Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

Sikkerhed, internet-of -things & persondata

Offentliggjort afPia Andresen Redigeret for ca. et år siden

Lignende præsentationer

Præsentationer af emnet: "Sikkerhed, internet-of -things & persondata"— Præsentationens transcript:

1 Sikkerhed, internet-of -things & persondata
C-cure Advokat Peter Lind Nielsen 9. december 2014

2

3

4 Ingen grænser for hvad vi smider på nettet
Uskyldige/harmløse “gadget” Kritisk udstyr der kan betyde lig og død Dan

5

6 Persondata? Registreres/behandles der persondata
Identificerede eller identificerbare personer Ikke ret meget til før omfattet fx krydsreferencer IP-adresse, el-måler, RFID-tag, sædenummer? Big-data – krydsreferencer på speed Så gælder persondataloven! Ufravigelig og beskytter personer (datasubjekter) Hvilke typer af persondata? Følsomme oplysninger Oplysninger om andre rent private forhold (semi-følsomme) Almindelige ikke-følsomme oplysninger

7 Krav til oplysninger over for personen
Hvilke oplysninger der indsamles, behandles m.v. Hvem den dataansvarlige er Flere dataansvarlige Og evt. databehandlere, underdatabehandlere Formålet Hvad bruges alle de data til? Må ikke behandles uden for formålet Lovhjemmel – må ikke behandles uden lovhjemmel af det offentlige Anonymisering – HELT anonyme! Den registreredes ret til indsigt i data Ret til sletning? Ret til rettelse af forkerte data

8 Yderligere brug af data - ofte en udfordring ved big-data
Videregivelse Udgangspunkt krav om samtykke Samtykke kan tilbagekaldes (Retten til at blive glemt) Nyt formål Nyt samtykke Værdispringsreglen? For allerede indsamlede data?

9 Sikkerhed Privacy by design
Mulighed for at slå registrering/videresendelse til/fra Uhensigtsmæssig eller ulovlig registrering undgås Privacy settings – evt. med sikkerhed som default! HOV – medfører det så en risiko, og virker produktet så? Behandling af oplysninger Krav i persondataloven - behandlingssikkerhed Organisatorisk/Teknisk sikkerhed Kan brugeren selv slette/give adgang? Sikkerhedsbrud – skal der gives meddelelse DK/EU/3. land? Hvor opbevares data

10 Ansvar for sikkerhedsbrud/dårlig sikkerhed
“With millions of devices connected to the Internet – and in many cases running an embedded operating system – in 2014, they will become a magnet for hackers” Problem med sikkerhed Hvordan får vi folk til at opdatere firmware i køleskabet? Udsendelse af advarsel/Orientering om sikkerhedsbrud Erstatningsansvar for producenten Produktansvar – ufravigelig regler fx. personskade Er forsikringen opdateret For brugeren – dækkes de nye risici For producenten – dækkes de nye “produkter” og risici Overtrædelse af persondataloven EU-Forordning på vej - så falder der brænde ned! Krav om meddelelse til de berørte/offentliggørelse

11 Aftale med leverandører -databehandlerer eller p.g.a. egen sikkerhed
Flere er databehandlere end man tror – ikke bare outsourcing Leverandører der har adgang til data, slette data o.s.v. Selvom ikke databehandler så et sikkerheds-issue Krav om overholdelse af persondataloven Krav om at virksomhedens sikkerhedskrav overholdes Hvad siger leverandørens egne sikkerhedskrav Vurdering af dette ved revision og attester hos leverandøren Krav om: Løbende indsigt i sikkerheden Rapportering af “brud” på sikkerheden Sanktioner i kontrakten hvis det sker Egen sikkerhed Overvågning/logning

12 Pas på med egen sikkerhed over for medarbejdere
Og leverandørers medarbejdere, der har adgang til virksomhedens data/udstyr Logning af eksternes adfærd på kundens udstyr/lokaler Logning af medarbejderes adfærd Oplysningskrav Arbejdsmiljøregler Persondataregler Overenskomstregler – varslingskrav m.v. Fx. Geo-logning/GPS udstyr o.s.v.

13 Forordningen I dag Fremtiden Persondataloven
Baseret på persondatadirektivet Forskelle i implementering fra land til land Fremtiden Samme forordning i hele EU Samme regler Nok lidt forskellig fortolkning

14 Forordningen Overordnede principper beholdes Større fokus på:
Lovlig og loyal behandling Formålet skal være specifikt Data skal være præcise og ajour Data må kun opbevares, så længe de er nødvendige Dataansvarlige er ansvarlige for behandlingen Større fokus på: Gennemsigtighed Dokumentation Datasubjektets egen kontrol

15 Forordningen Stadig kun et forslag
Officielle offentliggjorte udgave fra januar 2012 Ændringsforslag fra EU Parlamentet LIBE (udvalg for Borgernes Rettigheder og Retlige og Indre Anliggender) Afventer Kommissionens sammenfattede endelige forslag! Der VIL komme ændringer til forslaget

16 Forordningen Hvornår kan vi forvente forordningen
Jean-Claude Juncker: Inden for 6 måneder (!) Men realistisk nok i løbet af 2015 Der forventes 2 års ’sunrise’-periode efter vedtagelsen Efter udløb af sunrise-periode, så fuld gyldighed

17 Nye rettigheder De hidtidige rettigheder bibeholdes
Orienteringspligt til datasubjekterne Indsigtsret Ret til berigtigelse Indsigelsesret (udvides nok noget, særligt i forhold til markedsføring)

18 Nye rettigheder ’Retten til at blive glemt’
Udvidelse af sletningsretten Formålet er udtømt Samtykke tilbagekaldes Behandling i strid med forordning Berettiget indsigelse Så skal den dataansvarlige slette data Som er i den dataansvarliges rådighed Stoppe enhver distribution af dataene

19 Nye rettigheder ’Retten til at blive glemt’
Hvis dataansvarlige har offentliggjort data Så skal den dataansvarlige med alle rimelige midler sikre, at tredjeparter, som behandler data, der stammer fra den dataansvarlige Slettes af tredjepart Tredjepart sletter alle links til dataene Meget drøftet forslag – også af Parlamentet og LIBE Endnu ikke klart hvordan bestemmelse bliver udformet præcist Men ’retten til at blive glemt’ understøttes af ’Google-afgørelsen’ (c-131/12)

20 Nye rettigheder Dataportabilitet
Hvor den dataansvarlige behandler persondata i et struktureret og gængs format Så har datasubjektet ret til at få en kopi af dataene (Hvis teknisk muligt) (Anonymiserede og pseudonymiserede data evt. undtaget) Hvis behandling sker pba. samtykke eller aftale Datasubjektet må overføre til andet system Oprindelig dataansvarlig skal acceptere

21 Krav om politikker Dataansvarlige skal have skriftlige politikker for alle behandlinger af persondata Hvorfor og hvordan persondata håndteres Hvem der er ansvarlig, og hvordan de kan kontaktes Datasubjektets rettigheder Gennemsigtighed Skal være let tilgængelige Tydeligt og letforståeligt sprog

22 Procedurekrav Dataansvarlig skal have nedskrevne, interne procedurer for håndteringen af: Orienteringspligt til datasubjekterne Indsigtsret Ret til berigtigelse Indsigelsesret Ret til sletning/retten til at blive glemt Dataportabilitet Afvisning Begrundes Klagemulighed og mulighed for retssag skal beskrives

23 Dokumentationskrav Dataansvarlige skal have regler og foranstaltninger, der viser og sikrer compliance Særligt ift: Dokumentationskrav Sikkerhedskrav Konsekvensanalyser (PIA – Privacy Impact Assessments) DPO (Data Processing Officer) Uafhængig revisionskontrol

24 Dokumentationskrav Dataansvarlig og databehandler skal have skriftlig dokumentation for enhver behandling, de foretager. Oplysning om: Kontaktoplysninger for dataansvarlig, databehandler og DPO(’er) Formålsbeskrivelse samt hjemmel Kategorier af datasubjekter og datatyper Kategorier af datamodtagere Overførsler til tredjelande Tidsgrænser for sletning Kontrolforanstaltninger ift. compliance (fx revisionsstandarder) Undtaget, hvis Mindre end 250 ansatte Databehandling ikke er en del af kernevirksomhed

25 Data Protection Impact Assessment
DPIA (PIA) Skal laves, når der er særlige risici i medfør af behandlingens: Karakter Omfang Formål Fx: Automatisk analyse af personers økonomiske forhold, sundhedsforhold, præferencer eller adfærd Omfattende behandling af seksuelle forhold, sundhed eller race for at træffe beslutninger vedrørende grupper af personer Omfattende video-overvågning Laves af dataansvarlig eller databehandler

26 Data Protection Impact Assessment
DPIA skal omfatte: Generel beskrivelse af behandlingen Risici ift. datasubjekterne Hvordan disse risici kan begrænses bl.a. ift. teknisk og organisatorisk sikkerhed Beskrive compliance med forordningen (evt. høring af datasubjekter eller repræsentanter) Myndigheder høres Hvis DPIA viser store risici ved behandlingen.

27 Privacy by design/default
Alle systemer skal designes med persondatasikkerhed og overholdelse af forordningen i mente By default: Kun relevante data indsamles og behandles Data kan ikke gemmes længere end nødvendigt Kun relevante personer har adgang til data Eksisterende systemer, skal tilpasses Hensyntagen til: Omkostninger Aktuelle tekniske niveau Best practice Det forventes, at der kommer tekniske standarder

28 Sikkerhed Passende tekniske og organisatoriske sikkerhedsforanstaltninger Aktuelle tekniske niveau Omkostninger ved foranstaltninger Uddybende krav kan forventes Svarende til bekendtgørelser som Sikkerhedsbekendtgørelsen Krav om risikovurdering ved hver behandling Skal dokumenteres

29 Notificering Ved brud på persondatasikkerheden Myndighederne:
Uden ugrundet ophold Redegøre for: Sikkerhedsbruddets karakter Konsekvenser af sikkerhedsbruddet Hvordan skaden er/vil blive søgt begrænset af den dataansvarlige Dokumentere alle relevante forhold omkring sikkerhedsbruddet, så myndigheden kan vurdere, om forordningen er overholdt (Evt. til brug for offentligt register over typer af sikkerhedsbrud)

30 Notificering Datasubjekterne
Uden ugrundet ophold efter orientering af myndigheder Redegøre i letforståeligt sprog for: Sikkerhedsbruddets karakter og typer af omfattede data Konsekvenser af sikkerhedsbruddet Anbefalinger til hvordan datasubjektet kan begrænse skaden Kontaktoplysninger til DPO / dataansvarlig Hvor data er gjort ’uforståelige’ for uautoriserede personer – fx ved stærk kryptering – er der ingen notificeringspligt (evt. også over for myndigheder)

31 Data Protection Officers
Der skal udpeges en DPO, hvis: offentlig myndighed (min. 250 ansatte) hovedaktivitet består i databehandling Ansat eller tredjepart Uafhængig Må ikke have ’interessekonflikter’ i stillingen (Udpeges for 2-årige perioder) (evt. beskyttet mod afskedigelse medmindre væsentlig misligholdelse) Rapporterer direkte til ledelse

32 Data Protection Officers
DPO’ens job Deltage i alle spørgsmål vedrørende databehandling Kontaktperson for myndigheder og datasubjekter Tilsyn med overholdelse forordning (compliance) Implementere Politikker, procedure Sikkerhedskrav

33 Sanktioner Erstatning
Alle, der lider tab som følge af overtrædelse, kan kræve erstatning Omvendt bevisbyrde! Dataansvarlig eller databehandler kan helt eller delvist fritages for erstatningsansvar, hvis: Beviser, at de ikke er ansvarlige for hændelsen, der medførte skaden. Datasubjektet skal stadig bevise tabet Kan være svært

34 Sanktioner (gælder også det offentlige!)
Administrative sanktioner Niveauet, vi kender i dag, bliver væsentligt forøget Sanktioner skal være ’afskrækkende’ Ensartede i hele EU Advarsel Bøde Op til EUR eller 5 % af årlig global omsætning Afhængigt af hvad der er højest Tage højde for: ’grovheden’, skades størrelse, gentagelse m.v.

35 Peter Lind Nielsen Advokat (H), partner peter.nielsen@twobirds.com
Mobil BIRD & BIRD ADVOKATPARTNERSELSKAB Bird & Bird Advokatpartnerselskab er et registreret selskab i Danmark under CVR-nr   Alle vores advokater er medlem af Advokatsamfundet og underlagt de advokatetiske regler fra Advokatrådet. Reglerne er tilgængelige her: BIRD & BIRD Bird & Bird LLP, er et registreret partnerskab, registreret i England og Wales under registreringsnummer OC340318, der er autoriseret og underlagt Solicitors Regulation Authority, og dets regler og retningslinjer der er tilgængelige her: sra.org.uk/handbook/ For yderligere information om Bird & Bird internationalt, herunder Bird & Bird LLP, dets filialer og associerede selskaber (samlet benævnt ”Bird & Bird”), vores kontorer, ansatte, partnere og rådgivningsområder, brug af s og regulatoriske forhold, se vores website på twobirds.com og navnlig ”Legal Notices”.

Download ppt "Sikkerhed, internet-of -things & persondata"

Lignende præsentationer

HUNDE SPEED km h 34,4 HUNDE SPEED km h 34,1 HUNDE SPEED km h 32,8 HUNDE SPEED km h 31,9 HUNDE SPEED km h 31,8 HUNDE SPEED km h 30,9.

HUNDE SPEED km h 34,4 HUNDE SPEED km h 34,1 HUNDE SPEED km h 32,8 HUNDE SPEED km h 31,9 HUNDE SPEED km h 31,8 HUNDE SPEED km h 30,9.
DOMSTOLENE & KRIMINALITET

DOMSTOLENE & KRIMINALITET
Den gode proces for medarbejderne ved virksomhedsoverdragelse

Den gode proces for medarbejderne ved virksomhedsoverdragelse
Den Danske Kvalitetsmodel

Den Danske Kvalitetsmodel
Bekendtgørelse om samarbejde om sikkerhed og sundhed

Bekendtgørelse om samarbejde om sikkerhed og sundhed
Tilbudsportalen Introduktion for de 5 socialtilsyn Januar 2014

Tilbudsportalen Introduktion for de 5 socialtilsyn Januar 2014
EMIR Den videre proces Anna Lærke Kraft, BØRS.

EMIR Den videre proces Anna Lærke Kraft, BØRS.
Søren Sandfeld Jakobsen 20091 ”Cookies” – hvad siger loven?

Søren Sandfeld Jakobsen ”Cookies” – hvad siger loven?
Erstatning og tilbudsgivers dilemma når udbudsgrundlaget er fejlbehæftet eller uklart Peter Dann Jørgensen.

Erstatning og tilbudsgivers dilemma når udbudsgrundlaget er fejlbehæftet eller uklart Peter Dann Jørgensen.
Væsentlige ændringer Formålsbestemmelse (§ 1)

Væsentlige ændringer Formålsbestemmelse (§ 1)
Ikrafttræden 1. juli 2010 Klager, der er indbragt for KLFU inden den 1. juli 2010, færdigbehandles efter de hidtil gældende regler. KLFU er obligatorisk.

Ikrafttræden 1. juli 2010 Klager, der er indbragt for KLFU inden den 1. juli 2010, færdigbehandles efter de hidtil gældende regler. KLFU er obligatorisk.
Samarbejde med eller uden Service Level Agreement (SLA)

Samarbejde med eller uden Service Level Agreement (SLA)
Forældreindflydelse ift. børn med psykiatriske vanskeligheder

Forældreindflydelse ift. børn med psykiatriske vanskeligheder
Datatilsynets hjemmeside:

Datatilsynets hjemmeside:
Arbejdsmiljøcertificering

Arbejdsmiljøcertificering
Ændring af arbejdsmiljøloven

Ændring af arbejdsmiljøloven
Menneskerettighedskonventioner

Menneskerettighedskonventioner
Hvad må jeg juridisk Skoleintra efter lovens bogstav

Hvad må jeg juridisk Skoleintra efter lovens bogstav
SEO PÅ AU.

SEO PÅ AU.
Loyalitet – hvad siger juraen?

Loyalitet – hvad siger juraen?

Lignende præsentationer

Annoncer fra Google