INF37000 Informasjonsteknologi og samfunn. Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet
|
|
- Samuel Rasmussen
- 5 år siden
- Visninger:
Transkript
1 INF37000 Informasjonsteknologi og samfunn Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo Vår 2018
2 Personvern i grunnloven 102: Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet. INF Innebygd personvern og sikkerhet 2
3 Personopplysningsvern Beskytte spesifikke aspekter ved informasjon som kan relateres til fysiske personer (personinformasjon) Forhindre urettmessig innsamling og oppbevaring av personinformasjon Forhindre urettmessig bruk av innsamlet personinformasjon Sørge for at personinformasjon er korrekt Sørge for åpenhet og innsyn (spør facebook om opplysninger) Definere klar ansvarsfordeling Krav til adekvat informasjonssikkerhet rundt personinformasjon INF Innebygd personvern og sikkerhet 3
4 INF Innebygd personvern og sikkerhet 4
5 Nedtelling til GDPR (PVF) INF Innebygd personvern og sikkerhet 5
6 Personvernforordningen (PVF) EUs lovtekst oversettes uendret Trer ikraft som nasjonal lov i hele EU/EFTA 25. mai paragrafer Paragraf 25 og 32 er særlig sikkerhetsrelevante Forbud mot å forvalte personinformasjon med IT-systemer som ikke følger prinsippene om innebygd personvern og sikkerhet Bøter opp til eller 4% av omsetning Betydning for utdanning: Alle informatikere og IT-designere må tilegne seg kunnskap om innebygd personvern og sikkerhet. INF Innebygd personvern og sikkerhet 6
7 PVF 25: Innebygd personvern og personvern som standardinnsstilling 1. Det skal gjennomføres egnede tekniske og organisatoriske tiltak for å oppnå et effektivt vern av personopplysninger for å oppfylle kravene i denne forordning og verne de registrertes rettigheter. 2. Det skal gjennomføres egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare behandles personopplysninger som er nødvendige for spesifikke formål. Dette gjelder mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet. INF Innebygd personvern og sikkerhet 7
8 PVF 32: Sikkerhet ved behandlingen (Innebygd informasjonssikkerhet) 1. Det skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, herunder blant annet: a) pseudonymisering og kryptering av personopplysninger b) evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene, c) evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid ved tekniske hendelser d) regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er 2. Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen INF Innebygd personvern og sikkerhet 8
9 Innebygd informasjonssikkerhet Krav Forvaltning Design Opplæring Produksjonssetting Koding Test INF Innebygd personvern og sikkerhet 9
10 Opplæring Oplæring i personvern og sikkerhet Mål: Basiskunnskap og forståelse for personvern og informasjonssikkerhet, og risiko tilknyttet dette Hva skal det gis opplæring i: Når og hvorfor personvern og informasjonssikkerhet er viktig i de ansattes daglige arbeidsoppgaver. Suksesskriterier er at virksomheten sørger for ansatte har kompetanse om personvern og IT-sikkerhet retningslinjer for personvern og informasjonssikkerhet, intern opplæring i disse retningslinjene INF Innebygd personvern og sikkerhet 10
11 Krav Krav til system og behandling Definer type personopplysninger som skal behandles Definer hvilke slutninger som kan trekkes om indidivider Hvem er brukere og eiere av personinformasjonen Definer behandlingsansvarlig og databehandler Hvem er 3.parts mottager av personinformasjon Definer hvilke opplysninger det er nødvendig å samle inn, omfang lagringstid og tilgjengelighet. Åpenhet, vis hvilken informasjon som lagres, så den registrerte kan ivareta sine rettigheter. Velg adekvate tiltak for informasjonssikkerhet INF Innebygd personvern og sikkerhet 11
12 Personvernrisiko Krav Sannsynlighet og konsekvens for: Personvernhendelser, f.eks.: Tyveri og publisering av personinfo Urettmessig diskriminering basert på personinfo og profilering Re-identifisering basert på data som skal være anonyme eller pseudonym Uønsket innsamling Sikkerhetshendelser, f.eks.: Brudd på KIT (konfidensialitet, integritet, tilgjengelighet) for personinfo. Toleransenivå for hendelser: Nulltoleranse Relativt toleransenivå = risiko som kan aksepteres Nivå på kritikalitet Kritisk Høy Middels Konsekvens av skade vedrørende personopplysninger Alvorlig langvarig personlig belastning, behov for ny identitet, Langvarig betydelig personlig belastning Forbigående eller moderat personlig belastning INF Innebygd personvern og sikkerhet 12 Lav Ingen særlig personlig belastning Eksempel på konsekvenskriterier (retningslinjer utarbeides i 2018)
13 Krav om konsultasjon Vurderes i tilfelle (svært) sensitive data eller antatt høy risiko Utifra de registrertes synsvinkel Hey risiko oppstår f.eks.: når behandlingen av personinformasjon kan medføre (betydelige) negative konsekvenser for den registrerte når det behandles personinformasjon av (svært) sensitive karakter Når det foregår (massiv) innsamling og behandling av personinformasjon fra offentlige områder Alltid konsultasjon ved svært sensitiv personinfo eller massiv innsamling Prosessen vil antageligvis medføre høy risiko Ja Vurder personvernkonsekvens og anbefal tiltak Er residuell risiko akseptabel Nei Krav Konsultasjon med Datatilsynet Nei Ja INF Innebygd personvern og sikkerhet 13
14 Design av innebygd personvern Design Dataorienterte designkrav: Minimer og begrens - «Select before you collect» «Gjem og skjul» Separer og aggreger Personvern som standardinstilling Prosessorienterte designkrav Informere brukere Håndheve policyer Logge og kontrollere bruk og tilgang Demonstrere og dokumentere INF Innebygd personvern og sikkerhet 14
15 Design av innebygd sikkerhet Design Analyser angrepsflaten på det designede systemet for å vite hvordan man kan redusere muligheter til å utnytte svake punkter og sårbarheter. Ved trusselmodellering analyserer man komponenter, tilgangspunkter, dataflyt og prosessflyt i programvaren (forklares i senere forelesning). hvordan noen kan misbruke programvaren ved ulike scenarioer. hvordan designet kan forbedres for å unngå trusler som er identifisert. Resultat er et mer herdet og robust sluttprodukt. INF Innebygd personvern og sikkerhet 15
16 Sikker koding Koding Beskriv bruksområde for koden Vurder trusselmodellen fra Design-fasen Beskriv og implementer funksjonell sikkerhet Beskriv og implementer ikke-funksjonell sikkerhet Vurder sårbarheter i støttekomponenter Vurder sårbarheter i verktøy INF Innebygd personvern og sikkerhet 16
17 Ugyldiggjør usikre funksjoner og moduler Koding Analyser funksjoner, API, tredjepartsbibliotek og moduler Forby de som er utrygge, oppdater de som er utdaterte eller som inneholder kjente sårbarheter Deaktiver unødig sporing, logging og innsamling av personopplysninger INF Innebygd personvern og sikkerhet 17
18 Statisk kodeanalyse og kodegjennomgang Koding Anvend automatiske verktøy for kodeanalyse og deteksjon av usikre metoder Foreta manuell gjennomgang for å fange opp svakheter som kan medføre feil bruk eller lekkasje av personopplysninger Regelmessig gjennomgang, d.v.s for hver sprint INF Innebygd personvern og sikkerhet 18
19 Test om kravene er implementert Test Er personvern- og sikkerhetskrav ivaretatt gjennom design og koding? Er kravene riktig implementert? Er alle komponenter med? INF Innebygd personvern og sikkerhet 19
20 Sikkerhetstesting Test Dynamisk testing Test funksjonalitet i kjørende kode (verktøy eller manuelt) Undersøk ulike brukerrettigheter, også ved simulerte sikkerhetsfeil Fuzz testing Fremprovoser feil i programvaren Bruk verktøy som sender tilfeldig og misformet data inn i programvaren Test alle grensesnitt Penetrasjonstesting / sårbarhetsanalyse Kjøres før produksjonssetting og jevnlig Lovlig og autorisert forsøk på å finne, utnytte og avdekke sårbarheter INF Innebygd personvern og sikkerhet 20
21 Gjennomgang av trusselmodell og angrepsflate Test Verifisere at angrepsvektorer som ble avdekket i designfasen er håndtert Verifisere at nye angrepsvektorer introdusert under koding er identifisert og håndtert Ny gjennomgang av Trusselmodell Ny vurdering av personvernkonsekvenser INF Innebygd personvern og sikkerhet 21
22 Produksjonssetting Produksjonssetting Utarbeid plan for hendelseshåndtering for effektivt håndtere oppgaver og hendelser som kan oppstå etter produksjonssetting. Hva en hendelse er og hvilken livssyklus den har (omfatter å detektere, analysere, rapportere, håndtere og normalisere) Ressurser, kontaktpunkt/responssenter, kontaktinformasjon, responstid, kanaler, logger, rutiner, patching, evaluering mm. Plan for varsling av ledelse, den registrerte, Datatilsynet, og presse INF Innebygd personvern og sikkerhet 22
23 Produksjonssetting Produksjonssetting Full sikkerhetsgjennomgang av programvaren skal baseres på tidligere gjennomganger i utviklingsløpet og inngå i de kontrollpunkter (control gates) som må gjøres før produksjonssetting. Godkjenning av produksjonssetting Sikkerhetsrådgiver og personvernombud skal verifisere at alle definerte sikkerhets- og personvernkrav er implementert og fungerer etter hensikten. Virksomheten må definere hvem som har godkjenningsmyndighet. Arkivering bør gjøres av all relevant data og dokumentasjon fra hele utviklingsløpet. INF Innebygd personvern og sikkerhet 23
24 Forvaltning Forvaltning Håndtere hendelser og avvik etter planen Når akutte hendelser opptrer, er det viktig å bevare roen og å bruke tid på å analysere hendelsen. Responsteamet skal kunne håndtere situasjonen, og vite hvem som er i stand til å bygge, teste og installere oppdateringer. Responsteamet må vite hvilke prioriteringer som gjelder, samt vite nøyaktig hva de kan og skal gjøre, og hvem de skal kontakte når det virkelig er krise. Øv!!! INF Innebygd personvern og sikkerhet 24
25 Forvaltning Forvaltning Forvaltning, drift og vedlikehold av programvaren skal følge etablerte rutiner for hvordan personvern og sikkerhet skal ivaretas over tid. Ha ledelsessystem for personvern og informasjonssikkerhet (internkontroll) som omfatter anskaffelse, forvaltning, drift og vedlikehold. Rutiner for regelmessige testing og revidering, sikkerhetsovervåkning, målinger, forbedring mm. INF Innebygd personvern og sikkerhet 25
26 Referanser Veiledere fra Datatilsynet: Hva betyr de nye personvernreglene for din virksomhet? Programvareutvikling med innebygd personvern INF Innebygd personvern og sikkerhet 26
IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28.
IN1030 Systemer, krav og konsekvenser Innebygd informasjonssikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28. februar 2018 Personvern i grunnloven 102: Enhver har rett til respekt
DetaljerIN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21.
IN1030 Systemer, krav og konsekvenser Innebygd informasjonssikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21. februar 2019 Personvern i grunnloven 102: Enhver har rett til respekt
DetaljerInnebygd personvern og personvern som standard. 27. februar 2019
Innebygd personvern og personvern som standard 27. februar 2019 Personvern i vår digitaliserte verden Skal vi ivareta personvernprinsippene effektivt må de være inkorporert i programvaren Nøkkelpersonene
DetaljerKINS-tech: Innebygd personvern bestemmelsen som implementerer hele forordningen.
KINS-tech: Innebygd personvern bestemmelsen som implementerer hele forordningen. Veronica Jarnskjold Buer Fagdirektør, digitalisering og innebygd personvern 23.09.2019 Noen ord om Personvernprinsipper
DetaljerInnebygd personvern personvernforordningen artikkel 25
Innebygd personvern personvernforordningen artikkel 25 25.08.2017 Bjørn Erik Thon Arbeidsgruppen har bestått av: Andreas Hegna Martha Eike Rita Nordtug Johannes Brodwall Eskild Storvik Karoline Klever
DetaljerProgramvareutvikling med innebygd personvern nye personvernregler
Programvareutvikling med innebygd personvern nye personvernregler 28.08.2017 Agenda Innebygd personvern introduksjon, konkurranse og veileder Aktivitetene i veileder om programvareutvikling med innebygd
DetaljerNøkkelen til morgendagens personvern innebygd personvern
Nøkkelen til morgendagens personvern innebygd personvern 24.10.2017 Personvern, prinsipper og rettigheter Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 Fødselsnummer: 13087846271
DetaljerNye personvernregler i GDPR i helsesektoren
Nye personvernregler i 2018 - GDPR i helsesektoren 05.12.2017 Kort om skytjenester Er det egentlig noe nytt? ASP, fjerndrift, stormaskin, hosting, Outsourcing rokker ikke ved ansvarslinjene: Virksomhet
DetaljerProgramvareutvikling med innebygd personvern og personvern som standardinnstilling. Eirik Saltkjel Veronica Jarnskjold Buer
Programvareutvikling med innebygd personvern og personvern som standardinnstilling Eirik Saltkjel Veronica Jarnskjold Buer 30.11.2017 Agenda Introduksjon til nye personvernregler Pause (10 minutter) Introduksjon
DetaljerAnsvarlighetsprinsippet og virksomhetens plikter
Ansvarlighetsprinsippet og virksomhetens plikter Ansvarlighet og internkontroll Nøkkelen til etterlevelse (accountability)? Artikkel 5 (2) accountability Den behandlingsansvarlige er ansvarlig for og skal
DetaljerMinimere og begrense. Gjem og skjul. Separere.
3 Design Sjekklisten er dynamisk, ikke uttømmende og skal oppdateres regelmessig. Dersom du har innspill til noen av punktene, vil vi gjerne høre fra deg. Dataorienterte designkrav Minimere og begrense.
DetaljerNye personvernregler og innebygd personvern
Nye personvernregler og innebygd personvern Agenda Personopplysninger Bakgrunn for nye personvernregler Hendelser Innebygd personvern og DPIA Prosjekt i Datatilsynet Hva er person(opplysnings)vern? Den
DetaljerKrav til informasjonssikkerhet i nytt personvernregelverk
Krav til informasjonssikkerhet i nytt personvernregelverk 8. desember 2017 Informasjonsikkerhet er et ledelsesansvar Sikkerhetsledelse Klare ansvarsforhold Oversikt over det totale risikobildet og beslutte
DetaljerNye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017
Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017 Personvern - Hva er det 3 Hva er personopplysninger? Side 4 5 Viktig nytt i forordningen
DetaljerNye personvernregler
Nye personvernregler Agenda Hva er personvern og personopplysninger Bakgrunn for nye personvernregler De viktigste endringene fra idag til 2018 Hva nå? - våre forventninger og råd om veien videre Innledning
DetaljerBrudd på personopplysningssikkerheten
Brudd på personopplysningssikkerheten Hva skal vi snakke om? 1 2 3 4 Hva er brudd på personopplysningssikkerheten? Eksempler på avvik meldt til Datatilsynet Prosessen for å behandle avvik Personvernombudets
DetaljerNye personvernregler
Nye personvernregler Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til
DetaljerNye personvernregler (GDPR)
Nye personvernregler (GDPR) 02.11.2017 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse Innebygd personvern
DetaljerGDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017
GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,
DetaljerGDPR Ny personvernforordning
GDPR Ny personvernforordning Sunndalsøra, 1. mars 2018 Vindel morgenseminar Advokat Martin Marsteen Williams 1. Personopplysninger dagens regelverk 2. GDPR/Personvernforordningen 3. Hvordan oppfylle kravene
DetaljerNye personvernregler fra 2018
Nye personvernregler fra 2018 Agenda Personopplysninger Bakgrunn for nye personvernregler Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Innebygd personvern og DPIA Personvernombud
DetaljerGDPR - PERSONVERN. Advokat Sunniva Berntsen
GDPR - PERSONVERN Advokat Sunniva Berntsen Hvorfor personvern? Viktig i et demokratisk samfunn EMK artikkel 8 Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.
DetaljerHar du kontroll på verdiene dine
Har du kontroll på verdiene dine Et juridisk perspektiv 1_Tittellysbilde Advokat Arve Føyen 1 Selskapets verdier Finansielle verdier Omdømme Humankapital Kunderelasjoner IPR og Forretningshemmeligheter
DetaljerPerspektiver og planer ved Universitetet i Oslo
Perspektiver og planer ved Universitetet i Oslo Nye personvernregler Maren Magnus Jegersberg Juridisk seniorrådgiver UiO Personvern handler om retten til et privatliv og retten til å bestemme over egne
DetaljerADDSECURES BEHANDLING AV PERSONOPPLYSNINGER
Avtale innledning ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER For den behandlingen av personopplysninger som AddSecure utfører på vegne av kundene sine, er AddSecure databehandler for kunden. Hvis du er
DetaljerHVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?
HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR? FROKOSTSEMINAR GDPR I SKYEN DAGFINN BUSET 9. NOVEMBER 2017 Alt innhold, inkludert, men ikke begrenset til metoder og analyser i denne presentasjonen
DetaljerEUs nye forordning for personvern
EUs nye forordning for personvern 22.03.2017 Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerGDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger
GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger ? PERSONVERN ANNO 2017 NOE HAR SKJEDD - Robotisering - Digitalisering - Kunstig intelligens VI MÅ GJØRE OSS FORTJENT TIL KUNDEDATAENE
DetaljerPersonvern - vurdering av personvernkonsekvenser - DPIA
ID Nfk.4.6.1 Versjon 1.03 Gyldig fra 22.05.2018 Siste versjon 28.05.2018 Forfatter May Moursund Verifisert Jonny Brodersen Godkjent Stig Olsen Side 1 av 8 Se lenker til relevante rutinebeskrivelser til
DetaljerInformasjonssikkerhet i forordningen
Informasjonssikkerhet i forordningen 19.10.2016 Agenda Personopplysninger Bakgrunn om forordningen Dagens krav til informasjonssikkerhet Krav til informasjonssikkerhet i nytt regelverk Thinkstock.com 2
DetaljerHva gjør så KiNS og KS med GDPR?
1 Hva er KiNS Foreningen Kommunal Informasjonssikkerhet KiNS 2003 Over 200 kommuner/fylkeskommuner Samarbeider nært med KS, Datatilsynet, DiFi, NSM, ehelse, Senter for IKT i undervisningen. KiNS arrangerer
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerPersonvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen
Personvern nytt landskap i 2018 #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen Personvernforordningen (General Data Protection Regulation/GDPR) Personvernforordningen på overordnet
DetaljerRegelverk for IoT. GDPR eprivacy
Regelverk for IoT GDPR eprivacy 2 Tillit Bruken av IoT både fra forbrukernes side og organisasjonene er basert på tillit. Tillit med tanke på sikkerhet, åpenhet rundt bruk av data, tydelig informasjon
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Hovedkonklusjon informasjonssikkerhet tillegges større vekt enn tidligere, både kvalitativt og kvantitativt Agenda gjennomgå hovedreglene
DetaljerNye personvernregler fra mai 2018
Nye personvernregler fra mai 2018 25. oktober 2017 Personvern - Hva er det Side 2 Side 3 30.10.2017 Side 4 30.10.2017 5 6 7 Viktig nytt i forordningen Materielle krav i regelverket: Innebygd personvern
DetaljerNytt regelverk (GDPR) og IoT
Nytt regelverk (GDPR) og IoT Art 4 - Samtykke Art 12 Åpenhet og informasjon Art 20 Retten til dataportabilitet Art 25 Innebygd personvern og som standardinnstilling Art 33 og 34 Avvik Art 35 Konsekvensanalyse
DetaljerNovember Internkontroll og styringssystem i praksis - Aleksander Hausmann
November 2018 Internkontroll og styringssystem i praksis - Aleksander Hausmann Artikkel 24 - Den behandlingsansvarliges ansvar Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen
DetaljerOM PERSONVERN TRONDHEIM. Mai 2018
OM PERSONVERN TRONDHEIM Mai 2018 HVORFOR ER VI HER? Ny lovgivning Alle snakker om GDPR Rundreise i alle avdelinger Overordnet innføring i regelverket Hva skjer i NHN Hva skjer med Normen OVERSIKT OVER
DetaljerInformasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning
Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning Senioradvokat (PhD) Thomas Olsen Normkonferansen 30. november 2017 www.svw.no GDPR viderefører personvernprinsippene Artikkel
DetaljerGDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse
GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse Bakgrunn General Data Protection Regulation (GDPR) ble formelt vedtatt av EU i april 2016 GDPR trer i kraft
DetaljerNytt regelverk, nye muligheter og masse avviksmeldinger!
Nytt regelverk, nye muligheter og masse avviksmeldinger! 06.11.2018 Agenda Bakgrunn Prinsipper og regelverkskrav Avviksmeldinger 2 Hva er person(opplysnings)vern? Hva er det vi forsøker å beskytte? Er
DetaljerGDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet
GDPR ny personvernforordning Styring via godt arbeid med informasjonssikkerhet Trender og Det Store Kappløpet GDPR og NYPE??? GDPR i nye Asker Arbeid med informasjonssikkerhet Det store kappløpet Brannmur
DetaljerPersonvern - Hva er det
Personvern - Hva er det Nye personvernregler fra mai 2018 18. oktober 2017 Side 2 Side 3 5 Side 4 6 1 Viktig nytt i forordningen Materielle krav i regelverket: Innebygd personvern og personvern som standard
DetaljerEUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye
EUs personvernforordning - hva kreves? #Oppdatert 2017 19. oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye Innhold 1. Personvernforordningen hva er det EU vil og hva er nytt? 2.
DetaljerBehandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold
Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.
DetaljerPolicy for personvern
2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...
DetaljerHva betyr det for din virksomhet?
Nye personvernregler i 2018 Hva betyr det for din virksomhet? I 2018 får Norge nye regler for personvern, når EUs forordning erstatter dagens regelverk. Alle virksomheter som behandler personopplysninger
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling
DetaljerSAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET
Sykehuset Innlandet HF Styremøte 29.08.18 SAK NR 061 2018 INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET Forslag til VEDTAK: Styret
DetaljerNye personvernregler (GDPR)
Nye personvernregler (GDPR) 10.10.2017 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse PVO, internasjonalt
DetaljerINFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober
INFORMASJONSSIKKERHET & GDPR Kundeforum 18.oktober Den nye personvernforordningen GDPR (General Data Protection Regulation) Hvem gjelder den for? Lovverket gjelder for alle EU- og EØS-land og alle bransjer
DetaljerPERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING
PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING Frokostseminar 25. oktober 2016 V/advokat Christopher Clausen og advokatfullmektig Helene Bjørgo 1 DAGENS LOVGIVNING Personopplysningsloven Sentrale
DetaljerGDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud
GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april 2018 Seniorrådgiver Linda Svendsrud Presentasjon av KS-Konsulent as Visjon Kompetente kommuner lokale løsninger Verdier Utfordrende
DetaljerDatabehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS
Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS Innhold Avtalens hensikt...3 Formål...3 Behandlingsansvarliges plikter...4 Databehandlers plikter...4 Bruk av underleverandør...4 Avtale med
DetaljerVurdering av personvernkonsekvenser (DPIA)
Vurdering av personvernkonsekvenser (DPIA) 05.06.2019 Lovlighet, rettferdighet og åpenhet Formålsbegrensning Art. 5 Riktighet Dataminimering Integritet og konfidensialitet Ansvar Lagringsbegrensning Borgernes
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerProsjektveiviser for sikkerhet. Sikkerhet og Sårbarhet 2016/Jens Lien
Prosjektveiviser for sikkerhet Sikkerhet og Sårbarhet 2016/Jens Lien Når man endelig har fått til noe - og lagd noe som er bra, så kommer det ei «knetakling» inn fra sikkerhetshold og ødelegger alt! 3
DetaljerFagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019
Fagseminar og nettverkssamling personvern Quality Hotel Leangkollen 28.-29. mai 2019 Vurdering av personvernkonsekvenser (DPIA) 28.05.2019 The Nagel s Hvilke behandlingsaktiviteter er omfattet av en DPIA?
DetaljerPersonvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger
DetaljerPersonvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet
Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens
DetaljerPersonopplysninger og opplæring i kriminalomsorgen
Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier
DetaljerVurdering av personvernkonsekvenser, databehandleravtaler og avvik
Vurdering av personvernkonsekvenser, databehandleravtaler og avvik Personvernforordningen tre måneder inn Gullik Gundersen rådgiver Personvernforordningen i tall 931 avviksmeldinger i 2018, 461 etter 20.
DetaljerNy personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november
Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november Anne Mette Dørum, spesialrådgiver KS Presentasjonen er basert på Datatilsynets presentasjoner om samme tema,
DetaljerPersonvernerklæring for Flyt Høgskolen i Molde
Personvernerklæring for Flyt Høgskolen i Molde Sist endret: 24.07.2019 Innhold: 1) Kort om Flyt 2) Om denne personvernerklæringen 3) Hva er personopplysninger? 4) Formålet med og rettslig grunnlag for
DetaljerStore data store spørsmål. Bruk av statens store datamengder
Store data store spørsmål Bruk av statens store datamengder Hva er personvern Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Alle mennesker har en
DetaljerRisikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket
DetaljerPersonvernombudsrollen. Henrik Gullaker, personvernombud.
Personvernombudsrollen Henrik Gullaker, personvernombud. Temaer Hva er personopplysningsloven og personvernforordningen? Hvorfor har vi fått nye regler? Begrepsforklaring. Hva er et personvernombud? Personvernombudsprosjektet.
DetaljerCW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?
CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden? 26.04.2018 Hva er en smart verden? «Politikk er kunsten å hindre folk i å blande seg opp i det som angår dem» Paul Valéry
DetaljerVEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold
VEILEDER GDPR PERSONVERN DEL 2 - personopplysninger utover ansatteforhold Nye krav fra 20. juli 2018 Forordningen ble norsk lov og den gjeldende loven ble erstattet. Det nye lovverket styrker forbrukernes
DetaljerBEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017
BEHANDLING AV PERSONOPPLYSNINGER Tone Tenold 2017 PERSONVERNLOVGIVNINGEN - bygger på en kjerne av grunnleggende personvernprinsipper Disse springer ut fra et ideal om at alle skal ha bestemmelsesrett over
DetaljerPolicy for informasjonssikkerhet og personvern i Sbanken ASA
Åpen 1/ 5 Policy for informasjonssikkerhet og personvern i Sbanken ASA Besluttet av Styret i Sbanken ASA Dato for beslutning 13. november 2018 Erstatter 16. september 2016 Dokumenteier Chief Risk Officer
DetaljerNye personvernregler fra mai 2018
Nye personvernregler fra mai 2018 27.04.2017 Datatilsynet Opprettet 1980, lokalisert i Oslo Ca 50 medarbeidere Uavhengig forvaltningsorgan under KMD To roller tilsynsorgan og ombud Regelverk: Personopplysningsloven
DetaljerAVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel
DetaljerNye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen
Nye personvernregler fra mai 2018 - Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen Bakgrunn Ny personvernforordning vedtatt i EU 14. april 2016 Trer i kraft
DetaljerDe nasjonale tilsynsmyndighetene (Datatilsynet i Norge)
1 2 3 Forordningen trer i kraft 25. mai 2018. Den avløser da personverndirektivet. Den får da direkte virkning i medlemslandene, og krever altså i motsetning til direktiver ikke nasjonal lovgivning. Direktivet
DetaljerPersonvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund
Personvernveileder for medlemsbedrifter i Norges Bilbransjeforbund (NBF) I denne veilederen gir NBF en oversikt over de viktigste pliktene den enkelte bedrift må overholde når det gjelder personvern. Herunder
DetaljerHva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet
Hva betyr GDPR for forskere Livet etter GDPR Camilla Nervik Seniorrådgiver, Datatilsynet Hva betyr GDPR for forskere? Livet med GDPR Camilla Nervik Seniorrådgiver, Datatilsynet Hva betyr GDPR for forskere?
DetaljerSikkerhetstesting gjennom utviklingsløpet
Sikkerhetstesting gjennom utviklingsløpet 5 faser: Slik utfører du sikkerhetstesting gjennom utviklingsløpet Det har aldri vært mer snakk om sikkerhet i IT verdenen enn nå. Det er ikke så rart med tanke
DetaljerPersonvern i skyen Medlemsmøte i Cloud Security Alliance
Personvern i skyen Medlemsmøte i Cloud Security Alliance 31. oktober 2018 Trond Ericson Agenda Personvern i skyen Kort om Devoteam Kort om GDPR GDPR i skyen Oppsummering Devoteam Fornebu Consulting Devoteam
DetaljerInformasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU
Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerRetningslinje for risikostyring for informasjonssikkerhet
Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra
DetaljerAVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER
AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift
DetaljerPersonopplysningsvern med ProFundo som databehandler
Personopplysningsvern med ProFundo som databehandler 09:00 - Registrering 09:15 - Ny personopplysningslov v/ Therese Fevang 10:00 - Personvernombudsrollen v/ Ove Skåra, fagdirektør, Datatilsynet 10:30
DetaljerGDPR - viktige prinsipper og rettigheter
GDPR - viktige prinsipper og rettigheter 11.09.2017 Agenda Bakgrunn for nye personvernregler Viktige prinsipper i forordningen Registrertes rettigheter Hva nå? våre forventninger og råd om veien videre
DetaljerDIFI - Seminar om Skytjenester
DIFI - Seminar om Skytjenester 16.10.2017 Definisjoner Personvern, hva er det? Grunnleggende rett til vern av den private sfære og retten til selv å bestemme over opplysninger om seg selv. ivaretakelse
Detaljer1 Våre tiltak. Norsk Interaktivs arbeid med personvern
Til våre kunder Kristiansand 22. juni 2016 Norsk Interaktivs arbeid med personvern Norsk Interaktiv har alltid hatt fokus på personvern i våre systemer. Vi vedlikeholder hele tiden våre tjenester for å
Detaljer3.1 Prosedyremal. Omfang
3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerAvviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Avviksbehandling Støttedokument Faktaark nr 8 Versjon: 5.1 Dato: 11.12.2018 Formål Formålet med avviksbehandling er å: Håndtere sikkerhetsbrudd
DetaljerArbeidsgivers personvernplikter
01 Grunnleggende om personvern 02 Informasjon, innsyn og andre rettigheter Arbeidsgivers personvernplikter Frokostseminar 19. juni 2018 Christel Søreide, Ellen Røyneberg og Nora M. Knutrud 03 Utlevering
DetaljerSikkerhet og personvern i skole og klasserom
Sikkerhet og personvern i skole og klasserom NKUL 2017 Tommy Tranvik Harald Torbjørnsen Vi skal: Øke kvaliteten i det pedagogiske arbeidet med digitale ferdigheter hos barn og unge Øke den digitale kompetansen
DetaljerGo to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.
INF1000/ INF1001: IT og samfunn En liten undersøkelse: Mobil/ nettbrett Siri Moe Jensen Gisle Hannemyr Høst 2016 Go to www.menti.com use the code 47 46 40 Siri Moe Jensen INF1000/INF1001 - Høst 2016 1
Detaljer