«Er det utfordringer med ny personvernforordning?» · 2016-11-21 · I dag er det fornuft og...

«Er det utfordringer med ny personvernforordning?»

Oppsummerende rapport fra Sikkerhetstoppmøtet 12. november 2015

sikkerhetstoppmøtet 3

5 Innledning Om dette møtet Arrangører

6 Tidligere tema

7 Dagens situasjon Organisering Personvernombud Omfang av personopplysninger Dagens regelverk Opplæring

9 Utfordringer Organisering av personvern Nå frem til ledelsen Personvernombud Store mengder personopplysninger Formål med behandling Innhenting av samtykke Målrettet informasjon Retten til portabilitet Retten til å bli glemt Datakriminalitet og hacktivism Kunder og ansatte Store bøter med ny forordning

13 Viktige råd og tiltak Ny personvernforordning Ledelsesforankring Personvernombud Big data Standardisering Innebygd personvern Konkurransefortrinn Opplæring

Innhold


Om dette møtet Det sekstende Sikkerhetstoppmøtet hadde 52 deltakere fra både offentlig og privat sektor. Møtet ble innledet med 3 foredrag; «Ny personvernregulering – status og innhold» av Bjørn Erik Thon, direktør Datatilsynet, «Hvordan vi arbeider med personvern i nav» av Tone Gangnæs, seniorrådgiver nav og «Telenor, personvern - og ny personvernforordning», Anders Holt, person-vernombud Telenor. Deretter var det to runder med rundeborddiskusjoner.

Arrangører

Prosjektledere

Tone Hoddø Bakås, nestleder Norsis

Sofie Nystrøm, Direktør ccis

Samarbeidspartnere

Ole Tom Seierstad, ciso, Microsoft Norge

Anders Føyen, Microsoft Norge

Halvor Oseid, director, kpmg

Frida Næss-Ulseth, associate, kpmg

Ingvild Mogensen, associate, kpmg

Øvrig arrangørstab

Roger Johnsen, Administrerende direktør, Norsis

Bjarte Malmedal, seniorrådgiver, Norsis

Peggy Sandbekken Heie, seniorrådgiver, Norsis

Anne Skeidsvoll Granli, Koordinator, Norsis

Mats Authen, rådgiver, Norsis

Stewart Kowalski, professor, Høgskolen i Gjøvik/ ccis

Maria Henningsson, rådgiver, Høgskolen i Gjøvik/ ccis

Rapport skrevet av

Tone Hoddø Bakås, Norsis

Mats Authen, rådgiver, Norsis

Innlening

6 sikkerhetstoppmøtet

26.10.2010 Hvordan hindre informasjonslekkasje fra virksomhetens styre?

09.02.2011 Utfordringer med outsourcing, offshoring og cloudbaserte løsninger

15.06.2011 Risikostyring i virksomheten

18.10.2011 Utvikling av menneskelig atferd og sterk sikkerhet i en ny verden

25.01.2012 Hendelseshåndtering – fra oppdagelse til anmeldelse

19.04.2012 Tillit til sikkerheten hos samarbeidspartnere og leverandører

18.10.2012 Monitorering av de ansatte – løsningen på tillitskrisen til mobile ansatte?

24.01.2013 Ledelsesforankring og isms

17.04.2013 Sikkerhetskultur

30.10.2013 Applikasjonssikkerhet – har vi kontroll?

28.01.2014 Informasjonssikkerhet i verdikjeden – klarer vi å tenke på alt?

09.04.2014 Beredskap

06.11 2014 Kritisk infrastruktur

27.01.2015 Informasjonstyveri og industrispionasje

16.04.2015 Digitalisering og balansen mellom næringsutvikling og sikkerhet

Tidligere tema


Organisering Mange av deltakerne på Sikkerhetstoppmøtet har lang erfaring med å bygge en sikkerhetsorganisasjon. Sikkerhetstoppmøtet erfarer at ansvar i forhold til kundeopplysninger ofte ligger i linjen. Erfaringene med etablering av sikkerhets-utvalg, med deltagere fra ulike deler av virksomheten, er gode. På denne måten får man frem ulike sider. Sikkerhetstoppmøtet diskuterte tilsvarende løsning for personvern.

Sikkerhetstoppmøtet erfarer at policyer revideres alt for sjelden, og at det ofte blir tatt som skippertak når revidering først finner sted. Selv om de fleste virk-somheter reviderer policyer, skjer ikke dette ved faste intervaller. De virksomhe-tene som foretar årlige revideringer, har som regel et styringssystem for det.

Personvernombud Det er i dag færre enn 200 personvernombud i Norge, ifølge Datatilsynet. Flere av virksomhetene jobber med kravene, men har ikke noe formalisert ombud enda. Mange av de større virksomhetene har likevel en funksjon som ivaretar fokus på personvernet i større eller mindre grad.

Omfang av personopplysninger Noen opplever at deler av virksomheten er aggressiv på å hente inn persondata, på grunn av konkurranseforholdene. Det er større konkurranse i forhold til å per-sonalisere innhold for å få brukernes oppmerksomhet, hva som er populært og for å stille med annonser. Systematisert bruk av big data er ofte viktig for å oppnå målsetningen med personalisering av innhold. Dette gir utfordringer personvern-messig, men oppleves som underordnet. Mange tredjeparter samler inn person-opplysninger på egenhånd, til annonsering og markedsføringsformål, for eksem-pel i medieindustrien. Flere ønsker å være strengere på dette, men opplever da at annonsørene går et annet sted.

Dagens regelverk Sikkerhetstoppmøtet er splittet i forhold til dagens meldeplikt. Noen opplever meldeplikten som et godt verktøy for å til enhver tid holde oversikt, mens andre opplever at meldepliktordningen har blitt en tom formalitet.

I dag oppleves det å melde avvik til Datatilsynet som vanskelig i enkelte situa-sjoner, da det oppleves som å bli satt i gapestokk når Datatilsynet offentliggjør hvem som har sendt inn avvikene.

«Vi velter oss i persondata»

Dagens situasjon

«Ikke registrert et eneste avvik, det er et avvik i seg selv!»


Opplæring Sikkerhetstoppmøtet mener at sikkerhet og personvern må inn i utdanningen i Norge i større grad. Det oppleves å være en nasjonal kunnskapskrise innen området.

I dag er det fornuft og «vanlig høflighet» som ligger til grunn for hva vi mener om personvern.

Det er bred enighet om at opplæring og bevisstgjøring av ansatte er viktig, også for personvern. Svært mange av virksomhetene gjennomfører opplæring knyttet til informasjonssikkerhet. Noen gjør det knyttet til Nasjonal sikkerhetsmåned, mens andre gjør det mer løpende.

Det er utfordrende å kommunisere personvern til mottakerne, det er derfor svært viktig å jobbe med kommunikasjon. Sikkerhetstoppmøtet opplever at det er en raskt økende modenhet rundt dette hos kundene. Mange gjennomfører nanolæring, men dette er ikke tilstrekkelig for å gi de ansatte nødvendig kompe-tanse til å forstå utfordringene.«Lenken er

ikke sterkere enn det sva-keste ledd»


Organisering av personvern Sikkerhetsorganisasjon begynner å få forståelse i organisasjonen, og mange har dialog med ledelsen. For personvern gjelder ikke det samme. Det er stor usikker-het rundt hvordan personopplysninger skal behandles, og hvem som har ansvar.

Bedrifter som gir råd om personvern klarer ofte ikke å etterleve dem selv.

Det kan bli stor forskjell i modenhet i norske virksomheter, fra de store, til de små. Når fokuset er å overleve og å få ut produktene sine, står ikke personvernre-glene nødvendigvis i fokus.

Kontroll og oppfølging av personvern kan gjøres av mange av dagens aktører. For eksempel gjennom internkontroll, internrevisjon, eksterne revisorer og stan-dardiserte avtaler. Utfordringen er ofte å se helheten. I dag ser vi ofte at der er en endringsprosess som fører til revisjon og gjennomgang, men det burde vært omvendt.

Nå frem til ledelsen Sikkerhetstoppmøtet erfarer at enkelte ledere nå har blitt oppmerksom på ny personvernforordning. Det er en viktig jobb å forankre personopplysningslo-ven. Mange opplever at det er lettest å selge inn konfidensialitet koplet til taus-hetsplikten. Trussel om høyt bøtenivå er i mange tilfeller det som har vekket oppmerksomheten.

Personvernombud Sikkerhetstoppmøtet diskuterte personvernombudets kompetanse og bakgrunn, og mange meninger kom frem. Særlig ble det diskutert i hvilke grad person-vernombudet skal ha juridisk kompetanse. Det var forslag om plassering av per-sonvernombudet innen juridisk enhet, ikt, compliance, internkontrollmiljø, eller helt tett mot ledelsen, og fristilt.

Det ble diskutert om rollen som personvernombud skal være intern, eller om det skal leies inn eksterne personvernombud. Det kan være vanskelig å finne riktig person internt, og en ekstern vil ikke kjenne organisasjonen like godt.

Det er en tydelig mangel på konkret utdanning innen personvern, noe som kan føre til rovdrift på eksperter innad i Norge.

«Det tar tid å få person-

vern inn i «genene» i

organisasjo-nen»

«Advokatene er veldig

glade – det er de som vil tjene

pengene»

Utfordringer


Store mengder personopplysninger Med store databaser med personopplysninger ser mange god forretning i å kunne koble personopplysningene. Alt man tar i er i ytterste grad informa-sjonshåndtering av personopplysninger, og det er viktig å kunne livssyklusen til opplysningene for å få den totale oversikten.

Sikkerhetstoppmøtet ser utfordringer knyttet til metadata. Eksempelvis er infor-masjon om hvilke telefonnummer du ringer til, når du ringer, samtalens varighet og hvor ofte, ikke personopplysninger, men metadata. Det kan for eksempel være interessant for et forsikringsselskap å vite at du jevnlig ringer et telefon-nummer som kan kobles til en kreftlege. Da vil disse metadataene muligens kunne sidestilles med en personlig helseopplysning.

Formål med behandling Behandling av personopplysninger er i rask endring, og det vi aksepterer og bru-ker personopplysninger til i dag, kan komme til å bli endret om ikke så lenge. Vi vet ikke det politiske bildet i fremtiden. For eksempel endret Snapchat plutselig formålet med sin behandling av personopplysninger. Snapchat er en tjeneste for deling av bilder, hvor avsender og mottaker regner med at bildet slettes i løpet av sekunder. De nye betingelsene sikrer Snapchat rett til å i teorien gjøre hva de vil med bildene. Mange brukere leser ikke de nye betingelsene, og bruker tje-nesten på feil grunnlag.

Innhenting av samtykke Sikkerhetstoppmøtet opplever en stor utfordring i forhold til innhenting av sam-tykke. Mange har store registre og databaser med persondata, uten at samtykke ble innhentet på innsamlingstidspunkt, eller hvor samtykke som er gitt ikke len-ger er tilstrekkelig i forhold til den nye forordningen. Det er viktig å bli flinkere til å vise nok kundeverdi til at kunden vil samtykke. Utfordringen er at hvis en virksomhet er mer åpen og forklarende ovenfor kunden, kan man oppleve å få mer støy. Andre virksomheter kan gjennom sin kommunikasjon forsøke å skjule hvordan de behandler sine personopplysninger, og dermed unngå denne støyen.

Målrettet informasjon Sikkerhetstoppmøtet diskuterte fordeler og ulemper med at reklame, informa-sjon og nyheter spesialtilpassas enkeltindividene. Det er fordelaktig for annon-sører at det er mest mulig målrettet, og mange forbrukere stiller krav til at inn-hold skal være personalisert. For eksempel er det mange som har testet å endre sivilstatusen på Facebook fra «i et forhold» til «singel», og opplevd å få reklame for datingnettsteder.

«Jobben er nesten uover-

kommelig»

«Hvis noe er gratis, er det

du som er produktet»

«Jeg ser en fordumming – hvis man er

interessert i fotball, så

får man bare fotball»


Personaliserte nyheter ut ifra interesseområder vil kunne føre til at man mister deler av nyhetsbildet. Sikkerhetstoppmøtet mener at om f.eks. Aftenposten ikke personali-serer forsiden sin, vil flere og flere heller lese nyheter på Facebook.

Retten til portabilitet Sikkerhetstoppmøtet diskuterte krav til portabilitet, det vil si å ha rett til å flytte informasjonen om seg selv fra en leverandør til en annen. For noen tjenester ansees portabilitet som vanskelig for systemer innen for eksempel sosiale medier, e-post og enheter. Det ble en betydelig endring både i konkurransenivået og smidighet når det ble mulig å flytte med seg telefonnummeret fra en leverandør til en annen. Ny personvernforordning vil tvinge portabilitet frem på tvers av løsningene.

Det vil kreve store endringer i datasentre, og store endringer i forhold til standardisering.

Retten til å bli glemt I dagens personvernregulering er ikke retten til å slette tydelig nok. Ny personvern-forordning vil sette andre krav til sletting, og retten til å bli glemt.

Noen virksomheter vegrer seg veldig for å slette informasjon. Dette kan ofte være fordi virksomheten har en forretningsidé som bygger på den lagrede informasjonen.

Datakriminalitet og hacktivism Sikkerhetstoppmøtet erfarer at når lekkasje av persondata skjer, så er det sjelden som følge av en kriminell handling, heller som følge av et uhell. Bevisst lekkasje av persondata er relativt uvanlig.

Samtidig ser vi at enkeltindividers personvern kan bli rammet som følge av bevisste handlinger. Angrep på leverandører, utført av hacktivister, rammer til syvende og sist også sluttbrukeren.

Kunder og ansatte Mange virksomheter håndterer mye informasjon om andre, og glemmer noen ganger egne ansatte. De er så opptatte av å skjerme kundeinformasjon de håndterer, at det går på bekostning av informasjonen til de som har håndtert dem.


«Brukerne kan ikke gjøre

egne risiko- vurderinger»

Det erfares at kundene er blitt mer opptatte av informasjon om hvordan virk-somhetene behandler deres personopplysninger. I mange tilfeller kan det være utfordrende å besvare spørsmål om dette.

Store bøter med ny forordning En virksomhet opplevde å få bot fra Datatilsynet, noe som medførte at person-vern ble satt på dagsorden. Sikkerhetstoppmøtet mente at i mange tilfeller er bøter nok til å sette personvern på dagsorden. Dagens nivå av bøter er til å leve med, men når bøtenivået øker betydelig vil det svi både omdømmemessig og økonomisk. Å bruke bøter mer aktivt mener Sikkerhetstoppmøtet kan være et godt verktøy for å etterkomme regelverket. Konkurransejuks og korrupsjon har gjennom bruk av bøter blitt satt fokus på.

Mange utkontrakterer med tanke på å spare kostnader. Hvis dette medfører brudd på ny personvernforordning og store bøter, kan kostnadsbesparelsen av å sette det ut bli liten.


Ny personvernforordning Den nye forordningen vil gjelde for hele Europa, Sikkerhetstoppmøtet mener likhet og at dette er absolutte krav er bra for personvernet. Dette vil kreve mer ressurser, og ledelsen må budsjettere i forhold til dette.

Sikkerhetstoppmøtet anbefaler at alle virksomheter som kan komme til å trenge det, skaffer seg en standardavtale med leverandører, der samarbeidet har blitt påvirket av ugyldiggjøringen av Safe Harbor avtalen. Noen virksomheter har allerede slike avtaler på plass, og har derfor ikke behøvd å foreta seg noe spesi-elt i forbindelse med at Safe Harbor har blitt kjent ugyldig.

Det oppleves at det er uklart hvilken klageinstans som vil bli gjeldende for ny personvernforordning. Sikkerhetstoppmøtet mener at dagens personvernnemd har en viktig rolle som fortsatt må ivaretas.

Det er viktig å sette seg inn i definisjonene og kravene. Hva er en personopplys-ning i henhold til ny forordning. Et eksempel er at ny forordning innfører pseu-donymisering. Det vil si at kun informasjon som bare indirekte vil kunne knyttes til et individ er tilgjengelig om det individet.

Sikkerhetstoppmøtet ser med bekymring på startup-virksomheter, og bedrifter med få ansatte i forbindelse med de nye forordningene. Det kan være svært kre-vende for oppbygging av virksomheten å pålegge slike bedrifter strenge krav.

Sikkerhetstoppmøtet ønsker seg råd og veiledninger for å best mulig kunne ivareta kravene i den nye forordningen. Forordningen må ikke gjøre det vanske-ligere å drive forretning.

Ledelsesforankring Det er viktig at ledere er forbilder på alle nivåer, og setter personvern på agen-daen i virksomheten. Trykket må være fra toppen og nedover.

De nye bøtesatsene kan brukes i ressursdialog internt i virksomheter. Det er billigere å ansette flere personvernombud, enn å betale de høye bøtesatsene. Sikkerhetstoppmøtet har erfart at når ledelsen har blitt oppmerksom på de nye forordningene har det i stor grad vært de høye bøtesatsene som har vekket opp-merksomheten. Forordningen gir også en mulighet til at virksomheter kan løfte seg innen personvernområdet.

Viktige råd og tiltak

«Ombudet må være fristilt»


Sikkerhetstoppmøtet la også frem et råd om å presentere problemstillinger rundt sikkerhet og personvern på samme måte som for eksempel børsfall, da det er noe ledelsen ofte relaterer til lettere. Fokuser blant annet på å ikke ha ting «i rødt», og på kostnadene ved å ha utilstrekkelig personvern eller sikkerhet. hms rapporteres alltid i styrerapportene, mens det ikke er vanlig for informasjons-sikkerhet. Mangel på personvern kan i likhet med mangel på sikkerhet ha store kostnader for virksomheten.

Personvernombud Det anbefales ikke at samme person er både sikkerhetsansvarlig og personvernombud.

Personvernombud bør være en fristilt rolle, men må sørge for god dialog med forretningssiden, for å få makt til å utrette rollen. Det er viktig å finne operasjo-nelle og praktiske løsninger som fungerer i egen virksomhet.

Personvernombudet bør ha kort vei til øverste ledelse. Det å velge en person med interesse for området er viktigere enn å ha en med formell kompetanse.

Sikkerhetstoppmøtet anbefaler at personvernombud blir med i uformelle nett-verk med andre personvernombud, for å sikre kompetanse og beste praksis.

Med ny personvernforordning, vil personvernombudets rolle bli styrket, og få mer ansvar. Dette oppleves som positivt.

Big data Big data vil kunne tvinge frem nye systemer og metoder for å effektivisere sammenstilling av informasjon. Det er tvilsomt at denne utviklingen kan stop-pes, det vil føre til mer skreddersøm, og flerlags samtykkesystemer har blitt diskutert. Det siste er viktig når eierskap til dataen blir mer utydelig, etter hvert som man kommer lenger unna kilden, som er eierne av dataen. Sikkerhetstopp-møtet anbefaler å sørge for å forankre eierskap til dataene, da det blir en større utfordring etterhvert som det blir større avstand til personene som eier og blir omhandlet av dataene.

Standardisering Sikkerhetstoppmøtet utfordrer mediehusene til å standardisere datahåndte-ringsregler, slik at ingen får konkurransefortrinn mot å være for aksepterende i forhold til innsamling og personalisering av innhold.


Sikkerhetstoppmøtet foreslår å synliggjøre endringer i formål for behandling og generelle betingelser, for eksempel ved bruk av funksjonalitet som sporer endringer

Et mulig tiltak for å øke kunnskap og kompetanse om standarder innen person-vern, er å få personvern-personell i virksomheten sertifisert med etter den nye iso-standarden for personvern, iso 27018. Dette kan også være et konkurranse-fortrinn, fordi det signaliserer til potensielle kunder at virksomheten tar person-vern på alvor

Innebygd personvern Sikkerhetstoppmøtet konkluderer med at personvern må inn så tidlig som mulig i et prosjekt som behandler personopplysninger. Kostnadene øker dramatisk dersom personvern først blir et tema senere i prosjektet. Mange er allerede klar over dette, men da eksklusivt for informasjonssikkerhet.

Mange synes det er uklart hva innebygd personvern faktisk er. Det bør lages sjekklister og retningslinjer for hvordan man lager dette.

Konkurransefortrinn Etter hvert som kundene blir mer bevisst, kan tillit, åpen kommunikasjon og god behandling av personopplysninger bli et konkurransefortrinn. Det kan bli et fortrinn å differensiere seg gjennom personvern, men Sikkerhetstoppmøtet ser med spenning på hvordan dette vil fungere i praksis.

Det er mange oppslag i media etterhvert om brudd på personvern. Det er forven-tet flere oppslag etterhvert som det er mer fokus på åpenhet, som igjen medfø-rer økt fokus på personvern, overfor virksomheten og kundene.

Det å ikke spore kundene kan sees på som et konkurransefortrinn. Noen kunder vil være villig til å betale for å ikke bli sporet.

Opplæring Det er viktig å øke kunnskapen om personvern. Opplæringen må være kontinu-erlig og målrettet, kurs for nyansatte og å leie inn eksterne eksperter. Et forslag er å lage en bytteordning i forhold for å få inn eksterne foredragsholdere.

En svært nyttig form for opplæring er øvelser. Et nyttig tema for øvelse er å teste personopplysninger på avveier.

«Utviklere er ikke av

natur opptatt av dette når de utvikler løsninger»

«Det er en mulighet for fornying, selv

om det blir dyrt»

«Ingen blir profet i sitt eget land»

«Ny forord-ning gir også nye

muligheter»

Om Sikkerhetstoppmøtet

Sikkerhetstoppmøtet bringer informasjonssikerhets- ledere, eksperter og nøkkelpersoner innen fagfeltet sammen for å utveksle erfaringer og kunnskap.

Deltakerne vil gjennom foredrag og samtaler skaffe seg et klarere bilde av dagens praksis og en innsikt i utviklingen i feltet.

Formatet på samtalene er en åpen og kollegial tankesmie hvor synspunkter og argumentasjoner relatert til dags- aktuelle tema utveksles.

Nytteverdien for deltakerne ligger i at de kan ta med seg meningsutvekslingen tilbake til sine respektive foretak og styrke sin interne sikkerhet.

Sikkerhetstoppmøtet støttes av

«Er det utfordringer med ny personvernforordning?» · 2016-11-21 · I dag er det fornuft og...

Documents

Transcript of «Er det utfordringer med ny personvernforordning?» · 2016-11-21 · I dag er det fornuft og...