Sikkerhed internetof things persondata Ccure Advokat Peter Lind

  • Slides: 35
Download presentation
Sikkerhed, internet-of things & persondata C-cure Advokat Peter Lind Nielsen 9. december 2014

Sikkerhed, internet-of things & persondata C-cure Advokat Peter Lind Nielsen 9. december 2014

Side 2 © Bird & Bird 2014

Side 2 © Bird & Bird 2014

Side 3 © Bird & Bird 2014

Side 3 © Bird & Bird 2014

● ● Ingen grænser for hvad vi smider på nettet Uskyldige/harmløse “gadget” Kritisk udstyr

● ● Ingen grænser for hvad vi smider på nettet Uskyldige/harmløse “gadget” Kritisk udstyr der kan betyde lig og død Dan Tentler @Viss Side 4 © Bird & Bird 2014

Side 5 © Bird & Bird 2014

Side 5 © Bird & Bird 2014

Persondata? ● Registreres/behandles der persondata - Identificerede eller identificerbare personer Ikke ret meget til

Persondata? ● Registreres/behandles der persondata - Identificerede eller identificerbare personer Ikke ret meget til før omfattet fx krydsreferencer IP-adresse, el-måler, RFID-tag, sædenummer? Big-data – krydsreferencer på speed ● Så gælder persondataloven! − Ufravigelig og beskytter personer (datasubjekter) ● Hvilke typer af persondata? − Følsomme oplysninger − Oplysninger om andre rent private forhold (semi-følsomme) − Almindelige ikke-følsomme oplysninger Side 6 © Bird & Bird 2014

Krav til oplysninger over for personen ● Hvilke oplysninger der indsamles, behandles m. v.

Krav til oplysninger over for personen ● Hvilke oplysninger der indsamles, behandles m. v. ● Hvem den dataansvarlige er − Flere dataansvarlige − Og evt. databehandlere, underdatabehandlere ● Formålet − − Hvad bruges alle de data til? Må ikke behandles uden formålet Lovhjemmel – må ikke behandles uden lovhjemmel af det offentlige Anonymisering – HELT anonyme! ● Den registreredes ret til indsigt i data − Ret til sletning? − Ret til rettelse af forkerte data Side 7 © Bird & Bird 2014

Yderligere brug af data - ofte en udfordring ved big-data ● Videregivelse − Udgangspunkt

Yderligere brug af data - ofte en udfordring ved big-data ● Videregivelse − Udgangspunkt krav om samtykke ● Samtykke kan tilbagekaldes − (Retten til at blive glemt) ● Nyt formål − Nyt samtykke − Værdispringsreglen? − For allerede indsamlede data? Side 8 © Bird & Bird 2014

Sikkerhed ● Privacy by design ● Mulighed for at slå registrering/videresendelse til/fra − Uhensigtsmæssig

Sikkerhed ● Privacy by design ● Mulighed for at slå registrering/videresendelse til/fra − Uhensigtsmæssig eller ulovlig registrering undgås − Privacy settings – evt. med sikkerhed som default! − HOV – medfører det så en risiko, og virker produktet så? ● Behandling af oplysninger − − − Krav i persondataloven - behandlingssikkerhed Organisatorisk/Teknisk sikkerhed Kan brugeren selv slette/give adgang? Sikkerhedsbrud – skal der gives meddelelse DK/EU/3. land? Hvor opbevares data Side 9 © Bird & Bird 2014

Ansvar for sikkerhedsbrud/dårlig sikkerhed “With millions of devices connected to the Internet – and

Ansvar for sikkerhedsbrud/dårlig sikkerhed “With millions of devices connected to the Internet – and in many cases running an embedded operating system – in 2014, they will become a magnet for hackers” ● Problem med sikkerhed − Hvordan får vi folk til at opdatere firmware i køleskabet? − Udsendelse af advarsel/Orientering om sikkerhedsbrud ● Erstatningsansvar for producenten − Produktansvar – ufravigelig regler fx. personskade ● Er forsikringen opdateret − For brugeren – dækkes de nye risici − For producenten – dækkes de nye “produkter” og risici ● Overtrædelse af persondataloven − EU-Forordning på vej - så falder brænde ned! • Krav om meddelelse til de berørte/offentliggørelse Side 10 © Bird & Bird 2014

Aftale med leverandører -databehandlerer eller p. g. a. egen sikkerhed ● Flere er databehandlere

Aftale med leverandører -databehandlerer eller p. g. a. egen sikkerhed ● Flere er databehandlere end man tror – ikke bare outsourcing − Leverandører der har adgang til data, slette data o. s. v. − Selvom ikke databehandler så et sikkerheds-issue ● Krav om overholdelse af persondataloven ● Krav om at virksomhedens sikkerhedskrav overholdes − Hvad siger leverandørens egne sikkerhedskrav ● Vurdering af dette ved revision og attester hos leverandøren ● Krav om: − Løbende indsigt i sikkerheden − Rapportering af “brud” på sikkerheden − Sanktioner i kontrakten hvis det sker ● Egen sikkerhed − Overvågning/logning Side 11 © Bird & Bird 2014

Pas på med egen sikkerhed over for medarbejdere ● Og leverandørers medarbejdere, der har

Pas på med egen sikkerhed over for medarbejdere ● Og leverandørers medarbejdere, der har adgang til virksomhedens data/udstyr − Logning af eksternes adfærd på kundens udstyr/lokaler ● Logning af medarbejderes adfærd − − − Oplysningskrav Arbejdsmiljøregler Persondataregler Overenskomstregler – varslingskrav m. v. Fx. Geo-logning/GPS udstyr o. s. v. Side 12 © Bird & Bird 2014

Forordningen ● I dag − Persondataloven • Baseret på persondatadirektivet − Forskelle i implementering

Forordningen ● I dag − Persondataloven • Baseret på persondatadirektivet − Forskelle i implementering fra land til land ● Fremtiden − Samme forordning i hele EU − Samme regler − Nok lidt forskellig fortolkning Side 13 © Bird & Bird 2014

Forordningen ● Overordnede principper beholdes − − − Lovlig og loyal behandling Formålet skal

Forordningen ● Overordnede principper beholdes − − − Lovlig og loyal behandling Formålet skal være specifikt Data skal være præcise og ajour Data må kun opbevares, så længe de er nødvendige Dataansvarlige er ansvarlige for behandlingen ● Større fokus på: − Gennemsigtighed − Dokumentation − Datasubjektets egen kontrol Side 14 © Bird & Bird 2014

Forordningen ● Stadig kun et forslag − Officielle offentliggjorte udgave fra januar 2012 −

Forordningen ● Stadig kun et forslag − Officielle offentliggjorte udgave fra januar 2012 − Ændringsforslag fra • EU Parlamentet • LIBE (udvalg for Borgernes Rettigheder og Retlige og Indre Anliggender) − Afventer Kommissionens sammenfattede endelige forslag! − Der VIL komme ændringer til forslaget Side 15 © Bird & Bird 2014

Forordningen ● Hvornår kan vi forvente forordningen − Jean-Claude Juncker: Inden for 6 måneder

Forordningen ● Hvornår kan vi forvente forordningen − Jean-Claude Juncker: Inden for 6 måneder (!) − Men realistisk nok i løbet af 2015 • Der forventes 2 års ’sunrise’-periode efter vedtagelsen • Efter udløb af sunrise-periode, så fuld gyldighed Side 16 © Bird & Bird 2014

Nye rettigheder ● De hidtidige rettigheder bibeholdes − Orienteringspligt til datasubjekterne − Indsigtsret −

Nye rettigheder ● De hidtidige rettigheder bibeholdes − Orienteringspligt til datasubjekterne − Indsigtsret − Ret til berigtigelse − Indsigelsesret • (udvides nok noget, særligt i forhold til markedsføring) Side 17 © Bird & Bird 2014

Nye rettigheder ● ’Retten til at blive glemt’ − Udvidelse af sletningsretten • Formålet

Nye rettigheder ● ’Retten til at blive glemt’ − Udvidelse af sletningsretten • Formålet er udtømt • Samtykke tilbagekaldes • Behandling i strid med forordning • Berettiget indsigelse − Så skal den dataansvarlige slette data • Som er i den dataansvarliges rådighed • Stoppe enhver distribution af dataene Side 18 © Bird & Bird 2014

Nye rettigheder ● ’Retten til at blive glemt’ − Hvis dataansvarlige har offentliggjort data

Nye rettigheder ● ’Retten til at blive glemt’ − Hvis dataansvarlige har offentliggjort data • Så skal den dataansvarlige med alle rimelige midler sikre, at tredjeparter, som behandler data, der stammer fra den dataansvarlige – Slettes af tredjepart – Tredjepart sletter alle links til dataene − Meget drøftet forslag – også af Parlamentet og LIBE • Endnu ikke klart hvordan bestemmelse bliver udformet præcist − Men ’retten til at blive glemt’ understøttes af ’Google-afgørelsen’ (c-131/12) Side 19 © Bird & Bird 2014

Nye rettigheder ● Dataportabilitet − Hvor den dataansvarlige behandler persondata i et struktureret og

Nye rettigheder ● Dataportabilitet − Hvor den dataansvarlige behandler persondata i et struktureret og gængs format • Så har datasubjektet ret til at få en kopi af dataene • (Hvis teknisk muligt) • (Anonymiserede og pseudonymiserede data evt. undtaget) − Hvis behandling sker pba. samtykke eller aftale • Datasubjektet må overføre til andet system • Oprindelig dataansvarlig skal acceptere Side 20 © Bird & Bird 2014

Krav om politikker ● Dataansvarlige skal have skriftlige politikker for alle behandlinger af persondata

Krav om politikker ● Dataansvarlige skal have skriftlige politikker for alle behandlinger af persondata − Hvorfor og hvordan persondata håndteres − Hvem der er ansvarlig, og hvordan de kan kontaktes − Datasubjektets rettigheder ● Gennemsigtighed − Skal være let tilgængelige − Tydeligt og letforståeligt sprog Side 21 © Bird & Bird 2014

Procedurekrav ● Dataansvarlig skal have nedskrevne, interne procedurer for håndteringen af: − − −

Procedurekrav ● Dataansvarlig skal have nedskrevne, interne procedurer for håndteringen af: − − − Orienteringspligt til datasubjekterne Indsigtsret Ret til berigtigelse Indsigelsesret Ret til sletning/retten til at blive glemt Dataportabilitet ● Afvisning − Begrundes − Klagemulighed og mulighed for retssag skal beskrives Side 22 © Bird & Bird 2014

Dokumentationskrav ● Dataansvarlige skal have regler og foranstaltninger, der viser og sikrer compliance Særligt

Dokumentationskrav ● Dataansvarlige skal have regler og foranstaltninger, der viser og sikrer compliance Særligt ift: − − Dokumentationskrav Sikkerhedskrav Konsekvensanalyser (PIA – Privacy Impact Assessments) DPO (Data Processing Officer) Uafhængig revisionskontrol Side 23 © Bird & Bird 2014

Dokumentationskrav ● Dataansvarlig og databehandler skal have skriftlig dokumentation for enhver behandling, de foretager.

Dokumentationskrav ● Dataansvarlig og databehandler skal have skriftlig dokumentation for enhver behandling, de foretager. − Oplysning om: • • Kontaktoplysninger for dataansvarlig, databehandler og DPO(’er) Formålsbeskrivelse samt hjemmel Kategorier af datasubjekter og datatyper Kategorier af datamodtagere Overførsler til tredjelande Tidsgrænser for sletning Kontrolforanstaltninger ift. compliance (fx revisionsstandarder) − Undtaget, hvis • • Side 24 © Bird & Bird 2014 Mindre end 250 ansatte Databehandling ikke er en del af kernevirksomhed

Data Protection Impact Assessment ● DPIA (PIA) − Skal laves, når der er særlige

Data Protection Impact Assessment ● DPIA (PIA) − Skal laves, når der er særlige risici i medfør af behandlingens: • Karakter • Omfang • Formål • Fx: – Automatisk analyse af personers økonomiske forhold, sundhedsforhold, præferencer eller adfærd – Omfattende behandling af seksuelle forhold, sundhed eller race for at træffe beslutninger vedrørende grupper af personer – Omfattende video-overvågning − Laves af dataansvarlig eller databehandler Side 25 © Bird & Bird 2014

Data Protection Impact Assessment ● DPIA skal omfatte: − Generel beskrivelse af behandlingen −

Data Protection Impact Assessment ● DPIA skal omfatte: − Generel beskrivelse af behandlingen − Risici ift. datasubjekterne − Hvordan disse risici kan begrænses bl. a. ift. teknisk og organisatorisk sikkerhed − Beskrive compliance med forordningen − (evt. høring af datasubjekter eller repræsentanter) ● Myndigheder høres − Hvis DPIA viser store risici ved behandlingen. Side 26 © Bird & Bird 2014

Privacy by design/default ● Alle systemer skal designes med persondatasikkerhed og overholdelse af forordningen

Privacy by design/default ● Alle systemer skal designes med persondatasikkerhed og overholdelse af forordningen i mente − By default: • • • Kun relevante data indsamles og behandles Data kan ikke gemmes længere end nødvendigt Kun relevante personer har adgang til data − Eksisterende systemer, skal tilpasses − Hensyntagen til: • • • Omkostninger Aktuelle tekniske niveau Best practice − Det forventes, at der kommer tekniske standarder Side 27 © Bird & Bird 2014

Sikkerhed ● Passende tekniske og organisatoriske sikkerhedsforanstaltninger − Aktuelle tekniske niveau − Omkostninger ved

Sikkerhed ● Passende tekniske og organisatoriske sikkerhedsforanstaltninger − Aktuelle tekniske niveau − Omkostninger ved foranstaltninger ● Uddybende krav kan forventes − Svarende til bekendtgørelser som Sikkerhedsbekendtgørelsen ● Krav om risikovurdering ved hver behandling − Skal dokumenteres Side 28 © Bird & Bird 2014

Notificering ● Ved brud på persondatasikkerheden ● Myndighederne: − Uden ugrundet ophold • Redegøre

Notificering ● Ved brud på persondatasikkerheden ● Myndighederne: − Uden ugrundet ophold • Redegøre for: – Sikkerhedsbruddets karakter – Konsekvenser af sikkerhedsbruddet – Hvordan skaden er/vil blive søgt begrænset af den dataansvarlige − Dokumentere alle relevante forhold omkring sikkerhedsbruddet, så myndigheden kan vurdere, om forordningen er overholdt • (Evt. til brug for offentligt register over typer af sikkerhedsbrud) Side 29 © Bird & Bird 2014

Notificering ● Datasubjekterne − Uden ugrundet ophold efter orientering af myndigheder • Redegøre i

Notificering ● Datasubjekterne − Uden ugrundet ophold efter orientering af myndigheder • Redegøre i letforståeligt sprog for: – Sikkerhedsbruddets karakter og typer af omfattede data – Konsekvenser af sikkerhedsbruddet – Anbefalinger til hvordan datasubjektet kan begrænse skaden – Kontaktoplysninger til DPO / dataansvarlig − Hvor data er gjort ’uforståelige’ for uautoriserede personer – fx ved stærk kryptering – er der ingen notificeringspligt • (evt. også over for myndigheder) Side 30 © Bird & Bird 2014

Data Protection Officers ● Der skal udpeges en DPO, hvis: − offentlig myndighed −

Data Protection Officers ● Der skal udpeges en DPO, hvis: − offentlig myndighed − (min. 250 ansatte) − hovedaktivitet består i databehandling − Ansat eller tredjepart ● Uafhængig − Må ikke have ’interessekonflikter’ i stillingen − (Udpeges for 2 -årige perioder) − (evt. beskyttet mod afskedigelse medmindre væsentlig misligholdelse) − Rapporterer direkte til ledelse Side 31 © Bird & Bird 2014

Data Protection Officers ● DPO’ens job − Deltage i alle spørgsmål vedrørende databehandling −

Data Protection Officers ● DPO’ens job − Deltage i alle spørgsmål vedrørende databehandling − Kontaktperson for myndigheder og datasubjekter − Tilsyn med overholdelse forordning (compliance) − Implementere • Politikker, procedure • Sikkerhedskrav Side 32 © Bird & Bird 2014

Sanktioner ● Erstatning − Alle, der lider tab som følge af overtrædelse, kan kræve

Sanktioner ● Erstatning − Alle, der lider tab som følge af overtrædelse, kan kræve erstatning − Omvendt bevisbyrde! • Dataansvarlig eller databehandler kan helt eller delvist fritages for erstatningsansvar, hvis: – Beviser, at de ikke er ansvarlige for hændelsen, der medførte skaden. − Datasubjektet skal stadig bevise tabet • Kan være svært Side 33 © Bird & Bird 2014

Sanktioner (gælder også det offentlige!) ● Administrative sanktioner − Niveauet, vi kender i dag,

Sanktioner (gælder også det offentlige!) ● Administrative sanktioner − Niveauet, vi kender i dag, bliver væsentligt forøget • Sanktioner skal være ’afskrækkende’ • Ensartede i hele EU − Advarsel − Bøde • Op til EUR 100. 000 eller 5 % af årlig global omsætning – Afhængigt af hvad der er højest • Tage højde for: ’grovheden’, skades størrelse, gentagelse m. v. Side 34 © Bird & Bird 2014

Thank you Peter Lind Nielsen Advokat (H), partner peter. nielsen@twobirds. com Mobil 20 75

Thank you Peter Lind Nielsen Advokat (H), partner peter. nielsen@twobirds. com Mobil 20 75 27 46 BIRD & BIRD ADVOKATPARTNERSELSKAB Bird & Bird Advokatpartnerselskab er et registreret selskab i Danmark under CVR-nr. 35 14 45 01. Alle vores advokater er medlem af Advokatsamfundet og underlagt de advokatetiske regler fra Advokatrådet. Reglerne er tilgængelige her: www. advokatsamfundet. dk. BIRD & BIRD Bird & Bird LLP, er et registreret partnerskab, registreret i England og Wales under registreringsnummer OC 340318, der er autoriseret og underlagt Solicitors Regulation Authority, og dets regler og retningslinjer der er tilgængelige her: sra. org. uk/handbook/ For yderligere information om Bird & Bird internationalt, herunder Bird & Bird LLP, dets filialer og associerede selskaber (samlet benævnt ”Bird & Bird”), vores kontorer, ansatte, partnere og rådgivningsområder, brug af e-mails og regulatoriske forhold, se vores website på twobirds. com og navnlig ”Legal Notices”.

Kapitel 19 Pant og sikkerhed Pant og sikkerhedKapitel 19 Pant og sikkerhed Pant og sikkerhed
Kapitel 19 Pant og sikkerhed Pant og sikkerhedKapitel 19 Pant og sikkerhed Pant og sikkerhed
INTERNET SIKKERHED Hvad betyder internet sikkerhed og hvadINTERNET SIKKERHED Hvad betyder internet sikkerhed og hvad
ITPOLITIK OG SIKKERHED LRINGSML ITPolitik Sikkerhed ITPOLITIK LringsmlITPOLITIK OG SIKKERHED LRINGSML ITPolitik Sikkerhed ITPOLITIK Lringsml
Sikkerhed n n n Sikkerhed i ASP NETSikkerhed n n n Sikkerhed i ASP NET
PrivacyPreserving ContentOriented Wireless Communication in Internetof Things KPrivacyPreserving ContentOriented Wireless Communication in Internetof Things K
Advokat reklama atitinkanti advokat veiklos principus Jonas SaladiusAdvokat reklama atitinkanti advokat veiklos principus Jonas Saladius
4 Peran Advokat dalam Penegakan Hukum Advokat adalah4 Peran Advokat dalam Penegakan Hukum Advokat adalah
Algorithmic Game Theory Computation Competitive and Internetof ComputingAlgorithmic Game Theory Computation Competitive and Internetof Computing
OVERENSKOMSTER OG PERSONDATA VMARTIN JUUL CHRISTENSEN OG FLEMMINGOVERENSKOMSTER OG PERSONDATA VMARTIN JUUL CHRISTENSEN OG FLEMMING
Innsamling av persondata og sensitive data p UniversitetetInnsamling av persondata og sensitive data p Universitetet
Persondatareguleringen Data og persondata Hvorfor hvornr og lidtPersondatareguleringen Data og persondata Hvorfor hvornr og lidt
Moot NZPF March 2012 Dr Peter Lind KeyMoot NZPF March 2012 Dr Peter Lind Key
COUNTING THINGS Flat things Long cylindrical things GeneralCOUNTING THINGS Flat things Long cylindrical things General
Pushing things pulling things and hitting things arePushing things pulling things and hitting things are
Natural Things and Artificial Things Some existing thingsNatural Things and Artificial Things Some existing things
Peter will come wont he Peter Peter wontPeter will come wont he Peter Peter wont
Peter Peter Dicken 2015 201 Peter Dicken 20155Peter Peter Dicken 2015 201 Peter Dicken 20155
Sikkerhed Share with none Share with everybody ShareSikkerhed Share with none Share with everybody Share
Frstehjlpens 4 hovedpunkter Skab sikkerhed Vurder personen TilkaldFrstehjlpens 4 hovedpunkter Skab sikkerhed Vurder personen Tilkald
Udvikling og fastholdelse af kvalitet og sikkerhed 1Udvikling og fastholdelse af kvalitet og sikkerhed 1
Data sikkerhed og lov bredt set Jan ChristiansenData sikkerhed og lov bredt set Jan Christiansen
Tema om sikkerhed og samarbejde i byggebranchen RegineTema om sikkerhed og samarbejde i byggebranchen Regine
Det Nye Universitetshospital Arbejdsmilj Sikkerhed Kurt Egmose LarsDet Nye Universitetshospital Arbejdsmilj Sikkerhed Kurt Egmose Lars