FORSVARLIG DIGITALISERING

Transkript

1 SMARTE ÅLESUND FORSVARLIG DIGITALISERING NFKR region Nordvest NMK 10. mai

2 Smarte nye Ålesund Fem kommunar dannar ny kommune frå 1. januar 2020 Ørskog innb. 132,4 km 2 Haram innb. Sandøy innb. 21,4 km 2 261,1 km 2 (nye) Ålesund innbyggarar 633,5 km 2 (landareal) Ålesund innb. 98,6 km 2 Skodje innb. 120 km 2 (tal frå SSB, 3. kvartal 2018 utan grensejustering av Sandøy)

3 Klipp frå intensjonsavtalen for nye Ålesund Den nye kommunen skal ha ei tydeleg satsing på offentleg innovasjon og utvikling. Den nye kommunen skal vere ein føregangskommune i digitalisering og teknologibasert utvikling av tenestene. 3 Dato

4

5 5 Dato

6 Gjøre byer og bosettinger inkluderende, trygge, motstandsdyktige og bærekraftige 6 Dato

7 7 Dato

8

9

10

11 Litt om digitalisering i nye Ålesund 11 Dato

12 Tenesteyting Utfordringa! Fleire eldre Færre arbeidsføre per pensjonist Tal yrkesaktive(20-66) pr innbyggar over 67 år 80 år ,3 13, ,5 12, ,8 7,2 (SSB medium framskriving

13 Overordna effektmål for digitalisering i nye Ålesund Kvardagen vert enklare til innbyggjarar, brukarar, næringsliv og tilsette ved at vi har tatt i bruk IKT på smartare måtar (Frå intensjonsavtala)

14 Verktøy Sensorar Opne data Store data Sjølvbetjening Automatisering Robotisering Visualisering 3D, VR, AR Dronar Kamera Kunstig intelligens

15 Nytt personvernregelverk 15 Dato

16 Bakgrunn personvernregelverk Personopplysningsloven og personopplysningsforskriften 2000 (2001) Nye norske personvernregler 2018 EUs personverndirektiv 1995 EUs personvernforordning 2016

17

18 18

19 Svært kort om de nye reglene og informasjonssikkerhet Gjelder personopplysninger Oversikt og kontroll Prosessorientert sikkerhetskrav ISMS Forholdsmessighet Risikovurdering K, I, T og robusthet. Avviksrapportering Sikkerhetstiltak er en inngripende behandling Det er ikke ett produkt som løser GDPR (alene)

20 Alle får nye krav til avvikshåndtering Strengere regler enn i dag Melde avvik innen 72 timer Stilles krav til innholdet i avviksmeldingen De berørte skal varsles i klart språk 20

21 Internkontroll Eksplisitt i mange bestemmelser Generell plikt i Art. 24 «Responsibility of the controller» Forholdsmessighet Være i stand til å vise etterlevelse 21

22 Art. 30 Oversikt over behandlingsaktiviteter Kontaktinformasjon til behandlingsansvarlig Formål Kategorier av registrerte og personopplysninger Kategorier av mottakere Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkelig beskyttelse Slettefrister Sikkerhetstiltak Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige 22

23 23 Trusselbilde

24 Er vi utsatt? En kommune Ja Verksemda Ja Svindel, bedriftshemmeligheter, personopplysninger, sabotasje, skape konkurransefordel,. Mørketall Over en fjerdedel av norske virksomheter har opplevd uønskede sikkerhetshendelser det siste året. Virksomhetene forteller at dette fører til produktivitetstap i 4 av 10 tilfeller

25 Er vi utsatt? NSM Helhetlig IKT-Risikobilde Målrettede digitale spionasjeoperasjoner og løsepengevirus vedvarer Komplekse verdikjeder gir redusert kontroll Digitalisering utfordrer risikoaksepten Mangelfullt vedlikehold skaper unødvendige sårbarheter Fortsatt manglende tilgjengelighet på sikkerhetskompetanse Sårbarhetsflaten øker

26 26 Local information security with privacy implications

27 Short version Don t create bad privacy when you work hands-on with information security

28 Tools with negative implications Logging Log analysis MDM DLP DPI Etc. The use can either be balanced, unbalanced, or just plain terrible

29 Way to go Respect the right of privacy at the work place Use your technical strength to choose, configure or even create tools that both respect privacy and give sufficient information security At a technical level and at an organisational level PIA, DPIA, PbD, PETs PIA & PBD is soon to be requirements

30 The future The security specialist without understanding of privacy is as useless as the engine engineer with no understanding of environmental issues Sell security but sell it with privacy safeguards

31 Sikkerhet i skyen

32 Kort om skytjenester Er det egentlig noe nytt? ASP, Fjerndrift, stormaskin, hosting, Rokker ikke ved ansvarslinjene Virksomhet Leverandør Behandlingsansvarlig Databehandler Skytjenester betyr ikke fravær av kontroll (i så fall er det uforenlig med regelverket)

33 Forutsetninger i sakene som handlet om skytjenester 1. Grundige risiko- og sårbarhetsanalyser Virksomheten må akseptere sikkerheten (POL 13, POF 2-4) 2. Databehandleravtale som er i tråd med norsk regelverk (POL 15 og 13, jf POL 2-15) 3. Sikkerhetsrevisjoner Bruk av tredjepart? (POL 13 jf. POF 2-5, samt POL 14) 4. Databehandleravtalen gjelder! Ikke eventuelle drøye standardvilkår

34 Den ansattes bruk av private sky-tjenester Selvfølgelig skal ikke de ansatte bruke sine private sky-løsninger til å behandle personopplysninger Dere har ikke kontroll derfor er det ikke lov Blir opplysningene utlevert? Kan være en stor forskjell på sky-løsninger virksomheten velger å ta i bruk, og løsninger den ansatte selv velger spørsmålet er hvordan dere skal hindre de? Teknisk og administrativt?, Eller bare administrativt?

35

36 36 Dato

37 Digitalisering, tillit og sikkerhet

38 Digitalisering og sikkerheit Utvida bruk av skytjenester Utvida bruk av integrasjonar Utvida bruk av leverandører Raskare og meir komplekst Er det naturleg å endre arbeidet med informasjonssikring?

39 Digitalisering og tillit Tillit er en føresetnad for ei vellykka digitalisering! Tillit frå; Innbyggar Kunde Partner Eigar / Investor

40 Digitalisering og tillit. God informasjonssikring - ein føresetnad for tillit Tillitsskapande tiltak Openheit Synlege tiltak Handsaming av hendingar Kultur og leiing Tilsette som ambassadørar

41 41 Dato

42 Tilgang på data & Dataforvaltning Vi må legge til rette for betre bruk av data Hauste data frå systema våre Hauste data via sensorar - Sensornettverk Etablere sensornettverk Etablere løysningar for å forvalte data på eit anna vis enn i dag Opne data Samarbeid med eksterne om data Og data vil bli brukt i strategisk planlegging, forvaltning og drift

43 Anna nærliggande teknologi Smarte bygg Smarte rør Velfredsteknologi Energi Trafikk Appar Blockchain Kunstig intelligens VR & AR

44 44 Dato Vi gjer det fordi vi må - og fordi vi kan

45 Helge Veum, prosjektkoordinator IKT og digitalisering, nye Ålesund kommune påtroppande stabssjef teknologi og innovasjon, nye Ålesund kommune Dato