Semantikkregisteret for elektronisk samhandling (SERES): I hvilken grad er personvernet en hindring?

Transkript

1 Semantikkregisteret for elektronisk samhandling (SERES): I hvilken grad er personvernet en hindring? NOKIOS onsdag 15. oktober 2008 Ståle Rundberg

2 Direktør Erik Fossum Info-stab Plan- og og utviklingsavdelingen Administrasjonsavdelingen Drift Drift personal og og regnskap Drift Drift bygning og og kontor Utvikling og og politikker ITavdelingen IT IT infrastruktur IT IT løsøre og og IT- opplysning IT IT næring Løsøreavdelingen Stab Stab Løsøreregisteret Ektepaktregisteret Gjeldsordningregisteret Gebyrsentralen Konkursregisteret Jegerregisteret Registeret for for utøvere av av alternativ behandling Akvakulturregisteret Næringsavdelingen Rådgiverstab Sekretariat Regnskapsregisteret Foretaksregisteret Enhetsregisteret EMAS Partiregisteret Opplysnings avdelingen Teknikk Marked Informasjon Nettavgivelse Kurs- og og konsulenttjenester Reservasjonsregisteret Avdeling for for nasjonal e-forvaltning og og infrastruktur Strategi og og planlegging Elektroniske tjenester Samordning og og forenkling 2

3 Oversikt Semantikkregisteret for elektronisk samhandling (SERES): I hvilken grad er personvernet en hindring? Hva er SERES? SERES og informasjonssikkerhet Virksomhetssertifikater som verktøy i elektronisk samhandling 3

4 SERES Semantikkregisteret for elektronisk samhandling er et felles system for likeartet modellering av informasjon, som skal sikre felles forståelse av data for alle som skal utveksle informasjon i og med det offentlige SERES fokuserer på verktøy og metodikk for å understøtte semantisk interoperabilitet/samvirke Ett utgangspunkt er referansemodeller for elektronisk samhandling i og med offentlig forvaltning [1] [1] A.-J. Berre, B. Elvesæter, Referansemodeller for elektronisk samhandling i og med offentlig forvaltning, revidert rapport, per 25. mai 2007, SINTEF, mai

5 Referansemodell for elektronisk samhandling Samvirkende aktører Offentlig Innbygger Næringsliv Referansemodell for interoperabilitet Referansemodell for IT arkitektur Org. Utviklingsmiljø og modeller Mål Prosess Interaksjon & Portal tjenester Prosess og arb.flyt tjenester Funksjonelle tjenester Informasjon og datatjenester Kommunik asjons tjenester & Plattform Administrasjon og Metadata Sikkerhet og Identitet Produkt Organisatorisk Interoperabilitet (prosess) Semantisk Interoperabilitet informasjon om (tjeneste, data) Teknisk Interoperabilitet Org. Mål Prosess Utviklingsmiljø og modeller Produkt Interaksjon & Portal tjenester Prosess og arb.flyt tjenester Funksjonelle tjenester Informasjon og datatjenester Kommunik asjons tjenester & Plattform Administrasjon og Metadata Sikkerhet og Identitet IT arkitektur 5

6 Referansemodell for IT arkitektur Presentasjon og interaksjon Prosess og arb.flyt Funksjonelle tjenester Data (lagring og utveksling 6 Utviklingsmiljø og modeller Administrasjon og Metadata Sikkerhet og Identitet Kommunikasjon & Plattform

7 SERES sin relasjon til referansemodellen Organisatorisk interoperabilitet Presentasjon (Arbeids-) Prosess Automatiserbare Prosesssteg Begrep Mål Organisasjon Produkt Semantisk interoperabilitet, Informasjons Innhold med mening for: Presentasjon Prosess Tjenester Informasjon/ Data Teknisk interoperabilitet (Tekniske standarder) Presentasjon Prosess Tjenester Data Kommunikasjon Adm./ Metadata Sikkerhet Tekn. Sem/ Sem./ org Org. mdl SERES på kort sikt (metadata i forhold til lagring og utveksling av data) SERES og personvernet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. 7

8 Hva er informasjonssikkerhet Informasjonssikkerhet er å ivareta at informasjon kun er tilgjengelig for de som er autorisert til å se den (konfidensialitet) På kort sikt: informasjonen er korrekt (integritet) På kort sikt: IT-systemer og informasjonen i dem er tilgjengelige og brukbare når de behøves (tilgjengelighet) Bidrar SERES, på kort og lang sikt, positivt eller negativt i forhold til personvernet? På kort sikt: 8

9 Teknisk Interoperabilitet Arkitektur områder Presentasjon og Interaksjon Prosess og arbeidsflyt/regel Funksjonelle tjenester Data (lagring/utveksling) Kommunikasjon Administrasjon og Metadata Sikkerhet Teknisk standard HTML, BPEL, WS-Rules WSDL, OWL-S, P2P, Event, Grid, Agents XML, SQL, Dok.format. ODF (Synkron, Asynkron, Event, Streaming,..) TCP/IP, HTTP, ebxml RIM, UDDI, SERES, PKI, HTTPS, Teknologi for semantiske og organisatoriske modeller/spesifikasjoner UML, BPMN, ER, NIAM, Tabeller, EPC, GERAM, 9

10 Virksomhetssertifikater som verktøy i elektronisk samhandling Virksomhetssertifikater har som oppgave å identifisere virksomheter som er registrert i Enhetsregisteret Virksomhetssertifikater er en del av en velegnet infrastruktur for sikker elektronisk kommunikasjon mellom virksomhetene og i en viss grad mot borgerne Infrastrukturen legger til rette for en sikker elektronisk kommunikasjon uten at partene må ha en forutgående dialog med inngåelse av avtale og utlevering og installering av sertifikater 10

11 Bruksmåter for sertifikatinnehaver (virksomheten) Virksomhetssertifikat benyttes av: en automatisert prosess under virksomhetens kontroll (eks. en server) en fysisk person autorisert av virksomheten når flere personer hver for seg skal disponere virksomhetssertifikat, bør hver enkelt disponere eget virksomhetssertifikat 11

12 Virksomhetssertifikater i et sektorperspektiv Integritet og uavviselighet Offentlig forvaltning Konfidensialitet Offentlig forvaltning Autentisering Integritet og uavviselighet Konfidensialitet Integritet og uavviselighet Autentisering Konfidensialitet Privat næring Elektronisk brevhode Borgere Konfidensialitet Autentisering Kryptering og dekryptering Pålogging og videreformidling Integritet og uavviselighet Privat næring Konfidensialitet Integritet og uavviselighet Borgere eforvaltningsforskriften 14. Sertifikat for forvaltningsorgan (virksomhetssertifikat) (1) Forvaltningsorgan som benytter elektronisk signatur kan benytte sertifikat som identifiserer forvaltningsorganet (virksomhetssertifikat). (2) Hvis det skal benyttes sertifikat ved underretning om enkeltvedtak og varsling etter 8 og ved høringer etter 11, bør det benyttes virksomhetssertifikat. 5. Formidling av taushetsbelagte opplysninger og personopplysninger til forvaltningen (4) Ved kryptering av melding til forvaltningen skal forvaltningsorganets krypteringsnøkkel eller krypteringsnøkkel til en nærmere angitt enhet ved forvaltningsorganet benyttes. 12

13 Antall enheter i Enhetsregisteret 1) Hovedenheter Organisasjonsledd Underenheter Antall enheter potensielle brukere av virksomhetssertifikater Offentlig sektor Privat sektor 1) Det er talt opp alle underenheter der det finnes to eller flere pr. hovedenhet/organisasjonsledd 13

14 Utstedere av virksomhetssertifikater pr. 1. kv ZebSign AS selvdeklarert Buypass AS selvdeklarert Commfides Norge AS selvdeklarert sertifikater identifiserer virksomheter BankID samarbeidet ikke selvdeklarert 14

15 Virksomhetssertifikater fordelt på offentlig og privat sektor Hovedenheter Organisasjonsledd Underenheter ,6 promille av enhetene i Enhetsregisteret kan identifiseres med virksomhetssertifikater Offentlig sektor Privat sektor Ukjent

16 SERES, virksomhetssertifikater og informasjonssikkerhet Konfidensialitet Modellering i SERES på prosessnivå og bruk av virksomhetssertifikater sikrer at informasjon kun er tilgjengelig for de som er autorisert til å se den 16

17 Fra start til start og ende kryptering Katalogtjeneste Bruker Etat Bruker Altinn Etat Ordinære data Sensitive Sensitive data data 3DES nøkkel til bruker 3DES Bruker 3DES nøkkel til etat Etat 17

18 SERES, virksomhetssertifikater og informasjonssikkerhet Konfidensialitet På lang sikt: Modellering i SERES på prosessnivå og bruk av virksomhetssertifikater sikrer at informasjon kun er tilgjengelig for de som er autorisert til å se den Integritet På lang sikt: Signering ved hjelp av virksomhetssertifikater sikrer at informasjonen er uendret og mottakere kan verifisere hvem som er avsender Tilgjengelighet På lang sikt: En forutsetning for sikker elektronisk kommunikasjon med høy tilgjengelighet ved hjelp av virksomhetssertifikater, er stor utbredelse av virksomhetssertifikater Bidrar SERES, på lang sikt, positivt eller negativt i forhold til personvernet? 18

19 Tjenestetrappa fra st.meld. nr. 17 ( ), Eit informasjonssamfunn for alle 19 En av forutsetningene for å nå trinn 4 i tjenestetrappa er stor utbredelse av virksomhetssertifikater

20 Diskusjon Semantikkregisteret for elektronisk samhandling (SERES): I hvilken grad er personvernet en hindring? 20