Hvilken betydning har personvern­forordningen for virksomheters etablering av informasjonssikkerhet?

Personvernforordningen (GDPR) regulerer behandling av personopplysninger, og stiller krav til at virksomheter må ivareta et tilstrekkelig sikkerhetsnivå ved behandlingen av disse. Dette innebærer evnen til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og tjenestene. Informasjonssikkerhetstiltakene som virksomheter implementerer, bør være et resultat av risikobaserte tilnærminger som også inkluderer risikoer forbundet med de registrertes rettigheter og friheter.

Av: Oliver Zengler Jakobsen - Compliance Consultant, Move AS

Økt sanksjonsmyndighet

Bare 3 måneder etter at GDPR trådte i kraft i EU, påla det Portugisiske datatilsynet (CNPD) 400.000 euro i overtredelsesgebyr til et sykehus for manglende tilgangsstyring til pasientjournaler. Sykehuset hadde 985 registrerte legeprofiler, men ansatte bare 296 leger. I Norge ga det Norske datatilsynet en bot på 1,6 mill kroner til Bergen kommune for å ha eksponert brukernavn og passord til lærere og elever åpent og ubeskyttet på nettet. I en lignende sak påla det franske datatilsynet (CNIL) eiendomsforvaltningsselskapet SERGIC, et overtredelsesgebyr på 400.000 euro for manglende sikring av leietakeres personopplysninger. Det britiske datatilsynet (ICO) fulgte den 8 juli 2019 opp med varsel om overtredelsesgebyrer for tilsvarende brudd. ICO varslet flyselskapet British Airways om intensjon om å pålegge selskapet 204.600.000 euro for et sikkerhetsbrudd. I september 2018 oppdaget og varselet British Airways at om lag 500.000 kunder hadde fått personopplysningene sine på avveie på grunn av en viderekobling fra deres hjemmeside til et forfalsket nettsted. ICOs granskning fant ut at sikkerhets­bruddet var et resultat av for manglende sikkerhetsmekanismer hos selskapet. Den påfølgende dagen sendte ICO ut nok et varsel om intensjon til å pålegge hotellkjeden Marriott International et overtredelsesgebyr på 110.390.200 euro for manglende håndtering og oppfølgning av sikkerhetsmekanismer i deres systemer. Marriott International hadde i 2016 kjøpt opp selskapet Starwood hotels group som hadde hatt kompromitterte systemer med kundedata siden 2014, men oppdaget ikke denne feilen før 2018. ICO fant at Marriott ikke hadde foretatt en tilstrekkelig selskapsgjennomgang i deres oppkjøp, og at selskapet videre burde ha gjort mer for å sikre sine systemer og løsninger.

Det Norske datatilsynet ga en bot på 1,6 mill kroner til Bergen kommune for å ha eksponert brukernavn og passord til lærere og elever åpent og ubeskyttet på nettet.

Felles for de ovennevnte sakene er at alle fikk pålegg for manglende implementasjon av sikkerhetstiltak. Virksomheters manglende evne til å sikre behandlingen av personopplysninger i samsvar med GDPR, utgjør i dag majoriteten av overtredelsesgebyrene som er blitt gitt fra tilsynsmyndigheter rundt om i Europa.

Risikostyring

Virksomheter som behandler personopplysninger har en plikt til å gjennomføre egnede tekniske og organisa­toriske tiltak for å oppnå et sikkerhetsnivå som er egnet til risikoen. Dette krever en helhetlig tilnærming til risikostyring, hvor de registrertes rettig­heter og friheter må inngå som et grunn­leggende element. Sterk informasjonssikkerhet i klassisk forstand, kan ikke forstås entydig med god forståelse av- og tilhørende risikoreduserende tiltak når det gjelder personvernrisikoer.

På bakgrunn av regelverkets risikobaserte tilnærming, skal det treffes tiltak som står i rimelighet til den risikoen behandlingen utgjør.

Den stadig økende graden av automatisert behandling kan eksempelvis medføre risikoer for diskriminering, manglende transparens, uoversiktlig sikring av opplysningers korrekthet eller andre begrensninger for enkeltpersoners privatliv. For virksomheter som fatter beslutninger eller vedtak basert på automatisert behandling, eksempelvis i ansettelses­prosesser, markeds­analyser eller forsikrings­inn­gåelser, vil risikoen heller ligge i beslutningens ukjente innhold. Åpne kilder, registre og faglig skjønn blir prosessert gjennom en regelmotor som operer etter mer eller mindre kjente metoder og algoritmer. Virksomheten vil ofte ha begrenset innsikt i selve beslutningsgrunnlaget, noe som bl.a. kan medføre utfordringer knyttet til etterlevelse av prinsippet om lovlighet, rettferdighet og åpenhet etter GDPR art. 5 (1) a.

På bakgrunn av regelverkets risikobaserte tilnærming, skal det treffes tiltak som står i rimelighet til den risikoen behandlingen utgjør. Dette betyr at forretningsmessige risikovurderinger som tar høyde for tap av omdømme, tap av inntekt eller produksjonsreduksjon, ikke nødvendigvis resulterer i tiltak  som er i samsvarer med kravene etter GDPR. Dersom det er sannsynlig at en behandling kan medføre en høy risiko for de registrertes rettigheter og friheter, ut­løses det ytterligere krav til vurdering av personvern­konsekvenser. På bakgrunn av disse vurderingene skal det etableres egnede organisatoriske (menneskelige) og tekniske (maskinelle) tiltak som er i overenstemmelse med de identifiserte risikoene. Dette innebærer også å pålegge eventuelle databehandlere nødvendige sikkerhetstiltak for deres behandling av person­opplysninger på vegne av virksomheten.

Opprettelsen av veldefinerte system-policyer muliggjøre automatisk klassifisering, sletting, korrigering og sikring av data på tvers av applikasjoner og tjenester.

Fra lovtekst til reelle sikkerhetstiltak

GDPR legger opp til at virksomheter kan vurdere den tekniske utviklingen og kostnadene forbundet med implementering når avgjørelser knyttet til sikker­hetstiltak skal fattes. Dagens digitale trusselbilde og den økende graden av avanserte digitale trusler, forutsetter at informasjonssikkerhet må foretas i alle ledd. For å møte disse utfordringene, bør metodiske risikotilnærminger være styrende for avgjørelser knyttet til sikkerhet. I takt med den tekniske utviklingen har kostnadseffektive løsninger medført økte muligheter for automatisering av virksomheters regelverks­etterlevelse. Eksempelvis kan opprettelsen av veldefinerte system-policyer muliggjøre automatisk klassifisering, sletting, korrigering og sikring av data på tvers av applikasjoner og tjenester. Krav om innebygd personvern understøtter virksomheters plikt til å sikre at informasjonssikkerhet er en integrert del av behandlingssystemene og tjenestene. Ved hjelp av tekniske løsninger skal personopplysninger sikres mot uautorisert tilgang, endring, ødeleggelse og spredning. Dette innebærer at virksomheter bl.a. må implementere metoder for sikker sletting, tilfredsstillende kryptering, sterk tilgangskontroll og logging av systemhendelser.

I Move ser vi et tydelig skifte i markedet fra fokus på grunnleggende etterlevelse av regelverket, mot ansvar og bevist forståelse av risikoer for enkelt­personer i måten virksomheter behandler data på, samt hvordan disse risikoene kan dempes. Ta kontakt for å sikre at din virksomhet opptrer i samsvar med denne utviklingen også i fremtiden.

Del på
 
  • © 2019 Move AS
  • Chr. Krohgs gate 16
  • Akerselva Atrium
  • Oslo
  • Phone: +47 66 77 99 00
  • post@move.no