Rettslige reguleringer av informasjonssikkerhet. informasjonssikkerhet

Størrelse: px
Begynne med side:

Download "Rettslige reguleringer av informasjonssikkerhet. informasjonssikkerhet"

Transkript

1 Rettslige reguleringer av informasjonssikkerhet Foredrag på programseminaret IKT sikkerhet og sårbarhet IKTSOS/NFR mars Av Are Vegard Haug Forsker / Stipendiat Avdeling for forvaltningsinformatikk (AFIN) Det juridiske fakultet Universitetet i Oslo Struktur i presentasjonen 1. Bakgrunn for prosjektet Rettslige reguleringer av informasjonssikkerhet 2. Studiens problemstilling og hypoteser 3. Tidligere studier (pos/neg sider ved jussen) 4. Et instrumentelt syn på jussen (virkemiddelmodell) 5. Gjennomgangen av lover og regler (fremgangsmåte) 6. Noen funn (så langt) 7. Oppsummering og veien videre Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 3

2 Bakgrunn for prosjektet Rettslige reguleringer av informasjonssikkerhet Oppstart: mai 24 (noe forsinket) Sted: Avdeling for forvaltningsinformatikk (AFIN), Det juridiske fakultet, Universitetet i Oslo. Leder: Professor Dag Wiese Schartum Tidsramme: 1. år: Kartlegging av rettslige reguleringer av informasjonssikkerhet (Are Vegard Haug). Avsluttes våren år:en mer empirisk anlagt forskning omkring den faktiske effekten av lovverket. Stillingen er utlyst, men ikke avklart. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 4 En overordnet analysemodell Stage 1: Studies on how information security is implemented in contemporary laws (Legal dogmatic method) Result: A map of implemented information security in contemporary laws Information security ideals: -Confidentiality -Integrity -Quality -Access Stage 2: Studies on how information security is realized in practices? (Social science method) Stage 3: Studies on the correlation (if any) between the laws and realized security level in (a part of) society? Result: Data representing realized information security in (a part of) society Stage 4: Identify areas in which the law regulation is unsuccessful, over regulated, etc. (possible legal revisions) Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 5

3 Problemstillinger: Det overordnede spørsmålet er i hvilken grad og hvordan norske myndigheter i dag regulerer informasjonssikkerhet ved hjelp av lover og forskrifter. 5 delspørsmål: 1) Hvordan har reglene utviklet seg på feltet og hva er den regulatoriske status? (historisk og grunnleggende aspekter) 2) Hvilke sektorer/bransjer av samfunnet er adressert i reguleringene? (sektoraspekt) 3) Hvilke regulatoriske strategier er representert? (strategisk aspekt) 4) Hvilke kategorier regler inneholder sikkerhetsreglene? (substansielt aspekt) 5) I hvilken grad er reguleringene koordinert? (komparativt aspekt) Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 6 Noen hypoteser Hypotese 1: Antallet lover og forskrifter om informasjonssikkerhet har økt i antall og volum til tross for omfattende forsøk på regelverksforenklinger og saneringer Hypotese 2: Lovene og forskriftene om informasjonssikkerhet er i liten grad koordinert. Det finnes flere eksempler på overlapping som gjør at virksomhetene må forholde seg til flere regelsett om informasjonssikkerhet samtidig. Hypotese 3: Fordi reguleringene ikke er godt koordinert skaper de unødige problemer og kostnader for virksomhetene Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 7

4 Tidligere studier av jussen som virkemiddel Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 8 Noen positive sider Mange forfattere fremhever de rettslige virkemidlene som sentrale for å realisere informasjonssikkerhet (Daler et al 23, Pfleeger og Pfleeger 22, Schartum og Jansen (red) [kommer], m.fl. Rettsreglene gir myndigheten et sterkt (og demokratisk) styringsverktøy for å normere adferd: Avklare ansvars- og myndighetsforhold Skape og instruere tilsynsordninger, kontrollfunksjoner Sikre et minimum av rettsikkerhet, personvern, forsvarlig saksbehandling, mv. Avklare rettskonflikter mellom parter Sanksjonere (konsesjoner, bøter, straff, mv) Osv. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 9

5 Noen negative sider med jussen (kritikk) 1. Lovgivningens fragmenterte karakter: En av de første systematiske rettslige studiene av informasjonssikkerhet mente for eksempel at en fragmentert lovgivning muligens ville lede til spesialisering, som igjen medførte manglende oversikt og hindre prinsipielle debatter om informasjonssikkerhet (Wilhelmsen 1977:15). En rekke studier har opp gjennom årene fokusert på dette (Seip-utvalget (1986), samordningsutvalget (1991/92), Sårbarhetsutvalget (2). [kommer] I de siste årene har debatten skutt fart i og med at vi ser tendenser i retning av økt bruk av standarder (norske, nordiske, europeiske, NATO, mv. ) som del av eller referert til i lovgivningen. Begreper som The New Approach (Rolf Riisnes) og polysentrisk rettsbegrep (Sand 1996, Graver 2) er kanskje sekkebegreper som forsøker å fange opp disse trendene. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 1 Noen negative sider med jussen (kritikk II) 2. Skaper et unødvendig byråkrati og juridiske barrierer. En uklare roller, omfattende og ofte motstridende krav som er vanskelig å etterleve, mange tilsynsorgan, osv. Kritikere som argumenterer i denne retningen vektlegger å legge til rette for bedre koordinering av myndigheter som arbeider med informasjonssikkerhet (Høykom 24, Eriksen ). Andre igjen har fokusert eksplisitt på kostnadseffektivitet (samordningsutvalget 1991, Rambøll Management 24). stivbeint praktisering av reglene om informasjonssikkerhet. Kritikken rettes typisk mot tilsynene, og Datatilsynet har i mange sammenhenger vært skyteskive. Et aktuelt eksempel fremkommer i debatten omkring sammenstilling av data innen kreftforskningen og biobanklovens konsekvenser for forskningen i Norge (Forus og Myklebust 24). Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 11

6 Noen negative sider med jussen (kritikk III) 3. En ensidige fokuset på konfidensialitet: Bygrave, som gikk gjennom sikkerhetslovgivningen i Norden på begynnelsen av 9- tallet, går langt i retning av å hevde at lovgivning var dominert av militær sikkerhetstenkning og at konfidensialitet derved ble fokusert på mer enn (og på bekostning av) integritet og tilgjengelighet (Nordisk ministerråd 1993), Eriksen i Schartum og Jansen (red) [kommer] much of computer security s past success has focused on confidentiality and integrity; full implementation of availability is security s next great challenge (Security in Computing, Pfleeger og Pfleeger 23:12). Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 12 Oversikt over forekomsten av begrepene Informasjonssikkerhet/datasikkerhet, mv Informasjonssikkerhet Konfidensialitet Integritet Tilgjengelighet Kvalitet Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 13

7 Myndighetenes arbeid for å imøtegå kritikken 1. Den første og klart mest dominerende typen tiltak er å sette ned utvalg. Datateknikk og samfunnets sårbarhet (NOU:1986:12), det såkalte Seip- utvalget. Problemstillingene utvalget arbeidet med var inspirert av den svenske sårbarhetskomiteens innstilling (SÅRK), som påviste store utfordringer med informasjonssikkerhet. Konklusjonen i Seip- utredningen var et forslag om å lage tre sett av regler for informasjonssikkerhet: 1) Beskyttelse av persondata, 2) rikets sikkerhet og 3) datatjenester med særlig stor samfunnsmessig betydning. For å gjøre en lang historie kort falt initiativet ikke i god jord og anbefalingene ble ikke direkte fulgt opp. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 14 Myndighetenes arbeid for å imøtegå kritikken Den andre bølgen kom på 9-tallet, og startet på mange måter med Rapport om samordning av tiltakskrav for beskyttelse av informasjon (1991). Arbeidsgruppe bestående av representanter fra SMK, JD, AAD, FIN, Datatilsynet, Forsvarets overkommando og Næringslivets sikkerhetsråd. Arbeidsgruppen var ledet av Eivind Jahren Som i Seip- utvalget ble også her rettet til dels skarp kritikk mot rettsreglene. Det ble denne gangen tatt et initiativ for å lage én lov om sikkerhet som skulle dekke et bredt felt av utfordringer. I oktober 1992 ble et lovforslag sendt på høring (Utkast til lov om informasjonssikring mm.) samt forskrift om informasjonssikkerhet (Utkast til forskrift om beskyttelse av informasjon. Utkastene inkluderte hensynet til rikets sikkerhet, personvern og allmenn informasjonssikkerhet i forvaltningen. Også dette forslaget møtte stor motstand og vi skal ikke her gå inn i alle detaljene. Det er tilstrekkelig her å konstatere at også dette lovforslaget aldri ble godkjent av Stortinget. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 15

8 Myndighetenes arbeid for å imøtegå kritikken Den Heller tredje bølgen kom mot slutten av 199- tallet i form av utredningen Et sårbart samfunn. Utfordringer for sikkerhetsog beredskapsarbeid i samfunnet (NOU 2:24). Det såkalte Sårbarhetsutvalget ledet av Kåre Willoch. Utvalget fikk et omfattende mandat og går gjennom de fleste sektorer i samfunnet, inkl informasjonssikkerhet. En hovedkonklusjon var at de ønsket å allokere ansvaret for sikkerhet til et nytt departement. Altså ble det lansert et organisatorisk svar på utfordringene, i motsetning til de to foregående utredningene. ikke denne anbefalingen fulgt opp. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 16 Myndighetenes arbeid for å imøtegå kritikken (II) Den Lovgivningen andre hovedtypen av tiltak, som delvis følger av at ingen av de foregående samordningsforslagene ble direkte fulgt opp, er en kraftig oppblomstring av lover og forskrifter om informasjonssikkerhet. er gitt innen ulike områder av samfunnet, og i stedet for å få en helhetlig lov har vi i dag et omfattende sett av forskjellige og delvis uensartet lover og forskrifter. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 17

9 Eksempel på gjeldende lover og forskrifter: Departement Navn Paragraf (særlig) Arbeids- og sosialdepartem entet Lov om folketrygd (folketrygdloven) Forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (Internkontrollforskriften) Planplikt for beredskap i trygdeetaten 5 Innholdet i det systematiske helse-, miljø- og sikkerhetsarbeidet. Krav til dokumentasjon Finansdeparte mentet Forskrift om elektronisk tilgang til opplysninger i ligningsforvaltningens registre. Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT) Sikkerhet Forskrift om registrering av juridiske personer m.m. i Enhetsregisteret. Lov om toll (tolloven). 23. Datasikkerhet Kap. VI. Bruk av elektronisk datautveksling m.v: 4-44 Lov om regnskapsplikt m.v. (regnskapsloven 1977). 11. Oppbevaring av bøker og bilag. [tilgjengelighet] Forsvarsdepartementet Fiskerikystdeparteme ntet Forskrift om register for lagring av opplysninger innsamlet ved bruk av satellittsporingsutstyr på fiskefartøy. 1. Sikkerhet, m.fl [Datatilsynet men viser til Personregisterloven!! Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven). Forskrift om sikkerhetsgraderte anskaffelser. Forskrift om informasjonssikkerhet. Forskrift om sikkerhetsadministrasjon Forskrift om personellsikkerhet. Kapittel 4: Informasjonssikkerhet: ( 11-16) 2-7. Gjennomføring av sikkerhetstiltak hos leverandøren Hele forskriften omhandler informasjonssikkerhet Hele forskriften kan være aktuell for informasjonssikkerhet Hele forskriften kan være aktuell for informasjonssikkerhet Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 18 Helse- og omsorgsdepart ementet Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) Forskrift om innsamling og behandling av helseopplysninger i Norsk overvåkingssystem for antibiotikaresistens hos mikrober (NORMregisterforskriften). Forskrift om innsamling og behandling av helseopplysninger i Reseptbasert legemiddelregister (Reseptregisteret). Forskrift om innsamling og behandling av helseopplysninger i Meldingssystem for smittsomme sykdommer og i Tuberkuloseregisteret og om varsling om smittsomme sykdommer (MSIS- og Tuberkuloseregisterforskriften). Forskrift om innsamling og behandling av helseopplysninger i System for vaksinasjonskontroll (SYSVAK-registerforskriften). Forskrift om innsamling og behandling av helseopplysninger i Medisinsk fødselsregister (Medisinsk fødselsregisterforskriften). Forskrift om innsamling og behandling av helseopplysninger i Kreftregisteret (Kreftregisterforskriften). Forskrift om innsamling og behandling av helseopplysninger i Dødsårsaksregisteret (Dødsårsaksregisterforskriften). Forskrift om pasientjournal 16. Sikring av konfidensialitet, integritet, kvalitet og tilgjengelighet + merknader Kapittel 4. Informasjonssikkerhet og internkontroll: 4-1 til merknader Kapittel 4. Taushetsplikt, informasjonssikkerhet og internkontroll: 4-1 til merknader Kapittel 5. Taushetsplikt, informasjonssikkerhet og internkontroll: 5-1 til merknader Kapittel 4. Taushetsplikt, informasjonssikkerhet og internkontroll: 4-1 til merknader Kapittel 4. Taushetsplikt, informasjonssikkerhet og internkontroll: 4-1 til merknader Kapittel 4. Taushetsplikt, informasjonssikkerhet og internkontroll: 4-1 til merknader Kapittel 4. Taushetsplikt, informasjonssikkerhet og internkontroll: 4-1 til merknader 4. (Journalsystem) med merknader Justisdepartem entet Lov om offentlighet i forvaltningen (offentlighetsloven) Lov om behandling av personopplysninger (personopplysningsloven). Forskrift om offentlighet i rettspleien. Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven). 5.1 Unntak for interne dokumenter 13 Informasjonssikkerhet 9 med merknader 15a. (elektronisk kommunikasjon) [ 13d om oppbevaring, mm] Forskrift til lov om Schengen informasjonssystem (SISforskriften). Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Kapittel 7. Internkontroll og informasjonssikkerhet: 7-1 til 7-16 Are Vegard Haug 19

10 Kommunal- og regionaldepartementet Kultur- og kirkedepartementet Lov om opphavsrett til åndsverk m.v. (åndsverkloven). Lov om arkiv Forskrift om offentlige arkiv. 3. kapittel. Opphavsrettens overgang: 39 g) til i), med mer. [bl.a. kopiering] + 54a [jf Bing] 6. Arkivansvaret. [tilgjengelighet] og 7. Rettleiings- og tilsynsansvar. [med flere] Fysisk sikring: 4-9. Vern mot skadeverk, innbrot og ulovlig tilgjenge (flere aktuelle) Landbruks- og matdepartementet Miljødepartementet Samferdselsdepartementet Moderniseringsdepartementet Nærings- og handelsdepartementet Olje- og energidepartementet Statsministerens kontor Forskrift om føringen av grunneiendoms-, adresse- og bygningsregisteret (GAB-registeret) Forskrift om kart og stedfestet informasjon i plan- og byggesaksbehandlingen Forskrift om elektronisk kommunikasjon med og i forvaltningen (eforvaltningsforskriften). Forskrift om behandling av personopplysninger (personopplysningsforskriften). Forskrift om gebyrer for Norsk Akkrediterings tjenester Forskrift om registrering av foretak Lov om elektronisk signatur Forskrift om beredskap i kraftforsyningen Forskrift om Petroleumsregisteret Forskrift om beredskap i kraftforsyningen. Lov om edb-baserte reservasjonssystemer for passasjertransport m.v. Lov om elektronisk kommunikasjon (ekomloven). Forskrift om elektronisk kommunikasjonsnett og elektronisk kommunikasjonstjeneste (ekomforskriften). [se på telekom] Instruks for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter (beskyttelsesinstruksen). Avdeling for forvaltningsinformatikk (AFIN) 5/18/ 1. Informasjonssikkerhet, taushetsplikt, mv. 11. Datasikkerhet med merknader Kapittel 3. Forvaltningsorganets strategi for informasjonssikkerhet: 13. Sikkerhetsmål og sikkerhetsstrategi Kapittel 2. Informasjonssikkerhet: 2-1 til 2-16 og Kapittel 8. Fjernsynsovervåking: 8-2. Sikring av billedopptak 4. Sertifiseringsorgan (om betaling) og 9. Miljøkontrollør i henhold til EMAS- ordningen 1. Datasikkerhet. [flere viktige] Kapittel 6. Informasjonssikkerhet: 6-1 til Datasikkerhet Kapittel 6. Informasjonssikkerhet: [se på uklart: sjekk ny lov [..]] 2-1. Sikkerhet og beredskap [mv] Kapittel 8. Sikkerhet og beredskap: 8-1 til og 12 (særlig) Are Vegard Haug 2 Myndighetenes arbeid for å imøtegå kritikken (III) Et tredje settet av tiltak er en overordnet strategi for informasjonssikkerhet samt koordineringsutvalget for informasjonssikkerhet (KIS). Mål: 1) Samfunnskritisk infrastruktur ( ) 2) Det skal bygges en sikkerhetskultur ( ) 3) Norge skal ha en allment tilgjengelig samfunnsinfrastruktur for elektronisk signatur, autentisering av kommunikasjonspartere samt sikker overføring av sensitiv informasjon. 4) Regelverk som berører informasjonssikkerhet skal håndheves og videreutvikles på en samordnet, og for brukere enkel og oversiktlig måte. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 21

11 Et instrumentelt syn på jussen Med problemstillingene, hypotesene, tidligere studier og MODs strategi som utgangspunkt, arbeidet vi tidlig med å kartlegge tre forhold: 1) Hva slags virkemidler finnes for å sikre informasjon? 2) Hvordan har jussen tatt i bruk disse ulike virkemidlene? Er det særlige regulatoriske strategier som er dominerende? Hvor? Hvem? Osv. 3) Hva slags metode skal vi anvende for å finne dette ut (litteraturstudier, rettsdogmatisk metode, intervju, osv) Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 22 Virkemiddelmodell X2: Fysiske og tekniske virkemidler X3: Ledelse og andre roller X3: Org. virkemidler X1: Normative virkemidler Indirekte effekt Direkte effekt (X1) Y1: Realisert informasjonssikkerhet = empirisk studie X4: Økonomiske virkemidler Direkte effekt (X2- X5) X5: Pedagogiske virkemidler Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 23

12 X 1: Normative virkemidler To hovedtyper normer: Nasjonale og internasjonale lover og regler og standarder. Vårt fokus på lover og regler For hvert regelverk forsøker jeg å avklare det jeg har valgt å betegne rettsreglenes regulatorisk strategi: Med regulatorisk strategi menes her hva slags type regulatorisk tilnærming et sett av regler kan sies å representere. Tre komponenter eller delstrategier inngår i begrepet og er tillagt særskilt vekt; hovedregler, lovtekniske fremgangsmåter samt valg av virkemiddel Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 24 For hver lov og forskrift letes det etter følgende Virkeområde (saklig og geografisk) Hovedregler Sikkerhetsbehov (mål) rettskilden har (rikets sikkerhet, personvern, effektivitet, datakriminalitet) Kompetanse (delegasjoner, tilsyn, instruksjoner, krav ved inngåelse av avtaler, mv.). Sanksjoner (pålegg om og regler for konsesjons, erstatning, bøter, fengsel, mv). Regulatorisk strategi Lovteknisk fremgangsmåte Lovstruktur (generell, detaljert, gjenbruk, standarder) Samordningsteknikk, (virketid, organisatoriske forhold, tematisk, opplysningstype virkemiddel, etc.) Terminologi og språkføring (rettspedagogisk teknikk; innføring av nye termer og definisjoner, mv) Fysisk og tekniske virkemidler (X2) Ledelse og andre roller (X3) Virkemiddelbruk Organisatoriske virkemidler (X4) Økonomiske virkemidler (X5) Pedagogiske virkemidler (X6) Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 25

13 X 2: Fysiske og tekniske virkemidler Med fysiske virkemidler siktes det til særlige tiltak rettet mot overvåkning av bygninger, avstengning eller begrensing av tilgang til visse områder, etasjer eller beskyttelse av enkelte rom. Med tekniske hjelpemidler siktes det til kryptering, forskjellige former og lag av brannmurer; Virtual Private Network (VPN); pakkefiltrering og proxytjenere, digitale signaturer, antivirusprogrammer, etc.(daler et al 23:219-23). I denne kategorien finnes også mer fokuserte satsninger som for eksempel på personvernområdet hvor det i dag pågår flere spennende eksperimenter med såkalt personverøkende teknologi (Privacy Enhancing Technology- PETs). Teknologien brukes her for å sikre medbestemmelse over informasjon, transparens, forståelighet samt forsøke å minimalisere bruken av personopplysninger ved hjelp av anonymiseringsverktøy, pseudonymer, osv. (Olsen ). Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 26 X 3: Ledelsen og andre roller Avklaringer av virksomheten ledelse og andre sentrale roller i arbeidet med informasjonssikkerhet, altså særlig hvem spørsmålet. personelle regler. Det vil si hvem som har myndighet og plikter til å opptre (Boe 1996:43). Et eksempel er behandlingsansvarlig slik personopplysningsloven definerer det, et annet er hvem som skal inngå i sikkerhetsadministrasjon slik sikkerhetsloven beskriver det. Fokus: merkelapper, antall roller, og mulige rollekonflikter og uklare ansvarsforhold, osv. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 27

14 X 4: Organisatoriske virkemidler Med organisatoriske virkemidler siktes det til tiltak som omhandler organiseringen av arbeidet med informasjonssikkerhet, altså særlig hva og hvordan spørsmålet: Sikkerhetsstrategi Risikovurdering Internkontroll Dokumentasjon Graderinger Taushetsplikt Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 28 X 5: Økonomiske virkemidler Med økonomiske virkemidler siktes det til ulike tiltak som brukes for å oppnå noe ved å gi en økonomisk støtte, tilskudd, fordel eller ulempe, for eksempel for å oppnå et ønsket sikkerhetsnivå, eller for å være pilotbruker på et område for å vinne erfaring, eller for å få utbredelse av sikkerhetssertifisering av produkter og av organisasjoner (NOU 1986:12, Eriksen, m.fl.) Budsjettering/planplikt Kompensasjoner Sponsing Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 29

15 X 6: Pedagogiske virkemidler Med pedagogiske virkemidler siktes det til ulike tiltak som har som formål å bevisstgjøre, informere, motivere og trene brukere på informasjonssikkerhet. Kurs, opplæring og lignende som virksomhetene skal iverksette for å sikre informasjon. Herunder også direkte pålegg om øvelser for beredskap til krig, krise og krig, men også testing av katastrofeplaner, krisehåndtering, etc. Opplysningsvirksomhet, veiledninger og direkte informasjonsplikt. Det hjelper som kjent ikke å lage en god sikkerhetsstandard, forskrift om elektronisk kommunikasjon med og i forvaltningen, sertifiseringsordning, sikkerhetslov osv, hvis en ikke i tillegg formidler informasjon om det, og helst tilbyr pedagogisk tilrettelagt materiale, som hjelp til å oppnå den ønskede effekten (Eriksen i Schartum og Jansen (red) ). Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 3 Eksemper: : Buddy Buddy (Netcom( Netcom) Lokaliseringsteknologi: (+) utrykningskjøretøy, kriminalitetsbekjempelse, mm (-) overvåkning, frihet ( den sjalu ektemannen ) Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 31

16 Eksempel: innsynsrett = skinnrettsikkerhet? Som del av utviklingen av et undervisningsopplegg for ungdomsskolen om personvern, ble 18 (retten til innsyn) testet ut. Totalt ble det sendt ut 93 begjæringer om innsyn. Herav 73 fra elevene ved Brunla ungdomsskole og 2 fra Universitetet i Oslo. Mottakere: Domstoler, mv. Statlige tilsyn Kommuner Politiske partier Butikkjeder e-handelsportaler Nettsteder for barn og ungdom TV- selskaper Avis/Nettaviser IT-selskaper Mobiltelefoni Internettleverandører Kredittopplysningsforetak Helsenettsteder Flyselskaper Bank og forsikring. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 32 Hvor mange svarte? Antall sendte Antall svar totalt Andel i prosent % Det ble mottatt 39 svar innen fristen på 3 dager Elevene mottok 32 av 73 (44 %) og Universitetet i Oslo har mottatt 7 av 2 (35 %). Samlet utgjør dette 42 % av det totalt utsendte antall innsynsbegjæringer (N=93) Spissformulert kan vi si at om lag 6 av 1 virksomheter bryter personopplysningsloven. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 33

17 Andre eksempler: Interessen i offentlighet realisert gjennom elektroniske postjournaler versus personvern (eks Lillesand kommune) Hensynet til effektiv kreftforskning versus hensynet til personvern (biobankloven) Osv. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 34 Noen funn (tentative) (I) 1. Antall regler er fremdeles omfattende og mange virksomheter må forholde seg til flere regler om informasjonssikkerhet samtidig. Men dette kompenseres delvis for ved at de enkelte regulatoriske tiltakene er nokså likeartet. 2. Utfordringen for brukerne av lovene og forskriftene er å se sammenhengene mellom rettsreglene. På den måten unngår brukeren at det utvikles flere isolerte strategier for å håndtere informasjonssikkerhet i en og samme virksomhet. 3. Informasjonssikkerhet et mangehodet troll; konfidensialitet, integritet, tilgjengelighet mest vanlig definisjon. Men også kvalitet, autentisering, mv. Mange lover og regler (særlig etter 1999/2) inkluderer slike begreper, men få forklarer dem. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 35

18 Noen funn (II) 4. Dessuten ser det ut til at begrepene konfidensialitet, integritet og tilgjengelighet, har befestet seg i de aller fleste nye sentrale norske regelverk som omhandler informasjonssikkerhet. lovbestemmelsene om informasjonssikkerhet representerer med andre ord en oppgradering av den formelle plasseringen av reguleringen (i lov) og en større bredde i reguleringen (Schartum ). 5. Mer overordnet er det fire hovedtyper regulatoriske strategier: generelle, detaljerte, gjenbruk, og polysentriske (standarder, mv). De fleste rettsreglene er nokså generelle (målangivelser, uten forklaringer på hvordan informasjonssikkerhet skal gjennomføres i praksis) 6. Fire hensyn som søkes ivaretatt; Effektivitet, rikets sikkerhet, datakriminalitet og personvern. Fokuset på konfidensialitet og rikets sikkerhet ikke lenger det dominerende hensynet. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 36 Noen funn (II) 7. Antallet og omfanget av pålegg i de rettslige reguleringene er fremdeles svært omfattende : sikkerhetsstrategi, dokumentasjonskrav, internkontroll, risikoanalyser, sertifiseringer, graderinger, osv. 8. Disse blir lett administrative byrder, og det er derfor særlig grunn til å se nærmere på i hvilken grad de enkelte konkrete tiltakene faktisk bidrar til å realisere informasjonssikkerhet (empirisk studie). 9. Av mer lovteknisk art er det forunderlig å se den variasjon som finnes; innføring av begreper (mange), struktur, språkbruk, kommentarbruk, mm. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 37

19 1. Valg av regulatorisk strategi og terminologi ser ut til å være assosiert med både sektor og reglenes samfunnsformål (behov). a) Hovedinndeling etter funksjonelle kriterier: Organisering for standardisering av sikkerhetstiltak innen en gitt sektor Finans Helse/sosial Justis/beredskap Samferdsel Forsvar/mil. - region A - region B - region C - region D - region E - region A - region B - region C - region D - region E - region A - region B - region C - region D - region E - region A - region B - region C - region D - region E - region A - region B - region C - region D - region E b) Hovedinndeling etter geografiske kriterier: Organisering for regional/lokal variasjon av sikkerhetstiltak [F.EKS KOMMUNER] Region A Region B Region C Region D Region D -Finans - Helse/sosial - Justis/beredsk. -Samferdsel -Forsvar -Finans - Helse/sosial - Justis/beredsk. -Samferdsel -Forsvar -Finans - Helse/sosial - Justis/beredsk. -Samferdsel -Forsvar -Finans - Helse/sosial - Justis/beredsk. -Samferdsel -Forsvar -Finans - Helse/sosial - Justis/beredsk. -Samferdsel -Forsvar Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 38 Oppsummering og veien videre Lovene og reglene vil imidlertid alltid fungere i en kontekst hvor andre hensyn spiller inn. Vi har sett på noen slike hensyn (effektivitet, bekjempelse av datakriminalitet, sosiale hensyn, mv.) Ved å være oppmerksom på slike interessemotsetninger er det letter (og mer fruktbart) å arbeide med rettsregler om informasjonssikkerhet. For eksempel hensynet til personvern vs hensynet til forskning eller effektivitet. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 39

20 Veien videre (så langt) Tre hovedstrategier 1. Forbedring og forenkling av de lover og regler i allerede har. Særlig gjelder det å finne noen lunde like regler, begreper samt å gjøre det klart for virksomheter sammenhengene mellom de forskjellige reglene. Jeg tror ikke en enhetlig lov om informasjonssikkerhet er veien å gå. Informasjonssikkerhet gjelder alle og må reguleres innenfor sine lover Dette krever god samordning fra lovgivers side. En mulig strategi er å gjenbruke for eksempel sikkerhetsbestemmelsene i personopplysningsloven med forskrifter. Men da må slike mønsterlover kvalitetssikres. 2. Fremskaffe mer og bedre empiri gjennom evaluering av eksisterende lover og regler (virker lovene slik de er tiltenkt? Hvilke virkemidler bør brukes?) 3. Videreutvikle den overordnet strategien og koordineringen av informasjonssikkerhet. Svært positivt med sikkerhetsstrategien og koordineringsutvalget for sikkerhet (KIS) i den forbindelse. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 4 Veien videre Stage 1: Studies on how information security is implemented in contemporary laws (Legal dogmatic method) Result: A map of implemented information security in contemporary laws Information security ideals: -Confidentiality -Integrity -Quality -Access Stage 2: Studies on how information security is realized in practices? (Social science method) Stage 3: Studies on the correlation (if any) between the laws and realized security level in (a part of) society? Result: Data representing realized information security in (a part of) society Stage 4: Identify areas in which the law regulation is unsuccessful, over regulated, etc. (possible legal revisions) Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 41

21 The Blind men and the Elephant It was six men of Indostan To learn much inclined, Who went to see the Elephant (Though all of them were blind) That each by observation Might satisfy his mind The Third approached the animal, And happening to take The squirming trunk with his hands, Thus boldly up and spake: I see, quoth he, the Elephant Is very like a snake! The sixth no sooner had begun About the beast to grope, Than, seizing on the swinging tail That fell within his scoop, I see quoth he, the Elephant is very like a rope! The First approached the elephant, And happening to fall Against his broad and sturdy side, At once began to brawl: God bless me but the elephant Is very like a wall The second, feeling of the tusk, Cried, Ho! What have we here So very round and smooth and sharp? To me tis mighty clear This wonder of an Elephant Is very like a spear The Fourth reached out an eager hand, And felt around the knee, What most this wondrous beast is like Is mighty plain, quoth he; Tis clear enough the Elephant Is very like a tree! The fifth, who chanced to touch the ear, Said: E en the blindest man Can tell what this resembles most; Deny the fact who can, This marvel of an Elephant Is very like a fan! And so these men of Indostan Disputed loud and long, Each of his own opinion Exceeding stiff and strong, Though each was partly in the right, And all were in the wrong! Moral So oft in theologic wars, The disputants, I ween, Rail on in utter ignorance Of what each other mean, And prate about an elephant Not one of them has see Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Godfrey Saxe ( ). Are Vegard Haug 42 Moral Det finnes mange elefanter her informasjonssikkerhet Det finnes mange blind men of Indostan : Sivilingeniører, statistikere/matematikere, økonomer, jurister, medisinere, statsvitere, sosiologer, psykologer, antropologer, filosofer, historikere, geografer og forskere med militærfaglig bakgrunn (NOU 2:24:211) Budskapet er enkelt: Vi mennesker er ofte the blind people som strever etter å se the entire beast. Likevel er det ingen av oss som fullt ut evner å se helheten. Vi holder fast på bruddstykker av virkeligheten, og tolker og forstår verden med det som utgangspunkt. Informasjonssikkerhet er definitivt et multidimensjonalt tema og et tverrvitenskapelig forskningsfelt Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 43

22 Rapporten fra fase I i arbeidet vil være klar i løpet av våren. Oppstart fase II ca mai Takk for oppmerksomheten! Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 44

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

ISO27001 som del av forvaltningen

ISO27001 som del av forvaltningen ISO27001 som del av forvaltningen Froskostseminar 8. april 2011 Geir Arild Engh-Hellesvik KPMG Advisory Presentasjon KPMG Informasjonssikkerhet Krav til informasjonssikkerhet i lovverket ISO27001 Hvor

Detaljer

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.

Detaljer

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17.

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17. Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17. september 2007) Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk,

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008 v/rådgiver Jim-Arne Hansen IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008 Disposisjon: Grunnleggende personvernprinsipper Informasjonssikkerhet Papirbasert - / elektronisk arkiv 2 Viktige personvernprinsipper

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

Helseforskningsrett med fokus på personvern

Helseforskningsrett med fokus på personvern Helseforskningsrett med fokus på personvern Sverre Engelschiøn Helseforskningsrett 2009 Sverre Engelschiøn 1 Tema Nærmere om personvern Hva menes med informasjonssikkerhet? Helseregistre og forskning Helseforskningsrett

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

[start kap] Innholdsoversikt

[start kap] Innholdsoversikt personvern BOOK.book Page 7 Thursday, December 23, 2010 1:32 PM [start kap] Innholdsoversikt 1 Innledning... 17 2 Personvernteori... 21 3 Internasjonalt personopplysningsvern... 81 4 Personopplysningsloven...

Detaljer

Gode helseregistre bedre helse

Gode helseregistre bedre helse Gode helseregistre bedre helse Nasjonalt råd for kvalitet og prioritering 2010-12-06 Forprosjektet Nasjonalt helseregisterprosjekt Camilla Stoltenberg Assisterende direktør Folkehelseinstituttet Innhold

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

Rettslige krav til informasjonssikkerhet i offentlig forvaltning Rettslige krav til informasjonssikkerhet i offentlig forvaltning Advokat dr. juris Rolf Riisnæs WIKBORG REIN rri@wr.no DRI1010 11. mars 2010 1 Informasjonssikkerhet Hvem, hva og hvorfor Det velkjente og

Detaljer

1.6 Sentrale lover og forskrifter

1.6 Sentrale lover og forskrifter 1.6 Sentrale lover og forskrifter Innledning For Midt-Telemarkkommunenes informasjonssikkerhet gjelder en rekke lover og bestemmelser som blant annet tar sikte på å hindre at noen uten lovlig hjemmel får

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Hovedkonklusjon informasjonssikkerhet tillegges større vekt enn tidligere, både kvalitativt og kvantitativt Agenda gjennomgå hovedreglene

Detaljer

Risikogrupper og personvernhensyn hvor viktig er personvern når det gjelder sikkerhet, liv og helse?

Risikogrupper og personvernhensyn hvor viktig er personvern når det gjelder sikkerhet, liv og helse? Risikogrupper og personvernhensyn hvor viktig er personvern når det gjelder sikkerhet, liv og helse? Foredrag på Brannvernkonferansen 7. mai 2012 Bjørn Erik Thon direktør Datatilsynet 15.06.2012 Side 1

Detaljer

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som Fornyings- administrasjons- og kirkedepartementet Postboks 8004 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 13/1249 13/00654-2/HHU 20. september 2013 Dato Høring - Endringer i eforvaltningsforskriften

Detaljer

Det juridiske rammeverket for helseregistre

Det juridiske rammeverket for helseregistre Helse- og omsorgsdepartementet Det juridiske rammeverket for helseregistre Sverre Engelschiøn, fagdirektør Oslo 10. mars 2016 Ny helseregisterlov Erstatter helseregisterloven fra 2001 Prop. 72 L (2013-2014)

Detaljer

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning. Policydokument nr. 3/2011 Etablering og bruk av helseregistre Legeforeningen arbeider for å bedre kvaliteten i helsetjenesten og for en helsetjeneste som er mest mulig lik for alle. Bruk av valide og kvalitetssikrede

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Ny personvernforordning Hvordan reguleres informasjonssikkerhet Ny personvernforordning Hvordan reguleres informasjonssikkerhet Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 41 medarbeidere Faggruppe 1 (justis,

Detaljer

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

Rettslige krav til informasjonssikkerhet i offentlig forvaltning Rettslige krav til informasjonssikkerhet i offentlig forvaltning Advokat dr. juris Rolf Riisnæs Wikborg, Rein & Co rri@wr.no DRI1010 13. mars 2008 Informasjonssikkerhet Hvem, hva og hvorfor Det velkjente

Detaljer

Modernisering av helseregistre - Utfordringer og løsninger. Kari Kapstad Teknisk prosjektleder Nasjonalt folkehelseinstitutt

Modernisering av helseregistre - Utfordringer og løsninger. Kari Kapstad Teknisk prosjektleder Nasjonalt folkehelseinstitutt Modernisering av helseregistre - Utfordringer og løsninger Kari Kapstad Teknisk prosjektleder Nasjonalt folkehelseinstitutt Innhold 1. Hvorfor helseregistre? 2. Hvorfor modernisere helseregistre? 3. Utfordringer,

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Regelverk. Endringer i regelverk for digital forvaltning

Regelverk. Endringer i regelverk for digital forvaltning Regelverk Endringer i regelverk for digital forvaltning Offentlig sektors dataforum Oslo 28. november 2013 Nina Fladsrud Sikkerhet, robusthet og personvern rege Sikkerhet, robusthet og personvern Digital

Detaljer

Personopplysningslovens formål, grunnbegreper og virkeområde. Dag Wiese Schartum, AFIN

Personopplysningslovens formål, grunnbegreper og virkeområde. Dag Wiese Schartum, AFIN Personopplysningslovens formål, grunnbegreper og virkeområde Dag Wiese Schartum, AFIN Personopplysningslovens formål l (1) En innledende presisering: Formål er relevant på to måter når pol skal forstås:

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften,

Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften, Page 1 of 11 HJEM RESSURSER TJENESTER HJELP LENKER OM LOVDATA KONTAKT OSS Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften,

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN Norm for informasjonssikkerhet Helse- og omsorgstjenesten Tor Ottersen HVA - HVORFOR - HVORDAN Hva er Normen Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14. Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...

Detaljer

Anbefalinger om åpenhet rundt IKT-hendelser

Anbefalinger om åpenhet rundt IKT-hendelser Vår saksbehandler Vår dato Vår referanse 2015-05-18 A03 - S:14/04372-24 Antall vedlegg Side 1 1 av 5 Anbefalinger om åpenhet rundt IKT-hendelser Innledning Norske virksomheter opplever stadig flere dataangrep.

Detaljer

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden Krav til informasjonssikkerhet DRI1010 forelesning 15.03.2012 Jon Berge Holden jobe@holden.no Sikkerhet - hva skal beskyttes? Informasjonssikkerhet (def. ISO 27001, 3.4) Bevare konfidensialitet, integritet

Detaljer

Lover: struktur, anatomi og språk. Dag Wiese Schartum

Lover: struktur, anatomi og språk. Dag Wiese Schartum Lover: struktur, anatomi og språk Dag Wiese Schartum Hva ønsker vi å oppnå med lovgivningen? Lover som effektivt styringsverktøy (eller bare som politisk signal?) Lover for å gjennomføre internasjonale

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Personvern i arbeidsforhold

Personvern i arbeidsforhold Christian Kjølaas Personvern i arbeidsforhold UNIVERSITETSFORLAGET Innholdsoversikt Forord 11 Sammendrag av bokens kapitler 13 1 Personvernbegrepet 21 2 Personopplysningsloven og -forskriften 43 3 Sentrale

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Styresak 46-2015/3 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013. Dokument

Detaljer

I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven

I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven INTERNT BAKGRUNNSNOTAT I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven Bakgrunn En rekke forskningsprosjekter ved fakultetet håndterer

Detaljer

Tjenester i skyen hva må vi tenke på?

Tjenester i skyen hva må vi tenke på? Tjenester i skyen hva må vi tenke på? Renate Thoreid, senioringeniør Datatilsynet, Tilsyn og sikkerhetsavdeling Side 1 Visjon: Datatilsynet i front for retten til selvbestemmelse, integritet og verdighet

Detaljer

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet Velferdsteknologi og personvern Camilla Nervik, Datatilsynet Datatilsynet http://itpro.no/artikkel/20499/vipps-deler-din-kundeinformasjon-medfacebook/ http://e24.no/digital/undlien-vil-skape-medisiner-tilpasset-dine-gener-uioprofessor-vil-digitalisere-genene-dine/23608168

Detaljer

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. mars 2015 Utgangspunktet Det er Datatilsynets utgangspunkt at det er mulig

Detaljer

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring Retningslinje for Organisatorisk læring innen 1. Hensikt Som infrastrukturforvalter har Jernbaneverket ansvaret for sikker utforming og sikker drift av infrastrukturen, herunder etablering og implementering

Detaljer

Helseforskningsloven - lovgivers intensjoner

Helseforskningsloven - lovgivers intensjoner Helseforskningsloven - lovgivers intensjoner Sverre Engelschiøn Oslo, 30. mars 2011 Intensjonen Fremme god og etisk forsvarlig medisinsk og helsefaglig forskning Ivareta hensynet til forskningsdeltakere

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

MSIS i dag og i fremtiden

MSIS i dag og i fremtiden MSIS i dag og i fremtiden Tone Bruun Avdeling for infeksjonsovervåking Folkehelseinstituttet Smitteverndagene 2015 Agenda Helseregistre Smittevernregistre Planer for samordning av smittevernregistrene

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit COMPLIANCE GENERAL DATA PROTECTION REGULATION Johnny Berntsen ISO/IEC 27001 Master Knowit Hva er GRDP? GDPR står for General Data Protection Regulation og er erstattningen og oppdatering av EU s 20 år

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Instruks om utredning av statlige tiltak (utredningsinstruksen)

Instruks om utredning av statlige tiltak (utredningsinstruksen) Instruks om utredning av statlige tiltak (utredningsinstruksen) Fastsatt ved kongelig resolusjon 19. februar 2016 med hjemmel i instruksjonsmyndigheten. Fremmet av Kommunal- og moderniseringsdepartementet.

Detaljer

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS, Bak skyen: Behandling av personopplysninger Tommy Tranvik, Senter for rettsinformatikk NOIKOS, 28.10.10 Utfordringer for sky kunder 1. Manglende styring og kontroll 2. Etterleve lover og regler 3. Endring

Detaljer

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no Rettslig regulering av helseregistre Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no Innhold Mål og strategier Verdier Holdninger Vurderingstemaer 20.03.2014 Side 2 Datatilsynets strategi i

Detaljer

Høring - Hindre for digital verdiskapning - Rapport fra utvalg som har vurdert muligheter og hindringer for digital verdiskapning

Høring - Hindre for digital verdiskapning - Rapport fra utvalg som har vurdert muligheter og hindringer for digital verdiskapning Fornyings-, administrasjons- og kirkedepartementet 0030 OSLO Deres ref Vår ref Dato 13/142 13/258-02.05.2013 Høring - Hindre for digital verdiskapning - Rapport fra utvalg som har vurdert muligheter og

Detaljer

Interorganisatoriske IKT-systemer og tverrsektorielt samarbeid Organisatoriske og rettslige barriere

Interorganisatoriske IKT-systemer og tverrsektorielt samarbeid Organisatoriske og rettslige barriere Forskning for innovasjon innen eforvaltning 4 mai 2007 Interorganisatoriske IKT-systemer og tverrsektorielt samarbeid Organisatoriske og rettslige barriere Innledning bakgrunn for forprosjektet Problemstillingene

Detaljer

Vår ref: 09/4568 /TLB

Vår ref: 09/4568 /TLB // Arbeids- og inkluderingsdepartementet Postboks 8019 Dep 0030 Oslo ARBEIDS OG tnkluder1nusuepammentet MOTTATT 0'4JUN2009 Deres ret 200901113/MCH Vår ref: 09/4568 /TLB Vår dato: 29.05.2009 Høringskommentarer

Detaljer

Delavtale mellom Sørlandets sykehus HF og Lund kommune

Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale nr. 9 Samarbeid om IKT-løsninger lokalt Enighet om hvilke plikter og ansvar som partene er ansvarlig for, knyttet til innføring og forvaltning

Detaljer

Forslag til nye regler om elektronisk kommunikasjon med og i offentlig forvaltning

Forslag til nye regler om elektronisk kommunikasjon med og i offentlig forvaltning Forslag til nye regler om elektronisk kommunikasjon med og i offentlig forvaltning Seminar Digitale postkasser i offentlig forvaltning Avdeling for forvaltningsinformatikk (AFIN) Oslo 12. september 2013

Detaljer

Skytjenester Status for Riksarkivets arbeid. Ta styringen! Norsk Arkivråds seminar 16. - 17. mars 2015 i Trondheim. Olav Sataslåtten Riksarkivet

Skytjenester Status for Riksarkivets arbeid. Ta styringen! Norsk Arkivråds seminar 16. - 17. mars 2015 i Trondheim. Olav Sataslåtten Riksarkivet Skytjenester Status for Riksarkivets arbeid Ta styringen! Norsk Arkivråds seminar 16. - 17. mars 2015 i Trondheim Olav Sataslåtten Riksarkivet 1 Utfordringene Arkivloven pålegger offentlige organer å ha

Detaljer

Bedre personvern i skole og barnehage

Bedre personvern i skole og barnehage Bedre personvern i skole og barnehage NOKIOS, 28. oktober 2014 Eirin Oda Lauvset, seniorrådgiver i Datatilsynet Martha Eike, senioringeniør i Datatilsynet Datatilsynet Uavhengig forvaltningsorgan Tilsyn

Detaljer

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18. Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.september 2012 Om Datatilsynet Et forvaltningsorgan med stor grad av faglig uavhengighet

Detaljer

12/2724 12/00953-2/JSK 7.

12/2724 12/00953-2/JSK 7. Fornyings- administrasjons- og kirkedepartementet Postboks 8004 Dep 0030 OSLO 12/2724 12/00953-2/JSK 7. januar 2012 Høringsuttalelse - Digital kommunikasjon som hovedregel - Endringer i Forvaltningsloven

Detaljer

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Bruk av skytjenester og sosiale medier i skolen

Bruk av skytjenester og sosiale medier i skolen Bruk av skytjenester og sosiale medier i skolen 13.11.2015 Agenda Hva er personvern? Datatilsynets skole- og barnehageprosjekt Skytjenester Sosiale medier Thinkstock.com 2 Hvem har ansvaret? «Behandlingsansvarlig»

Detaljer

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September 2015. Kari Gimmingsrud. www.haavind.no

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September 2015. Kari Gimmingsrud. www.haavind.no Samtykke som behandlingsgrunnlag i arbeidsforhold 3. September 2015 Kari Gimmingsrud www.haavind.no TEMA Samtykke som grunnlag for behandling av personopplysninger i arbeidsforhold Aktualitet Før - under

Detaljer

Semantikkregisteret for elektronisk samhandling (SERES): I hvilken grad er personvernet en hindring?

Semantikkregisteret for elektronisk samhandling (SERES): I hvilken grad er personvernet en hindring? Semantikkregisteret for elektronisk samhandling (SERES): I hvilken grad er personvernet en hindring? NOKIOS onsdag 15. oktober 2008 Ståle Rundberg Direktør Erik Fossum Info-stab Plan- og og utviklingsavdelingen

Detaljer

Strategi for Informasjonssikkerhet

Strategi for Informasjonssikkerhet Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt

Detaljer

KIS - Ekspertseminar om BankID

KIS - Ekspertseminar om BankID www.nr.no KIS - Ekspertseminar om BankID Dr. Ing. Åsmund Skomedal Forsknings sjef, DART, Norsk Regnesentral asmund.skomedal@nr.no 18. mars 2009 Tema til diskusjon Agenda punkter Kritisk analyse av digitale

Detaljer

Kvalitet i institusjonsbehandling i psykisk helsevern (KvIP) - barn og unge

Kvalitet i institusjonsbehandling i psykisk helsevern (KvIP) - barn og unge akuttnettverket.no Kvalitet i institusjonsbehandling i psykisk helsevern (KvIP) barn og unge Bilde av enheten Rapport fra kollegaevaluering: ** dato 2015 Prosjektleder: Simon R. Wilkinson akuttnettverket.no

Detaljer

Hvordan ivareta personvernet med velferdsteknologiske løsninger?

Hvordan ivareta personvernet med velferdsteknologiske løsninger? Hvordan ivareta personvernet med velferdsteknologiske løsninger? Foredrag på Boliger for fremtiden 13. februar 2014 Bjørn Erik Thon direktør Datatilsynet @bjornerikthon www.personvernbloggen.no 18.02.2014

Detaljer

Informasjonssikkerhet og etikk hvordan henger dette sammen DRI

Informasjonssikkerhet og etikk hvordan henger dette sammen DRI Informasjonssikkerhet og etikk hører dette sammen? DRI 1001 15.11.2005 Hva er informasjonssikkerhet Hvorfor informasjonssikkerhet hvilke trusler har vi og hvilke verdier bør vi beskytte Hvor og hvordan

Detaljer

PERSONVERNLOVGIVNING. Høringsseminar om matrikkel og grunnbok

PERSONVERNLOVGIVNING. Høringsseminar om matrikkel og grunnbok PERSONVERNLOVGIVNING Høringsseminar om matrikkel og grunnbok 25.06.2012 Braar Larsen, senioringeniør Agenda Innledning Kort om personvern Datatilsynets rolle og virkemidler Personvernlovgivningen Virkeområde

Detaljer

Elektronisk signatur, sertifikater og tilhørende tjenester begrepsavklaringer mv

Elektronisk signatur, sertifikater og tilhørende tjenester begrepsavklaringer mv Elektronisk signatur, sertifikater og tilhørende tjenester begrepsavklaringer mv Advokat dr. juris Rolf Riisnæs WIKBORG REIN rri@wr.no Arbeidsgruppen for revisjon av tinglysingsloven 20. november 2009

Detaljer

Rettslig regulering av helseregistre

Rettslig regulering av helseregistre Rettslig regulering av helseregistre HEL-8020 Analyse av registerdata i forskning 27. april 2016 Juridisk rådgiver Heidi Talsethagen SKDE Senter for klinisk dokumentasjon og evaluering/ FIKS Felles innføring

Detaljer

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( ) Lovvedtak 75 (2013 2014) (Første gangs behandling av lovvedtak) Innst. 295 L (2013 2014), jf. Prop. 72 L (2013 2014) I Stortingets møte 16. juni 2014 ble det gjort slikt vedtak til lov om behandling av

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10. Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10. mars 2015 10.03.2015 Side 2 Utgangspunktet Det er Datatilsynets utgangspunkt

Detaljer

Sikkerhetslov og kommuner

Sikkerhetslov og kommuner Sikkerhetslov og kommuner Krav, problem og mulige løsninger Odd Morten Taagvold 12. Juni 2013 Innhold 1. Trusselbilde sett fra nasjonale myndigheter 2. Hva er «Lov om forebyggende sikkerhet» (sikkerhetsloven)?

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Regelverk for digital kommunikasjon i og med forvaltningen

Regelverk for digital kommunikasjon i og med forvaltningen Regelverk for digital kommunikasjon i og med forvaltningen Jon Holden, Difi Fagforbundets fagdager 3.-4. september 2014 jho@difi.no To hovedspørsmål Hvem kan/skal/skal ikke kommunisere digitalt med forvaltningen?

Detaljer

Hva sammenlikner vi med? Historien Mulighetene Forventningene

Hva sammenlikner vi med? Historien Mulighetene Forventningene Rikets tilstand Hva Tilstanden er rikets til tilstand? hva? Hva sammenlikner vi med? Historien Mulighetene Forventningene Hva jeg vil si noe om ( på 22 minutter?) Tiden vi lever i Hvor digitalisert er

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Kontaktpunkt iht. tjenestedirektivet

Kontaktpunkt iht. tjenestedirektivet Kontaktpunkt iht. tjenestedirektivet Forberedelser i Altinn og hos mange nye aktører Norstella - RNeF - 27. august 2009 - Ståle Rundberg Direktør Erik Fossum Info-stab Plan- og og utviklingsavdelingen

Detaljer

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Fagkurs for kommuner Ansvar og avtaler (45 minutter) Fagkurs for kommuner Ansvar og avtaler (45 minutter) 1 Innhold 1. Definere sentrale begrep 2. Ansvar 3. Ansvar ved delegering av oppgaver 4. Ansvar og avtaler for databehandler 5. Avtale ved fjernaksess

Detaljer

Tjenesteavtale 11 Omforente beredskapsplaner og den akuttmedisinske kjeden

Tjenesteavtale 11 Omforente beredskapsplaner og den akuttmedisinske kjeden Tjenesteavtale 11 Omforente beredskapsplaner og den akuttmedisinske kjeden Vedtatt av styret for Helgelandssykehuset HF 25. januar 2012. Vedtatt av kommunestyret i Rana 31. januar 2012. Innholdsfortegnelse

Detaljer