Roadmap til håndtering af EU-persondataforordningen

Roadmap til håndtering af
EU-persondataforordningen
Klaus Kongsted, [email protected]
Vejle, den 21. maj 2015
DUBEX SECURITY &
RISK MANAGEMENT UPDATE 2015
Agenda
Hvordan ser det ud i dag?
Hvem vedrører forordningen?
Skal min organisation gøre noget?
- Hvad?
- Hvornår?
Kan/skal vi forberede os nu?
Er der nogle vi kan lære af?
Roadmap
Hvordan ser det ud i dag?
Den nuværende persondatalov
•
•
Fra år 2000, løbende smårevisioner
Bunder hovedsaglig i et EU-direktiv
• Tre niveauer af personoplysninger
•
•
•
•
•
•
Følsomme oplysninger (lovovertrædelser, helbred, seksualitet, religion mm.)
Oplysninger om rent private forhold
Ikke-følsomme oplysninger
Som udgangspunkt anmeldelsespligt for registre
Lang række undtagelser
Bliver i stort omfang ikke fulgt, sanktioner stærkt begrænsede ...
Sanktioner?
Den nye forordning, med EU-Parlamentets ændringer
•
•
•
•
•
•
Forordning – direkte lovgyldighed i alle lande
Ensartede regler i hele EU / EØS samt one-stop myndighedsudøvelse
Retten til at få slettet oplysninger (ikke kun til at blive “glemt”)
Kun registrering ved aktivt samtykke
Ingen forhåndsgodkendelse af registre (til myndighed)
Breach Notification
•
Som udgangspunkt inden for 24 timer
• Data Protection Officer (databeskyttelsesansvarlig)
•
SMV’er som udgangspunkt undtaget (< 250 ansatte)
• Obligatorisk Privacy Impact Assesment
•
SMV’er som udgangspunkt undtaget (< 250 ansatte)
• Store bøder (højeste af EUR 100 mio eller 2% / 5% af omsætning)
Roadmap
EU-Kommisionens
oprindelige forslag
25/1-2012
2012
LIBE giver OK
EU’s kommite for Borgernes
Rettigheder og Retlige og Indre
Anliggender (LIBE) giver OK for
videre fremdrift 22/10 2013
2013
Høringsrunde
Politikere og
høringsberretigede
organisationer i alle EUlande kunne kommentere
2014
Ministerrådsvedtagelse
Helt grundlæggene
ændringer kan ikke
foretages uden at
genstarte processen.
2015
EU-parlamentsvedtagelse
3000+ ændringer. Vedtaget
12/3 2014
2016
Delvis ikræfttrædelse
Overgangsordninger på
op til to år for visse
elementer
Endelig, fuld gyldighed
Ikke flere
overgangsbestemmelser
2017/18
Forberedelse
• Forberedelsen starter NU:
• Dokumentér databehandlingssystemer
• Lav baseline
• Log adgang
• Kryptér data – også data i transit
• Stil krav til tredjeparts-databehandlere
• Identificér risikofaktorer
• Forbered Data Privacy Impact Assessments
• Lav plan for DPO’er
• … tag udgangspunkt i ISO 2700x
Er vi forberedte?
http://www.scmagazineuk.com/infosec-teams-unprepared-for-new-eu-data-protection-laws/article/394614/
Myndighedsudøvelse, jurisdiktion
• One-stop myndighedsudøvelse
• Organisationerne er som udgangspunkt kun underlagt deres egen
nationale datamyndighed
• Ikke-EU/EØS-virksomheder, der udbyder varer/ydelser til EU-borgere/virksomheder, er også underlagt. Også ”gratis”-ydelser!
Lobby-arbejde fra landene - eksempel
Hvis nogen stadig skulle være i tvivl om hvem der bestemmer i EU:
Lobby-arbejde fra landene - eksempel
Hvis nogen stadig skulle være i tvivl om hvem der bestemmer i EU:
Data Protection Officers
• Refererer direkte til ledelsen
• Udpeget for fire år, beskyttet mod afskedigelse (sammenligneligt med
sikkerhedsrepræsentanter)
•
•
•
•
•
•
… eksternt sourcede dog to år
SMV’er (< 250 ansatte) kun hvis databehandling er kernevirksomhed *
… dog alle offentlige myndigheder
Få lande har i dag tvungne DPO’er – Tyskland er tættest på
Formentlig ofte ekstern
Find dem snart – der bliver rift om dem!
*: Og/eller behandler over 5000 data-subjekter/år
Hvem er DPO’erne?
• Skal have ekspertkendskab til:
• Relevant lovgivning (Data Protection Act)
• Databeskyttelse
• Privacy Assesments
• … hvor mange har den kombination?
• Må ikke have ”interessekonflikter” (?)
•
•
•
•
•
•
Ansvarlig for forordningens overholdelse i organisationen
Point-of-contact for data-subjekter og myndigheder
Ansvarlig for procedurer, risikovurderinger, dokumentation, DPIA mm.
Klageansvarlig
Ansvarlig over for revision
Potentielt under strafansvar
Informeret samtykke og right-to-be-erased
Informeret samtykke
• Eksplicit samtykke for registrering
• Som udgangspunkt en rettighed for borgeren
• Ikke kun opt-out
• Kræver i praksis formentlig afkrydsningsbokse eller lignende
• Breach Notification-krav (se senere)
Right to be erased
• EU-Parlamentets udvidelse fra ”right-to-be-forgotten”
•
EU-domstolen har yderligere stadfæstet princippet
• Naturligvis ikke absolut (kriminalregistre etc.)
• Som udgangspunkt en rettighed for borgeren
• Store konsekvenser – tænk på gamle backups
• … Og så har borgerne ret til at få deres data flyttet til
anden udbyder
(”Right to data portability”)
Breach Notification
•
•
•
•
Inden for 24 timer (under visse omstændigheder 72)
Også hvis data ligger hos tredjepart
Både til myndigheder og berørte borgere
Krav til mængden af information
• Tidspunkt
• Karakter af lækket data
• Hvor mange entiteter der er omfattet
• Undtagelser – hvis det kan påvises data er ubrugelige
(effektivt krypterede)
• Overstiger allerede vedtagne krav til TelCos
• Ligner eksisterende krav i Tyskland og Frankrig
• Kræver i praksis effektive loghåndteringssystemer og IAM
• Kræver i praksis 7x24 beredskab – eget eller SOC-leverandør
Data Protection Impact Assessment
• Ofte kaldet ”Privacy Impact Assessment”
(PIA)
• Obligatorisk – når der er ”særlige risici”
• Erstatter anmeldelsespligten til national
myndighed
• SMV’er (< 250 ansatte) kun hvis
databehandling er kernevirksomhed *
• Offentlige myndigheder undtaget, hvis
behandlingen er et EU-krav
• Risikobaseret tilgang – ledelsen burde
juble
• Der findes en del frameworks tilgængelige
• Vigtigt at få sat i system, og integreret del
af projektplaner
*: Og/eller behandler over 5000 data-subjekter/år
Hvad indeholder en (D)PIA?
• Risikovurdering – med udgangspunkt i datasubjekterne!
• Dokumentation
• Organisatoriske foranstaltninger
• Tekniske foranstaltninger
• Compliance – i forhold til forordningen
• Evt. høring af datasubjekter
• Evt. høring af myndigheder (ved forøget risiko)
• Evt. foretagen begrænsning af risici
• Konsekvensanalyser
• Yderligere dokumentationskrav uden for (D)PIA
• Formål
• Kontaktoplysninger
• Evt. tilladelser/hjemmel
• Klageadgang
• Kontrolforanstaltninger
• Subjekttyper, datatyper, modtagere, sletningskrav, evt. overførsler
PIA frameworks - eksempler
Yderligere henvisninger
• Fact-sheet om EU-Parlamentets ændringer til
Kommissionens forslag
http://ec.europa.eu/justice/dataprotection/files/factsheets/factsheet_dp_plenary_vote_14031
2_en.pdf
• Samlet oversigt over Parlamentets ændringer og
Ministerrådets nuværende positioner (tungt!)
http://www.statewatch.org/news/2015/apr/eu-council-dp-reg4column-2015.pdf
• DI ITEK’s skabelon for Privacy Impact Assessment
http://itek.di.dk/SiteCollectionDocuments/Vejledninger/DI's%
20skabelon%20for%20Privacy%20Impact%20Assessment.p
df
Tak!
Kontakt [email protected] for yderligere
information