Download   Report
  1. No category

Hvordan reguleres informasjonssikkerhet

Ny personvernforordning –
Hvordan reguleres informasjonssikkerhet
Datatilsynet
Uavhengig forvaltningsorgan
Tilsyn og ombud
Forvalter personopplysningsloven og forskrifter
41 medarbeidere
Faggruppe 1 (justis, bank/finans/forsikring, arbeidsliv)
Faggruppe 2 (veiledning, kamera, kredittopplysning, krenkelser og
sletting på nett)
Faggruppe 3 (samferdsel, telekom, skole, digitalisering i offl.)
Faggruppe 4 (helse, forskning)
Informasjonsavdeling
Administrasjonsavdeling
2
Hva handler personvern om?
• Autonomi /
selvbestemmelse
• Å vite = retten til å velge
• Forutsigbarhet
• Tillit
• Informasjonssikkerhet
Personopplysning:
- Opplysninger og vurderinger som kan
knyttes til en enkeltperson
Regelverket gjelder de fleste! (De som har
ansatte, kunder, pasienter, klienter etc.)
3
Thinkstock.com
Hvor er vi nå?
Personopplysningslov
Personopplysningsforskrift
Lov fra 2000
Basert på EU-direktiv
fra 95
4
Hvor skal vi?
Personvernforordning
vedtas etter planen ved
utgangen av året
Bindende i Norge
Lik regulering i Europa
•
•
•
•
•
2 års
implementeringstid
Utvidet geografisk anvendelsesområde
Flere plikter for behandlingsansvarlig og databehandler
Mer dialog
Mer standardisering
Strengere sanksjoner
5
De «gamle» prinsippene dagens lov er bygd på
•
•
•
•
•
•
Selvbestemmelse – samtykke og reservasjonsrett
Informasjon og innsyn
Sletting av opplysninger
Korrekt informasjon
God informasjonssikkerhet
God internkontroll
6
Prinsipper som styrkes i den nye forordningen
• Retten til å bli glemt – en styrket sletteplikt
• En styrking av eiendomsretten til egne data
• Retten til å motsette seg visse typer behandling
• Innebygd personvern
 Personvern skal bygges inn i de teknologiske løsningene
 Personvernet skal ivaretas i ”opplysningens levetid” – fra den
fødes til den dør
7
Saksbehandlingsregler
- En egen enighetsprosedyre - consistency mechanism
- Lead authority – one stop shop
- European data protection board
24.11.201
Side 8
Viktige endringer – Sikkerhet og internkontroll
•
•
•
•
•
•
Accountability (Internkontroll)
Privacy by design and by default
Fremdeles en risikobasert tilnærmet – men utvides
Strengere regeler ved avvik (personal data breach)
Data protection impact assessment (PIA)
Bruk av bransjenormer (Code of conducts) og
sertifiseringer
9
Accountability
• Krav om rutiner, vurderinger, og dokumentasjon flere steder –
bl.a.:
– Article xx - Responsibility of the controller
– Article xx - Processor
– Article xx - Records of processing activities
• “…adopt policies and implement appropriate measures to
ensure and be able to demonstrate that the processing of
personal data is performed in compliance with this Regulation”
• Mye tydeligere krav til databehandlere
– Selvstendig internkontrollplikt
• Internkontroll
• Risikobasert / Organisasjonens størrelse / type opplysninger
10
Data protection impact assessment
• Article xx - Data protection impact assessment
• Behandlinger med høy risiko for personvernet til de registrerte
• Og noen konkret angitte behandlinger
– Angitt i regelverket
– Angitt av Datatilsynet
• Resultatet tilsier om en skal konsultere Datatilsynet eller ikke
(Article xx Prior consultation)
– Høy risiko
– Ombud eller ikke
– Tidsfrister
11
Privacy by design and by default
• Article xx- Data protection by design and by default
•
•
•
•
Når løsninger designes og underveis
Dataminimalisering
Pseudonymisering
Tiltak for å sikre at behandlinger er i samsvar med
regelverket
12
Informajsonssikkerhet
etter nytt regelverk
13
SECTION 2 DATA SECURITY
• Article xx Security of processing
• Article yy Notification of personal data breach to the
supervisory authority
• Article zz Communication of personal data breach to the
data subject
14
Still a risk based approach
• Article 30 - Security of processing
• “….shall implement appropriate technical and
organisational measures to ensure a level of security
appropriate to the risks…”
• confidentiality, integrity, availability and resilience of systems
• Regulering på forskriftsnivå?
• Ingen nasjonal regulering vil bli gitt
• Ikke svært eksplisitt på dokumentasjonsplikten
15
Personal data breach-handling
• Article yy - Notification of a personal data breach to the
supervisory authority
• Article zz - Communication of a personal data breach to
the data subject
• 72h timers tidsfrist
• Uavklart: Alle brudd, eller bare ved høy risiko
16
Codes of conducts & Certifications
• Oppfordrer til bruk av bransjenormer (Code of
Conducts), Privacy seals and certifications
• Datatilsynet skal vurdere utkast til CoC
• Datatilsynet utnevner (bransje)organ som overser
etterlevelsen av CoC.
• Dette er en viktig tilnærming til etterlevelse, og er nevnt i
de fleste bestemmelser som omhandler krav til
virksomheten
• I tillegg kommer (felles europeiske) veiledninger til
etterlevelse
17
Sanksjoner
• Overtredelsesgebyr – max 100 000 000 eller 5% av
omsetningen
• I dag: ca 850 000 kroner max
Summary
•
•
•
•
It will come!
It will revitalize privacy- and information security work
Still a risk based approach
We will be harmonized
– For cross border business, but
– Also for information security work and standardisation
• Look forward to it – It will effect your profession in a
positive way
• …. And no more detailed Norwegian security
regulations… Some will miss them
19
Takk for meg!
[email protected]
Telefon: +47 22 39 69 00
datatilsynet.no
personvernbloggen.no
Guro Skåltveit: Ung anno 2015

Guro Skåltveit: Ung anno 2015

Direktiv 2014/104/EU (håndhevelsesdirektivet)

Direktiv 2014/104/EU (håndhevelsesdirektivet)

Styreleder ser deg - Stanley Security AS

Styreleder ser deg - Stanley Security AS

NCE Smart Energy Markets Partnerkonferansen 10

NCE Smart Energy Markets Partnerkonferansen 10

SOS Event Security AS Mind The GAP AS -‐ We

SOS Event Security AS Mind The GAP AS -‐ We

Brev om vedtak

Brev om vedtak

Anke HR 18112011 - Steingrim Wolland

Anke HR 18112011 - Steingrim Wolland

A rtik k e l n u m m e r Pric e 2 0 1 4 A rtik

A rtik k e l n u m m e r Pric e 2 0 1 4 A rtik

Eger motehus - Stanley Security AS

Eger motehus - Stanley Security AS

Velkommen til fagdag sikkerhet hos Stanley Security

Velkommen til fagdag sikkerhet hos Stanley Security

Vedtak om pålegg

Vedtak om pålegg

BRUT 2.0

BRUT 2.0

Full article

Full article

LAST NED

LAST NED

Kampanjetilbud Q1 2015 fra UTC Fire & Security Norge

Kampanjetilbud Q1 2015 fra UTC Fire & Security Norge

Endelig tilsynsrapport, Mona Lisa Huset

Endelig tilsynsrapport, Mona Lisa Huset

Sikkerhet er standardisering

Sikkerhet er standardisering

Sikkerhetsdatablad

Sikkerhetsdatablad

Vedtak om felling av ulv

Vedtak om felling av ulv

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen?

ARBEIDSRETTSNYTT NR. 3/2015

ARBEIDSRETTSNYTT NR. 3/2015

Her er lenker til et utvalg bygdebøker fra Trøndelagsfylkene

Her er lenker til et utvalg bygdebøker fra Trøndelagsfylkene

abcdocz.com

© Copyright 2024