Hvor trykker skoen? Informas. sjonssikkerhet. Tone Hoddø Bakås. Seniorrådgiver, M.Sc., CISA
|
|
- Erling Christensen
- 9 år siden
- Visninger:
Transkript
1 Seniorrådgiver, M.Sc., CISA Hvor trykker skoen? Informas sjonssikkerhet Personver n, lover og rutiner Tone Hoddø Bakås
2 vordan kan vi være til nytte?
3 Dagens tema Informasjonssikkerhet og n oen aktuelle trusler Lover og forskrifter Viktige rutiner
4 nformasjonssikkerhet og oen aktuelle trusler r
5 Definisjon - Informasjonssikkerhet Informasjonssikkerhet er alle tiltak som sikrer: Tilgjengelighet Informasjon og systemer er tilgjengelig ved behov Integritet Informasjon er korrekt og pålitelig Konfidensialitet i Informasjon kun tilgjengelig g g for de som skal ha tilgang g
6 Hva beskytter vi? Informasjon IT-systemer Verdier som forvaltes Personvern Evnen til å løse prioriterte oppgaver og tjenester Renommé
7
8 ansett hvilket datasystem en kommune bruker, så skal et stem alltid følges opp for å dobbeltsjekke at sensitive plysninger ikke havner på avve eie. Dersom dette ikke er gjort, er det alltid en menneskelig svikt som ligger bak, sier Knut
9 Sensitive person- plysninger lagt ut på ttbasert postjournal
10
11 Pasientopplysninger i åpen contain Feil lbretting i konvolutt, diagnosen i vinduet
12
13 Feilsendt e-post til 200 kommuneansatte om pasient
14
15
16 nglende kontroll på informasjon Informasjonen er verdien d Dokumenter og papirer WEB-sider Bærbare PC-er Mobiltelefoner og PDA-e er Minnepinner Trådløse nettverk Misbruk av IT systemer Informasjon på åpne kanaler/ Internett Lagring av informasjon Kryptering - Sikkerhetskopier
17 ttsamfunn o Hva o Hva o Hva er arkivverdig? er privat? er kommunens/ /bedriftens?
18 oen aktuelle lover
19 Lover og forskrifter Straffeloven Personopplysningsloven Helseregisterloven Kredittilsynets IKT-forskrift Sikkerhetsloven Beredskapsforskriften Arkivloven
20 Informasjonsbehand dling Arkiv-tjenesten behandler svært mye informasjon Viktig rolle og rollemodell for resten av virksomheten Viktig ansvar Hvem er sikkerhetsansvarlig? Hvem er dokumentansvarlig? Hvem er ansvarlig for perso onopplysninger?
21 Lovregulering av personvern Personvern og informas sjonssikkerhet Personopplysningsloven med forskrifter Helseregisterloven 16 Schengenloven 3 Folketrygdloven Teleloven 7-77
22 Internasjonalt vern Menneskerettigheter EUs direktiv om behandling av personopplysninger (1995) Personopplysningsloven i Norge bygger på denne
23 Personopplysnings loven Lov om behandling av pers sonopplysninger 14. april 2000 Personopplysningsforskriften All behandling av personop pplysninger Som direkte eller indirekte kan knyttes til fysisk person Omfatter informasjonsbehandlingen Hovedregel: Samtykk ke Sensitive personopplysninger Krav til informasjonssikkerhet Datatilsynet fører tilsyn med overholdelse av loven
24 Sensitive personopp pplysninger py Rasemessig eller etnisk ba kgrunn Politisk, filosofisk, religiøs oppfatning Mistenkt, siktet, tiltalt, dømt for straffbar handling Helseforhold Seksuelle forhold Medlemskap i fagforening
25 Behandlingsansvarl lig Den som bestemmer formå ålet med behandlingen Ledelsen er behandlingsansvarlig En som er ansvarlig på leders vegne Databehandler
26 latelse til å behandle personopplysninger Krav til rettslig grunnlag, 8 Samtykke hovedregel Frivillig, uttrykkelig og inform mert Lovhjemmel Nødvendighet Krav til konsesjon i visse tilfelle Hvis behandling av sensitive opplysninger I enkelttilfelle når Datatilsynet fastsetter det Kan stille krav til sikring i av personopplysninger Taushetsplikt, opplysningsplikt 8og9 e, jf peol mv
27 Formål for behandling, 11 b og c Må være saklig begrunnet i virkso omheten Kan senere endres, men ikke ubegrenset Må normalt meldes Datatilsynet, jf peol 31 og 32 Opplysningskvalitet lit t Tilstrekkelige Relevante Korrekte Oppdaterte Nødvendig (i tid og omfang)
28 Informasjonssikkerhet og internkontroll, 13 og 14 Tiltak skal være Planlagte Systematiske ti Dokumenterte Dokumentasjon skal være tilgjengelig for Informasjonssikkerhet skal omf fatte Konfidensialitet Integritet Tilgjengelighet Informasjonssikkerheten skal være tilfredsstillende, jf pol 13 Forskriften har minstekrav
29 Organisering g av sikkerhetsarbeidet Den daglige ledelsen er an svarlig for etterlevelse Krever klare ansvars- og myndighetsforhold IS skal konfigureres slik at oppnås tilfredsstillende sikkerhet Ansvar- og myndighetsforhold samt konfigurasjon av systemet t skal dokumentere es Personell skal bare utføre pålagte oppgaver de er autoriserte for Personell skal ha nødvendi ig kunnskap om bruk i hht autorisasjon og rutiner (2-8)
30 Endring og sletting Opplysninger av betydning for dokumentasjon skal markeres, sperres og suppleres Opplysninger uten betydning for do okumentasjon skal rettes og slettes Retting, sletting mv skal gjøres av eget tiltak eller etter påkrav Den behandlingsansvarlige g skal om mulig sørge for at feil ikke får konsekvenser for den enkelte Sletting av opplysninger er aktuelt når opplysningene er ukorrekte behandling av opplysningene mangler rettslig grunnlag eller dette faller bort Det rettslige grunnlaget kan falle bort (peol 27) ved at Lovhjemmelen endres/fjernes Samtykke trekkes tilbake Nødvendighetsgrunn opphører
31 Databehandleravtale Dersom andre skal behandle pers sonopplysninger på vegne av den behandlingsansvarlige (outsourcing) Skriftlig avtale mellom partene Avtalen skal forplikte partene til å følge kravene etter peol 13 med tilhørende forskrifter
32 Sikkerhetsloven Fra 20. mars 1998 Motvirke trusler mot rikets sikkerhets og andre vitale sikkerhetsinteresser Gradering av informasjon Strengt hemmelig Hemmelig Konfidensielt Begrenset Forskrift om informasjonssi i kkerhet
33 Beskyttelsesinstruksen Ansvarlig: Statsministerens t i t kontor Vedtatt som et slags speilbi lde av sikkerhetsinstruksen, for gradering av andre grunner enn de som er nevnt der Omfatter også elektroniske Ved databehandling av beskyttelsesgraderte dokumenter gjelder utvalgte deler av sikkerhetsloven med forskrifter Graderinger: Strengt t Fortrolig Fortrolig dokumenter mv Disse reglene sier mer konkret hvordan bl a taushetsbelagte opplysninge er i staten skal behandles, både i den papirbaserte og elektroniske verden
34 Arkivlova Formål tryggja arkiv slik at dessee kan verta tekne vare på og gjorde tilgjengelege l for ette ertida. Gjelder alle offentlige organer Konfidensialitet, tilgjengelighet og integritet 6 - Offentlege organ plikta ar å ha arkiv, og desse skal vera ordna og innretta slik at dokumenta er tryggja som informasjonskjelder for sam mtid og ettertid Kassaksjon og sletting (jfr personopplysningsloven)
35 Forskrift til arkivlova Planer og organisering (ink kl regelverk) Krav til arkivnøkler, dagligarkiv, oppstilling Journalføring For registrering av tryggings sgraderte dokument gjeld føresegner om informasjonstrygging 4-10 til 4-17 fastsette i medhald av trygg gingslova. For registrering av vernegraderte dokument gjeld verneinstruksen 8. Eget kapittel om lagringsme edium Sikre integritet og tilgjengelighet Behandling av post/ e-post Hvordan få til rutiner som s ikrer arkivering? (kompletthet) Krav til fysisk sikring av lokaler
36 Forskrift om utfyllende tekniske og arkivfaglige bestem melser Strenge integritetskrav og nøye spesifikasjoner Feltlengder, formater osv Sikkerhetsrutiner som f eks ansvar a for brukerrettigheter ettg eter registrering og arkivering av e-post operatøransvar, kvalitetssik kring ved skanning Kvalitetssikring digital signatur - regler og rutineopplegg registrering g av unntak for offentlighet Nødprosedyrer dersom systemet er ute av drift.
37 utiner og viktige tiltak
38
39 Risikovurdering Bestemme akseptabel risik ko Vurdere trusler Vurdere årsaker Finne risiko Konsekvensene Sannsynligheten Iverksette tilstrekkelige tiltak Policy, regler, retningslinjerr Tekniske tiltak Opplæring og holdninger for ledere og ansatte
40 Internkontroll Styrende elementer Beslutninger og føringer fra ledelsen Gjennomførende elementer Rutiner for de ansattes arbeidssituasjon Kontrollerende elementer Fange opp avvik Periodiske gjennomganger
41 Krav til den interne kontroll Planlagte og systematiske Eks på rutiner for håndtering av personopplysninger: Iverksettelse og opphør av Melde- ede og konsesjonsplikt sp Sletting av personopplysninger Kvalitetssikring av personop pplysninger Innhenting og kontroll av samtykke Plikt til informasjon Publisering gpå Internett Innsyn i e-post og private tiltak for å oppfylle kravene behandling filområder
42 Viktige tiltak Tilgangskontroll Logging Kryptering av konfidensiell informasjonn informasjon som er særlig utsatt (minnepinner, på reise) Sikring i og regler for bruk av bærbart b utstyr Opplæring Oppæ av ansatte / bruk kere ee Sikkerhetskultur
43 Sikkerhetskultur aspekter ved en kultur som påvirker sikkerheten i en el annen retning er noe mer enn summen av holdninger er rotfestet i organisasjonen og er delt av flere individer En god eller dårlig sikkerhetskultur påvirker sikkerhetsnivå Informasjonssikkerhet har beveget seg fra «harde» redsk (teknologi) til «myke» sikkerhetshjelpemidler (holdninger) Et harmonisk sikkerhetsarb eid krever både «harde» og «myke» prinsipper (NTNU/ Kufås og Mølmann) Bruce Schneier: «If you think technology can solve your security problems, then you don t understand the problem and you don t understand the technology»
44 Beredskapsplanlegg p ging g En plan eller strategi for å møte uventede avbrudd (Kriseplan, katastrofeplan, kontinuitetsplan)
45 Hvordan bevare holdninger til sikkerhet med ny teknologi?
46 Kontaktin nformasjon Tone Hoddø Bak kås Telefon: (+47)
Bruk av sporingsteknologi i virksomheters kjøretøy
Bruk av sporingsteknologi i virksomheters kjøretøy (januar 2012) Innhold 1. Innledning... 2 2. Regelverk... 2 2.1. Arbeidsmiljøloven... 2 2.2. Personopplysningsloven... 3 2.2.1. Behandlingsgrunnlag...
DetaljerArbeid med informasjonssikkerhet; fra juss til styring og rutiner
Nr. 2006:4 Arbeid med informasjonssikkerhet; fra juss til styring og rutiner Skrevet på oppdrag fra Fornyings- og administrasjonsdepartementet Forord Statskonsult viderefprte i 2005 sitt flerflrige arbeid
DetaljerMerknader til personopplysningsforskriften kapittel 9:
Merknader til personopplysningsforskriften kapittel 9: Til 9-1 Virkeområdet for bestemmelsene er innsyn i arbeidstakers e-postkasse mv. Mv viser til 9-1 2. ledd, der det er nærmere angitt hvilke elektroniske
DetaljerKameraovervåking hva er lov? Sist endret: april 2015
Kameraovervåking hva er lov? Sist endret: april 2015 Kameraovervåking kan være et inngrep i personvernet. Overvåkingen er derfor lovregulert, og den ansvarlige har plikt til å sette seg godt inn i regelverket
DetaljerPERSONVERN I SKOLE OG BARNEHAGE
PERSONVERN I SKOLE OG BARNEHAGE Samlerapport, juni 2014 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: Pb 8177 Dep, 0034 Oslo E-post: postkasse@datatilsynet.no Telefon: 22 39 69 00 Faks: 22
DetaljerSikker håndtering av personopplysninger i skolen
Sikker håndtering av personopplysninger i skolen veiledning Om Senter for IKT i utdanningen Senter for IKT i utdanningen er et forvaltningsorgan under Kunnskapsdepartementet. Senterets oppgave er å bidra
DetaljerArbeidsmiljø nr. 1-10. Personvern, kontroll og overvåkning på arbeidsplassen. Hva kan tillitsvalgte og verneombud gjøre?
Arbeidsmiljø nr. 1-10 Personvern, kontroll og overvåkning på arbeidsplassen Hva kan tillitsvalgte og verneombud gjøre? Et åpent og demokratisk samfunn bygger på tillit til enkeltmennesket. Vern av personlig
DetaljerKrav til en vertsorganisasjon i Feide
Krav til en vertsorganisasjon i Feide veiledning Om Senter for IKT i utdanningen Senter for IKT i utdanningen er et forvaltningsorgan under Kunnskapsdepartementet. Senterets oppgave er å bidra til at bruken
DetaljerVår ref: 2011/ 67 Oslo, 1. november 2011
Helse- og omsorgsdepartementet Pb. 8011 Dep 0030 Oslo Vår ref: 2011/ 67 Oslo, 1. november 2011 Høringssvar - Forslag til lovendringer i samband med etablering av Norsk helsearkiv og Helsearkivregisteret
DetaljerEtiske retningslinjer for atferd
Etiske retningslinjer for atferd 1 Formål, målgruppe og hjemmel 5 2 Etiske retningslinjer for atferd 7 2.1 Hovedformålet med etiske retningslinjer for atferd 7 2.2 Statoils forpliktelser 7 2.3 Presentasjon
DetaljerKort om internkontroll for deg som er leder
Veileder Kort om internkontroll for deg som er leder DFØ 04/2013, 1. opplag Forord Som leder har du ansvar for virksomhetens internkontroll og for å tilpasse denne til risiko, vesentlighet og egenart.
DetaljerTilsyn med barn i fosterhjem Veileder
Tilsyn med barn i fosterhjem Veileder 02 / 2015 TILSYN MED BARN I FOSTERHJEM / BUFDIR 1 BARNE-, UNGDOMS- OG FAMILIEDIREKTORATET 02 /2015 Postadresse Postboks 2233 3103 Tønsberg Besøksadresse Stensberggaten
DetaljerHelsepersonells opplysningsplikt til barnevernet
Oppsummering av kunnskap fra tilsyn mv. Helsepersonells opplysningsplikt til barnevernet RAPPORT FRA HELSETILSYNET 2/2014 MARS 2014 Rapport fra Helsetilsynet 2/2014 Helsepersonells opplysningsplikt til
DetaljerKommunenes helsefremmende og forebyggende arbeid i helsestasjons- og skolehelsetjenesten.
Veileder IS-1154 Kommunenes helsefremmende og forebyggende arbeid i helsestasjons- og skolehelsetjenesten. Veileder til forskrift av 3.april 2003 nr. 450 Heftets tittel: Kommunenes helsefremmende og forebyggende
DetaljerHvordan Holde orden i eget Hus
Veileder IS-1183 Hvordan Holde orden i eget Hus internkontroll i sosialog helsetjenesten innhold 1 Innledning... 6 1.1 Bakgrunn... 7 1.2 Hva er internkontroll... 7 1.3 Internkontroll som en del av et kvalitetssystem...
DetaljerSamhandling mellom helse- og omsorgstjenesten i kommunene og tros- og livssynssamfunn
Samhandling mellom helse- og omsorgstjenesten i kommunene og tros- og livssynssamfunn Den som mottar helse- og omsorgstjenester har også rett til å utøve sin tro eller sitt livssyn alene og i fellesskap
Detaljer10-1. System for oppfyllelse av plan- og bygningsloven. Krav til rutiner
10-1. System for oppfyllelse av plan- og bygningsloven. Krav til rutiner Lastet ned fra Direktoratet for byggkvalitet 05.07.2015 10-1. System for oppfyllelse av plan- og bygningsloven. Krav til rutiner
DetaljerEn veiledning. Sikkerhets- og beredskapstiltak mot terrorhandlinger
En veiledning Sikkerhets- og beredskapstiltak mot terrorhandlinger Utgitt av Nasjonal sikkerhetsmyndighet, Politidirektoratet og Politiets sikkerhetstjeneste Sikkerhetsråd 01 Gjennomfør en risikovurdering
DetaljerRutiner for varsling om kritikkverdige forhold i Sjømannskirken
Rutiner for varsling om kritikkverdige forhold i Sjømannskirken Vedtatt i Arbeidsmiljøutvalet 07.12.2010 Bakgrunn Fra 1. januar 2007 ble det innført nye regler for varsling av kritikkverdige forhold, jf
DetaljerBarn og unges personopplysninger: Retningslinjer for innhenting og bruk
Barn og unges personopplysninger: Retningslinjer for innhenting og bruk Barn og unge vil i mange tilfeller ikke evne å se rekkevidden og konsekvensen av å gi fra seg sine personopplysninger. Deres samtykke
DetaljerOm vernepleieren som helsepersonell og rettsanvender
Om vernepleieren som helsepersonell og rettsanvender Den juridiske rammen for yrkesutøvelsen Av vernepleier og jurist Wenche Natland Dahlen Innledning Et kjennetegn ved velferdsstaten er at den ivaretar
DetaljerVeiledning til sikkerhetslovens kapittel 6 og forskrift om personellsikkerhet
Nasjonal sikkerhetsmyndighet Versjonsnr.: 10 Veiledning til sikkerhetslovens kapittel 6 og forskrift om personellsikkerhet Fastsatt av Nasjonal sikkerhetsmyndighet med hjemmel i lov 20. mars 1998 om forebyggende
DetaljerHåndbok for medisinske kvalitetsregistre
Håndbok for medisinske kvalitetsregistre - For bedre helsetjenester Innholdsfortegnelse 1 Hva er et kvalitetsregister? 4 1.1 Faser i etablering av et kvalitetsregister 4 1.2 Formål 4 2 Hvordan måle kvalitet?
DetaljerGOD VIRKSOMHETSSTYRING. Grunnlag for god pasientbehandling. Rammeverk for virksomhetsstyring, intern styring og kontroll, i Helse Sør-Øst
GOD VIRKSOMHETSSTYRING Grunnlag for god pasientbehandling Rammeverk for virksomhetsstyring, intern styring og kontroll, i Helse Sør-Øst Hamar, desember2010 1 Forord Å gi god og riktig pasientbehandling
DetaljerFlåtestyring - vil vi ha det?
Flåtestyring - vil vi ha det? Innlegg holdt av forbundssekretær Henning Solhaug under eforvaltningskonferansen 2011. Flåtestyring vil vi ha det? har arrangørene satt som tittel på mitt innlegg. Om jeg
DetaljerHelse og miljø er god butikk
Helse og miljø er god butikk SYSTEMATISK Systematisk helse-, HELSE-, miljø- MILJØ- og sikkerhetsarbeid OG SIKKERHETSARBEID - revidert august 2013 2 Systematisk helse-, miljø- og sikkerhetsarbeid Hos: Dato:
DetaljerVeileder. Godkjenning av barnehager
Veileder Godkjenning av barnehager Innhold 1. Innledning 5 2. Lovgrunnlaget 7 2.1. Bestemmelser i barnehageregelverket 7 2.2. Bestemmelser i annet regelverk 9 3. Ansvarsforhold 11 3.1. Barnehageeierens
DetaljerVeileder. Til barnets beste samarbeid mellom barnehagen og barneverntjenesten
Veileder Til barnets beste samarbeid mellom barnehagen og barneverntjenesten Veileder Til barnets beste samarbeid mellom barnehagen og barneverntjenesten 1.Innledning Veilederen finnes på departementenes
DetaljerRapport, mai 2013 Versjon: 2.0 tten selv å bestemme over genetiske opplysnigner og biologisk materiale
Personvernutfordringer ved genetiske undersøkelser Rapport, mai 2013 Versjon: 2.0 tten selv å bestemme over genetiske opplysnigner og biologisk materiale 1 Forord Datatilsynet har i virksomhetsplan for
DetaljerRetningslinjer for god forretningsskikk
Retningslinjer for god forretningsskikk Integritet verden over The REAL Thing På RIKTIG måte Opptre med integritet. Vær ærlig. Følg loven. Følg retningslinjene. Vis ansvar. COCA-COLA PLAZA ATLANTA, GEORGIA
Detaljer