GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Transkript

1 GDPR ny personvernforordning Styring via godt arbeid med informasjonssikkerhet

2 Trender og Det Store Kappløpet GDPR og NYPE??? GDPR i nye Asker Arbeid med informasjonssikkerhet

3 Det store kappløpet Brannmur Antivirus Dybdescann av trafikk Oppdaterte system Kompetanse og bevissthet!! Phising DDoS Identitets tyveri Hacking inntrenging Virus Løsepengevirus

4 Trusler

5 Digitalisering utfordrer Sikkerhet Mobilitet Brukervennlighet Mengden påloggingsinformasjon Hvor skal informasjon oppbevares? Hvordan kan jeg gjøre jobben min på farten? Skillet mellom arbeidstid og fritid blir mer fleksibelt Høyere forventninger til fritidsliknende brukervennlighet i jobbsystem hos de ansatte

6 Digitalisering utfordrer er dette målet? Mobilitet Brukervennlighet Sikkerhet

7 Digitalisering utfordrer Målet: Sikkerhet Mobilitet Brukervennlighet

8 Bakgrunn informasjonssikkerhet Informasjon skal kun være tilgjengelig for de som skal kunne se opplysningene. K I T KONFIDENSIALITET INTEGRITET TILGJENGELIGHET Informasjon skal være korrekt og skal ikke kunne manipuleres eller endres utilsiktet eller bevisst Informasjon skal være tilgjengelig innen de krav som er satt til tilgjengelighet.

9 GDPR ny personvernforordning Harmonisering i EU/EØS Styrke borgeres personverninteresser Naturlig følge av økt digitalisering Behov for eierskap til egne opplysninger

10 GDPR kort oppsummert Alle virksomheter får nye plikter Også virksomheter utenfor EU for EU-borgere Innbyggere og ansatte får nye rettigheter Mai 2018

11 Plikt til å gi kortfattet og tydelig informasjon om behandling av personopplysninger, herunder: Informasjon om hvilke personopplysninger som behandles, samt formålet og grunnlaget for behandlingen. Kontaktinformasjon til behandlingsansvarlig Kontaktinformasjon til personvernombud Informere om rett til å trekke tilbake samtykke hvis opplysningene er avgitt under samtykke. Informere om rett til innsyn, retting, sletting og samt portabilitet.

12 Alle skal vurdere risiko og personvernkonsekvenser, særlig ved: Registrering av sensitive personopplysninger Overvåkning av offentlig område i stort omfang Må risikovurdere uønskede personvernkonsekvenser og: om behandlingen er nødvendig og forholdsmessig Personvernombud skal være med i vurderingen

13 Alle leverandører skal bygge personvern inn i nye løsninger Nye løsninger skal bygges slik at kravene i forordningen inngår som en naturlig del av løsningen. Innebygget sporing av hvem som leser personopplysninger. Brukere skal selv kunne styre innsyn og få informasjon om hvilke personopplysninger som behandles og formålet med behandlingen

14 Obligatorisk med personvernombud for kommuner Skal være uavhengig Skal involveres i alle behandlinger av personopplysninger samt delta i risikovurderinger Skal involveres i avviksbehandling, samt varsle tilsynsmyndighet ved avvik Skal være kontaktpunkt for de registrerte

15 Nye krav til avvikshåndtering Innskjerpede krav til varsling av Datatilsynet ved avvik som kan medføre risiko for innbyggere eller ansattes rettigheter og personvern. Varsling innen 72 timer Varsling til den/de registrerte

16 Den registrertes nye rettigheter Retten til å blir glemt (krevende i kommune) Retten til å kreve begrensning i behandling av opplysninger Retten til dataportabilitet Rett til å motsette seg behandling Betydelige sanksjonsmuligheter ved store avvik Opp til 4% av samlet omsetning!!

17 GDPR Tilnærming i praksis Mye informasjon om personopplysninger på hjemmesiden, men skal samles og oppdateres til en personvernpolicy Informasjon om innsyn, retting og sletting Felles personvernombud med Røyken og Hurum. Harmonisere prosesser for informasjonssikkerhet i alle kommuner ISO informasjonssikkerhet Risikovurdering informasjonssystem Kvalitetsstyring og internkontroll Felles opplæring i personvern for alle ansatte Må ha oversikt over hvor personopplysninger behandles Informasjonsaktiva IKT-system Kameraovervåking Fysiske arkiv (utfordrende å håndtere) Hvilke opplysninger som behandles og formål, hjemmel og bevaring Melding til personvernombud

18 ISO Informasjonssikkerhet i nye Asker Sertifisert etter ISO siden 2009 (Asker): Definerte prosesser som skal sikre kontroll Virksomheter Systemeiere Hvor behandles personinformasjon? Årlig internkontroll Internrevisjon 20 virksomheter Eksternrevisjon 17 virksomheter Stikkprøvekontroll i tillegg Avvik meldes i avviksystem og følges opp i ledelsens gjennomgang i virksomheten, tjenesteområdet og Rådmannens ledelsens gjennomgang

19 Må ha oversikt over personopplynsninger

20 System for kontinuerlig forbedring 17 virksomheter Følges prosessene? Avvik og gode tiltak i Askerdialogen Eksternrevisjon Alle virksom heter Sjekkliste informasjonssikkerhet Helhetlig ROS virksomhet Ledelsens gjennomgang Referat i Felles ledelsessystem Internrevisjon 20 virksomheter Følges prosessene? Avvik og gode tiltak i Askerdialogen Årshjul for informasjonssikkerhet Rådmannens ledelsens gjennomgang Referat i Felles ledelsessystem

21 Informasjonssikkerhetsforum Whatsup - Overvåkni ng Sensedesk Evaluering av incident og problem Brannmur og antivirus Brannmurmøter Rev. syslogg Systemlo gg Gerica og HsPro ++ Revisjon systemlogger Personver nombud Saker om fysisk sikring registrert i Askerdialogen Ansvarlig for informasjonssikkerhet IKT sjef Personvernombud Kvalitetssjef Leder Dokumentsentere Leder Eiendom Sikkerhetsansvarlig Systemansvarlige for kjernesystem (personopplysninger) Hendelseslogg Nye oppgaver etter GDPR: Informasjonssikkerhetsforum Månedlige møter Bevisstgjøring Refleksjon Evaluering Tiltak/ aktivitet Tilpasse maler risikovurdering Utarbeide prosesser og rutiner for mottak av henvendelser Faglig veiledning, bestille utredning ved tvil