af en DPO Den dataansvarlige gennemfører mekanismer, der har til formål at kontrollere effektiviteten af de foranstaltninger, der er nævnt ovenfor (KPI’er) 15 Forpligtelser overfor registrerede Øget mænge af information til den registrerede i forbindelse med indsamling af oplysninger, fx det tidsrum hvori oplysningerne opbevares Etablering af procedure/system til håndtering af indsigtsanmodninger Retten til at blive glemt Retten til sletning 16 Privacy Impact Assessment Konsekvensanalyse Behandlinger af personoplysninger der indebære specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål (både dataansvarlig og databehandler) Profilering Behandling af helbredsoplysninger mhp. at træffe foranstaltninger eller beslutninger vedr. bestemte grupper Overvågning af offentlig tilgængelige områder, navnlig ved omfattende brug af videoovervågning Personoplysninger i omfattende registre vedrørende børn, genetiske data eller biometriske data Alle øvrige former behandling, som kræver, at tilsynsmyndigheden høres (fastlægges af tilsynsmyndigheden) Minimumskrav til PIA. Generel beskrivelse af den planlagte behandling, Analyse af risiciene for registreredes rettigheder og frihedsrettigheder De foranstaltninger, der er nødvendige for at afhjælpe disse risici, samt Garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelsen af personoplysninger og påvise overensstemmelse med persondataforordningen 17 Data protection by design/by default Indbygget databeskyttelse iværksættes under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen både når metoderne til behandling fastlægges, og når selve behandlingen foretages, passende tekniske og organisatoriske foranstaltninger og procedurer, så behandlingen opfylder denne forordnings krav og sikrer beskyttelsen af den registreredes rettigheder. Databeskyttelse gennem indstillinger: Gennemførelse af mekanismer med henblik på som udgangspunkt at sikre at kun de personoplysninger, der er nødvendige til det specifikke formål med behandlingen, behandles, at de navnlig ikke indsamles eller opbevares ud over, hvad der er nødvendigt til disse formål, både med hensyn til mængden af oplysninger og opbevaringsperioden. Disse mekanismer sikrer navnlig, at personoplysninger som udgangspunkt ikke stilles til rådighed for et ubegrænset antal personer. 18 Data Protection Officer (DPO) Offentlige organer, virksomheder > 250 ansatte, kerneaktivitet indgående behandling af personoplysninger Koncern udpege én fælles dataansvarlig Udpeges på grundlag af: Faglige kvalifikationer Ekspertise inden for persondatalovgivning og -praksis Evne til at udføre de opgave, som er opregnet i forordningen Underretning og rådgivning af dataansvarlig om forpligtelser i henhold til forordningen, dokumentation Overvåge gennemførelsen og anvendelsen af den dataransvarliges regler om beskyttelse af personoplysninger Kontrollere gennemførelsen og anvendelsen af persondataforordningen’ Sikre vedligeholdelse af dokumentation Kontrollere dokumentation, anmeldelse og meddelelser vedrørende brud på persondatasikkerheden Kontrollere den dataansvarliges gennemførelse af PIA og anvendelsen af forudgående godkendelse eller høring af tilsynsmyndigheden i de situationer, hvor der er krav om dette Kontrollere besvarelsen af anmodninger fra tilsynsmyndigheden og samarbejde med tilsynsmyndigheden (på anmodning eller på eget initiativ) Fungere som tilsynsmyndighedens kontaktpunkt Dataansvarlig/databehandler sikrer at DPO inddrages i alle spørgsmål vedr. beskyttelsen af personoplysninger 19 Notifikationspligt ”Brud på persondatasikkerheden": brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er videregivet, lagret eller på anden måde behandlet Ved sikkerhedsbrud: Anmeldelse af brud til Tilsynsmyndighed inden 24 timer (72 timer) Indholdskrav til anmeldelse: Beskrivelse af karakteren af bruddet på persondatasikkerheden, herunder kategorierne og antallet af berørte registrerede samt kategorierne og antallet af berørte registreringer Angivelse af identitet og kontaktoplysninger for DPO’en eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes Anbefaling af foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på persondatasikkerheden Beskrivelse af konsekvenserne af bruddet på persondatasikkerheden Beskrivelse af de foranstaltninger, som den dataansvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden 20 Sanktioner Bøde op til EUR 1.000.000! Overtrædelsestype: Bødeniveau: Ingen fastlæggelse af ordninger for registreredes anmodninger Ej rettidig besvarelse heraf Op til EUR 250.000 • • Ikke giver relevante oplysninger ved indsigtsanmodning Ikke sletter oplysninger Manglende ajourføring af dokumentation Op til EUR 500.000 • • • • • • Behandler oplysninger uden hjemmel Ikke respekterer en indsigelse Ikke varsler tilsynet om brud på sikkerheden Ikke gennemfører konsekvensanalyser Ikke udpeger en DPO Overfører oplysninger til tredjelande uden hjemmel Op til EUR 1.000.000 • • • 21 Sammenhæng mellem bøder og medieomtale Medierne har øget fokus på behandling af personoplysninger DSB-sagen Medie-”hype” i forbindelse med de første bøder Medieomtalen er sværere at kontrollere Dårlig omtale reduceret tillid Persondata compliance 23 Er det relevant at tale compliance i forhold til offentlige myndigheder/organisationer? Compliance ikke traditionelt anvendt som begreb i offentligt regi Compliance: Efterlevelse af krav (lovgivning, regulative krav, omverdenen eller myndigheden selv) Offentlige myndigheder skal altid være compliant! Så meget desto mere grund til at have fokus på compliance Ikke uafdækkede risici som private virksomheder Opretholdelse af tillidsniveau essentielt for offentlige myndigheder/organisationer 24 Hvordan kan en compliance-proces i forhold til persondata med fordel gribes an? Pre-audit Afdækning af datastrømme Privacy Risk Assessment PERSONDATASTRATEGI Fundamentet for persondatastrategien 25 Opstart af compliance projekt Identifikation af persondataretlige nøglepersoner i organisationen Ledelsesforankring! Estimat over interne ressourcer forbundet med compliance projekt Overblik over datastrømme (vigtigt!) via interviews og spørgeskemaer Overblik over databehandlere og databehandleraftaler Overvejelser omkring udpegning af DPO Persondataretlig Pre-audit for afklaring af risiko-niveauet? 26 Afdækning af GAP ( risiko) Forpligtelser i kommende lovgivning Forpligtelser i nuværende lovgivning Myndighedens nuværende complianceniveau GAP GAP Datasikkerhed 28 Hvad siger persondataloven om datasikkerhed? Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven Hvis den dataansvarlige gør brug af en databehandler, som derved får adgang til oplysninger, må databehandleren kun behandle oplysningerne efter instruks fra den dataansvarlige Det er den dataansvarliges ansvar at sikre, at databehandleren træffer de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger Den dataansvarlige er forpligtet til at indgå en databehandleraftale med alle databehandlere, der har adgang til oplysninger 29 Sikkerhedsbekendtgørelsen Bekendtgørelse nr. 528 af 15. juni 2000 med senere ændringer Foranstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, kan f.eks. bestå i, at der efter nærmere fastlagte rutiner foretages sikkerhedskopiering Organisatoriske foranstaltninger Dataansvarlig myndighed fastsætte nærmere interne bestemmelser, instrukser og retningslinjer om sikkerhedsforanstaltninger (beskrivelse af tilrettelæggelsen af sikkerhedsarbejdet ) Medarbejdere, som håndterer personoplysninger, skal modtage uddannelse og instruktion i korrekt behandling Ved brug af databehandlere: Fremgå af databehandleraftaler, at behandlingen skal ske efter reglerne i sikkerhedsbekendtgørelsen Kun personer med et arbejdsbetinget behov må have adgang til personoplysninger + autorisation Kontrol med autorisationerne halvårligt 30 Sikkerhedsbekendtgørelsen Tekniske foranstaltninger Etablering af en teknisk adgangskontrol (personlige adgangskoder) i systemerne Koder bør bestå af tal og store og små bogstaver og skiftes minimum en gang om året Krav om registrering af ethvert afvist forsøg på adgang til systemet uanset årsag Blokering, hvis registrering af et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg Etablering af antivirus og firewall Transmission af følsomme og fortrolige oplysninger bør sikres gennem kryptering Sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) bør sikres fx ved brug af elektronisk signatur eller individuelle, fortrolige adgangskoder Enhver behandling af fortrolige personoplysninger skal logges Loggen opbevares i 6 måneder Arbejdsdokumenter Batch-kørsler Statistiske eller videnskabelige undersøgelser Underretningspligt i forbindelse med sikkerhedsbrister Sletning af data eller eventuel afhentning eller returnering af data fra uberettigede modtagere Hurtig underretning af berørte personer Tiltag med henblik på at undgå gentagelser 31 Datatilsynets minimumskrav til behandling af HRoplysninger 1. Beskrivelse af hvordan personaleoplysninger beskyttes 2. Autorisation af personer, der har et sagligt behov for adgang til oplysningerne – så få personer som muligt 3. Instruktion og oplæring af medarbejdere, der håndterer personaleoplysninger 4. Personaleoplysninger på papir – f.eks. i kartoteker og ringbind – skal opbevares aflåst, når de ikke er i brug. 5. Adgangskontrol til systemer – personlige koder 6. Forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger skal registreres 7. Beskyttelse af bærbare datamidler (USB-nøgler mv.) med adgangskode og kryptering 8. PC’er koblet til internettet skal have en opdateret firewall og viruskontrol installeret 9. Kryptering af hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes 10. Kryptering af e-mails, der indeholder følsomme personaleoplysninger og personnummer 11. Sikkerhedsforanstaltninger i forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres 12. Indgåelse af databehandleraftaler med databehandlere 32 Tak for opmærksomheden 33 Kontakt Charlotte Bagger Tranberg Persondataspecialist · Aarhus IP & Technology T M E København Danmark +45 72 27 34 76 +45 25 26 34 76 cbt@bechbruun.com Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com