Informasjonssikkerhet - Innføring velferdsteknologi Agder. KiNS-konferanse Stavanger juni 2019

Transkript

1

2 Informasjonssikkerhet - Innføring velferdsteknologi Agder KiNS-konferanse Stavanger juni 2019

3 Nasjonalt mål: Velferdsteknologi er integrert i helse- og omsorgstjenesten i alle landets kommuner innen 2020 NASJONALT VELFERDSTEKNOLOGIPROGRAM Agder (30 kommuner) blir med i sprednings- og implementeringsfasen av det nasjonale velferdsteknologiprogrammet i

4 Utfordringene i kommunen Informasjonssikkerhet HVA ER KRAVENE???? HVORDAN SKAL VI GJØRE DET??? Personvern GDPR Databehandler Sjekkliste fra datatilsynet Behandlingsprotokoll DPIA ROS Personvernforordning Registrertes rettigheter Datatilsynet Veileder fra Datatilsynet Personvernkonsekvensutredning 4

5 Grep: Henvendte oss til Nasjonalt velferdsteknologiprogram Sekretariatet for Normen Bestilling 1 = første kommune som tar i bruk en type teknologi Lindesnes kommune bestilling 1 for digitalt tilsyn kamera Kamera inngripende teknologi Overføringsverdi til andre teknologier Sekr. for Normen veiledning via skypemøter 5

6 Datatilsynets veileder Går igjennom regelverket Veileder for vurdering av om personvernkonsekvenser (DPIA) skal gjennomføres 6

7 Vurdering av behov for DPIA Nr. Vurderingsspørsmål Ja/Nei 1. Er dette et nytt prosjekt eller prosess? Ja 2. Vil prosjektet innebære innsamling av ny informasjon om enkeltpersoner? Nei 3. Vil prosjektet be enkeltpersoner om å gi informasjon om seg selv? Nei 4. Vil informasjon om enkeltpersoner bli delt med organisasjoner eller personer som ikke tidligere har hatt rutinemessig tilgang til informasjonen? Nei 5. Skal du bruke informasjon om enkeltpersoner som er innsamlet for et formål, men der opplysningene for tiden ikke er eller ikke lenger er i bruk (ikke behandles utover lagring)? 6. Innebærer prosjektet at du bruker ny teknologi som kan oppfattes som inngripende for personvernet? For eksempel, bruk av biometri eller ansiktsgjenkjenning? 7. Vil prosjektet resultere i at du tar beslutninger eller gjennomfører tiltak mot enkeltpersoner på måter som kan ha en betydelig innvirkning på dem? 8. Basert på typen informasjon om enkeltpersoner, er det spesielt sannsynlig at bekymringen for eller forventninger til personvernet vil øke? 9. Vil prosjektet kreve at du kontakter personer på måter som de kan finne inngripende? Nei Ja Nei Ja Ja Vi har benyttet vurderingsspørsmålene i veilederen fra Datatilsynet Dersom svaret er "ja" på ett eller flere av spørsmålene kan det bety at det er behov for DPIA. Så langt har vi vurdert at det er behov for DPIA knyttet til: Kameratilsyn Medisindispenser Sengesensor Døralarm GPS Digitalt varslingsanlegg 7

8 Datatilsynets veileder: Behandlingsansvarlig er ansvarlig for at DPIA gjennomføres Hvem skal delta ved gjennomføring av DPIA? Personvernombud Databehandler (leverandør) De registrerte eller deres representant Uavhengige eksperter (it, ikt..) Informasjonssikkerhetsansvarlig 8

9 Lindesnes kommune dannet arbeidsgruppe med anbefalte deltakere 9

10 Datatilsynets sjekkliste Utgangspunkt i kravene i artikkel 35 nr. 7 i personvernforordningen Hva må man tenke på? 10

11 Datatilsynets sjekkliste 4 faser 1. Fase 1: Systematisk beskrivelse av behandlingen 2. Fase 2: Nødvendighet og proporsjonalitet 3. Fase 3: Risiko for de registrertes rettigheter og friheter 4. Fase 4: Ledelsens validering av DPIA 11

12 Forløp / prosess: Oppstart og vurdering Ros analyse Fase 1 Beskrivelse av behandling Fase 2 Nødvendighet og proporsjonalitet Fase 3 Risiko for de registrertes rettigheter og friheter Rapport Fase 4 Ledelsens validering av DPIA Oppdatere og evaluere Veileder fra Datatilsynet Sjekkliste fra Datatilsynet Behandlingsprotokoll Mal for DPIA Mal for Ros analyse 12

13 Oppstart og vurdering Ros analyse Fase 1 Beskrivelse av behandling Fase 2 Nødvendighet og proporsjonalitet Fase 3 Risiko for de registrertes rettigheter og friheter Rapport Fase 4 Ledelsens validering av DPIA Oppdatere og evaluere Veileder fra Datatilsynet Sjekkliste fra Datatilsynet Behandlingsprotokoll Mal for DPIA Mal for Ros analyse Rettslig grunnlag Personvern prinsipper Den registrertes rettigheter og friheter 13

14 Oppstart og vurdering Ros analyse Fase 1 Beskrivelse av behandling Fase 2 Nødvendighet og proporsjonalitet Fase 3 Risiko for de registrertes rettigheter og friheter Rapport Fase 4 Ledelsens validering av DPIA Oppdatere og evaluere Veileder fra Datatilsynet Sjekkliste fra Datatilsynet Behandlingsprotokoll Mal for DPIA Mal for Ros analyse Rettslig grunnlag Personvern prinsipper Den registrertes rettigheter og friheter ROS- analyse med utgangspunkt i den registrertes rettigheter og friheter 14

15 ROS-ANALYSE PERSONVERNPRINSIPPER Rett til ivaretakelse av konfidensialitet -den registrerte har rett til at personopplysningene kun er tilgjengelig for dem som har tjenstlig behov Identifisert risikomoment Sannsynlighet / Konsekvens (uten tiltak) Risikoreduserende tiltak Ny sannsynlighet / konsekvens (restrisiko etter tiltak) 1a Uvedkommende får tilgang til mine personopplysninger. 1 a: Høy sannsynlighet Høy konsekvens Overføringen av mine personopplysninger skjer kryptert innenfor et sikkert nett Kommunen styrer hvem som har tilgang til mitt kamera, det føres logg over hvem som slår det på og hvor lenge det er slått på De som har tilgang til mitt kamera må bruke 2-faktor pålogging De som har tilgang til mitt kamera gjennomgår relevant opplæring Mitt kamera er bare påslått i et begrenset tidsrom (som jeg har avtalt med kommunen) Kommunen registrerer kun relevante og nødvendige personopplysninger om meg i sitt system Kameratjenesten bruker ikke navnet mitt, kun ID-nummer Både DDV og Telenor driver driftsovervåking av tjenesten Det mitt kamera filmer blir ikke lagret, bare streamet 1 b: Lav sannsynlighet Høy konsekvens Sannsynlighet Lav Konsekvens Restrisiko: 1b lav/høy Medium 1b Høy 15

16 DPIA mal Bruker all informasjonen vi får fra de fire fasene til å fylle ut DPIA mal 16

17 Status i Agder: Arbeid pågår Lindesnes kommune presenterte på webinar for arbeidsgruppene i Agder-kommunene 8. april Work-shop for de andre bestilling 1 kommunene 27.5 Arendal Grimstad Kristiansand Birkenes Mandal Bestilling 1 kommunene skal levere utfylt DPIA mal med vedlegg innen Videre prosess for øvrige Agder-kommuner til høsten %A5g%C3%A5r&gs_l=img gws-wiz-img...0i7i30.HRVvWSDk2rw#imgrc=K2wENg2yWsp5IM: 17

18 Takk for meg