Vurdering af konsekvenser for
privatlivet
Databeskyttelsesdagen 2013
Kirstine Rytter
Specialkonsulent i Digitaliseringsstyrelsen
Mail:kry@digst.dk / mobil +45 5096 6727
Jurist og arbejder med informationssikkerhed og
privatlivsbeskyttelse.
Charlotte Pedersen
Director i Deloitte – Enterprise Risk Services
Mail:cpedersen@deloitte.dk / mobil +45 3610 3542
Mere end 20 års erfaring med It-governance og anvendelsen
af it-sikkerhed i en forretningsmæssig sammenhæng.
Er ansvarlig for Deloitte metode og ydelser inden for Security
Management
2
Hvorfor konsekvensanalyse
for privatlivet?
Den fællesstatslige it-projekt
model – tilløb til vurderingsværktøj
EU Kommissionens anbefaling
om RFID
Udkast til forordning
PIAF projektet i EU
Den fællesstatslige it-projektmodel
COMMISSION RECOMMENDATION of 12.5.2009 on the
implementation of privacy and data protection principles in
applications supported by radio-frequency identification
Privacy and Data Protection Impact Assessment Framework for
RFID Applications - 12 January 2011
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND
OF THE COUNCIL on the protection of individuals with regard to the
processing of personal data and on the free movement of such data
(General Data Protection Regulation)
… a PIA may be defined as a
systematic process for evaluating
the potential effects on privacy of a
project, initiative or proposed
system or scheme and finding ways
to mitigate or avoid any adverse
effects.
The assessor and her PIA team,
preferably through stakeholder
consultation, should identify all possible
risks, who those risks will impact and
assess those risks for their likelihood
(frequency) and consequence
(magnitude of impact) as well as the
numbers of people who could be
affected.
http://www.piafproj
ect.eu/
Bestillingen
•
Noget der ligner en it-risikovurderingsmetode – med risici,
konsekvenser, trusler og kontroller
•
Pragmatisk tilgang
•
Skal kunne ’bygges ind i’
it-projektmodellen
Det nye værktøj som en del af løsningen
•Værktøjet skal medvirke til en systematisk vurdering af konsekvenser for
den enkelte borger, når nye it løsninger skal udvikles.
•Hvis en offentlig løsning vil have høje konsekvenser for privatlivet, kan det
medføre
• behov for ændring eller udvikling af lovgivningen eller
• implementering af sikkerhedsforanstaltninger til at imødegå de
uønskede konsekvenser.
Det kræver dog at de potentielle konsekvenser opdages – og helst allerede før løsningen er færdigudviklet!
10
Værktøjet til konsekvensvurderingen for
privatlivet
Konsekvensvurderingen er en proces der består af 6 trin:
2. Konsekvensvurdering for
datasubjektet
4. Samlet
Konsekvensvurdering
1. Kortlægning
af projektet
5.Trusselsvurdering og
valg af
kontroller
6. Handlingsplaner
og opfølgning
3. Konsekvensvurdering for
dataansvarlig
11
Kortlægning
Konsekvensvurderingen af krænkelser på privatlivet tager
udgangspunkt i en kortlægning af projektet på følgende
områder:
Teknologi
Stamdata
Informationsflow
12
Konsekvensvurdering: Uønskede hændelser
 Ændringer i den oprindeligt besluttede behandling
(formålsforskydning, indsamling er for omfattende).
 Uautoriseret adgang til personoplysninger.
 Uønskede ændringer i de registrerede data.
 Tab af persondata.
…kan føre til…



Tab af omdømme
Økonomisk tab
Tab af handlefrihed
13
Kriterier for vurdering af konsekvenser for
datasubjektet
Brugergruppens
størrelse
Oplysningernes
følsomhed
Identificeringspotentialet
Den anvendte
teknologi
Kriterierne er
ikke tænkt at
skulle stå alene,
men skal samlet
bruges til at
kvalificere
niveauet.
Omverdenens
reaktion (ringeagt,
mistillid)
14
Oversigt over indikatorer
Krænkelse af privatlivet
har kritiske
konsekvenser
Krænkelse af privatlivet har generende
konsekvenser
Krænkelse af privatlivet har ingen eller
ubetydelige
konsekvenser
1. Følsomhed
X (hvis der indgår
følsomme
personoplysninger)
X (hvis der indgår alm.
personoplysninger)
X (hvis der ikke indgår
personoplysninger)
2. Indskrænket
handlefrihed
X (hvis oplysningerne kan
skabe ringeagt eller
mistillid hos mange)
X (hvis oplysningerne kan
skabe ringeagt eller
mistillid hos få)
X (hvis oplysningerne
ikke kan skabe ringeagt
eller mistillid af væsentlig
betydning)
3. Teknologiens
potentiale til at
krænke privatlivet
X (hvis højt potentiale)
X (hvis moderat
potentiale)
X (hvis lavt potentiale)
4. Identificeringspotentiale
X (hvis højt potentiale)
X (hvis moderat
potentiale)
X (hvis lav
sandsynlighed)
5. Brugergruppens
størrelse
X (hvis brugergruppen er
af offentligheden)
X (hvis brugergruppen er
en større kreds)
X (hvis brugergruppen er
afgrænset til enkelte
personer)
15
Kriterier for vurdering af konsekvenser for den
dataansvarlige
Konsekvensvurderingen for
den
dataansvarlige
(i form af en
organisation,
institution
mv.) skal ses som
et supplement til
konsekvensvurderingen for
datasubjektet.
Omdømme
Økonomiske
konsekvenser
16
Kriterierne vurderes på en skala
• Ingen eller få/ubetydelige konsekvenser
• Generende konsekvenser
• Kritiske konsekvenser
Konsekvensvurderingen ender ud i en samlet
konsekvensscore.
Konsekvensscoren kan evt. benyttes til
sammenligning af flere forskellige projekters
vurderinger.
Det væsentlige ved konsekvensvurderingen vil
være rationalerne bag vurderingerne, og at de, der
gennemfører vurderingen, bliver opmærksomme på
evt. sårbarheder.
17
Trusselsvurdering
Identifikation af trusler
Kontroller
Handlingsplaner
Kontroller, der er i særlig fokus ift. privatlivsbeskyttelse
•Datamodel: skal være begrænset til det nødvendige og
tilstrækkelige.
•Bruger- og rettighedsstyring: skal understøtte ”arbejdsbetinget
behov”.
•Autentificering: sikring af brugerens id.
•Logning: skal understøtte efterforskning.
•Sporbarhed: af brugeren i tilfælde af misbrug.
18
Konklusion
Det er svært at definere grænser for privatlivets fred.
Det er vigtigt med en systematisk tilgang til problemstillingen.
19
MERE INFORMATION
RFID
http://ec.europa.eu/information_society/policy/rfid/documents/re
commendationonrfid2009.pdf
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/w
p180_annex_en.pdf
RFID i Danmark
http://www.rfididanmark.dk/aktiviteter/publicerede-dokumenter/
EU Parlamentet dec 2012 om forordningsudkastet
www.europarl.europa.eu/meetdocs/2009_2014/.../libe/pr/.../922
387en.pdf
Privacy Risk Assessment Framework EU
http://www.piafproject.eu/
Privacy Risk Management i Frankrig
http://www.cnil.fr/english/news-and-events/news/article/the-cnilpublishes-an-english-translation-of-its-two-advanced-security-andprivacy-risk-management/
PIA håndbog 2010
https://bdkv2.borger.dk/Lovgivning/Hoeringsportalen/Sider/Fakta.aspx?h
pid=2146001726