Nytt fra Data Protection Day 2014

SINTEF INFOSEC

BBdECnUCMAADYmtEU sitt regelverk for databeskyttelse stammer fra 1995, og i forbindelse med den pågående revisjonen ble det i dag (28.1.2014) organisert en “Data Protection Day” med informasjon og en åpen twitter-debatt rundt dette arbeidet. Det nye direktivet skal være ferdig i år, og det vil påvirke hvordan vi utformer regelverk (for eksempel Datalagringsdirektivet her til lands), hvordan vi kan bruke forskningsdata, hva du som enkeltindivid kan kreve og hva små og store bedrifter får av pålegg framover.

Reformen tar utgangspunkt i at det gamle regelverket er utdatert, tungvint og at hvert medlemsland har ulike tolkninger av teksten, som igjen fører til et vanskelig system når data flyter over landegrensene. Derfor er det uttalte målet at man nå skal få til bedre økonomisk vekst ved å ha noe som er enklere og bedre knyttet til dagens teknologi og bruksmønster. Det er helt klart en tendens til å begrense mulighetene til overvåkning. I sitt foredrag la Viviane Reding (Vice-President of the European Commission, EU Justice Commissioner) fram noen av hovedprinsippene [1]:

  • National security should be invoked sparingly. It should be the exception, rather than the rule
  • A message to our American friends. Data Protection rules should apply irrespective of the nationality of the person concerned. Applying different standards to nationals and non-nationals makes no sense in view of the open nature of the internet

Spesielt den siste har en veldig tydelig adresse til NSA!

Enkeltindivider skal få bedre kontroll over dataene sine [2], for eksempel gjennom prinsippet “right to be forgotten”, som i praksis betyr at dersom det ikke finnes noen god grunn for at noen skal sitte med informasjon om deg så kan du kreve at dette skal slettes (NB: gjelder ikke helsedata). Det var flere på twitter som kommenterte at dette vil gjøre tjenester som finansieres av skreddersydd markedsføring umulig. Det er også kommet inn et prinsipp at man skal kunne få flyttet dataene sine fra en leverandør til en annen (dette vil sette nye krav for dataeksport og standardiserte grensesnitt), krav til at man må gi eksplisitt samtykke hvordan data brukes (den som tier samtykker ikke) og at man skal bli informert uten unødvendig forsinkelse (helst innen 24 timer) dersom det har vært datatyveri (for eksempel når noen har stjålet en mengde passord fra en tjeneste). Innebygd personvern (privacy by design) er et essensielt prinsipp i regelverket, noe som Datatilsynet i Norge allerede har vært flinke til å framheve.

For bedrifter og organisasjoner vil det ikke være noe skille om man hører til i eller utenfor EU, om man er privat eller statlig, og man skal kunne forholde seg til ett regelverk uavhengig av hvilket EU-land man operer i (eller mellom). Størrelsen vil faktisk ha noe å si, små og mellomstore bedrifter (som de fleste norske bedrifter sorteres under) vil få det litt bedre. For eksempel vil de kunne få betalt når myndigheter krever å få data utlevert og det er lagt opp til mindre rapportering (spesielt når dataprosessering ikke er en kjernevirksomhet).

Ved å søke opp @EU_Justice #EUdataP #DPD2014 #EUchat på twitter kan man finne spørsmål og svar fra dagens debatt, og man kan finne et sammendrag her: http://storify.com/EU_Commission/euchat-on-data-protection

Referanser:

  1. http://europa.eu/rapid/press-release_SPEECH-14-62_en.htm
  2. http://europa.eu/rapid/press-release_MEMO-14-60_en.htm