Presentasjon GDPRprosjektet

Transkript

1 Presentasjon GDPRprosjektet Jan Ketil Petersen - prosjektleder ITA stab Personalforum

2

3 Vi bryter loven i dag: Organisatorisk «gjeld» Teknisk «gjeld» Dokumentråte Manglende internkontroll Mangler mange RoS-analyser Testing på ekte produksjonsdata Sårbare for integritetsbrudd Logging er mangelfull Slettepliktrutiner er mangelfulle Kun 7 dager sikkerhetskopi i enkelte systemer med virksomhetskritiske data Brukernavn og passord på avveie brukes til snoking i interne systemer Mangler 2-faktor sikkerhet

4 Bøtenivået øker kraftig What are the penalties for non-compliance? Organizations can be fined up to 4% of annual global turnover for breaching GDPR or 20 Million. This is the maximum fine that can be imposed for the most serious infringements e.g. not having sufficient customer consent to process data or violating the core of Privacy by Design concepts. 'clouds' will not be exempt from GDPR enforcement. Vi antar at bøtenivået vil legges opp mot ca. 10 millioner når tilsynsmyndigheten går opp lovpraksisen i Norge.

5 GDPR-prosjektets arbeidsgrupper Kartlegge behandlinger av personopplysninger Aase Tveito Revidering av Styringssystemet for informasjonssikkerhet og revidering av interne instrukser, reglementer, retningslinjer mv Ingvild Stock-Jørgensen Risiko- og sårbarhetsvurderinger (RoS) Bjørn Torsteinsen Avvikshåndtering/avvikssystemet Bjørn Torsteinsen Personvernrådgiver (personvernombud) Sølvi B. Anderssen Opplæring av ansatte og studenter (generell opplæring) prosjektleder Kompetanseheving av ansatte som har særlige funksjoner prosjektleder m/prosjektgruppen Dokumenthåndtering Annikken Steinbakk Personvernerklæringer må vente til innholdet er avklart IT-infrastruktur (eget prosjekt) Jan Ketil Petersen og ITA-GRU - ferdig

6 Revidering av interne regelverk og instrukser Utføres av de som eier/forvalter retningslinjene (ITA, POA, AFU, UTA) Enighet om hva som må lages nytt: Rutiner for behandling av personalopplysninger i undervisning (UTA) Fristene er godtatt og arbeidet fordelt (brev 2017/ ) Utg. av feb. for revidering av eksisterende retningslinjer (flere) Utg. av mars for utarbeidelse av ny retningslinje (UTA) Vurdering av en samlet retningslinje for utlevering av personopplysninger (internt og eksternt) pågår

7 Risiko og sårbarhetsvurderinger (RoS) Stort arbeid med RoS-analyser av Systemer Prosesser Forskningsprosjekter Forskningsprosjekter totalt sett: prosjektet foreslår en forenklet risikovurdering som føres inn sammen med meldingsskjemaet til NSD, REK eller begge. Enkel og integrert del av prosessen inn mot innmelding og godkjenning, med gjenkjennelig språk. Øke fokuset på at personvernbrudd primært er skadelig for den/de registrerte som rammes hvis data er på avveie (kulturendring).

8 Avvikssystemet revideres Beskrive og implementere rutine for håndtering av brudd på personvernet Kort frist for varsling til de berørte: Uten ugrunnet opphold Og senest innen 72 timer.

9 Personvernombud Anbefalingen er at det opprettes en 100 % stilling Fortsette samarbeidet med NSD for forskningsprosjekter (uten helseopplysninger) og være kontaktpunktet til NSD ved UiT Ett felles kontaktpunkt for alle personvernrelaterte saker ved UiT Beslutningsgrunnlaget ble sendt til ledelsen i uke 7 Utlyses internt snart Konstituere noen inntil ansettelse gjennomføres Rett kompetanse Uavhengig stilling under universitetsdirektøren (Stadig mindre) tid til opplæring frem til 25. mai

10 Opplæring og kompetanseheving Nettbaserte nano-kurs på plattformen XtraMile Obligatorisk? Obligatorisk for ansatte frysing av UiT-konto? Ikke samme mulighet for studenter. Oppfordre, være del av ITA-kurs for nye studenter, fadderordningen etc. Kompetanseheving: ikke planlagt ennå, avhengig av andre grupper. Vanskelig å finne folk til å drive opplæringen

11 Dokumenthåndtering En del av innholdet kommer fra de andre arbeidsgruppene Koordinering med de andre arbeidsgruppene og avdelinger og fakulteter Dreier seg om (men er ikke begrenset til): Oversikt over virksomhetens organisering Styrende dokumenter for internkontroll og informasjonssikkerhet Oversikt over personopplysninger som behandles Oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjons- eller systemkart Risikovurderinger av informasjonssystemet Avviksrutiner Navn og funksjon på de som deltar under kontrollen (dvs. tilsynet fra DT)

12 Personvernerklæringer Ikke påbegynt, avhengig av de andre leveransene i prosjektet Utvetydig informasjon til alle brukere av UiTs ressurser om Hva som er formålet med innsamlingen av persondata Hva de brukes til Hvor de brukes Hvor de gjenbrukes Hva vi ikke gjør med opplysningene. Rettigheter og innsyn Kontaktinfo tilsynsmyndighet o.l. Hvor regelverkene kan leses i sin helhet.

13 Fakulteter og avdelinger Sikre at de har oversikt over alle behandlinger av personopplysninger Bidra til arbeidet med å få en hensiktsmessig, løpende innrapportering av nye/endrede behandlinger RoS-vurderinger arbeidet med endring og harmonisering av interne regelverk Opplæring og kompetanseutvikling generelt innhold til alle andre kurs vil være fagspesifikke/oppgavespesifikke

14 Kartlegging av behandlinger Stort lerret å bleke. Dialog med og bistand fra ASF i innledende oversiktsbygging Administrasjonen/nivå 1 har bidratt til å komplettere listen over behandlinger og er selv inne i første kartleggingsrunde Erfaringene fra første runde tas med til fase 2 (linjene) De tekniske løsningene vi bruker er ikke ideelle (men gode nok) Må løses på bedre måte senere

15 Utfordringer med kartleggingen Hva er en behandling? Hvorfor ikke system? Hvem utfører behandlinger på Nivå 2 og 3? Tidkrevende Vanskelige tema: Studenter i praksis Studenter med oppgaver som inneholder personopplysninger Vi løser problemene «her og nå» uten å se helheten/lovligheten Opplæring i reglene: utskifting av saksbehandlere Vedlikehold etter 25. mai

16 Hva må vi vite om hver behandling? Hvem er ansvarlig for behandlingen (avdeling og person) Formål med behandlingen Kategori registrert (student, ansatt, gjest, forskningsobjekt osv) Kategori opplysninger (sensitiv, skjermet, offentlig osv) Hvem overføres opplysningene til (andre utdanningsinstitusjoner, Lånekassen, osv) Overføres data ut av Norge? Innenfor EU / EØS? Til «land vi stoler på»? Når, og under hvilke betingelser slettes data? Arkivering av data (hjemmel og pålegg i arkivloven) Er det foretatt ROS-analyse? I tilfelle når? System (Kun UiT) Hjemmel (Kun UiT)

17 Opplæring i kartleggingen De som skal registrere behandlinger får første runde med opplæring Utgjør basis for kommende grunnleggende opplæring for alle Bevisstgjøring på hva som er greit og ikke Forståelse for hva som kreves Oversikt over hvor man finner regler og hvem man skal spørre Nøkkelpersoner må få kompetanseheving slik at de kan bidra til å vedlikeholde og videreutvikle systemer og dokumentasjon i hele organisasjonen uavklart. Prosjektet har ikke lyktes med å finne noen som driver med internopplæring ved UiT som har tid til å bistå.

18 Hvordan gjennomføres kartleggingen? Vi starter med Nivå 1, slik at det kan «gå seg til» og vi får greie definisjoner Registrering av behandlinger til protokollen vil legges til linja dette arbeidet tar ikke slutt når første versjon er ferdig Hvert fakultet må identifisere hvem som behandler personopplysninger, og på hvilken måte (Det er ikke bare digital behandling som skal registreres) Det må frigjøres tid hos nøkkelpersoner til å bidra med innfylling

19 Tidsplan kartlegging av behandlinger Utarbeide nettskjema og teste det på to-tre behandlinger (16/3) Identifisere hvem som skal faktisk fylle inn informasjon, det vil si navn på person som har nødvendig kompetanse og tid (pågående) Teste opplæringsmateriellet sammen med Excelskjemaet (23/3) Gjennomføre opplæring på alle som skal fylle inn informasjon (uke 14, 3-4/4) Lage en oversikt over alle behandlinger i henhold til sjekklisten for behandlinger (Uke 15 og 16, 9-20/4) Lage en oversikt over alle systemer og hvilke personopplysninger de behandler i henhold til sjekklisten for systemer (Uke 15 og 16, 9-20/4) Vurdere behovet for en fase 2 som går lenger ned i linjene fortløpende Samordne informasjon som er kommet inn, kvalitetssikre den og lage protokollen (uke 17 og 18, 23/4 4/5) Overføre til personvernombud, sammen med dokumentasjon og rutinebeskrivelser for vedlikehold.

20 Muligheter En oversikt over alle behandlinger av personopplysninger vil (forhåpentligvis) avdekke muligheter for Forenkling av praksis Innsparing av tid Digitalisering gir administrativ gevinst Lukking av lovbrudd Utløse tydeligere bestillinger der verktøyene mangler/er mangelfulle.

21 What s in it for UiT? Prosjektets fokus er å overholde lovverket noe vi gjør i dag med varierende hell. UiT skal behandle personopplysninger lovlig og sikkert over tid! De registrertes data og UiT s data løftes opp i som den mest verdifulle ressursen en kunnskapsorganisasjon har. Får vi ikke tilsyn i mai, så kan det like gjerne komme i juni, eller i 2019.

22 What s in it for me? Intern kontroll og oppdaterte rutiner er sunt for organisasjonen Reviderte regelverk o.l. må bekjentgjøres - dette er en anledning Opplæring og kompetanseheving er et gode Økt forståelse for ny personvernlovgivning hindrer nye avvik, og tiden som brukes på brannslukking minsker

23 Oppsummert:

24 Mer info finner du på: uit.no/om/gdpr Hovedside for GDPR ved UiT mer innhold kommer i april.