IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21.
|
|
- Baard Simonsen
- 5 år siden
- Visninger:
Transkript
1 IN1030 Systemer, krav og konsekvenser Innebygd informasjonssikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21. februar 2019
2 Personvern i grunnloven 102: Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet. IN Innebygd informasjonssikkerhet 2
3 IN Innebygd informasjonssikkerhet 3
4 Person(opplysnings)vern Hva er det personopplysningsloven skal beskytte? Er det kun sikkerheten rundt selve informasjonen? Nei ikke bare det En krenkelse av personvernet kan skje selv om du beskytter personinformasjonen aldri så godt hvis informasjonen du har er feil hvis personen selv skal bestemme om det er lov å innhente og behandle informasjonen, men du har ikke fått samtykke Person(opplysnings)vern er mer enn bare informasjonssikkerhet IN Innebygd informasjonssikkerhet 4
5 Hva er en personopplysning? Identitet: Navn, fødselsnummer, sivilstatus, høyde, vekt, passfoto, fingeravtrykk Kontaktinfo: Hjemmeadresse, jobbadresse, mobilnummer, epostadresse, brukernavn, etc. Finans: Inntekt, skatt, gjeld, bankkonto, kontoutskrift, utgifter, kredittvurdering etc. Aktivitet: Adferdsmønstre, interesser hobbyer, studier, yrkesliv, lokasjon posisjon, kjøpemønster, søkehistorikk, etc. Pseudonymiserte opplysninger: Kvinne, 43 år, Oslo, liker å strikke, har sibirkatt, jobber i offentlig etat, to barn. Kommunikasjon: MAC-adresse, IP-adresse, SMS, MMS, fotografier, videoer, sosialt nettverk, kontakter, cookies etc. Særlige kategorier: Helseopplysninger, fagforeningsmedlemskap, politisk oppfatning, religion, seksuelle forhold/orientering, etnisitet/rase IN Innebygd informasjonssikkerhet 5
6 Person(opplysnings)vern Beskytte spesifikke aspekter ved informasjon som kan relateres til fysiske personer (personinformasjon) Forhindre urettmessig innsamling og oppbevaring av personinformasjon Forhindre urettmessig bruk av innsamlet personinformasjon Sørge for at personinformasjon er korrekt Sørge for åpenhet og innsyn Sørge for adekvat informasjonssikkerhet (KIT) rundt personinformasjon Definere klar ansvarsfordeling IN Innebygd informasjonssikkerhet 6
7 General Data Protection Regulation Personvernforordningen (PVF) Tredde ikraft som lov i EU , i Norge (Personopplysningsloven) Brudd kan medføre bøter opp til 20 mill. eller 4% av omsetning Håndheves av Datatilsynet EUs lovtekst (GDPR) oversatt uten endring, 99 artikler Art. 5: Prinsipper for behandling av personopplysninger Art. 25: Innebygd personvern Art. 32: Innebygd informasjonssikkerhet Krever at den behandlingsansvarlige har personvernombud ved betydelig behandling av personopplysninger IN Innebygd informasjonssikkerhet 7
8 Roller i GDPR (Data Protection Authority) Personopplysninger (Personal Data) Tilsyn (Audit) Den registrerte (Data Subject) Den behandlingsansvarlige (Data Controller) Databehandleravtale (Data Processing Agreement) Databehandleren (Data Processor) IN Innebygd informasjonssikkerhet 8
9 Art. 5: Prinsipper for behandling av personopplysninger 1. Personopplysninger skal behandles med: a) Lovlighet, rettferdighet og åpenhet b) Formålsbegrensning c) Dataminimering d) Riktighet e) Lagringsbegrensning f) Integritet og konfidensialitet 2. Den behandlingsansvarlige har ansvar for pkt. 1 ovenfor. IN Innebygd informasjonssikkerhet 9
10 Art. 25: Innebygd personvern og personvern som standardinnsstilling Det skal gjennomføres egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare behandles personopplysninger som er nødvendige for spesifikke formål. Dette gjelder mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet. IN Innebygd informasjonssikkerhet 10
11 Art. 32: Sikkerhet ved behandlingen Det skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, herunder blant annet: a) pseudonymisering og kryptering av personopplysninger b) evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene, c) evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid ved tekniske hendelser d) regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er IN Innebygd informasjonssikkerhet 11
12 Innebygd personvern og informasjonssikkerhet Veileder fra Datatilsynet Rutiner for metode Regler for koding Verktøyvalg Gjennomtenkt testing Gjør nødvendige sikkerhetstiltak Oppsummering: Programmer seriøst! IN Innebygd informasjonssikkerhet 12
13 Opplæring i personvern og informasjonssikkerhet Mål: Basiskunnskap og forståelse for personvern og informasjonssikkerhet, og risiko tilknyttet dette Hva skal det gis opplæring i: Når og hvorfor personvern og informasjonssikkerhet er viktig i de ansattes daglige arbeidsoppgaver. Suksesskriterier er at virksomheten har etablert retningslinjer for personvern og informasjonssikkerhet, og at det gis opplæring i disse retningslinjene IN Innebygd informasjonssikkerhet 13
14 Krav til system og behandling Definer type personopplysninger som skal behandles Definer hvilke slutninger som kan trekkes om indidivider Hvem er brukere og eiere av personinformasjonen? Definer behandlingsansvarlig og databehandler Hvem er 3.parts mottager av personinformasjon Definer hvilke opplysninger det er nødvendig å samle inn, omfang lagringstid og tilgjengelighet. Åpenhet, vis hvilken informasjon som lagres, så den registrerte kan ivareta sine rettigheter. Velg adekvate tiltak for informasjonssikkerhet IN Innebygd informasjonssikkerhet 14
15 To typer personvernrisiko Tilfelle og konsekvens av personvernhendelser (Personvernkonsekvens) f.eks.: Urettmessig diskriminering basert på personinfo og profilering Re-identifisering basert på data som skal være anonyme eller pseudonym Uønsket innsamling Lagring lenger enn nødvendig (se neste side) Vurderes med DPIA (Data Protection Impact Assessment) Personvernkonsekvensanalyse, Art.29 Sannsynlighet og konsekvens av sikkerhetshendelser, f.eks.: Brudd på KIT (konfidensialitet, integritet, tilgjengelighet) for personinfo. Tyveri og publisering av personinfo Vurderes med sikkerhetsrisikoanalyse. IN Innebygd informasjonssikkerhet 15
16 Hvordan vurdere personvernkonsekvens? Det som skal vurderes er om, og konsekvensen av at (ikke uttømmende liste!): personopplysninger behandles uten rettslig grunnlag personopplysninger behandles på en ikke rettferdig måte det mangler åpenhet rundt behandlingen av personopplysninger det samles inn mer personopplysninger enn nødvendig for formålet personopplysninger som behandles ikke er korrekte personopplysninger lagres lengre enn nødvendig for formålet den registrerte mangler informasjon til å gjøre et informert valg den registrerte ikke får innsyn i lagrede personopplysninger den registrerte ikke får korrigert eller slettet sine personopplysninger det ikke er lagt til rette for dataportabilitet de registrertes rettigheter ikke ivaretas ved profilering behandlingen kan resultere i diskriminering behandlingen begrenser ytringsfrihet og religionsfrihet IN Innebygd informasjonssikkerhet 16
17 Design av innebygd personvern Dataorienterte designkrav: Minimer innhenting - «Select before you collect» Minimer prosessering og overføring - «gjem og skjul» Separer behandlinger Personvern som standardinnstilling Prosessorienterte designkrav Styre Håndheve Informere Demonstrere IN Innebygd informasjonssikkerhet 17
18 Design av innebygd sikkerhet Analyser angrepsflaten på det planlagte systemet og vurdere hvordan man kan redusere muligheter til å utnytte eventuelle svake punkter og sårbarheter. Trusselmodellering for å se om det fins mulighet for misbruk av tilgangspunkter, funksjoner, og dataflyt i systemet avdekke relevante trusselscenarier for misbruk av programvaren hvordan designet kan forbedres for å stoppe trusselscenarier (dvs. å fjerne sårbarheter) Resultatet er et mer herdet og robust sluttprodukt. IN Innebygd informasjonssikkerhet 18
19 Sikker koding Beskriv bruksområde for koden Vurder trusselmodeller fra design-fasen Vurder sårbarheter i støttekomponenter Vurder sårbarheter i verktøy Sørg for at sårbarheter er fjernet eller tilstrekkelig redusert IN Innebygd informasjonssikkerhet 19
20 Ugyldiggjør usikre funksjoner og moduler Analyser funksjoner, API, tredjepartsbibliotek og moduler Forby de som er utrygge, oppdater de som er utdaterte eller som inneholder kjente sårbarheter Deaktiver unødig sporing, logging og innsamling av personopplysninger IN Innebygd informasjonssikkerhet 20
21 Statisk kodeanalyse og kodegjennomgang Anvend automatiske verktøy for kodeanalyse og deteksjon av usikre metoder Foreta manuell gjennomgang for å fange opp svakheter som kan medføre feil bruk eller lekkasje av personopplysninger Regelmessig gjennomgang, d.v.s. for hver sprint i smidig koding IN Innebygd informasjonssikkerhet 21
22 Test om kravene er implementert Er personvern- og sikkerhetskrav ivaretatt gjennom design og koding? Er kravene riktig implementert? Er alle komponenter med? IN Innebygd informasjonssikkerhet 22
23 Sikkerhetstesting Dynamisk testing Test funksjonalitet i kjørende kode (verktøy eller manuelt) Undersøk ulike brukerrettigheter, også ved simulerte sikkerhetsfeil Fuzz testing Fremprovoser feil i programvaren Bruk verktøy som sender tilfeldig og misformet data inn i programvaren Test alle grensesnitt Penetrasjonstesting / sårbarhetsanalyse Kjøres før produksjonssetting og jevnlig Lovlig og autorisert forsøk på å finne og utnytte sårbarheter IN Innebygd informasjonssikkerhet 23
24 Gjennomgang av angrepsflate og trusselmodeller Verifisere at trusselscenarier som ble avdekket i designfasen er håndtert Verifisere at nye trusselscenarier introdusert under koding er identifisert og håndtert Gjenta vurdering av personvernkonsekvenser IN Innebygd informasjonssikkerhet 24
25 Produksjonssetting Utarbeid plan for hendelseshåndtering for effektiv håndtering av hendelser som kan oppstå etter produksjonssetting. Hva en hendelse er og hvilken livssyklus den har (omfatter å detektere, analysere, rapportere, håndtere og normalisere) Ressurser, kontaktpunkt/responssenter, kontaktinformasjon, responstid, kanaler, logger, rutiner, patching, evaluering mm. Plan for varsling av ledelse, den registrerte, Datatilsynet, og presse IN Innebygd informasjonssikkerhet 25
26 Produksjonssetting Full sikkerhetsgjennomgang av programvaren skal baseres på tidligere gjennomganger i utviklingsløpet og inngå i de kontrollpunkter (control gates) som må gjøres før produksjonssetting. Godkjenning av produksjonssetting Sikkerhetsrådgiver og personvernombud skal verifisere at alle definerte sikkerhets- og personvernkrav er implementert og fungerer etter hensikten. Virksomheten må definere hvem som har godkjenningsmyndighet. Arkivering bør gjøres av all relevant data og dokumentasjon fra hele utviklingsløpet. IN Innebygd informasjonssikkerhet 26
27 Forvaltning Håndtere hendelser og avvik etter planen Når akutte hendelser opptrer, er det viktig å bevare roen og å bruke tid på å analysere hendelsen. Responsteamet skal kunne håndtere situasjonen, og vite hvem som er i stand til å bygge, teste og installere oppdateringer. Responsteamet må vite hvilke prioriteringer som gjelder, samt vite nøyaktig hva de kan og skal gjøre, og hvem de skal kontakte når det virkelig er krise. Øv!!! IN Innebygd informasjonssikkerhet 27
28 Forvaltning Forvaltning, drift og vedlikehold av programvaren skal følge etablerte rutiner for hvordan personvern og sikkerhet skal ivaretas over tid. Ha styringssystem for personvern og informasjonssikkerhet (internkontroll) som omfatter anskaffelse, forvaltning, drift og vedlikehold. Rutiner for regelmessige testing og revidering, sikkerhetsovervåkning, målinger, forbedring mm. IN Innebygd informasjonssikkerhet 28
29 Referanser Veiledere fra Datatilsynet: Hva betyr de nye personvernreglene for din virksomhet? Programvareutvikling med innebygd personvern IN Innebygd informasjonssikkerhet 29
INF37000 Informasjonsteknologi og samfunn. Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet
INF37000 Informasjonsteknologi og samfunn Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo Vår 2018 Personvern i grunnloven 102:
DetaljerIN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28.
IN1030 Systemer, krav og konsekvenser Innebygd informasjonssikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28. februar 2018 Personvern i grunnloven 102: Enhver har rett til respekt
DetaljerInnebygd personvern og personvern som standard. 27. februar 2019
Innebygd personvern og personvern som standard 27. februar 2019 Personvern i vår digitaliserte verden Skal vi ivareta personvernprinsippene effektivt må de være inkorporert i programvaren Nøkkelpersonene
DetaljerInnebygd personvern personvernforordningen artikkel 25
Innebygd personvern personvernforordningen artikkel 25 25.08.2017 Bjørn Erik Thon Arbeidsgruppen har bestått av: Andreas Hegna Martha Eike Rita Nordtug Johannes Brodwall Eskild Storvik Karoline Klever
DetaljerProgramvareutvikling med innebygd personvern nye personvernregler
Programvareutvikling med innebygd personvern nye personvernregler 28.08.2017 Agenda Innebygd personvern introduksjon, konkurranse og veileder Aktivitetene i veileder om programvareutvikling med innebygd
DetaljerKINS-tech: Innebygd personvern bestemmelsen som implementerer hele forordningen.
KINS-tech: Innebygd personvern bestemmelsen som implementerer hele forordningen. Veronica Jarnskjold Buer Fagdirektør, digitalisering og innebygd personvern 23.09.2019 Noen ord om Personvernprinsipper
DetaljerNøkkelen til morgendagens personvern innebygd personvern
Nøkkelen til morgendagens personvern innebygd personvern 24.10.2017 Personvern, prinsipper og rettigheter Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 Fødselsnummer: 13087846271
DetaljerNytt regelverk, nye muligheter og masse avviksmeldinger!
Nytt regelverk, nye muligheter og masse avviksmeldinger! 06.11.2018 Agenda Bakgrunn Prinsipper og regelverkskrav Avviksmeldinger 2 Hva er person(opplysnings)vern? Hva er det vi forsøker å beskytte? Er
DetaljerNye personvernregler i GDPR i helsesektoren
Nye personvernregler i 2018 - GDPR i helsesektoren 05.12.2017 Kort om skytjenester Er det egentlig noe nytt? ASP, fjerndrift, stormaskin, hosting, Outsourcing rokker ikke ved ansvarslinjene: Virksomhet
DetaljerVi fikk ny personopplysningslov 20. juli 2018
Vi fikk ny personopplysningslov 20. juli 2018 2 Et personvern i endring Den gamle måten å tenke personvern på Konsesjoner og forhåndstillatelser fra Datatilsynet Minst mulig registrering av data Ingen
DetaljerProgramvareutvikling med innebygd personvern og personvern som standardinnstilling. Eirik Saltkjel Veronica Jarnskjold Buer
Programvareutvikling med innebygd personvern og personvern som standardinnstilling Eirik Saltkjel Veronica Jarnskjold Buer 30.11.2017 Agenda Introduksjon til nye personvernregler Pause (10 minutter) Introduksjon
DetaljerNy personopplysningslov (GDPR) Etter snart 8 måneder, hva har skjedd?
Ny personopplysningslov (GDPR) Etter snart 8 måneder, hva har skjedd? Et personvern i endring 2 Teknologi, internasjonalisering, bruk og gjenbruk av data Alt er digitalt, alt kan deles og alt kan gjenbrukes
DetaljerAnsvarlighetsprinsippet og virksomhetens plikter
Ansvarlighetsprinsippet og virksomhetens plikter Ansvarlighet og internkontroll Nøkkelen til etterlevelse (accountability)? Artikkel 5 (2) accountability Den behandlingsansvarlige er ansvarlig for og skal
DetaljerGDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger
GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger ? PERSONVERN ANNO 2017 NOE HAR SKJEDD - Robotisering - Digitalisering - Kunstig intelligens VI MÅ GJØRE OSS FORTJENT TIL KUNDEDATAENE
DetaljerPersonvernlovgivningen ledelsens ansvar Pensjonskassekonferansen 14. mai 2019, Sandefjord. Ove Skåra - Datatilsynet
Personvernlovgivningen ledelsens ansvar Pensjonskassekonferansen 14. mai 2019, Sandefjord Ove Skåra - Datatilsynet Februar 1989: Mars 1989: Oktober 1992: 4 Tilgjengelighet Integritet Konfidensialitet 5
DetaljerNye personvernregler (GDPR)
Nye personvernregler (GDPR) 02.11.2017 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse Innebygd personvern
DetaljerRusmiddeltesting i arbeidslivet et personvernperspektiv
Rusmiddeltesting i arbeidslivet et personvernperspektiv 20.11.2018 Rusmiddeltesting regelverk Personopplysningsloven og personvernforordningen Generelt regelverk Regulerer all behandling av personopplysninger
DetaljerGDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017
GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,
DetaljerPersonvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen
Personvern nytt landskap i 2018 #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen Personvernforordningen (General Data Protection Regulation/GDPR) Personvernforordningen på overordnet
DetaljerGDPR - PERSONVERN. Advokat Sunniva Berntsen
GDPR - PERSONVERN Advokat Sunniva Berntsen Hvorfor personvern? Viktig i et demokratisk samfunn EMK artikkel 8 Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Hovedkonklusjon informasjonssikkerhet tillegges større vekt enn tidligere, både kvalitativt og kvantitativt Agenda gjennomgå hovedreglene
DetaljerNye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017
Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017 Personvern - Hva er det 3 Hva er personopplysninger? Side 4 5 Viktig nytt i forordningen
DetaljerNye personvernregler
Nye personvernregler Agenda Hva er personvern og personopplysninger Bakgrunn for nye personvernregler De viktigste endringene fra idag til 2018 Hva nå? - våre forventninger og råd om veien videre Innledning
DetaljerMinimere og begrense. Gjem og skjul. Separere.
3 Design Sjekklisten er dynamisk, ikke uttømmende og skal oppdateres regelmessig. Dersom du har innspill til noen av punktene, vil vi gjerne høre fra deg. Dataorienterte designkrav Minimere og begrense.
DetaljerVurdering av personvernkonsekvenser, databehandleravtaler og avvik
Vurdering av personvernkonsekvenser, databehandleravtaler og avvik Personvernforordningen tre måneder inn Gullik Gundersen rådgiver Personvernforordningen i tall 931 avviksmeldinger i 2018, 461 etter 20.
DetaljerPersonvern i skyen Medlemsmøte i Cloud Security Alliance
Personvern i skyen Medlemsmøte i Cloud Security Alliance 31. oktober 2018 Trond Ericson Agenda Personvern i skyen Kort om Devoteam Kort om GDPR GDPR i skyen Oppsummering Devoteam Fornebu Consulting Devoteam
DetaljerNye personvernregler
Nye personvernregler Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til
DetaljerVaksinerådgivning og personvern. Ellen Furuseth Vaksinedagene
Vaksinerådgivning og personvern Ellen Furuseth Vaksinedagene 27.09.2019 FHIs vaksinerådgivning Hva: Individuell vaksinerådgivning Hvem: For helsepersonell Hvordan: E-post (vaksine@fhi.no) Telefontid alle
DetaljerNye personvernregler fra 2018
Nye personvernregler fra 2018 Agenda Personopplysninger Bakgrunn for nye personvernregler Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Innebygd personvern og DPIA Personvernombud
DetaljerNye personvernregler (GDPR)
Nye personvernregler (GDPR) 10.10.2017 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse PVO, internasjonalt
DetaljerNye personvernregler og innebygd personvern
Nye personvernregler og innebygd personvern Agenda Personopplysninger Bakgrunn for nye personvernregler Hendelser Innebygd personvern og DPIA Prosjekt i Datatilsynet Hva er person(opplysnings)vern? Den
DetaljerInformasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning
Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning Senioradvokat (PhD) Thomas Olsen Normkonferansen 30. november 2017 www.svw.no GDPR viderefører personvernprinsippene Artikkel
DetaljerPersonvern - vurdering av personvernkonsekvenser - DPIA
ID Nfk.4.6.1 Versjon 1.03 Gyldig fra 22.05.2018 Siste versjon 28.05.2018 Forfatter May Moursund Verifisert Jonny Brodersen Godkjent Stig Olsen Side 1 av 8 Se lenker til relevante rutinebeskrivelser til
DetaljerGDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse
GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse Bakgrunn General Data Protection Regulation (GDPR) ble formelt vedtatt av EU i april 2016 GDPR trer i kraft
DetaljerKrav til informasjonssikkerhet i nytt personvernregelverk
Krav til informasjonssikkerhet i nytt personvernregelverk 8. desember 2017 Informasjonsikkerhet er et ledelsesansvar Sikkerhetsledelse Klare ansvarsforhold Oversikt over det totale risikobildet og beslutte
DetaljerOM PERSONVERN TRONDHEIM. Mai 2018
OM PERSONVERN TRONDHEIM Mai 2018 HVORFOR ER VI HER? Ny lovgivning Alle snakker om GDPR Rundreise i alle avdelinger Overordnet innføring i regelverket Hva skjer i NHN Hva skjer med Normen OVERSIKT OVER
DetaljerHva er personvern, hvorfor er det viktig. Roller og ansvar Fylkeskommunale PVO. Seminar for skolesektoren 2. april 2019 Ove Skåra - Datatilsynet
Hva er personvern, hvorfor er det viktig. Roller og ansvar Fylkeskommunale PVO. Seminar for skolesektoren 2. april 2019 Ove Skåra - Datatilsynet Rundebordssamtale hos Datatilsynet den 20. mars i år 1.
DetaljerNy personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018
Ny personopplysningslov Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018 Ny lov og forordning GDPR General Data Protection Regulation Personvernforordningen I kraft i EU 25. mai 2018 Ny Personopplysningslov
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling
DetaljerBrudd på personopplysningssikkerheten
Brudd på personopplysningssikkerheten Hva skal vi snakke om? 1 2 3 4 Hva er brudd på personopplysningssikkerheten? Eksempler på avvik meldt til Datatilsynet Prosessen for å behandle avvik Personvernombudets
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerNy personopplysningslov, hva betyr det for skoler og skoleledelse?
Ny personopplysningslov, hva betyr det for skoler og skoleledelse? Agenda Et personvern i endring Nytt personvernregelverk Hva er personvern personopplysninger? Hva vet de om oss? Avviksmeldinger Hvordan
DetaljerNy personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018
Ny personopplysningslov Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018 Det det handler om: Personvernforordningen, fortalen, pkt 1 «Vern av fysiske personer i forbindelse med behandling
DetaljerKontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.
Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning 6. Mars 2018 NARMA Av Åshild M. Revhaug, NTNU GDPR ny personvernforordning Personvernforordningen ( 2016/679)
DetaljerNytt personvernregelverk på 1-2-3
Nytt personvernregelverk på 1-2-3 Hva er en personopplysning? Alt som direkte eller indirekte kan knyttes til en person, for eksempel: navn og telefonnummer observert adferd sporingsdata og IP-adresser
DetaljerNye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,
Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger, 26.10.2017 Personopplysninger hva er det? Fødselsnummer: 090361 46271 IP-adresse: 195.159.103.82 Bilnummer: BL 23456 Bluetooth MAC:
DetaljerVurdering av personvernkonsekvenser (DPIA)
Vurdering av personvernkonsekvenser (DPIA) 05.06.2019 Lovlighet, rettferdighet og åpenhet Formålsbegrensning Art. 5 Riktighet Dataminimering Integritet og konfidensialitet Ansvar Lagringsbegrensning Borgernes
DetaljerHva betyr det for din virksomhet?
Nye personvernregler i 2018 Hva betyr det for din virksomhet? I 2018 får Norge nye regler for personvern, når EUs forordning erstatter dagens regelverk. Alle virksomheter som behandler personopplysninger
DetaljerNytt regelverk (GDPR) og IoT
Nytt regelverk (GDPR) og IoT Art 4 - Samtykke Art 12 Åpenhet og informasjon Art 20 Retten til dataportabilitet Art 25 Innebygd personvern og som standardinnstilling Art 33 og 34 Avvik Art 35 Konsekvensanalyse
DetaljerPolicy for personvern
2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...
DetaljerADDSECURES BEHANDLING AV PERSONOPPLYSNINGER
Avtale innledning ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER For den behandlingen av personopplysninger som AddSecure utfører på vegne av kundene sine, er AddSecure databehandler for kunden. Hvis du er
DetaljerEUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye
EUs personvernforordning - hva kreves? #Oppdatert 2017 19. oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye Innhold 1. Personvernforordningen hva er det EU vil og hva er nytt? 2.
DetaljerGDPR General Data Protection Regulativ
GDPR General Data Protection Regulativ Still gjerne spørsmål underveis... Ingen fullstendig gjennomgang av GDPR... -R-R-R-R!!! GDPR EU: Gjeldende lov fra og med 25. mai Norge (EØS): Skal innkorporeres
DetaljerPersonvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit
Personvern og studieadministrasjon Sadia Zaka Juridisk seniorrådgiver Unit Hva er personvern? Retten til privatliv - Familie, hjem og korrespondanse Retten til å bestemme over egne personopplysninger Vern
DetaljerPersonvernperspektivet og oppbevaring av intervjumateriale
Personvernperspektivet og oppbevaring av intervjumateriale Det 8. norske arkivmøte Maren Magnus Voll Personvernombud Personvern hva er det? Retten til privatliv en menneskerettighet Vi eier opplysninger
DetaljerBehandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold
Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.
DetaljerDatabehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS
Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS Innhold Avtalens hensikt...3 Formål...3 Behandlingsansvarliges plikter...4 Databehandlers plikter...4 Bruk av underleverandør...4 Avtale med
DetaljerInformasjonssikkerhet i forordningen
Informasjonssikkerhet i forordningen 19.10.2016 Agenda Personopplysninger Bakgrunn om forordningen Dagens krav til informasjonssikkerhet Krav til informasjonssikkerhet i nytt regelverk Thinkstock.com 2
DetaljerINFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober
INFORMASJONSSIKKERHET & GDPR Kundeforum 18.oktober Den nye personvernforordningen GDPR (General Data Protection Regulation) Hvem gjelder den for? Lovverket gjelder for alle EU- og EØS-land og alle bransjer
DetaljerPersonvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger
DetaljerCW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?
CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden? 26.04.2018 Hva er en smart verden? «Politikk er kunsten å hindre folk i å blande seg opp i det som angår dem» Paul Valéry
DetaljerNye personvernregler fra mai 2018
Nye personvernregler fra mai 2018 27.04.2017 Datatilsynet Opprettet 1980, lokalisert i Oslo Ca 50 medarbeidere Uavhengig forvaltningsorgan under KMD To roller tilsynsorgan og ombud Regelverk: Personopplysningsloven
DetaljerGDPR Ny personvernforordning
GDPR Ny personvernforordning Sunndalsøra, 1. mars 2018 Vindel morgenseminar Advokat Martin Marsteen Williams 1. Personopplysninger dagens regelverk 2. GDPR/Personvernforordningen 3. Hvordan oppfylle kravene
DetaljerArbeidsgivers personvernplikter
01 Grunnleggende om personvern 02 Informasjon, innsyn og andre rettigheter Arbeidsgivers personvernplikter Frokostseminar 19. juni 2018 Christel Søreide, Ellen Røyneberg og Nora M. Knutrud 03 Utlevering
DetaljerFagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019
Fagseminar og nettverkssamling personvern Quality Hotel Leangkollen 28.-29. mai 2019 Vurdering av personvernkonsekvenser (DPIA) 28.05.2019 The Nagel s Hvilke behandlingsaktiviteter er omfattet av en DPIA?
DetaljerSAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET
Sykehuset Innlandet HF Styremøte 29.08.18 SAK NR 061 2018 INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET Forslag til VEDTAK: Styret
DetaljerGDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm
GDPR og ny personvernlovgivning Advokat (H) Torbjørn Saggau Holm Presentasjon Foreleser Kursets innhold Tidsplan ALTA KOMMUNE 09.11.2018 2 Personvern i endring EU Kommisjonen: «Det europeiske personopplysningsregelverket
DetaljerGDPR. Status og veien videre. Inge V. Bakken. 12. April 2018
GDPR Status og veien videre Inge V. Bakken 12. April 2018 GDPR EUs personvernforordning (GDPR Generell Data Protection Regulations) Om arbeidet så langt ved SSHF. Noen hovedelementer i ny personvernlovgivning
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerNormkonferansen 2017 (GDPR) Juridisk opplæring personvern
Normkonferansen 2017 (GDPR) Juridisk opplæring personvern 30. november 2017 Marit Larsen Haarr Juridisk rådgiver Direktoratet for e-helse Juridisk opplæring oversikt A Hva skjer på personvernområdet nå?
DetaljerPersonvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU
Personvern nye krav etter GDPR Stian F. Kristensen seniorrådgiver, SBU stian.kristensen@nb.no Hva skal vi gjennom? Kort intro til GDPR Hva er nytt? Personvernprinsipper GDPR i bibliotek Viktige begreper
DetaljerNINAs personverndokument
NINAs personverndokument Opprettet: Juni 2018 Sist oppdatert: 1. OM PERSONVERNDOKUMENTET... 1 2. ANSVAR FOR BEHANDLING AV PERSONOPPLYSNINGER HOS OSS... 1 3. GRUNNKRAV FOR BEHANDLING AV PERSONOPPLYSNINGER...
Detaljer1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN
GDPR 1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN FORBEREDE SEG TIL GDPR GRUNNLEGGENDE OM GDPR OG PERSONVERN
DetaljerImplementering av det nye personvernregelverket ved UiB
Implementering av det nye personvernregelverket ved UiB Læringsdag MatNat 31.01.2019 Spørsmål? Hvordan har UiB fulgt opp kravene i det nye personvernregelverket i datasystemene vi bruker Hva bør lokale
DetaljerPersonopplysningsvern med ProFundo som databehandler
Personopplysningsvern med ProFundo som databehandler 09:00 - Registrering 09:15 - Ny personopplysningslov v/ Therese Fevang 10:00 - Personvernombudsrollen v/ Ove Skåra, fagdirektør, Datatilsynet 10:30
DetaljerPerspektiver og planer ved Universitetet i Oslo
Perspektiver og planer ved Universitetet i Oslo Nye personvernregler Maren Magnus Jegersberg Juridisk seniorrådgiver UiO Personvern handler om retten til et privatliv og retten til å bestemme over egne
DetaljerGDPR - viktige prinsipper og rettigheter
GDPR - viktige prinsipper og rettigheter 11.09.2017 Agenda Bakgrunn for nye personvernregler Viktige prinsipper i forordningen Registrertes rettigheter Hva nå? våre forventninger og råd om veien videre
DetaljerRegelverk for IoT. GDPR eprivacy
Regelverk for IoT GDPR eprivacy 2 Tillit Bruken av IoT både fra forbrukernes side og organisasjonene er basert på tillit. Tillit med tanke på sikkerhet, åpenhet rundt bruk av data, tydelig informasjon
DetaljerGDPR Hva, hvordan og når
GDPR Hva, hvordan og når General data protection regulation / EU forordning/direktiv 95/46/EC EØS avtalen pålegger Norge å sikre samsvar med norsk lov Inntas som norsk lov igjennom henvisning i nåværende
DetaljerNye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017
Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017 GDPR kommer! 4 Nye personvernregler - oversikt Bakgrunn / begrunnelse Tilpasning til ny
DetaljerPersonopplysningsloven (GDPR) 5. desember 2017
Personopplysningsloven (GDPR) 5. desember 2017 Advokat/partner Håkon Knudsen Advokatfullmektig Silje Fagerhaug www.svw.no Program 0945-1045 10.45-11.00 11.00-12.00 12.00-13.00 13.00-14.15 14.15-14.45 14.45-15.15
DetaljerPERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING
PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING Frokostseminar 25. oktober 2016 V/advokat Christopher Clausen og advokatfullmektig Helene Bjørgo 1 DAGENS LOVGIVNING Personopplysningsloven Sentrale
DetaljerHva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet
Hva betyr GDPR for forskere Livet etter GDPR Camilla Nervik Seniorrådgiver, Datatilsynet Hva betyr GDPR for forskere? Livet med GDPR Camilla Nervik Seniorrådgiver, Datatilsynet Hva betyr GDPR for forskere?
DetaljerPersonvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere
EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere Personvern GDPR - Hva er nytt og hva må du gjøre? Maryke Silalahi Nuth Primærmedisinsk uke 22.10.2018 Bakgrunn General Data Protection
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerNye personvernregler fra mai 2018
Nye personvernregler fra mai 2018 25. oktober 2017 Personvern - Hva er det Side 2 Side 3 30.10.2017 Side 4 30.10.2017 5 6 7 Viktig nytt i forordningen Materielle krav i regelverket: Innebygd personvern
DetaljerVEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold
VEILEDER GDPR PERSONVERN DEL 2 - personopplysninger utover ansatteforhold Nye krav fra 20. juli 2018 Forordningen ble norsk lov og den gjeldende loven ble erstattet. Det nye lovverket styrker forbrukernes
DetaljerSikkerhet og personvern i skole og klasserom
Sikkerhet og personvern i skole og klasserom NKUL 2017 Tommy Tranvik Harald Torbjørnsen Vi skal: Øke kvaliteten i det pedagogiske arbeidet med digitale ferdigheter hos barn og unge Øke den digitale kompetansen
DetaljerDIN DIGITALE PARTNER
DIN DIGITALE PARTNER GDPR General Data Protection Regulation eprivacy Regulation Forordning fra EU som trer i kraft 25. mai Påvirker alle virksomheter i Norge GDPR Hva gjør CoreTrek med GDPR? GDPR «treffer»
DetaljerBEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS
BEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS Disse rutinene for behandling av personopplysninger («Rutinene») er besluttet av ledelsen i Dekk og Felg AS («Selskapet») og gjelder all behandling av
DetaljerPersonvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund
Personvernveileder for medlemsbedrifter i Norges Bilbransjeforbund (NBF) I denne veilederen gir NBF en oversikt over de viktigste pliktene den enkelte bedrift må overholde når det gjelder personvern. Herunder
DetaljerForum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim
Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse Personvernombud Marianne Seim Personvern Ny personvernlovgivning: Personopplysningsloven av 20. juli 2018. EUs personvernforordning (GDPR)
DetaljerHvilke krav stiller personvernforordningen (GDPR) til din virksomhet? ALSO webinar 15. desember 2017 senioradvokat Jens C. Gjesti
Hvilke krav stiller personvernforordningen (GDPR) til din virksomhet? ALSO webinar 15. desember 2017 senioradvokat Jens C. Gjesti Dagens opplegg I. Hva er personvernforordningen? II. Hvordan går du frem
DetaljerGDPR i et nøtteskall
GDPR i et nøtteskall BM - Bedriftenes møteplass 18. april 2018 www.ksbedrift.no Elen S. Gimnæs advokatfullmektig Nye personvernregler GDPR EUs personvernforordning Ny personopplysningslov trer i kraft
DetaljerAVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel
DetaljerNye personvernregler
Nye personvernregler Rollen som tillitsvalgt Akademikerforeningenes tillitsvalgtkurs Soria Moria 15. og 16. januar 2018 Ellen Røyneberg, Legeforeningen Agenda Grunnleggende om personvern Personvernforordningen
DetaljerGDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016
GDPR The General Data Protection Regulation Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016 Personloven basert på 1995 vs 2016 Eus direktiv Det har skjedd mye innen teknologien på 20 år,
DetaljerUansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018
Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 21.09.2017 Agenda Bakgrunn for nye personvernregler De viktigste endringene fra i dag til 2018 Hva nå? våre forventninger og råd
DetaljerSjekkliste for vurdering av personvernkonsekvenser (DPIA)
Sjekkliste for vurdering av personvernkonsekvenser (DPIA) Vi har utarbeidet en sjekkliste med utgangspunkt i kravene i artikkel 35 nr. 7 i personvernforordningen. Det er imidlertid viktig å gå gjennom
Detaljer