en-Krav til sikkerhet og organisering i EUs nye personvernregler (1/3)

04/03/2017

Med nesten daglige oppslag om hackerangrep mot norske og utenlandske bedrifter, skjønner de fleste at datasikkerhet er avgjørende for mange virksomheter. Alle bedrifter og virksomheter bør derfor tenke på sin organisering for å klare å etterleve EUs nye personvernkrav. Teknisk sikkerhet er krevet, men er ikke nok alene. Særlig er kulturbygging innad i bedriften avgjørende for nå sikkerhetskravene.  

Advokat Kristian Foss fra Bull & Co Advokatfirma AS

Statoil-hendelsene, hvor en utenlandsk driftsleverandør ifølge NRK forårsaket evakuering, produksjonsstans, nedstengning og tap av kritisk værdata, viser betydning av god sikkerhetskultur. Kritiske deler av driften ble som følge av problemene besluttet flyttet tilbake til Statoils egne ansatte, som gjennom flere tiår har bygget opp en solid sikkerhetskultur.

Om denne artikkelserien

I del 1 vil vi forklare nærmere hva vi mener med krav til sikkerhet og organisering. I del 2 av denne artikkelserien vil vi se på konsekvenser av å sove i timen. Del 3 tar for seg tiltak for å redusere risikoen.

Økonomiske tap

Manglende datasikkerhet, med eller uten personopplysninger, kan medføre store økonomiske tap for virksomheten. Listen over mulige tapstyper er lang:

  • gjenoppretting og avhjelpstiltak

  • avslørte bedriftshemmeligheter med tap av markedsposisjon

  • skade på driftsmiljø med redusert leveranseevne

  • tap av renommé med tap av kunder

  • tap og skade på eiendom med tingenes internett

  • tap av liv og helse

  • konkurs

I tillegg kommer fare for:

  • erstatningskrav mot virksomheten fra datasubjekter som er krenket

  • erstatningskrav mot daglig leder og styret for tap pga. manglende sikkerhet

  • bøter fra Datatilsynet på opp til 4% av årlig konsernomsetning, eller 20 millioner Euro

Disse konsekvensene vil vi komme nærmere inn på i del 2 av denne artikkelserien.

I del 3 av serien går vi igjennom hvordan din bedrift eller virksomhet kan redusere faren for at slike tap oppstår. Fokus for denne første delen, vil være hvilke krav EUs nye General Data Protection Regulation (GDPR) stiller til organisatorisk sikkerhet.

Krav til organisatorisk sikkerhet

Krav til organisatorisk sikkerhet følger av flere regelsett. Hovedtemaet her er som nevnt GDPR, som i EU vil tre i kraft den 25. mai 2018, og trolig rundt samme tid i Norge. Under vil jeg likevel kort nevne noen andre krav.

Hva sier så GDPR om organisatorisk og kulturell sikkerhet? Ikke så lite.

Krav til organisatoriske tiltak gjennomsyrer forordningen; fra

Fellesnevneren for alle er krav til "appropriate technical and organisational measures" - 'tilfredsstillende tekniske og organisatoriske tiltak".

tilfredsstillende tekniske og organisatoriske tiltak

La oss ta en titt på de mest sentrale bestemmelsene:

Sikkerhet er et av grunnkravene

Kravet om tilfredsstillende sikkerhet, ved bruk av "appropriate technical or organisational measures" fremgår art. 5, som også inneholder seks generelle prinsipper for behandling av personopplysninger. De viktigste av disse er:

  • krav om lovlig behandlingsgrunnlag; samtykke eller lovhjemmel;

  • angitt og legitimt formål med behandlingen;

  • begrensning av behandlingen til det nødvendige ("minimeringsprinsippet");

  • opprettholdelse av korrekte data

  • tilfredsstillende sikkerhet

Mer presist sier GDPR art. 5:

1. Personal data shall be:

(f) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures ('integrity and confidentiality').

Vi skal i del 2 se betydningen av også GDPR art. 5 stiller krav om sikkerhet, i tillegg til GDPR art. 32, som er hovedregelen om informasjonssikkerhet.

Hva sier hovedregelen om informasjonssikkerhet?

For å gi et inntrykk av kompleksiteten i EU-forordningen, siterer jeg hele den ordrike setningen i GDPR art. 32 (67 ord!):

"1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, [...]" [mine uthevinger]

Kravet er altså noe så diffust som tilfredsstillende sikkerhet. For en ikke-jurist blir det nesten like presist som å si til tenåringen sin at du må være hjemme "passe tidlig". Vi skal her forsøke å å få litt mer kjøtt på beinet.

Først; "tilfredsstillende" brukes fordi risikoen kan variere så enorm. En kiosk som stort sett bare skal holde styr på sine fem ansatte, har liten risiko fordi ansettelsforholdet er lite sensitivt (allerede offentlig) og antallet er lavt. Dermed skal lite til før sikkerheten er tilfreddstilende.

Tinder, Sukker eller andre datingtjenester, på den annen side, behandler store mengder følsom data. Da blir risikoen høyere, fordi konsekvensene av et brudd kan blir store.

I bunn å grunn koker kravet til tilfredsstillende tiltak ned til et aktsomhetskrav

I bunn å grunn koker kravet til tilfredsstillende sikkerhetstiltak ned til et aktsomhetskrav. Uaksomhet er en såkalt rettslig norm, som det finnes rik rettspraksis på. I forordningen detaljeres og skjerpes kravet til slik aktsomhet. Men uansett gir bakgrunnsretten oss hjelp til å forstå hva som kreves.

Vi skal nå raskt se på hva de skjerpede elementene består i.

Kravet til "state of the art" betyr at moderne teknologi og metode må vurderes når sikkerhetskravet skal fastlegges. Bestemmelsen innebærer med andre ord et krav om å følge med på den teknologiske utviklingen i samfunnet generelt og sin bransje spesielt.

Som del av vurderingen skal kostnaden for tiltakene vurderes, sammen med type, omfang, sammenheng og formål. Hvis din bedrift håndterer et stort omfang med følsomme opplysninger, krever dette for eksempel bedre tiltak. Men blir tiltakene svært kostbare, vil du kanskje ikke være pliktig til å gjennomføre dem (uten at du dermed har frikort til å uforsvarlig behandling).

Fortalen til GDPR art. 32 sier ikke stort mer enn bestemmelsen selv. Gruppen av EØS-datatilsyn, den såkalte Art. 29-arbeidsgruppen, har foreløpig ikke uttalt seg om sikkerhetskravene i art. 32 og GDPR.

For Norges del kan dagens regler om internkontroll trolig kaste lys over hvordan forordningen vil bli gjennomført. Internkontrollreglene krever at virksomheten blant annet etablerer og holder «[...] vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene [...]». Det er også krav til dokumentasjon, og vurdering av sikkerhetsstrategien. Se særlig personopplysningsloven § 14 og personopplysningsforskriften §§ 2-1 og 2-3.

Som du forstår, betyr dette at en konkret vurdering må gjennomføres. De fleste tilfeller ligger mellom ytterkantene en kiosk og dataingtjeneste representerer, men alle bør ha et sikkerhetsnivå som gjør at en litt bekymret sikkerhetsanvarlig eller advokat sover godt om natten.

Bestemmelsen i art. 32 gjelder både behandlingsansvarlig ("controller") og databehandler ("processor"). I praksis vil kunden, som bestemmer formålet med databehandlingen, oftest være behandlingsansvarlig. Leverandøren, som opptrer på vegne av behandlingsansvarlig, vil være databehandler.

Hva betyr kravet til organisatorisk sikkerhet?

Hva betyr organisatorisk i det hele tatt? Med organisatorisk tenker vi på måten virksomheten er organisert på, utover tekniske tiltak. I praksis handler dette om personer og rutiner. Rutiner i denne sammenheng er instrukser til personer om hvordan noe skal gjøres - ønsket adferd.

personer og rutiner

Å utforme slike regler - rutiner - er viktig, men likevel bare det første skrittet. Om ikke rutinene følges, skaper de ikke sikkerhet.

Tette kontrolltiltak, og strenge sanksjoner er selvfølgelig en mulighet for å oppnå ønsket adferd. Spørsmålet er imidlertid om slike lite lystbetonte tiltak (alene) er de mest effektive tiltakene.

Trolig vil det over tid være mer effektivt og økonomisk å bygge en sikkerhetskultur. Sentrale virkemidler for å bygge slik kultur vil være:

  • Opplæring - både i hva reglene betyr, og hvorfor.

  • Belønning - skape positive incentiver til riktig adferd.

  • Sanksjoner - som støttetiltak til opplæring og belønning

Opplæringen og belønning må skape et ønske om å ville endre adferd til sikker adferd. Over tid vil adferden bli en del av virksomhetens kultur.

Oppnådd sikkerhet må verifiseres

Siden økt sikkerhet - og ikke rutiner i seg selv - er målet, stiller GDPR art. 32 eksplisitte krav om at tiltakene skal måles og vurderes. Den tilfredsstillende risikoen skal oppnås gjennom:

"(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing." [mine uthevinger]

Det vil si et pålegg om testing og vurdering av virkning av de organisatoriske tiltakene. Det holder med andre ord ikke å vise frem rutinene og sikkerhetssystemene. Virkningen ("the effectivness") av tiltakene - endret adferd - må altså testes og vurderes.

Om tiltaket for tilfredsstillende sikkerhet er å skape sikkerhetskultur, må faktisk endringer i kultur dokumenteres. Det følger både av bokstav d) over, og krav til at etterlevelse av forordningen skal dokumenteres. Se GDPR art. 24 nr. 1. I visse tilfeller vil trolig etablering av sikkerhetskultur være et krav for at tilfredsstillende informasjonssikkerhet overhode kan oppnås.

Hva betyr at personvern skal være innebygget?

I den nye forordningen er kravet til innebygget personvern - privacy by design - eksplisitt uttalt. Se GDPR art. 25. Det er trolig at det samme kravet, for en del tilfeller, i realiteten følger av dagens krav etter personopplysningsloven §13.

GDPR art. 25 krever (igjen) at "tilfredsstillende tekniske og organisatoriske tiltak" skal etableres. Tiltakene skal være designet for å implementere de sentrale personvernprinsippene i GDPR art. 5 som nevnt over.

Sist, men ikke minst, skal tiltakene integrere nødvendige sikkerhetsforanstaltninger i behandlingen. Standardinnstillinger skal åpne for at bare data nødvendige for det enkelte formålet med behandlingen, faktisk blir behandlet. Det betyr at du må ta for deg ett og ett formål og vurdere: "hva trenger jeg av opplysninger for å oppnå dette formålet?"

Art. 25 nevner selv som eksempel pseudonymisering. Det vil si en slags tilsløring av koblingen mellom opplysningene og personen. Et eksempel er å fjerne fødselsdato, og i stedet sette inn årstall.

Tilnærmingen hva angår datainnsamling, blir å gå fra støvsuger til pinsett.

Som du forstår, vil det være mye lettere å tilfredsstille GDPR art. 25 om utviklerne av nye systemer allerede fra planleggingsfasen har prinsippene nevnt over og visse andre sentrale prinsipper bygget i bevisstheten.

Som kunde, bør du derfor i konkurransegrunnlag og kontrakter særlig angi at personvern skal bygges inn fra dag én.

Som leverandør, bør du legge etterlevelse av personvernkrav inn i utviklingsprosessene dine. Dette vil påvirke måten virksomheten er organisert på. 

I Bull & Co har vi bygget opp spesialkompetanse på slike kontrakter og prosesser, og hjelper gjerne til med å sikre at din virksomhet etterlever EUs krav.

Hva må dokumenteres?

Som antydet må virksomhetene dokumentere - "demonstrate" - at behandlingen skjer i henhold til personvernforordningen. GDPR art. 24 lyder:

"Art. 24

1. Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary." [våre uthevinger].

At rutiner er utarbeidet og instrukser gitt, er enkelt å dokumentere. At eget og innleid personell kjenner, forstår og oppfører seg i henhold til reglene, er mer utfordrende. Hvordan har adferden endret seg fra år til år? Virker tiltakene? Har en sikkerhetskultur oppstått?

Kravet i art. 24 betyr at virksomheten må klare å dokumentere at de organisatoriske tiltakene fungerer. Hva angår for eksempel kulturbygging, finnes egne selskaper som spesialiserer seg på verktøy for kulturbygging og måling av denne, som for eksempel oslofirmaet CLTRe.

Som det fremgår over, følger mange av kravene i GDPR allerede fra dagens norske personvernregler. Det ligger nye krav i GDPR, men den kanskje største nyheten er nok at overtredelse kan få så mye større konsekvenser. Les om disse i del 2.

Andre sikkerhetsforpliktelser

Og om GDPR ikke skulle være nok, så finnes det mange flere sikkerhetsforpliktelser i EUs nye regler. Jeg går ikke inn i alle detaljene, men lister noen av dem opp:

Avtaler

  • Kundeavtaler

  • Leverandøravtaler

  • Forhandleravtaler

Om partene har inngått samarbeid om særlig sensitive opplysninger, vil sikkerhetskravet også kunne følge av den alminnelige ulovfestede lojalitetsplikten i kontraktsforhold.

Lov og forskrift

Under står noen eksempler på lov- og forskriftsregulering:

  • IKT-forskriften - «risiko styres innenfor akseptable grenser i forhold til foretakets virksomhet» § 3

  • Arkivloven - «ordna og innretta slik at dokumenta er tryggja som informasjonskjelder for samtid og ettertid» § 6

  • Arbeidsmiljøloven - på alle plan i virksomheten, herunder ved varsling

  • Produktansvarsloven - «den sikkerhet som en bruker eller allmennheten med rimelighet kunne vente» § 2-1

  • Helseregisterloven - «databehandlingsansvarlige og databehandler skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet» § 21

  • Bokføringsloven - "betryggende sikret mot ødeleggelse, tap og endring" § 13

  • Aksjeloven - "(1) [...]. Styret skal sørge for forsvarlig organisering av virksomheten." § 6-12

Andre regelsett omfatter kommunikasjonsverndirektivet (e-Privacy Direktive), som i disse dager overhalles for å harmonere med GDPR. Se særlig artikkel 4, som setter krav til "appropriate technical and organisational measures to safeguard security of its services".

Ulovfestede krav

Domstolene våre har også skapt aktsomhetskrav gjennom utviklingen av erstatningsretten. Disse kravene vil også gjelde sikkerhet. Se nærmere om dette i del 2 av denne artikkelserien.

---

Artikkelen er den første i en kortserie på tre:

Artikkelserien er bygget på et foredrag som ble holdt 26. januar 2016 på Mesh Tordenskioldsgate 3 i Oslo, i samarbeid med Norsk sikkerhetsmyndighet, AIG Forsikring og Cltre AS. Se alle opptakene her.

For spørsmål til artikkelen eller personvern, ta gjerne kontakt med meg på kf@bull.no eller +47 97 06 26 55. Første samtale er kostnadsfri.