Foredrag av Bjørn Erik Thon, direktør i Datatilsynet, hos Bull & Co advokatfirma 010916. Oversikt over bakteppet for forordningen.

1. Oppfyller norske virksomheter forpliktelsene etter
personvernlovgivningen - og hvordan de ser på
fremtidens krav?

2. Punkter
• Personvernlandskapet – personrettede tjenester
• Avviksmeldinger til Datatilsynet
• Hva er de største utfordringene for norske virksomheter?
• Hva skjer fram mot 2018?
2

3. Personrettede tjenester – en enkelt eksempel
3

4. Side 401.09.201

5. Alt kan kobles
• Mobiler
• Klokker
• Klær
• Biler
• Kjøleskap
• Briller
• Lyspærer
• Temperaturmålere
• Mat
• Gulv og vegger
• Huset
5

6. Hva betyr det?
• Reklame skal skreddersys
• Avisen skal skreddersys
• En politisk budskap skal skreddersys ( en venstremann er
ikke en venstremann  )
• Forsikring basert på en individuell risiko, ikke en
kollektiv
• Persontilpasset medisin
• Selvkjørende biler og etiske vurderinger
• Segmentering av tilbud
• Delingsøkonomi
• Plattformer!

7. Analyse av avviksmeldinger til Datatilsynet
7

8. Tall om avviksmeldinger til Datatilsynet
• Basert på 116 saker fra vårt arkiv i 2014
• Kun avvik hvor det har skjedd/ kan ha
skjedd en utlevering.
• Fokuser på de store linjene, ikke eksakt
prosentfordeling.
• 116 saker om avvik = store mørketall.
• Stor forsiktighet med allmenngyldige
konklusjoner.
Etter personopplysningsforskriftens § 2-6 skal
virksomheter melde fra til Datatilsynet når
beskyttelsesverdige personopplysninger har kommet
på avveier.

9. Typer avvik - Slik gikk det galt
Kategori Antall Prosentandel
Forsendelsesfeil - digitale og analoge 57 48 %
Hacking/datainnbrudd 12 10 %
Snoking 9 8 %
Tilgangsstyring feilet, mangelfull eller manglet 7 6 %
Nettpublisering 6 5 %
Personopplysninger bevisst utlevert (ikke rettslig adgang til
det) 4 3 %
Fysisk innbrudd - digitale eller analoge data forsvunnet 3 3 %
Avhending uten sletting/ makulering 2 2 %
Mistet/gjenglemt/forlagt (analogt og digitalt) 1 1 %
Andre avvik 19 16 %
SUM 120 100 %

10. Papir og annet
analogt
28 %
Minnepinne, CD og
andre små digitale
lagringsmedium
5 %
Smarttelefon, PDA,
nettbrett (små
håndholdte
digitale)
0 %
Laptop og liknende
1 %
Stasjonære
datamaskiner
1 %
Server, større IT-
systemer og
skylagring
34 %
E-post og annen
digital forsendelse
23 %
Nettpublisering/
åpent på nett
8 %
Primært lagringsmedium/ tenknologi i avviket

11. Intern
85 %
Ekstern
15 %
Primær årsak

12. Ikke følsomme;
23%
Fødselsnummer
- for øvrig ikke
følsomme; 20%
Følsomme med
hensyn til art
eller mengde;
34%
Sensitive
personopplysni
nger; 23%
Var personopplysningene følsomme?
Fødselsnummer
i 53 % av
sakene.

13. Hva er de største utfordringene for norske virksomheter?

14. 14

17. Flere viktige elementer i analysen
• Faktisk kjennskap til regelverket (1)
• Erfaringer fra tilsynsvirksomheten (2)
• Erfaring fra råd- og veiledning (3)
• Erfaringer fra saksbehandlingen (4)
• Der skoen trykket før vil den sannsynligvis trykke minste like hardt
• Noen kjennetegn med norsk bedriftsstruktur (5)
• Noen kjennetegn ved regelverket (6)
17

18. Faktisk kjennskap til regelverket (1)
• I dag: Stor variasjon, men jevnt over liten kjennskap til
regelverket
– Erfarer dette på tilsyn
– Lovbrudd er ofte utslag av manglende kjennskap fremfor ond
vilje
– Det er et vanskelig regelverk i dag
– …og det er heller ikke et enkelt regelverk etter 2018
– Derfor: Virksomhetene har en jobb å gjøre
– Men; mulighet for ny start
18

19. Erfaring fra tilsynsvirksomheten (2)
• Mangler ved internkontroll og informasjonssikkerhet
– Ofte likhetstegn mellom informasjonssikkerhet og personvern
• Bedriftshemmelig, brannmurer, sikring
• Ikke samme oppmerksomhet om person/kundedata
• Særlig viktig ettersom borgernes rettigheter styrkes
– Dokumentert internkontroll
• Risikovurderinger
19

20. Erfaring fra råd- og veiledning (3)
• Internkontroll og informasjonssikkerhet
• Arkitektur og design
• «Vi vil bruke data innhentet fra kundene våre, men vil
samtidig ivareta den enkeltes personvern»
• Manglende kjennskap til hva personvern egentlig er
20

21. Erfaringer fra juridisk veiledningstjeneste (4)
• Veiledningstjenesten
– 8 737 henvendelser fra borgere og virksomheter hvert år
21
Annet
23 %
Arbeidsliv
21 %
Register
14 %
Kameraovervåking
12 %
Melding/konsesjon
9 %
Info.sikkerhet
7 %
Internett
7 %
Fødselsnummer
4 % Skole/barnehage
3 %
Henvendelser i 2015

22. Noen kjennetegn ved norsk bedriftsstruktur (5)
• Mange SMB, og vår erfaring er at skoen trykker til dels
kraftig i dette segmentet
• Det samme gjelder deler av offentlig sektor, særlig
kommuner ( inkludert skole )
22

23. Noen kjennetegn ved regelverket (6)
• Skjønnsmessig regelverk og vanskelige vurderinger
– Personvernombud eller ikke
• core activity….systematic monitoring
• core activitiy….large scales of data….
– Hvordan anvende prinsippene for innebygd personvern
• implement appropriate technical and organisational measures…
23

24. Noen kjennetegn ved regelverket (6)
• Skjønnsmessig regelverk og vanskelige vurderinger
– Data protection impact assessment
• likely to result in high risk for the rights and freedoms…
– Forhåndsdrøftelse ( prior consultation )
• …..in the absence of measures taken by the controller to mitigate the
risk…
24

25. Hva skjer fram til mai 2018?
25

26. Regler som forsvinner eller må gjennomgås
• Særregler om kameraovervåking
• Kredittopplysninger
• Konsesjoner
• Innsyn i epostkasse
• Meldeplikt
26

27. Hvordan vi jobber mot 2018
• Rigger et fire-delt prosjekt
– Nytt regelverk - juridisk implementering
– IKT / prosesstøtte
– Informasjon til virksomheter og borgere
– Personvernombudsordningen
• Tett dialog med bransjer og virksomheter under marsjen
27

28. Endring i arbeidsmetodikk i Datatilsynet
• Mer råd- og veiledning
– Både overfor virksomheter i enkeltsak
– …og generelt
• Mer systemkontroll
– Er internkontrollen på plass?
– Er et system bygd på prinsippene for innebygd personvern?
– Burde det vært opprettet personvernombud
• Ta initiativ til, og bidra i utarbeidelse av bransjenormer
• Saker av overnasjonal karakter
• Sanksjoner
• Personvernombudsordningen
28