Rettslige reguleringer av informasjonssikkerhet. informasjonssikkerhet

Størrelse: px
Begynne med side:

Download "Rettslige reguleringer av informasjonssikkerhet. informasjonssikkerhet"

Transkript

1 Rettslige reguleringer av informasjonssikkerhet Foredrag på programseminaret IKT sikkerhet og sårbarhet IKTSOS/NFR mars Av Are Vegard Haug Forsker / Stipendiat Avdeling for forvaltningsinformatikk (AFIN) Det juridiske fakultet Universitetet i Oslo Struktur i presentasjonen 1. Bakgrunn for prosjektet Rettslige reguleringer av informasjonssikkerhet 2. Studiens problemstilling og hypoteser 3. Tidligere studier (pos/neg sider ved jussen) 4. Et instrumentelt syn på jussen (virkemiddelmodell) 5. Gjennomgangen av lover og regler (fremgangsmåte) 6. Noen funn (så langt) 7. Oppsummering og veien videre Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 3

2 Bakgrunn for prosjektet Rettslige reguleringer av informasjonssikkerhet Oppstart: mai 24 (noe forsinket) Sted: Avdeling for forvaltningsinformatikk (AFIN), Det juridiske fakultet, Universitetet i Oslo. Leder: Professor Dag Wiese Schartum Tidsramme: 1. år: Kartlegging av rettslige reguleringer av informasjonssikkerhet (Are Vegard Haug). Avsluttes våren år:en mer empirisk anlagt forskning omkring den faktiske effekten av lovverket. Stillingen er utlyst, men ikke avklart. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 4 En overordnet analysemodell Stage 1: Studies on how information security is implemented in contemporary laws (Legal dogmatic method) Result: A map of implemented information security in contemporary laws Information security ideals: -Confidentiality -Integrity -Quality -Access Stage 2: Studies on how information security is realized in practices? (Social science method) Stage 3: Studies on the correlation (if any) between the laws and realized security level in (a part of) society? Result: Data representing realized information security in (a part of) society Stage 4: Identify areas in which the law regulation is unsuccessful, over regulated, etc. (possible legal revisions) Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 5

3 Problemstillinger: Det overordnede spørsmålet er i hvilken grad og hvordan norske myndigheter i dag regulerer informasjonssikkerhet ved hjelp av lover og forskrifter. 5 delspørsmål: 1) Hvordan har reglene utviklet seg på feltet og hva er den regulatoriske status? (historisk og grunnleggende aspekter) 2) Hvilke sektorer/bransjer av samfunnet er adressert i reguleringene? (sektoraspekt) 3) Hvilke regulatoriske strategier er representert? (strategisk aspekt) 4) Hvilke kategorier regler inneholder sikkerhetsreglene? (substansielt aspekt) 5) I hvilken grad er reguleringene koordinert? (komparativt aspekt) Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 6 Noen hypoteser Hypotese 1: Antallet lover og forskrifter om informasjonssikkerhet har økt i antall og volum til tross for omfattende forsøk på regelverksforenklinger og saneringer Hypotese 2: Lovene og forskriftene om informasjonssikkerhet er i liten grad koordinert. Det finnes flere eksempler på overlapping som gjør at virksomhetene må forholde seg til flere regelsett om informasjonssikkerhet samtidig. Hypotese 3: Fordi reguleringene ikke er godt koordinert skaper de unødige problemer og kostnader for virksomhetene Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 7

4 Tidligere studier av jussen som virkemiddel Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 8 Noen positive sider Mange forfattere fremhever de rettslige virkemidlene som sentrale for å realisere informasjonssikkerhet (Daler et al 23, Pfleeger og Pfleeger 22, Schartum og Jansen (red) [kommer], m.fl. Rettsreglene gir myndigheten et sterkt (og demokratisk) styringsverktøy for å normere adferd: Avklare ansvars- og myndighetsforhold Skape og instruere tilsynsordninger, kontrollfunksjoner Sikre et minimum av rettsikkerhet, personvern, forsvarlig saksbehandling, mv. Avklare rettskonflikter mellom parter Sanksjonere (konsesjoner, bøter, straff, mv) Osv. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 9

5 Noen negative sider med jussen (kritikk) 1. Lovgivningens fragmenterte karakter: En av de første systematiske rettslige studiene av informasjonssikkerhet mente for eksempel at en fragmentert lovgivning muligens ville lede til spesialisering, som igjen medførte manglende oversikt og hindre prinsipielle debatter om informasjonssikkerhet (Wilhelmsen 1977:15). En rekke studier har opp gjennom årene fokusert på dette (Seip-utvalget (1986), samordningsutvalget (1991/92), Sårbarhetsutvalget (2). [kommer] I de siste årene har debatten skutt fart i og med at vi ser tendenser i retning av økt bruk av standarder (norske, nordiske, europeiske, NATO, mv. ) som del av eller referert til i lovgivningen. Begreper som The New Approach (Rolf Riisnes) og polysentrisk rettsbegrep (Sand 1996, Graver 2) er kanskje sekkebegreper som forsøker å fange opp disse trendene. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 1 Noen negative sider med jussen (kritikk II) 2. Skaper et unødvendig byråkrati og juridiske barrierer. En uklare roller, omfattende og ofte motstridende krav som er vanskelig å etterleve, mange tilsynsorgan, osv. Kritikere som argumenterer i denne retningen vektlegger å legge til rette for bedre koordinering av myndigheter som arbeider med informasjonssikkerhet (Høykom 24, Eriksen ). Andre igjen har fokusert eksplisitt på kostnadseffektivitet (samordningsutvalget 1991, Rambøll Management 24). stivbeint praktisering av reglene om informasjonssikkerhet. Kritikken rettes typisk mot tilsynene, og Datatilsynet har i mange sammenhenger vært skyteskive. Et aktuelt eksempel fremkommer i debatten omkring sammenstilling av data innen kreftforskningen og biobanklovens konsekvenser for forskningen i Norge (Forus og Myklebust 24). Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 11

6 Noen negative sider med jussen (kritikk III) 3. En ensidige fokuset på konfidensialitet: Bygrave, som gikk gjennom sikkerhetslovgivningen i Norden på begynnelsen av 9- tallet, går langt i retning av å hevde at lovgivning var dominert av militær sikkerhetstenkning og at konfidensialitet derved ble fokusert på mer enn (og på bekostning av) integritet og tilgjengelighet (Nordisk ministerråd 1993), Eriksen i Schartum og Jansen (red) [kommer] much of computer security s past success has focused on confidentiality and integrity; full implementation of availability is security s next great challenge (Security in Computing, Pfleeger og Pfleeger 23:12). Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 12 Oversikt over forekomsten av begrepene Informasjonssikkerhet/datasikkerhet, mv Informasjonssikkerhet Konfidensialitet Integritet Tilgjengelighet Kvalitet Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 13

7 Myndighetenes arbeid for å imøtegå kritikken 1. Den første og klart mest dominerende typen tiltak er å sette ned utvalg. Datateknikk og samfunnets sårbarhet (NOU:1986:12), det såkalte Seip- utvalget. Problemstillingene utvalget arbeidet med var inspirert av den svenske sårbarhetskomiteens innstilling (SÅRK), som påviste store utfordringer med informasjonssikkerhet. Konklusjonen i Seip- utredningen var et forslag om å lage tre sett av regler for informasjonssikkerhet: 1) Beskyttelse av persondata, 2) rikets sikkerhet og 3) datatjenester med særlig stor samfunnsmessig betydning. For å gjøre en lang historie kort falt initiativet ikke i god jord og anbefalingene ble ikke direkte fulgt opp. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 14 Myndighetenes arbeid for å imøtegå kritikken Den andre bølgen kom på 9-tallet, og startet på mange måter med Rapport om samordning av tiltakskrav for beskyttelse av informasjon (1991). Arbeidsgruppe bestående av representanter fra SMK, JD, AAD, FIN, Datatilsynet, Forsvarets overkommando og Næringslivets sikkerhetsråd. Arbeidsgruppen var ledet av Eivind Jahren Som i Seip- utvalget ble også her rettet til dels skarp kritikk mot rettsreglene. Det ble denne gangen tatt et initiativ for å lage én lov om sikkerhet som skulle dekke et bredt felt av utfordringer. I oktober 1992 ble et lovforslag sendt på høring (Utkast til lov om informasjonssikring mm.) samt forskrift om informasjonssikkerhet (Utkast til forskrift om beskyttelse av informasjon. Utkastene inkluderte hensynet til rikets sikkerhet, personvern og allmenn informasjonssikkerhet i forvaltningen. Også dette forslaget møtte stor motstand og vi skal ikke her gå inn i alle detaljene. Det er tilstrekkelig her å konstatere at også dette lovforslaget aldri ble godkjent av Stortinget. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 15

8 Myndighetenes arbeid for å imøtegå kritikken Den Heller tredje bølgen kom mot slutten av 199- tallet i form av utredningen Et sårbart samfunn. Utfordringer for sikkerhetsog beredskapsarbeid i samfunnet (NOU 2:24). Det såkalte Sårbarhetsutvalget ledet av Kåre Willoch. Utvalget fikk et omfattende mandat og går gjennom de fleste sektorer i samfunnet, inkl informasjonssikkerhet. En hovedkonklusjon var at de ønsket å allokere ansvaret for sikkerhet til et nytt departement. Altså ble det lansert et organisatorisk svar på utfordringene, i motsetning til de to foregående utredningene. ikke denne anbefalingen fulgt opp. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 16 Myndighetenes arbeid for å imøtegå kritikken (II) Den Lovgivningen andre hovedtypen av tiltak, som delvis følger av at ingen av de foregående samordningsforslagene ble direkte fulgt opp, er en kraftig oppblomstring av lover og forskrifter om informasjonssikkerhet. er gitt innen ulike områder av samfunnet, og i stedet for å få en helhetlig lov har vi i dag et omfattende sett av forskjellige og delvis uensartet lover og forskrifter. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 17

9 Eksempel på gjeldende lover og forskrifter: Departement Navn Paragraf (særlig) Arbeids- og sosialdepartem entet Lov om folketrygd (folketrygdloven) Forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (Internkontrollforskriften) Planplikt for beredskap i trygdeetaten 5 Innholdet i det systematiske helse-, miljø- og sikkerhetsarbeidet. Krav til dokumentasjon Finansdeparte mentet Forskrift om elektronisk tilgang til opplysninger i ligningsforvaltningens registre. Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT) Sikkerhet Forskrift om registrering av juridiske personer m.m. i Enhetsregisteret. Lov om toll (tolloven). 23. Datasikkerhet Kap. VI. Bruk av elektronisk datautveksling m.v: 4-44 Lov om regnskapsplikt m.v. (regnskapsloven 1977). 11. Oppbevaring av bøker og bilag. [tilgjengelighet] Forsvarsdepartementet Fiskerikystdeparteme ntet Forskrift om register for lagring av opplysninger innsamlet ved bruk av satellittsporingsutstyr på fiskefartøy. 1. Sikkerhet, m.fl [Datatilsynet men viser til Personregisterloven!! Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven). Forskrift om sikkerhetsgraderte anskaffelser. Forskrift om informasjonssikkerhet. Forskrift om sikkerhetsadministrasjon Forskrift om personellsikkerhet. Kapittel 4: Informasjonssikkerhet: ( 11-16) 2-7. Gjennomføring av sikkerhetstiltak hos leverandøren Hele forskriften omhandler informasjonssikkerhet Hele forskriften kan være aktuell for informasjonssikkerhet Hele forskriften kan være aktuell for informasjonssikkerhet Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 18 Helse- og omsorgsdepart ementet Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) Forskrift om innsamling og behandling av helseopplysninger i Norsk overvåkingssystem for antibiotikaresistens hos mikrober (NORMregisterforskriften). Forskrift om innsamling og behandling av helseopplysninger i Reseptbasert legemiddelregister (Reseptregisteret). Forskrift om innsamling og behandling av helseopplysninger i Meldingssystem for smittsomme sykdommer og i Tuberkuloseregisteret og om varsling om smittsomme sykdommer (MSIS- og Tuberkuloseregisterforskriften). Forskrift om innsamling og behandling av helseopplysninger i System for vaksinasjonskontroll (SYSVAK-registerforskriften). Forskrift om innsamling og behandling av helseopplysninger i Medisinsk fødselsregister (Medisinsk fødselsregisterforskriften). Forskrift om innsamling og behandling av helseopplysninger i Kreftregisteret (Kreftregisterforskriften). Forskrift om innsamling og behandling av helseopplysninger i Dødsårsaksregisteret (Dødsårsaksregisterforskriften). Forskrift om pasientjournal 16. Sikring av konfidensialitet, integritet, kvalitet og tilgjengelighet + merknader Kapittel 4. Informasjonssikkerhet og internkontroll: 4-1 til merknader Kapittel 4. Taushetsplikt, informasjonssikkerhet og internkontroll: 4-1 til merknader Kapittel 5. Taushetsplikt, informasjonssikkerhet og internkontroll: 5-1 til merknader Kapittel 4. Taushetsplikt, informasjonssikkerhet og internkontroll: 4-1 til merknader Kapittel 4. Taushetsplikt, informasjonssikkerhet og internkontroll: 4-1 til merknader Kapittel 4. Taushetsplikt, informasjonssikkerhet og internkontroll: 4-1 til merknader Kapittel 4. Taushetsplikt, informasjonssikkerhet og internkontroll: 4-1 til merknader 4. (Journalsystem) med merknader Justisdepartem entet Lov om offentlighet i forvaltningen (offentlighetsloven) Lov om behandling av personopplysninger (personopplysningsloven). Forskrift om offentlighet i rettspleien. Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven). 5.1 Unntak for interne dokumenter 13 Informasjonssikkerhet 9 med merknader 15a. (elektronisk kommunikasjon) [ 13d om oppbevaring, mm] Forskrift til lov om Schengen informasjonssystem (SISforskriften). Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Kapittel 7. Internkontroll og informasjonssikkerhet: 7-1 til 7-16 Are Vegard Haug 19

10 Kommunal- og regionaldepartementet Kultur- og kirkedepartementet Lov om opphavsrett til åndsverk m.v. (åndsverkloven). Lov om arkiv Forskrift om offentlige arkiv. 3. kapittel. Opphavsrettens overgang: 39 g) til i), med mer. [bl.a. kopiering] + 54a [jf Bing] 6. Arkivansvaret. [tilgjengelighet] og 7. Rettleiings- og tilsynsansvar. [med flere] Fysisk sikring: 4-9. Vern mot skadeverk, innbrot og ulovlig tilgjenge (flere aktuelle) Landbruks- og matdepartementet Miljødepartementet Samferdselsdepartementet Moderniseringsdepartementet Nærings- og handelsdepartementet Olje- og energidepartementet Statsministerens kontor Forskrift om føringen av grunneiendoms-, adresse- og bygningsregisteret (GAB-registeret) Forskrift om kart og stedfestet informasjon i plan- og byggesaksbehandlingen Forskrift om elektronisk kommunikasjon med og i forvaltningen (eforvaltningsforskriften). Forskrift om behandling av personopplysninger (personopplysningsforskriften). Forskrift om gebyrer for Norsk Akkrediterings tjenester Forskrift om registrering av foretak Lov om elektronisk signatur Forskrift om beredskap i kraftforsyningen Forskrift om Petroleumsregisteret Forskrift om beredskap i kraftforsyningen. Lov om edb-baserte reservasjonssystemer for passasjertransport m.v. Lov om elektronisk kommunikasjon (ekomloven). Forskrift om elektronisk kommunikasjonsnett og elektronisk kommunikasjonstjeneste (ekomforskriften). [se på telekom] Instruks for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter (beskyttelsesinstruksen). Avdeling for forvaltningsinformatikk (AFIN) 5/18/ 1. Informasjonssikkerhet, taushetsplikt, mv. 11. Datasikkerhet med merknader Kapittel 3. Forvaltningsorganets strategi for informasjonssikkerhet: 13. Sikkerhetsmål og sikkerhetsstrategi Kapittel 2. Informasjonssikkerhet: 2-1 til 2-16 og Kapittel 8. Fjernsynsovervåking: 8-2. Sikring av billedopptak 4. Sertifiseringsorgan (om betaling) og 9. Miljøkontrollør i henhold til EMAS- ordningen 1. Datasikkerhet. [flere viktige] Kapittel 6. Informasjonssikkerhet: 6-1 til Datasikkerhet Kapittel 6. Informasjonssikkerhet: [se på uklart: sjekk ny lov [..]] 2-1. Sikkerhet og beredskap [mv] Kapittel 8. Sikkerhet og beredskap: 8-1 til og 12 (særlig) Are Vegard Haug 2 Myndighetenes arbeid for å imøtegå kritikken (III) Et tredje settet av tiltak er en overordnet strategi for informasjonssikkerhet samt koordineringsutvalget for informasjonssikkerhet (KIS). Mål: 1) Samfunnskritisk infrastruktur ( ) 2) Det skal bygges en sikkerhetskultur ( ) 3) Norge skal ha en allment tilgjengelig samfunnsinfrastruktur for elektronisk signatur, autentisering av kommunikasjonspartere samt sikker overføring av sensitiv informasjon. 4) Regelverk som berører informasjonssikkerhet skal håndheves og videreutvikles på en samordnet, og for brukere enkel og oversiktlig måte. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 21

11 Et instrumentelt syn på jussen Med problemstillingene, hypotesene, tidligere studier og MODs strategi som utgangspunkt, arbeidet vi tidlig med å kartlegge tre forhold: 1) Hva slags virkemidler finnes for å sikre informasjon? 2) Hvordan har jussen tatt i bruk disse ulike virkemidlene? Er det særlige regulatoriske strategier som er dominerende? Hvor? Hvem? Osv. 3) Hva slags metode skal vi anvende for å finne dette ut (litteraturstudier, rettsdogmatisk metode, intervju, osv) Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 22 Virkemiddelmodell X2: Fysiske og tekniske virkemidler X3: Ledelse og andre roller X3: Org. virkemidler X1: Normative virkemidler Indirekte effekt Direkte effekt (X1) Y1: Realisert informasjonssikkerhet = empirisk studie X4: Økonomiske virkemidler Direkte effekt (X2- X5) X5: Pedagogiske virkemidler Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 23

12 X 1: Normative virkemidler To hovedtyper normer: Nasjonale og internasjonale lover og regler og standarder. Vårt fokus på lover og regler For hvert regelverk forsøker jeg å avklare det jeg har valgt å betegne rettsreglenes regulatorisk strategi: Med regulatorisk strategi menes her hva slags type regulatorisk tilnærming et sett av regler kan sies å representere. Tre komponenter eller delstrategier inngår i begrepet og er tillagt særskilt vekt; hovedregler, lovtekniske fremgangsmåter samt valg av virkemiddel Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 24 For hver lov og forskrift letes det etter følgende Virkeområde (saklig og geografisk) Hovedregler Sikkerhetsbehov (mål) rettskilden har (rikets sikkerhet, personvern, effektivitet, datakriminalitet) Kompetanse (delegasjoner, tilsyn, instruksjoner, krav ved inngåelse av avtaler, mv.). Sanksjoner (pålegg om og regler for konsesjons, erstatning, bøter, fengsel, mv). Regulatorisk strategi Lovteknisk fremgangsmåte Lovstruktur (generell, detaljert, gjenbruk, standarder) Samordningsteknikk, (virketid, organisatoriske forhold, tematisk, opplysningstype virkemiddel, etc.) Terminologi og språkføring (rettspedagogisk teknikk; innføring av nye termer og definisjoner, mv) Fysisk og tekniske virkemidler (X2) Ledelse og andre roller (X3) Virkemiddelbruk Organisatoriske virkemidler (X4) Økonomiske virkemidler (X5) Pedagogiske virkemidler (X6) Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 25

13 X 2: Fysiske og tekniske virkemidler Med fysiske virkemidler siktes det til særlige tiltak rettet mot overvåkning av bygninger, avstengning eller begrensing av tilgang til visse områder, etasjer eller beskyttelse av enkelte rom. Med tekniske hjelpemidler siktes det til kryptering, forskjellige former og lag av brannmurer; Virtual Private Network (VPN); pakkefiltrering og proxytjenere, digitale signaturer, antivirusprogrammer, etc.(daler et al 23:219-23). I denne kategorien finnes også mer fokuserte satsninger som for eksempel på personvernområdet hvor det i dag pågår flere spennende eksperimenter med såkalt personverøkende teknologi (Privacy Enhancing Technology- PETs). Teknologien brukes her for å sikre medbestemmelse over informasjon, transparens, forståelighet samt forsøke å minimalisere bruken av personopplysninger ved hjelp av anonymiseringsverktøy, pseudonymer, osv. (Olsen ). Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 26 X 3: Ledelsen og andre roller Avklaringer av virksomheten ledelse og andre sentrale roller i arbeidet med informasjonssikkerhet, altså særlig hvem spørsmålet. personelle regler. Det vil si hvem som har myndighet og plikter til å opptre (Boe 1996:43). Et eksempel er behandlingsansvarlig slik personopplysningsloven definerer det, et annet er hvem som skal inngå i sikkerhetsadministrasjon slik sikkerhetsloven beskriver det. Fokus: merkelapper, antall roller, og mulige rollekonflikter og uklare ansvarsforhold, osv. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 27

14 X 4: Organisatoriske virkemidler Med organisatoriske virkemidler siktes det til tiltak som omhandler organiseringen av arbeidet med informasjonssikkerhet, altså særlig hva og hvordan spørsmålet: Sikkerhetsstrategi Risikovurdering Internkontroll Dokumentasjon Graderinger Taushetsplikt Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 28 X 5: Økonomiske virkemidler Med økonomiske virkemidler siktes det til ulike tiltak som brukes for å oppnå noe ved å gi en økonomisk støtte, tilskudd, fordel eller ulempe, for eksempel for å oppnå et ønsket sikkerhetsnivå, eller for å være pilotbruker på et område for å vinne erfaring, eller for å få utbredelse av sikkerhetssertifisering av produkter og av organisasjoner (NOU 1986:12, Eriksen, m.fl.) Budsjettering/planplikt Kompensasjoner Sponsing Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 29

15 X 6: Pedagogiske virkemidler Med pedagogiske virkemidler siktes det til ulike tiltak som har som formål å bevisstgjøre, informere, motivere og trene brukere på informasjonssikkerhet. Kurs, opplæring og lignende som virksomhetene skal iverksette for å sikre informasjon. Herunder også direkte pålegg om øvelser for beredskap til krig, krise og krig, men også testing av katastrofeplaner, krisehåndtering, etc. Opplysningsvirksomhet, veiledninger og direkte informasjonsplikt. Det hjelper som kjent ikke å lage en god sikkerhetsstandard, forskrift om elektronisk kommunikasjon med og i forvaltningen, sertifiseringsordning, sikkerhetslov osv, hvis en ikke i tillegg formidler informasjon om det, og helst tilbyr pedagogisk tilrettelagt materiale, som hjelp til å oppnå den ønskede effekten (Eriksen i Schartum og Jansen (red) ). Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 3 Eksemper: : Buddy Buddy (Netcom( Netcom) Lokaliseringsteknologi: (+) utrykningskjøretøy, kriminalitetsbekjempelse, mm (-) overvåkning, frihet ( den sjalu ektemannen ) Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 31

16 Eksempel: innsynsrett = skinnrettsikkerhet? Som del av utviklingen av et undervisningsopplegg for ungdomsskolen om personvern, ble 18 (retten til innsyn) testet ut. Totalt ble det sendt ut 93 begjæringer om innsyn. Herav 73 fra elevene ved Brunla ungdomsskole og 2 fra Universitetet i Oslo. Mottakere: Domstoler, mv. Statlige tilsyn Kommuner Politiske partier Butikkjeder e-handelsportaler Nettsteder for barn og ungdom TV- selskaper Avis/Nettaviser IT-selskaper Mobiltelefoni Internettleverandører Kredittopplysningsforetak Helsenettsteder Flyselskaper Bank og forsikring. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 32 Hvor mange svarte? Antall sendte Antall svar totalt Andel i prosent % Det ble mottatt 39 svar innen fristen på 3 dager Elevene mottok 32 av 73 (44 %) og Universitetet i Oslo har mottatt 7 av 2 (35 %). Samlet utgjør dette 42 % av det totalt utsendte antall innsynsbegjæringer (N=93) Spissformulert kan vi si at om lag 6 av 1 virksomheter bryter personopplysningsloven. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 33

17 Andre eksempler: Interessen i offentlighet realisert gjennom elektroniske postjournaler versus personvern (eks Lillesand kommune) Hensynet til effektiv kreftforskning versus hensynet til personvern (biobankloven) Osv. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 34 Noen funn (tentative) (I) 1. Antall regler er fremdeles omfattende og mange virksomheter må forholde seg til flere regler om informasjonssikkerhet samtidig. Men dette kompenseres delvis for ved at de enkelte regulatoriske tiltakene er nokså likeartet. 2. Utfordringen for brukerne av lovene og forskriftene er å se sammenhengene mellom rettsreglene. På den måten unngår brukeren at det utvikles flere isolerte strategier for å håndtere informasjonssikkerhet i en og samme virksomhet. 3. Informasjonssikkerhet et mangehodet troll; konfidensialitet, integritet, tilgjengelighet mest vanlig definisjon. Men også kvalitet, autentisering, mv. Mange lover og regler (særlig etter 1999/2) inkluderer slike begreper, men få forklarer dem. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 35

18 Noen funn (II) 4. Dessuten ser det ut til at begrepene konfidensialitet, integritet og tilgjengelighet, har befestet seg i de aller fleste nye sentrale norske regelverk som omhandler informasjonssikkerhet. lovbestemmelsene om informasjonssikkerhet representerer med andre ord en oppgradering av den formelle plasseringen av reguleringen (i lov) og en større bredde i reguleringen (Schartum ). 5. Mer overordnet er det fire hovedtyper regulatoriske strategier: generelle, detaljerte, gjenbruk, og polysentriske (standarder, mv). De fleste rettsreglene er nokså generelle (målangivelser, uten forklaringer på hvordan informasjonssikkerhet skal gjennomføres i praksis) 6. Fire hensyn som søkes ivaretatt; Effektivitet, rikets sikkerhet, datakriminalitet og personvern. Fokuset på konfidensialitet og rikets sikkerhet ikke lenger det dominerende hensynet. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 36 Noen funn (II) 7. Antallet og omfanget av pålegg i de rettslige reguleringene er fremdeles svært omfattende : sikkerhetsstrategi, dokumentasjonskrav, internkontroll, risikoanalyser, sertifiseringer, graderinger, osv. 8. Disse blir lett administrative byrder, og det er derfor særlig grunn til å se nærmere på i hvilken grad de enkelte konkrete tiltakene faktisk bidrar til å realisere informasjonssikkerhet (empirisk studie). 9. Av mer lovteknisk art er det forunderlig å se den variasjon som finnes; innføring av begreper (mange), struktur, språkbruk, kommentarbruk, mm. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 37

19 1. Valg av regulatorisk strategi og terminologi ser ut til å være assosiert med både sektor og reglenes samfunnsformål (behov). a) Hovedinndeling etter funksjonelle kriterier: Organisering for standardisering av sikkerhetstiltak innen en gitt sektor Finans Helse/sosial Justis/beredskap Samferdsel Forsvar/mil. - region A - region B - region C - region D - region E - region A - region B - region C - region D - region E - region A - region B - region C - region D - region E - region A - region B - region C - region D - region E - region A - region B - region C - region D - region E b) Hovedinndeling etter geografiske kriterier: Organisering for regional/lokal variasjon av sikkerhetstiltak [F.EKS KOMMUNER] Region A Region B Region C Region D Region D -Finans - Helse/sosial - Justis/beredsk. -Samferdsel -Forsvar -Finans - Helse/sosial - Justis/beredsk. -Samferdsel -Forsvar -Finans - Helse/sosial - Justis/beredsk. -Samferdsel -Forsvar -Finans - Helse/sosial - Justis/beredsk. -Samferdsel -Forsvar -Finans - Helse/sosial - Justis/beredsk. -Samferdsel -Forsvar Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 38 Oppsummering og veien videre Lovene og reglene vil imidlertid alltid fungere i en kontekst hvor andre hensyn spiller inn. Vi har sett på noen slike hensyn (effektivitet, bekjempelse av datakriminalitet, sosiale hensyn, mv.) Ved å være oppmerksom på slike interessemotsetninger er det letter (og mer fruktbart) å arbeide med rettsregler om informasjonssikkerhet. For eksempel hensynet til personvern vs hensynet til forskning eller effektivitet. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 39

20 Veien videre (så langt) Tre hovedstrategier 1. Forbedring og forenkling av de lover og regler i allerede har. Særlig gjelder det å finne noen lunde like regler, begreper samt å gjøre det klart for virksomheter sammenhengene mellom de forskjellige reglene. Jeg tror ikke en enhetlig lov om informasjonssikkerhet er veien å gå. Informasjonssikkerhet gjelder alle og må reguleres innenfor sine lover Dette krever god samordning fra lovgivers side. En mulig strategi er å gjenbruke for eksempel sikkerhetsbestemmelsene i personopplysningsloven med forskrifter. Men da må slike mønsterlover kvalitetssikres. 2. Fremskaffe mer og bedre empiri gjennom evaluering av eksisterende lover og regler (virker lovene slik de er tiltenkt? Hvilke virkemidler bør brukes?) 3. Videreutvikle den overordnet strategien og koordineringen av informasjonssikkerhet. Svært positivt med sikkerhetsstrategien og koordineringsutvalget for sikkerhet (KIS) i den forbindelse. Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 4 Veien videre Stage 1: Studies on how information security is implemented in contemporary laws (Legal dogmatic method) Result: A map of implemented information security in contemporary laws Information security ideals: -Confidentiality -Integrity -Quality -Access Stage 2: Studies on how information security is realized in practices? (Social science method) Stage 3: Studies on the correlation (if any) between the laws and realized security level in (a part of) society? Result: Data representing realized information security in (a part of) society Stage 4: Identify areas in which the law regulation is unsuccessful, over regulated, etc. (possible legal revisions) Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 41

21 The Blind men and the Elephant It was six men of Indostan To learn much inclined, Who went to see the Elephant (Though all of them were blind) That each by observation Might satisfy his mind The Third approached the animal, And happening to take The squirming trunk with his hands, Thus boldly up and spake: I see, quoth he, the Elephant Is very like a snake! The sixth no sooner had begun About the beast to grope, Than, seizing on the swinging tail That fell within his scoop, I see quoth he, the Elephant is very like a rope! The First approached the elephant, And happening to fall Against his broad and sturdy side, At once began to brawl: God bless me but the elephant Is very like a wall The second, feeling of the tusk, Cried, Ho! What have we here So very round and smooth and sharp? To me tis mighty clear This wonder of an Elephant Is very like a spear The Fourth reached out an eager hand, And felt around the knee, What most this wondrous beast is like Is mighty plain, quoth he; Tis clear enough the Elephant Is very like a tree! The fifth, who chanced to touch the ear, Said: E en the blindest man Can tell what this resembles most; Deny the fact who can, This marvel of an Elephant Is very like a fan! And so these men of Indostan Disputed loud and long, Each of his own opinion Exceeding stiff and strong, Though each was partly in the right, And all were in the wrong! Moral So oft in theologic wars, The disputants, I ween, Rail on in utter ignorance Of what each other mean, And prate about an elephant Not one of them has see Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Godfrey Saxe ( ). Are Vegard Haug 42 Moral Det finnes mange elefanter her informasjonssikkerhet Det finnes mange blind men of Indostan : Sivilingeniører, statistikere/matematikere, økonomer, jurister, medisinere, statsvitere, sosiologer, psykologer, antropologer, filosofer, historikere, geografer og forskere med militærfaglig bakgrunn (NOU 2:24:211) Budskapet er enkelt: Vi mennesker er ofte the blind people som strever etter å se the entire beast. Likevel er det ingen av oss som fullt ut evner å se helheten. Vi holder fast på bruddstykker av virkeligheten, og tolker og forstår verden med det som utgangspunkt. Informasjonssikkerhet er definitivt et multidimensjonalt tema og et tverrvitenskapelig forskningsfelt Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 43

22 Rapporten fra fase I i arbeidet vil være klar i løpet av våren. Oppstart fase II ca mai Takk for oppmerksomheten! Avdeling for forvaltningsinformatikk (AFIN) 5/18/ Are Vegard Haug 44

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.

Detaljer

ISO27001 som del av forvaltningen

ISO27001 som del av forvaltningen ISO27001 som del av forvaltningen Froskostseminar 8. april 2011 Geir Arild Engh-Hellesvik KPMG Advisory Presentasjon KPMG Informasjonssikkerhet Krav til informasjonssikkerhet i lovverket ISO27001 Hvor

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

Styringssystem i et rettslig perspektiv

Styringssystem i et rettslig perspektiv Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17.

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17. Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17. september 2007) Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk,

Detaljer

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008 v/rådgiver Jim-Arne Hansen IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008 Disposisjon: Grunnleggende personvernprinsipper Informasjonssikkerhet Papirbasert - / elektronisk arkiv 2 Viktige personvernprinsipper

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Helseforskningsrett med fokus på personvern

Helseforskningsrett med fokus på personvern Helseforskningsrett med fokus på personvern Sverre Engelschiøn Helseforskningsrett 2009 Sverre Engelschiøn 1 Tema Nærmere om personvern Hva menes med informasjonssikkerhet? Helseregistre og forskning Helseforskningsrett

Detaljer

[start kap] Innholdsoversikt

[start kap] Innholdsoversikt personvern BOOK.book Page 7 Thursday, December 23, 2010 1:32 PM [start kap] Innholdsoversikt 1 Innledning... 17 2 Personvernteori... 21 3 Internasjonalt personopplysningsvern... 81 4 Personopplysningsloven...

Detaljer

Gode helseregistre bedre helse

Gode helseregistre bedre helse Gode helseregistre bedre helse Nasjonalt råd for kvalitet og prioritering 2010-12-06 Forprosjektet Nasjonalt helseregisterprosjekt Camilla Stoltenberg Assisterende direktør Folkehelseinstituttet Innhold

Detaljer

Om personopplysningslovens btdi betydning for systemutvikling. Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO

Om personopplysningslovens btdi betydning for systemutvikling. Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO Om personopplysningslovens btdi betydning for systemutvikling tikli Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO Generelt Personopplysningsloven er (nesten) alltid relevant ved

Detaljer

Om personopplysningslovens betydning for systemutvikling. Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO

Om personopplysningslovens betydning for systemutvikling. Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO Om personopplysningslovens l betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO Generelt Personopplysningsloven er (nesten) alltid relevant ved utvikling

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Introduksjon til DRI1010 Personvern i offentlig forvaltning: Oversikt over personvern og personvernlovgivningen. Dag Wiese Schartum, AFIN

Introduksjon til DRI1010 Personvern i offentlig forvaltning: Oversikt over personvern og personvernlovgivningen. Dag Wiese Schartum, AFIN Introduksjon til DRI1010 Personvern i offentlig forvaltning: Oversikt over personvern og personvernlovgivningen Dag Wiese Schartum, AFIN Personvernkommisjonens innstilling Personvern som del av IKT-politikken

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer) Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag 30.11.2012 Kl 10-16 (6 timer) Bokmål Oppgave 1. I regjeringens IKT-politikk og spesielt i Digitaliseringsprogrammet er bruk av felleskomponenter

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling

Detaljer

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

Rettslige krav til informasjonssikkerhet i offentlig forvaltning Rettslige krav til informasjonssikkerhet i offentlig forvaltning Advokat dr. juris Rolf Riisnæs WIKBORG REIN rri@wr.no DRI1010 11. mars 2010 1 Informasjonssikkerhet Hvem, hva og hvorfor Det velkjente og

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

Sikkerhet og personvern i skole og klasserom

Sikkerhet og personvern i skole og klasserom Sikkerhet og personvern i skole og klasserom NKUL 2017 Tommy Tranvik Harald Torbjørnsen Vi skal: Øke kvaliteten i det pedagogiske arbeidet med digitale ferdigheter hos barn og unge Øke den digitale kompetansen

Detaljer

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov Vår dato Vår referanse 15.10.2013 13/00959-2 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres dato: Deres referanse 13/2992 Saksbehandler: Caroline Ringstad Schultz Høringssvar - Forslag

Detaljer

1.6 Sentrale lover og forskrifter

1.6 Sentrale lover og forskrifter 1.6 Sentrale lover og forskrifter Innledning For Midt-Telemarkkommunenes informasjonssikkerhet gjelder en rekke lover og bestemmelser som blant annet tar sikte på å hindre at noen uten lovlig hjemmel får

Detaljer

Oversikt over personvern og internasjonal regulering av personvern

Oversikt over personvern og internasjonal regulering av personvern Introduksjon til DRI1010 Personvern i offentlig forvaltning: Oversikt over personvern og internasjonal regulering av personvern + noe om læringsmålene for emnet Dag Wiese Schartum, Avdeling for forvaltningsinformatikk

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Hovedkonklusjon informasjonssikkerhet tillegges større vekt enn tidligere, både kvalitativt og kvantitativt Agenda gjennomgå hovedreglene

Detaljer

Risikogrupper og personvernhensyn hvor viktig er personvern når det gjelder sikkerhet, liv og helse?

Risikogrupper og personvernhensyn hvor viktig er personvern når det gjelder sikkerhet, liv og helse? Risikogrupper og personvernhensyn hvor viktig er personvern når det gjelder sikkerhet, liv og helse? Foredrag på Brannvernkonferansen 7. mai 2012 Bjørn Erik Thon direktør Datatilsynet 15.06.2012 Side 1

Detaljer

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING Frokostseminar 25. oktober 2016 V/advokat Christopher Clausen og advokatfullmektig Helene Bjørgo 1 DAGENS LOVGIVNING Personopplysningsloven Sentrale

Detaljer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som Fornyings- administrasjons- og kirkedepartementet Postboks 8004 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 13/1249 13/00654-2/HHU 20. september 2013 Dato Høring - Endringer i eforvaltningsforskriften

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for

Detaljer

Nye personvernregler

Nye personvernregler Nye personvernregler Agenda Hva er personvern og personopplysninger Bakgrunn for nye personvernregler De viktigste endringene fra idag til 2018 Hva nå? - våre forventninger og råd om veien videre Innledning

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Ny personvernforordning Hvordan reguleres informasjonssikkerhet Ny personvernforordning Hvordan reguleres informasjonssikkerhet Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 41 medarbeidere Faggruppe 1 (justis,

Detaljer

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to

Detaljer

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning. Policydokument nr. 3/2011 Etablering og bruk av helseregistre Legeforeningen arbeider for å bedre kvaliteten i helsetjenesten og for en helsetjeneste som er mest mulig lik for alle. Bruk av valide og kvalitetssikrede

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Modernisering av helseregistre - Utfordringer og løsninger. Kari Kapstad Teknisk prosjektleder Nasjonalt folkehelseinstitutt

Modernisering av helseregistre - Utfordringer og løsninger. Kari Kapstad Teknisk prosjektleder Nasjonalt folkehelseinstitutt Modernisering av helseregistre - Utfordringer og løsninger Kari Kapstad Teknisk prosjektleder Nasjonalt folkehelseinstitutt Innhold 1. Hvorfor helseregistre? 2. Hvorfor modernisere helseregistre? 3. Utfordringer,

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN Norm for informasjonssikkerhet Helse- og omsorgstjenesten Tor Ottersen HVA - HVORFOR - HVORDAN Hva er Normen Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i

Detaljer

Det juridiske rammeverket for helseregistre

Det juridiske rammeverket for helseregistre Helse- og omsorgsdepartementet Det juridiske rammeverket for helseregistre Sverre Engelschiøn, fagdirektør Oslo 10. mars 2016 Ny helseregisterlov Erstatter helseregisterloven fra 2001 Prop. 72 L (2013-2014)

Detaljer

Regelverk. Endringer i regelverk for digital forvaltning

Regelverk. Endringer i regelverk for digital forvaltning Regelverk Endringer i regelverk for digital forvaltning Offentlig sektors dataforum Oslo 28. november 2013 Nina Fladsrud Sikkerhet, robusthet og personvern rege Sikkerhet, robusthet og personvern Digital

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Tilsyn med etterlevelse av personvernforordningen

Tilsyn med etterlevelse av personvernforordningen Tilsyn med etterlevelse av personvernforordningen 19.12.2016 Innhold 1. Datatilsynet som kontrollmyndighet - i dag - etter mai 2018 2. Tilsynsmetodikk i dag 3. Endrede premisser for Datatilsynets bruk

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

Rettslige krav til informasjonssikkerhet i offentlig forvaltning Rettslige krav til informasjonssikkerhet i offentlig forvaltning Advokat dr. juris Rolf Riisnæs Wikborg, Rein & Co rri@wr.no DRI1010 13. mars 2008 Informasjonssikkerhet Hvem, hva og hvorfor Det velkjente

Detaljer

Hvilken rolle spiller personopplysningsloven for forvaltningens saksbehandling?

Hvilken rolle spiller personopplysningsloven for forvaltningens saksbehandling? Hvilken rolle spiller personopplysningsloven for forvaltningens saksbehandling? Malin Renate Ranheim Forsker Avdeling for forvaltningsinformatikk Hvilken rolle spiller personopplysningsloven for forvaltningens

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Go to  use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn. INF1000/ INF1001: IT og samfunn En liten undersøkelse: Mobil/ nettbrett Siri Moe Jensen Gisle Hannemyr Høst 2016 Go to www.menti.com use the code 47 46 40 Siri Moe Jensen INF1000/INF1001 - Høst 2016 1

Detaljer

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

DRI1010 Emnekode. Oppgave Kandidatnummer Dato Oppgave 1 361 2015-05-05 For å kunne vite hvilken betydningen det har for anvendelsen av personopplysningsloven når det skal behandles sensitive personopplysninger så må man vite hva «sensitive personopplysninger»

Detaljer

Personopplysningslovens formål, grunnbegreper og virkeområde. Dag Wiese Schartum, AFIN

Personopplysningslovens formål, grunnbegreper og virkeområde. Dag Wiese Schartum, AFIN Personopplysningslovens formål, grunnbegreper og virkeområde Dag Wiese Schartum, AFIN Personopplysningslovens formål l (1) En innledende presisering: Formål er relevant på to måter når pol skal forstås:

Detaljer

Informasjonssikkerhet i forordningen

Informasjonssikkerhet i forordningen Informasjonssikkerhet i forordningen 19.10.2016 Agenda Personopplysninger Bakgrunn om forordningen Dagens krav til informasjonssikkerhet Krav til informasjonssikkerhet i nytt regelverk Thinkstock.com 2

Detaljer

Olje- og energidepartementet

Olje- og energidepartementet Olje- og energidepartementet 1 Olje- og energidepartementets forvaltning og gjennomføring av budsjettet for 2009 1.1 Generelt om resultatet av revisjonen Tabell 1.1 (tall i mill. kroner)* Utgifter Inntekter

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14. Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...

Detaljer

Anbefalinger om åpenhet rundt IKT-hendelser

Anbefalinger om åpenhet rundt IKT-hendelser Vår saksbehandler Vår dato Vår referanse 2015-05-18 A03 - S:14/04372-24 Antall vedlegg Side 1 1 av 5 Anbefalinger om åpenhet rundt IKT-hendelser Innledning Norske virksomheter opplever stadig flere dataangrep.

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften,

Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften, Page 1 of 11 HJEM RESSURSER TJENESTER HJELP LENKER OM LOVDATA KONTAKT OSS Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften,

Detaljer

Ot.prp. nr. 51 ( )

Ot.prp. nr. 51 ( ) Ot.prp. nr. 51 (2008-2009) Tilgang til behandlingsrettede helseregister på tvers av virksomhetsgrenser Kari Sønderland Ekspedisjonssjef Helse- og omsorgsdepartementet Formålet med lovforslaget Fjerne regelverksmessige

Detaljer

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden Krav til informasjonssikkerhet DRI1010 forelesning 15.03.2012 Jon Berge Holden jobe@holden.no Sikkerhet - hva skal beskyttes? Informasjonssikkerhet (def. ISO 27001, 3.4) Bevare konfidensialitet, integritet

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Tjenester i skyen hva må vi tenke på?

Tjenester i skyen hva må vi tenke på? Tjenester i skyen hva må vi tenke på? Renate Thoreid, senioringeniør Datatilsynet, Tilsyn og sikkerhetsavdeling Side 1 Visjon: Datatilsynet i front for retten til selvbestemmelse, integritet og verdighet

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1 Følger ikke råd fra Datatilsynet! To

Detaljer

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no Rettslig regulering av helseregistre Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no Innhold Mål og strategier Verdier Holdninger Vurderingstemaer 20.03.2014 Side 2 Datatilsynets strategi i

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Styresak 46-2015/3 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013. Dokument

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

MSIS i dag og i fremtiden

MSIS i dag og i fremtiden MSIS i dag og i fremtiden Tone Bruun Avdeling for infeksjonsovervåking Folkehelseinstituttet Smitteverndagene 2015 Agenda Helseregistre Smittevernregistre Planer for samordning av smittevernregistrene

Detaljer

Høring NOU 2016:19 Samhandling for sikkerhet

Høring NOU 2016:19 Samhandling for sikkerhet Forsvarsdepartementet postmottak@fd.dep.no Dato: 23.01.2017 Vår ref.: 16-1446 Deres ref.: 2015/3139-7/FD Høring NOU 2016:19 Samhandling for sikkerhet Finans Norge viser til Forsvarsdepartementets høringsbrev

Detaljer

I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven

I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven INTERNT BAKGRUNNSNOTAT I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven Bakgrunn En rekke forskningsprosjekter ved fakultetet håndterer

Detaljer

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet Velferdsteknologi og personvern Camilla Nervik, Datatilsynet Datatilsynet http://itpro.no/artikkel/20499/vipps-deler-din-kundeinformasjon-medfacebook/ http://e24.no/digital/undlien-vil-skape-medisiner-tilpasset-dine-gener-uioprofessor-vil-digitalisere-genene-dine/23608168

Detaljer

Oppgave 1. DRI1010 Emnekode 7464 Kandidatnummer Dato SIDE 1 AV 6

Oppgave 1. DRI1010 Emnekode 7464 Kandidatnummer Dato SIDE 1 AV 6 SIDE 1 AV 6 Oppgave 1 Denne oppgaven handler om lov om behandling av personopplysninger 14. april 2000 nr.31 (heretter pol.eller personopplysningsloven) og lov om behandlingsmåten i forvaltningssaker (heretter

Detaljer

På tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013

På tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013 På tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013 Kort om Datatilsynet Uavhengig forvaltningsorgan Ombud og tilsynsorgan kontrollere at lover og forskrifter

Detaljer

Erfaringer fra terroranslaget 22. juli

Erfaringer fra terroranslaget 22. juli Erfaringer fra terroranslaget 22. juli ØISTEIN KNUDSEN JR. ekspedisjonssjef «Successful strategic crisis management is the result of 80% generic planning, 15% improvisation, and 5% luck» (Weisæth, L.,

Detaljer

Lover: struktur, anatomi og språk. Dag Wiese Schartum

Lover: struktur, anatomi og språk. Dag Wiese Schartum Lover: struktur, anatomi og språk Dag Wiese Schartum Hva ønsker vi å oppnå med lovgivningen? Lover som effektivt styringsverktøy (eller bare som politisk signal?) Lover for å gjennomføre internasjonale

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Personvern i arbeidsforhold

Personvern i arbeidsforhold Christian Kjølaas Personvern i arbeidsforhold UNIVERSITETSFORLAGET Innholdsoversikt Forord 11 Sammendrag av bokens kapitler 13 1 Personvernbegrepet 21 2 Personopplysningsloven og -forskriften 43 3 Sentrale

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Semantikkregisteret for elektronisk samhandling (SERES): I hvilken grad er personvernet en hindring?

Semantikkregisteret for elektronisk samhandling (SERES): I hvilken grad er personvernet en hindring? Semantikkregisteret for elektronisk samhandling (SERES): I hvilken grad er personvernet en hindring? NOKIOS onsdag 15. oktober 2008 Ståle Rundberg Direktør Erik Fossum Info-stab Plan- og og utviklingsavdelingen

Detaljer

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18. Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.september 2012 Om Datatilsynet Et forvaltningsorgan med stor grad av faglig uavhengighet

Detaljer

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. mars 2015 Utgangspunktet Det er Datatilsynets utgangspunkt at det er mulig

Detaljer

Personopplysningsloven, ytrings-/informasjonsfrihet og offentlighetsloven. Dag Wiese Schartum, AFIN

Personopplysningsloven, ytrings-/informasjonsfrihet og offentlighetsloven. Dag Wiese Schartum, AFIN Personopplysningsloven, ytrings-/informasjonsfrihet og offentlighetsloven Dag Wiese Schartum, AFIN Menneskerettighetene Personvern og ytringsfrihet er begge menneskerettigheter som er beskyttet av EMK

Detaljer

Bedre personvern i skole og barnehage

Bedre personvern i skole og barnehage Bedre personvern i skole og barnehage NOKIOS, 28. oktober 2014 Eirin Oda Lauvset, seniorrådgiver i Datatilsynet Martha Eike, senioringeniør i Datatilsynet Datatilsynet Uavhengig forvaltningsorgan Tilsyn

Detaljer

Delavtale mellom Sørlandets sykehus HF og Lund kommune

Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale nr. 9 Samarbeid om IKT-løsninger lokalt Enighet om hvilke plikter og ansvar som partene er ansvarlig for, knyttet til innføring og forvaltning

Detaljer

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit COMPLIANCE GENERAL DATA PROTECTION REGULATION Johnny Berntsen ISO/IEC 27001 Master Knowit Hva er GRDP? GDPR står for General Data Protection Regulation og er erstattningen og oppdatering av EU s 20 år

Detaljer

DRI2010 Rettskilder og informasjonssøking Introduksjon. Dag Wiese Schartum

DRI2010 Rettskilder og informasjonssøking Introduksjon. Dag Wiese Schartum DRI2010 Rettskilder og informasjonssøking Introduksjon Dag Wiese Schartum Emnet handler om rettskilder med vekt på lover I emnet legger vi hovedvekt på formelle lover Lovtekster Lovforarbeider Rettspraksis

Detaljer