Eva Jarbekk og jeg holdt en innledning på Sintef/TEKNA/ITS Norges frokostmøte om hvordan transportbransjen skal forholde seg til den nye personvernforordningen #GDPR
EUs personvernforordning: Krav til leverandører og kan vi designe oss rundt
1. Eva Jarbekk Simen Sommerfeldt
EUs personvernforordning
Krav til leverandører – og kan vi designe oss rundt det og tjene penger likevel?
TEKNA frokostmøte og workshop 4.5. 2016
2. • Norsk konsulentselskap
• Bistår virksomheter med digitalisering og
utforming av gode opplevelser for deres ansatte
og kunder
• Leverer tjenester innenfor
rådgivning, IT og kommunikasjon
• 14 kontorer i Norge og Sverige
• 1000 ansatte
• Notert på Oslo Børs
Bouvet
8. Eva
• Jobbet med personvern siden studietiden
• Advokat
• Leder av Personvernnemnda
• Bransjenorm for e-billettering
• Bransjenorm for sikkerhetsbransjen i Norge
• Digital sårbarhetsutvalget, Lysne 1
• Lysne 2-utvalget – om digital grensekontroll I Norge
• Evalueringsutvalget om kontroll med hemmmelige tjenester
• ..etc, glad i Aprilia moto 6.5, hunder, etc...
Tittel på presentasjon 8
9. “You have ever
been a herald of
woe. Troubles
follow you like
crows, and ever
the oftener the
worse”
- king Theoden to Gandalf
11. Et stort og komplisert tema!
Overvåknings-
økonomi 💀
Amerikanske myndigheters
Overvåkning 💀
Datakriminalitet 💀
Tilby gode
tjenester til forbrukerne
Hensyn til offentlig
sikkerhet og offentlige
funksjoner som helse,
politi, rettsvesen, etc..
Gode vilkår for
næringslivet
Safe Harbour 🤔
12. …så rekkefølgen blir
• Generelt om reformen
• Detaljer rundt Metadata, Big Data, Samtykker
• Konsekvenser for næringslivet
• …og transportbransjen
• Behovet for å finne en felles plattform!
20. Størrelsen avhenger av hva bruddet er relatert til
Each supervisory authority may impose administrative fines up to 20 000 000
EUR, or in case of an undertaking, up to 4% of the total worldwide annual
turnover of the preceding financial year, whichever is higher, for infringements.
• the basic principles for processing, including conditions for consent, the
data subjects’ rights
• the transfers of personal data to a recipient in a third country or an
international organisation
Tittel på presentasjon 20
21. Men:
mye mer detaljert og
mye blir svært
annerledes
Nye regler - noe er som før
• Definisjon av personopplysning
(nesten)
• Behandlingsansvarlig -
databehandler
• Behandlingsgrunnlag: samtykke
– avtaler – lov
• Informasjonsplikt
• Innsynsrett
• Sletteplikt
• Oppbevaringstid – «nødvendig»
• Internkontrolldokumentasjon –
mye strengere
Tittel på presentasjon 21
30. Avvik – mye strengere enn i dag
• When the personal data breach is likely to result in a high risk for the rights and
freedoms of individuals the controller shall communicate the personal data breach
to the data subject without undue delay.
Tittel på presentasjon 30
38. • Anonyme data – utenfor loven –
Big Data er lett
• Vilkår for anonymitet nesten
strengere enn i dag
• ref tidligere sitat om indirekte
identifikasjon
• Pseudonymiserte data har ofte
bedre datakvalitet
• Lettere f eks å følge dataenes
utvikling over tid ved at kobling
finnes
• Pseudonymiserte data er
personopplysninger – må følge
reglene
Gjenbruk av data – Big data – bruk til nye formål
• 'pseudonymisation' means the
processing of personal data in
such a way that the data can
no longer be attributed to a
specific data subject without
the use of additional
information, as long as such
additional information is kept
separately and subject to
technical and organisational
measures to ensure non-
attribution to an identified or
identifiable person
Tittel på presentasjon 38
39. Utgangspunkt for mulig gjenbruk av data – Big data
Personal data must be:
• processed lawfully, fairly and in a transparent manner in relation to the
data subject
• collected for specified, explicit and legitimate purposes and not further
processed in a way incompatible with those purposes; (“purpose
limitation”)
• adequate, relevant and limited to what is necessary in relation to the
purposes for which they are processed (“data minimisation”)
…likevel en åpning for Big Data?
Tittel på presentasjon 39
41. Vurderingstema - inkompatabilitet
• the context in which the data have been collected
• reasonable expectations of data subjects based as to their further use
• the nature of the personal data
• the consequences of the intended further processing for data subjects
• the existence of appropriate safeguards in both the original and intended
further processing operations
• Åpning for historisk/vitenskaplig forskning – men det er noe annet enn Big
Data (for de fleste)
Tittel på presentasjon 41
44. Relevante behandlingsgrunnlag – sensitive PO
• the data subject has given explicit [tydelig, klar, bestemt, uttrykkelig]
consent to the processing of those personal data
• processing is necessary for the purposes of carrying out the obligations and
exercising specific rights of the controller or of the data subject in the field
of employment and social security and social protection law
• processing is carried out in the course of its legitimate activities with
appropriate safeguards by a foundation, association or any other non-
profit-seeking body with a political, philosophical, religious or trade-union
aim
• the processing relates to personal data which are manifestly made public by
the data subject
…forts
Tittel på presentasjon 44
45. Relevante behandlingsgrunnlag – sensitive PO
• processing is necessary for reasons of substantial public interest, on the
basis of Union law, or Member State law which shall provide for suitable
and specific measures to safeguard the data subject's legitimate interests
• processing is necessary for reasons of public interest in the area of public
health, such as protecting against serious cross-border threats to health or
ensuring high standards of quality and safety of health care and of
medicinal products or medical devices, on the basis of Union law or
Member State law which provides for suitable and specific measures to
safeguard the rights and freedoms of the data subject, such as professional
secrecy; or
• processing is necessary for archiving purposes in the public interest or
historical, statistical or scientific purposes
Tittel på presentasjon 45
50. Men Eva…
• Hva gjør vi med Cloud-løsningene våre?
• Hva gjør vi med Big Data løsningene?
• Hva skjer om vi ikke rekker å endre systemene
våre før 2018?
• Blir det overgangsordninger?
52. Hva vi må regne med
• Systemer vil bli gjennomgått
• Må “sertifiseres” – dvs. kunne dokumentere
hvordan de håndterer lovverket
• Håndtering av kundeopplysninger må antagelig
omskrives I mange tilfeller
• Kunder kan klage hvis det finnes feil
• SaaS løsninger á la Salesforce: Utfordring!
• Utlysninger og tilbud vil gjenspeile forordningen
• Vil antagelig angå de fleste IT-profesjoner
• Databehandleravtaler må gås gjennom på nytt
53. Hva om en av disse er godt forberedt og den
andre ikke? Hvem har råd til å utvikle
produktet sitt? Hvem må rydde?
54. • Børskursene kan bli påvirket
• Nye muligheter for kriminelle
• Avklaringer rundt bruk av
skytjenester
• Du må kanskje betale for
innhold – og det er greit
• Endringer i næringskjeder
• Sterkere personvern i EU
enn i USA
• Forløsende for tingenes
interenett?
• Nye vilkår for Big Data
• Økende etterspørsel etter
visse yrkesgrupper
55. Alle bedrifter av
en viss størrelse
må tolke
forordningen og
forstå hvordan
den angår dem
56. - Og så må man gjøre om på
håndtering av
kundeopplysninger
58. Hva vi gjorde hos kunden
• Gjennomgang av all infrastruktur og overvåkning
• Kartlegging av lovverk og implikasjoner
• ISO 27.000-ish rutiner
• Redesignet Identity and Access Managemet med
Auth0
• ROS analyse for alle applikasjoner
• Overvåkning av logins i applikasjoner (med Splunk)
• UX endringer og samtykker fra medlemmer (++)
• Kartlegging av leverandører
• Strategi for cloud og utvikling (Policy)
• Sesam filtrerer ut sensitive data -> Azure.
59. Hva vi må fortsatt gjøre
• Forstå bransjestandarder (Kommer ila. ett år?)
• Tolke forordningens krav
• Se hvilke krav som er i strid med andre lover
• Tilse at leverandører er ”innafor”
• Tidlig signalisere til leverandører om restanser i
sikkerhetsproblematikk
• Påbegynne dokumentasjonen av hvordan vi møter
forordningen.
• Sette i gang med UX, fjerne data,
pseudonomisering, innsynsportal, etc.
60. - Jeg har vurdert å ha
med meg luktesalt når
jeg skal holde foredrag
om forordningen
65. • Mye kan beholdes
• Interaktivitet
• Sletting
• Sikkerhet
• Flytting av data
• Lagring av data
• Bøtenivå
• Tar den inn over seg
nye muligheter og
apper?
69. ”Friends don’t let friends
use Windows at nuclear
power plants”
http://www.reuters.com/article/us-nuclearpower-cyber-germany-idUSKCN0XN2OS
- Sarah Sharp
92. Hva trenger vi i tillegg til
standard for elektroniske
billetter?
93. Det å kunne ferdes anonymt i
samfunnet er en viktig verdi
som blir godt ivaretatt i den
eksisterende bransjenormen
94. “Det er som under den
industrielle revolusjonen:
Politikken strever med å ta igjen
teknologien”
- Eirik Newth på Civitafrokost 22.5. 2015
Foto: Christoffer Hovde
95. Argumenter for økt overvåkning
er helse, miljø, trygghet og
kundeopplevelser. Hvordan
unngår vi et Orwellsk mareritt?
103. I dag fraktes du fra et sted du
ikke er til et sted du ikke skal. Vi
ønsker å frakte folk fra der de er
til dit de skal
- Fritt etter Ruter
104. - Rune Pedersen,
Økonomidirektør, Ruter
• En app som sier ”gå til vogn fire”
• Slippe å ha avganger hvert femte
minutt men når det trengs
• Ha noe ledig kapasitet
• Vi må samle inn data. Vi kommer til
å bli en stor database.
• Vi trenger å vite reisemønsteret til
folk.
”
”