På tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013

Transkript

1 På tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013

2 Kort om Datatilsynet Uavhengig forvaltningsorgan Ombud og tilsynsorgan kontrollere at lover og forskrifter blir fulgt identifisere farer for personvernet gi råd gi uttalelser i spørsmål om behandling av personopplysninger 41 ansatte Personvernnemnda er klageorgan Side 2

3 Dagens tema: På tide med sikker samhandling Observert over tid gjennom Tilsyn Dialog med sektorene (profesjonell) Dialog med brukere i sektorene Avvik Klager Både ferskvare og historisk materiale. Ikke kvantifiserbart materiale En velbegrunnet bekymringsmelding Side 3

4 Krav til sikker kommunikasjon Personopplysninger er informasjonsverdien Krav til informasjonssikkerhet i Personopplysningslovens 13 Personopplysningsforskriftens kapittel 2 Det er også behov for å sikre andre informasjonsverdier Annet regelverk Forretningsmessig behov Side 4

5 Krav til sikker kommunikasjon Personopplysningsforskriften Konfidensialitet 3. ledd: «Personopplysninger som overføres elektronisk ved hjelp av overføringsmedium utenfor den behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig.» Kortversjonen: Kryptering! Side 5

6 Krav til sikker kommunikasjon Personopplysningsforskriften 2-15 Sikkerhet hos andre virksomheter 1. ledd: «Den behandlingsansvarlige skal bare overføre personopplysninger elektronisk til den som tilfredsstiller kravene i forskriften her.» 4. ledd: «Den behandlingsansvarlige skal etablere klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører. Ansvarsog myndighetsforhold skal beskrives i særskilt avtale.» Side 6 Kortversjonen: Bli enige om kommunikasjonsformen

7 Grovsortering Offentlig Privat Offentlig Privat Offentlig Innbygger Innbygger / kunde Innbygger / kunde Offentlig Privat Privat Innbygger Side 7

8 Publikumstjenester Der hvor vi er i ferd med å lykkes Sikker kommunikasjon er velforankret forventet av forbrukeren Selvfølgelig mye å ta tak i men vi bruker ikke tiden her Side 8

9 Problemet E-post I mangel på noe annet Side 9

10 Problemet Den som møter problemet har ikke et tilgjengelig alternativ Side 10

11 Hva har vi som fungerer Portaler Løser publikumstjenester Løser innrapportering til det offentlige Felles fagsystem Eller tilgang i hverandres Eller felles database Krypterte linjer Etater med et utstrakt samhandlingsbehov Side 11

12 Hva har vi som fungerer Sektorløsninger F.eks. Helse (Selv om ikke alt fungerer ) Bruk av PKI-baserte løsninger Lite utbredt Partene har erkjent sikkerhetsbehov og etablert en god løsning Side 12

13 Hva gjør vi i mangel på den gode løsningen Krypterer med kontorstøtteapplikasjoner og med dårlige passord Bedre enn alternativet Splitter informasjonen Side 13

14 Hva gjør vi i mangel på den gode løsningen Bruker en skytjeneste for fildeling Legger dataen på et «skjult» område på en åpen server Finner frem faxen Sender e-posten Side 14

15 E-posten Er løsningen for den som møter problemet Det finnes ikke portaler for alt Ikke alt passer i sektorløsninger Ustrukturert samhandling mellom ulike parter løses først når vi tar i bruk sikre forsendelser Side 15

16 Utfordringer med «gode» løsninger Selv om e-posten blir sikker Ustrukturert informasjonsflyt er utfordrende Manglede kontroll med informasjonen Manglende sletting Ikke tilstrekkelig sikker oppbevaring Informasjonen kommer ikke (bare) i fagsystemet dit den skal Kryptert innhold inn utfordrer sikkerhetstiltakene Høres enkelt ut Men det er krevende å bygge en brukervennlig og sikker løsning Side 16

17 Veien videre Jakten på usikret kommunikasjon fortsetter Delta! Postkassetjenester? Fortsett med standardisering og sektorløsninger hvor det er naturlig Side 17

18 Veien videre Ta i bruk standardiserte PKI-baserte løsninger som lar seg skalere Arbeid for sikker implementering Kultur er også viktig Erstatter ikke teknisk tilrettelegging Side 18

19

20 Fremtiden Ny personvernforordning Større flyt av personopplysninger på tvers av landegrenser Tilsynsmyndigheten mer koordinert Viktig med regulatorisk etterlevelse for den behandlingsansvarlige Mindre forhåndskontroll Mer tilsyn? Endret informasjonssikkerhetsregelverk Strengere plikter for den behandlingsansvarlige Strengere sanksjonsregime MYE strengere Side 20

21 7 steg til innebygd personvern 1. Vær i forkant, forebygg fremfor å reparere 2. Gjør personvern til standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet: Både-og, ikke enten-eller 5. Ivareta informasjonssikkerheten fra start til slutt 6. Vis åpenhet 7. Respekter brukerens personvern Side 21

22 Datatilsynet - i front for retten til selvbestemmelse, integritet og verdighet Side 22