Hvor trykker skoen? Informas. sjonssikkerhet. Tone Hoddø Bakås. Seniorrådgiver, M.Sc., CISA

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Begynne med side:

Download "Hvor trykker skoen? Informas. sjonssikkerhet. Tone Hoddø Bakås. Seniorrådgiver, M.Sc., CISA"

Transkript

1 Seniorrådgiver, M.Sc., CISA Hvor trykker skoen? Informas sjonssikkerhet Personver n, lover og rutiner Tone Hoddø Bakås

2 vordan kan vi være til nytte?

3 Dagens tema Informasjonssikkerhet og n oen aktuelle trusler Lover og forskrifter Viktige rutiner

4 nformasjonssikkerhet og oen aktuelle trusler r

5 Definisjon - Informasjonssikkerhet Informasjonssikkerhet er alle tiltak som sikrer: Tilgjengelighet Informasjon og systemer er tilgjengelig ved behov Integritet Informasjon er korrekt og pålitelig Konfidensialitet i Informasjon kun tilgjengelig g g for de som skal ha tilgang g

6 Hva beskytter vi? Informasjon IT-systemer Verdier som forvaltes Personvern Evnen til å løse prioriterte oppgaver og tjenester Renommé

7

8 ansett hvilket datasystem en kommune bruker, så skal et stem alltid følges opp for å dobbeltsjekke at sensitive plysninger ikke havner på avve eie. Dersom dette ikke er gjort, er det alltid en menneskelig svikt som ligger bak, sier Knut

9 Sensitive person- plysninger lagt ut på ttbasert postjournal

10

11 Pasientopplysninger i åpen contain Feil lbretting i konvolutt, diagnosen i vinduet

12

13 Feilsendt e-post til 200 kommuneansatte om pasient

14

15

16 nglende kontroll på informasjon Informasjonen er verdien d Dokumenter og papirer WEB-sider Bærbare PC-er Mobiltelefoner og PDA-e er Minnepinner Trådløse nettverk Misbruk av IT systemer Informasjon på åpne kanaler/ Internett Lagring av informasjon Kryptering - Sikkerhetskopier

17 ttsamfunn o Hva o Hva o Hva er arkivverdig? er privat? er kommunens/ /bedriftens?

18 oen aktuelle lover

19 Lover og forskrifter Straffeloven Personopplysningsloven Helseregisterloven Kredittilsynets IKT-forskrift Sikkerhetsloven Beredskapsforskriften Arkivloven

20 Informasjonsbehand dling Arkiv-tjenesten behandler svært mye informasjon Viktig rolle og rollemodell for resten av virksomheten Viktig ansvar Hvem er sikkerhetsansvarlig? Hvem er dokumentansvarlig? Hvem er ansvarlig for perso onopplysninger?

21 Lovregulering av personvern Personvern og informas sjonssikkerhet Personopplysningsloven med forskrifter Helseregisterloven 16 Schengenloven 3 Folketrygdloven Teleloven 7-77

22 Internasjonalt vern Menneskerettigheter EUs direktiv om behandling av personopplysninger (1995) Personopplysningsloven i Norge bygger på denne

23 Personopplysnings loven Lov om behandling av pers sonopplysninger 14. april 2000 Personopplysningsforskriften All behandling av personop pplysninger Som direkte eller indirekte kan knyttes til fysisk person Omfatter informasjonsbehandlingen Hovedregel: Samtykk ke Sensitive personopplysninger Krav til informasjonssikkerhet Datatilsynet fører tilsyn med overholdelse av loven

24 Sensitive personopp pplysninger py Rasemessig eller etnisk ba kgrunn Politisk, filosofisk, religiøs oppfatning Mistenkt, siktet, tiltalt, dømt for straffbar handling Helseforhold Seksuelle forhold Medlemskap i fagforening

25 Behandlingsansvarl lig Den som bestemmer formå ålet med behandlingen Ledelsen er behandlingsansvarlig En som er ansvarlig på leders vegne Databehandler

26 latelse til å behandle personopplysninger Krav til rettslig grunnlag, 8 Samtykke hovedregel Frivillig, uttrykkelig og inform mert Lovhjemmel Nødvendighet Krav til konsesjon i visse tilfelle Hvis behandling av sensitive opplysninger I enkelttilfelle når Datatilsynet fastsetter det Kan stille krav til sikring i av personopplysninger Taushetsplikt, opplysningsplikt 8og9 e, jf peol mv

27 Formål for behandling, 11 b og c Må være saklig begrunnet i virkso omheten Kan senere endres, men ikke ubegrenset Må normalt meldes Datatilsynet, jf peol 31 og 32 Opplysningskvalitet lit t Tilstrekkelige Relevante Korrekte Oppdaterte Nødvendig (i tid og omfang)

28 Informasjonssikkerhet og internkontroll, 13 og 14 Tiltak skal være Planlagte Systematiske ti Dokumenterte Dokumentasjon skal være tilgjengelig for Informasjonssikkerhet skal omf fatte Konfidensialitet Integritet Tilgjengelighet Informasjonssikkerheten skal være tilfredsstillende, jf pol 13 Forskriften har minstekrav

29 Organisering g av sikkerhetsarbeidet Den daglige ledelsen er an svarlig for etterlevelse Krever klare ansvars- og myndighetsforhold IS skal konfigureres slik at oppnås tilfredsstillende sikkerhet Ansvar- og myndighetsforhold samt konfigurasjon av systemet t skal dokumentere es Personell skal bare utføre pålagte oppgaver de er autoriserte for Personell skal ha nødvendi ig kunnskap om bruk i hht autorisasjon og rutiner (2-8)

30 Endring og sletting Opplysninger av betydning for dokumentasjon skal markeres, sperres og suppleres Opplysninger uten betydning for do okumentasjon skal rettes og slettes Retting, sletting mv skal gjøres av eget tiltak eller etter påkrav Den behandlingsansvarlige g skal om mulig sørge for at feil ikke får konsekvenser for den enkelte Sletting av opplysninger er aktuelt når opplysningene er ukorrekte behandling av opplysningene mangler rettslig grunnlag eller dette faller bort Det rettslige grunnlaget kan falle bort (peol 27) ved at Lovhjemmelen endres/fjernes Samtykke trekkes tilbake Nødvendighetsgrunn opphører

31 Databehandleravtale Dersom andre skal behandle pers sonopplysninger på vegne av den behandlingsansvarlige (outsourcing) Skriftlig avtale mellom partene Avtalen skal forplikte partene til å følge kravene etter peol 13 med tilhørende forskrifter

32 Sikkerhetsloven Fra 20. mars 1998 Motvirke trusler mot rikets sikkerhets og andre vitale sikkerhetsinteresser Gradering av informasjon Strengt hemmelig Hemmelig Konfidensielt Begrenset Forskrift om informasjonssi i kkerhet

33 Beskyttelsesinstruksen Ansvarlig: Statsministerens t i t kontor Vedtatt som et slags speilbi lde av sikkerhetsinstruksen, for gradering av andre grunner enn de som er nevnt der Omfatter også elektroniske Ved databehandling av beskyttelsesgraderte dokumenter gjelder utvalgte deler av sikkerhetsloven med forskrifter Graderinger: Strengt t Fortrolig Fortrolig dokumenter mv Disse reglene sier mer konkret hvordan bl a taushetsbelagte opplysninge er i staten skal behandles, både i den papirbaserte og elektroniske verden

34 Arkivlova Formål tryggja arkiv slik at dessee kan verta tekne vare på og gjorde tilgjengelege l for ette ertida. Gjelder alle offentlige organer Konfidensialitet, tilgjengelighet og integritet 6 - Offentlege organ plikta ar å ha arkiv, og desse skal vera ordna og innretta slik at dokumenta er tryggja som informasjonskjelder for sam mtid og ettertid Kassaksjon og sletting (jfr personopplysningsloven)

35 Forskrift til arkivlova Planer og organisering (ink kl regelverk) Krav til arkivnøkler, dagligarkiv, oppstilling Journalføring For registrering av tryggings sgraderte dokument gjeld føresegner om informasjonstrygging 4-10 til 4-17 fastsette i medhald av trygg gingslova. For registrering av vernegraderte dokument gjeld verneinstruksen 8. Eget kapittel om lagringsme edium Sikre integritet og tilgjengelighet Behandling av post/ e-post Hvordan få til rutiner som s ikrer arkivering? (kompletthet) Krav til fysisk sikring av lokaler

36 Forskrift om utfyllende tekniske og arkivfaglige bestem melser Strenge integritetskrav og nøye spesifikasjoner Feltlengder, formater osv Sikkerhetsrutiner som f eks ansvar a for brukerrettigheter ettg eter registrering og arkivering av e-post operatøransvar, kvalitetssik kring ved skanning Kvalitetssikring digital signatur - regler og rutineopplegg registrering g av unntak for offentlighet Nødprosedyrer dersom systemet er ute av drift.

37 utiner og viktige tiltak

38

39 Risikovurdering Bestemme akseptabel risik ko Vurdere trusler Vurdere årsaker Finne risiko Konsekvensene Sannsynligheten Iverksette tilstrekkelige tiltak Policy, regler, retningslinjerr Tekniske tiltak Opplæring og holdninger for ledere og ansatte

40 Internkontroll Styrende elementer Beslutninger og føringer fra ledelsen Gjennomførende elementer Rutiner for de ansattes arbeidssituasjon Kontrollerende elementer Fange opp avvik Periodiske gjennomganger

41 Krav til den interne kontroll Planlagte og systematiske Eks på rutiner for håndtering av personopplysninger: Iverksettelse og opphør av Melde- ede og konsesjonsplikt sp Sletting av personopplysninger Kvalitetssikring av personop pplysninger Innhenting og kontroll av samtykke Plikt til informasjon Publisering gpå Internett Innsyn i e-post og private tiltak for å oppfylle kravene behandling filområder

42 Viktige tiltak Tilgangskontroll Logging Kryptering av konfidensiell informasjonn informasjon som er særlig utsatt (minnepinner, på reise) Sikring i og regler for bruk av bærbart b utstyr Opplæring Oppæ av ansatte / bruk kere ee Sikkerhetskultur

43 Sikkerhetskultur aspekter ved en kultur som påvirker sikkerheten i en el annen retning er noe mer enn summen av holdninger er rotfestet i organisasjonen og er delt av flere individer En god eller dårlig sikkerhetskultur påvirker sikkerhetsnivå Informasjonssikkerhet har beveget seg fra «harde» redsk (teknologi) til «myke» sikkerhetshjelpemidler (holdninger) Et harmonisk sikkerhetsarb eid krever både «harde» og «myke» prinsipper (NTNU/ Kufås og Mølmann) Bruce Schneier: «If you think technology can solve your security problems, then you don t understand the problem and you don t understand the technology»

44 Beredskapsplanlegg p ging g En plan eller strategi for å møte uventede avbrudd (Kriseplan, katastrofeplan, kontinuitetsplan)

45 Hvordan bevare holdninger til sikkerhet med ny teknologi?

46 Kontaktin nformasjon Tone Hoddø Bak kås Telefon: (+47)

Bruk av sporingsteknologi i virksomheters kjøretøy

Bruk av sporingsteknologi i virksomheters kjøretøy Bruk av sporingsteknologi i virksomheters kjøretøy (januar 2012) Innhold 1. Innledning... 2 2. Regelverk... 2 2.1. Arbeidsmiljøloven... 2 2.2. Personopplysningsloven... 3 2.2.1. Behandlingsgrunnlag...

Detaljer

Arbeid med informasjonssikkerhet; fra juss til styring og rutiner

Arbeid med informasjonssikkerhet; fra juss til styring og rutiner Nr. 2006:4 Arbeid med informasjonssikkerhet; fra juss til styring og rutiner Skrevet på oppdrag fra Fornyings- og administrasjonsdepartementet Forord Statskonsult viderefprte i 2005 sitt flerflrige arbeid

Detaljer

Merknader til personopplysningsforskriften kapittel 9:

Merknader til personopplysningsforskriften kapittel 9: Merknader til personopplysningsforskriften kapittel 9: Til 9-1 Virkeområdet for bestemmelsene er innsyn i arbeidstakers e-postkasse mv. Mv viser til 9-1 2. ledd, der det er nærmere angitt hvilke elektroniske

Detaljer

Kameraovervåking hva er lov? Sist endret: april 2015

Kameraovervåking hva er lov? Sist endret: april 2015 Kameraovervåking hva er lov? Sist endret: april 2015 Kameraovervåking kan være et inngrep i personvernet. Overvåkingen er derfor lovregulert, og den ansvarlige har plikt til å sette seg godt inn i regelverket

Detaljer

PERSONVERN I SKOLE OG BARNEHAGE

PERSONVERN I SKOLE OG BARNEHAGE PERSONVERN I SKOLE OG BARNEHAGE Samlerapport, juni 2014 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: Pb 8177 Dep, 0034 Oslo E-post: postkasse@datatilsynet.no Telefon: 22 39 69 00 Faks: 22

Detaljer

Sikker håndtering av personopplysninger i skolen

Sikker håndtering av personopplysninger i skolen Sikker håndtering av personopplysninger i skolen veiledning Om Senter for IKT i utdanningen Senter for IKT i utdanningen er et forvaltningsorgan under Kunnskapsdepartementet. Senterets oppgave er å bidra

Detaljer

Arbeidsmiljø nr. 1-10. Personvern, kontroll og overvåkning på arbeidsplassen. Hva kan tillitsvalgte og verneombud gjøre?

Arbeidsmiljø nr. 1-10. Personvern, kontroll og overvåkning på arbeidsplassen. Hva kan tillitsvalgte og verneombud gjøre? Arbeidsmiljø nr. 1-10 Personvern, kontroll og overvåkning på arbeidsplassen Hva kan tillitsvalgte og verneombud gjøre? Et åpent og demokratisk samfunn bygger på tillit til enkeltmennesket. Vern av personlig

Detaljer

Krav til en vertsorganisasjon i Feide

Krav til en vertsorganisasjon i Feide Krav til en vertsorganisasjon i Feide veiledning Om Senter for IKT i utdanningen Senter for IKT i utdanningen er et forvaltningsorgan under Kunnskapsdepartementet. Senterets oppgave er å bidra til at bruken

Detaljer

Vår ref: 2011/ 67 Oslo, 1. november 2011

Vår ref: 2011/ 67 Oslo, 1. november 2011 Helse- og omsorgsdepartementet Pb. 8011 Dep 0030 Oslo Vår ref: 2011/ 67 Oslo, 1. november 2011 Høringssvar - Forslag til lovendringer i samband med etablering av Norsk helsearkiv og Helsearkivregisteret

Detaljer

Etiske retningslinjer for atferd

Etiske retningslinjer for atferd Etiske retningslinjer for atferd 1 Formål, målgruppe og hjemmel 5 2 Etiske retningslinjer for atferd 7 2.1 Hovedformålet med etiske retningslinjer for atferd 7 2.2 Statoils forpliktelser 7 2.3 Presentasjon

Detaljer

Kort om internkontroll for deg som er leder

Kort om internkontroll for deg som er leder Veileder Kort om internkontroll for deg som er leder DFØ 04/2013, 1. opplag Forord Som leder har du ansvar for virksomhetens internkontroll og for å tilpasse denne til risiko, vesentlighet og egenart.

Detaljer

Tilsyn med barn i fosterhjem Veileder

Tilsyn med barn i fosterhjem Veileder Tilsyn med barn i fosterhjem Veileder 02 / 2015 TILSYN MED BARN I FOSTERHJEM / BUFDIR 1 BARNE-, UNGDOMS- OG FAMILIEDIREKTORATET 02 /2015 Postadresse Postboks 2233 3103 Tønsberg Besøksadresse Stensberggaten

Detaljer

Helsepersonells opplysningsplikt til barnevernet

Helsepersonells opplysningsplikt til barnevernet Oppsummering av kunnskap fra tilsyn mv. Helsepersonells opplysningsplikt til barnevernet RAPPORT FRA HELSETILSYNET 2/2014 MARS 2014 Rapport fra Helsetilsynet 2/2014 Helsepersonells opplysningsplikt til

Detaljer

Kommunenes helsefremmende og forebyggende arbeid i helsestasjons- og skolehelsetjenesten.

Kommunenes helsefremmende og forebyggende arbeid i helsestasjons- og skolehelsetjenesten. Veileder IS-1154 Kommunenes helsefremmende og forebyggende arbeid i helsestasjons- og skolehelsetjenesten. Veileder til forskrift av 3.april 2003 nr. 450 Heftets tittel: Kommunenes helsefremmende og forebyggende

Detaljer

Hvordan Holde orden i eget Hus

Hvordan Holde orden i eget Hus Veileder IS-1183 Hvordan Holde orden i eget Hus internkontroll i sosialog helsetjenesten innhold 1 Innledning... 6 1.1 Bakgrunn... 7 1.2 Hva er internkontroll... 7 1.3 Internkontroll som en del av et kvalitetssystem...

Detaljer

Samhandling mellom helse- og omsorgstjenesten i kommunene og tros- og livssynssamfunn

Samhandling mellom helse- og omsorgstjenesten i kommunene og tros- og livssynssamfunn Samhandling mellom helse- og omsorgstjenesten i kommunene og tros- og livssynssamfunn Den som mottar helse- og omsorgstjenester har også rett til å utøve sin tro eller sitt livssyn alene og i fellesskap

Detaljer

10-1. System for oppfyllelse av plan- og bygningsloven. Krav til rutiner

10-1. System for oppfyllelse av plan- og bygningsloven. Krav til rutiner 10-1. System for oppfyllelse av plan- og bygningsloven. Krav til rutiner Lastet ned fra Direktoratet for byggkvalitet 05.07.2015 10-1. System for oppfyllelse av plan- og bygningsloven. Krav til rutiner

Detaljer

En veiledning. Sikkerhets- og beredskapstiltak mot terrorhandlinger

En veiledning. Sikkerhets- og beredskapstiltak mot terrorhandlinger En veiledning Sikkerhets- og beredskapstiltak mot terrorhandlinger Utgitt av Nasjonal sikkerhetsmyndighet, Politidirektoratet og Politiets sikkerhetstjeneste Sikkerhetsråd 01 Gjennomfør en risikovurdering

Detaljer

Rutiner for varsling om kritikkverdige forhold i Sjømannskirken

Rutiner for varsling om kritikkverdige forhold i Sjømannskirken Rutiner for varsling om kritikkverdige forhold i Sjømannskirken Vedtatt i Arbeidsmiljøutvalet 07.12.2010 Bakgrunn Fra 1. januar 2007 ble det innført nye regler for varsling av kritikkverdige forhold, jf

Detaljer

Barn og unges personopplysninger: Retningslinjer for innhenting og bruk

Barn og unges personopplysninger: Retningslinjer for innhenting og bruk Barn og unges personopplysninger: Retningslinjer for innhenting og bruk Barn og unge vil i mange tilfeller ikke evne å se rekkevidden og konsekvensen av å gi fra seg sine personopplysninger. Deres samtykke

Detaljer

Om vernepleieren som helsepersonell og rettsanvender

Om vernepleieren som helsepersonell og rettsanvender Om vernepleieren som helsepersonell og rettsanvender Den juridiske rammen for yrkesutøvelsen Av vernepleier og jurist Wenche Natland Dahlen Innledning Et kjennetegn ved velferdsstaten er at den ivaretar

Detaljer

Veiledning til sikkerhetslovens kapittel 6 og forskrift om personellsikkerhet

Veiledning til sikkerhetslovens kapittel 6 og forskrift om personellsikkerhet Nasjonal sikkerhetsmyndighet Versjonsnr.: 10 Veiledning til sikkerhetslovens kapittel 6 og forskrift om personellsikkerhet Fastsatt av Nasjonal sikkerhetsmyndighet med hjemmel i lov 20. mars 1998 om forebyggende

Detaljer

Håndbok for medisinske kvalitetsregistre

Håndbok for medisinske kvalitetsregistre Håndbok for medisinske kvalitetsregistre - For bedre helsetjenester Innholdsfortegnelse 1 Hva er et kvalitetsregister? 4 1.1 Faser i etablering av et kvalitetsregister 4 1.2 Formål 4 2 Hvordan måle kvalitet?

Detaljer

GOD VIRKSOMHETSSTYRING. Grunnlag for god pasientbehandling. Rammeverk for virksomhetsstyring, intern styring og kontroll, i Helse Sør-Øst

GOD VIRKSOMHETSSTYRING. Grunnlag for god pasientbehandling. Rammeverk for virksomhetsstyring, intern styring og kontroll, i Helse Sør-Øst GOD VIRKSOMHETSSTYRING Grunnlag for god pasientbehandling Rammeverk for virksomhetsstyring, intern styring og kontroll, i Helse Sør-Øst Hamar, desember2010 1 Forord Å gi god og riktig pasientbehandling

Detaljer

Flåtestyring - vil vi ha det?

Flåtestyring - vil vi ha det? Flåtestyring - vil vi ha det? Innlegg holdt av forbundssekretær Henning Solhaug under eforvaltningskonferansen 2011. Flåtestyring vil vi ha det? har arrangørene satt som tittel på mitt innlegg. Om jeg

Detaljer

Helse og miljø er god butikk

Helse og miljø er god butikk Helse og miljø er god butikk SYSTEMATISK Systematisk helse-, HELSE-, miljø- MILJØ- og sikkerhetsarbeid OG SIKKERHETSARBEID - revidert august 2013 2 Systematisk helse-, miljø- og sikkerhetsarbeid Hos: Dato:

Detaljer

Veileder. Godkjenning av barnehager

Veileder. Godkjenning av barnehager Veileder Godkjenning av barnehager Innhold 1. Innledning 5 2. Lovgrunnlaget 7 2.1. Bestemmelser i barnehageregelverket 7 2.2. Bestemmelser i annet regelverk 9 3. Ansvarsforhold 11 3.1. Barnehageeierens

Detaljer

Veileder. Til barnets beste samarbeid mellom barnehagen og barneverntjenesten

Veileder. Til barnets beste samarbeid mellom barnehagen og barneverntjenesten Veileder Til barnets beste samarbeid mellom barnehagen og barneverntjenesten Veileder Til barnets beste samarbeid mellom barnehagen og barneverntjenesten 1.Innledning Veilederen finnes på departementenes

Detaljer

Rapport, mai 2013 Versjon: 2.0 tten selv å bestemme over genetiske opplysnigner og biologisk materiale

Rapport, mai 2013 Versjon: 2.0 tten selv å bestemme over genetiske opplysnigner og biologisk materiale Personvernutfordringer ved genetiske undersøkelser Rapport, mai 2013 Versjon: 2.0 tten selv å bestemme over genetiske opplysnigner og biologisk materiale 1 Forord Datatilsynet har i virksomhetsplan for

Detaljer

Retningslinjer for god forretningsskikk

Retningslinjer for god forretningsskikk Retningslinjer for god forretningsskikk Integritet verden over The REAL Thing På RIKTIG måte Opptre med integritet. Vær ærlig. Følg loven. Følg retningslinjene. Vis ansvar. COCA-COLA PLAZA ATLANTA, GEORGIA

Detaljer