VIRKE. 12. mars 2015

Transkript

1 VIRKE 12. mars 2015

2 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter og rutiner Konsesjonsplikt Meldeplikt Rutiner Informasjonssikkerhet Organisering Risikovurderinger Avviksbehandlinger Databehandlere og databehandleravtaler Personvernombudsordningen Side 2

3 Hva er internkontroll og informasjonssikkerhet? rutiner for oppfyllelse av virksomhetens plikter og de registrertes rettigheter rutiner og tekniske tiltak for informasjonssikkerhet Side 3

4 Typiske funn Hvor trykker skoen? Manglende oversikt over egne behandlinger Hull i kunnskapen om innsyn og informasjon Manglende eller for dårlige risikovurdering Databehandleravtaler Hva er gjennomgående bra? Organisering og delegasjonsfullmakter Avviksbehandling internt Man har kunnskap, men ikke nedfelte rutiner Side 4

5 Andre observasjoner Er det forskjell på store og små? Ja, her er det store forskjeller Alle lever under samme regelverk uansett størrelse, men kunnskapen om regelverket er så som så Side 5

6 Internkontroll (etter personopplysningsloven) Denne består av tre hovedelementer: Styrende elementer, som i hovedsak retter seg mot ledelsen, herunder hvilke beslutninger og føringer de legger for internkontroll. Gjennomførende elementer, som i hovedsak retter seg mot ansatte. Her finner man beskrivelse av rutiner som er tilpasset den enkeltes arbeidssituasjon. Kontrollerende elementer, som bidrar til å fange opp avvik fra systemet og til at det gjennomføres periodiske gjennomganger Side 6

7 Informasjonssikkerhet et ledelsesansvar Opplysninger som kan knyttes til individet, skal behandles i samsvar med personopplysningsloven. Grunnlag for behandling er basert på lovhjemmel eller samtykke fra den registrerte Uavhengig av grunnlaget har virksomheten plikt til å informere den registrerte om hvordan den har tenkt å behandle opplysningene Det må informeres om formål, rettigheter og lagringstid for opplysningene Ingen kan ta seg til rette og gjøre hva man vil med opplysningene man forvalter Side 7

8 Informasjonssikkerhet et ledelsesansvar Det forventes ikke alltid at øverste leder har inngående kunnskap om informasjonssikkerhet Derimot forventes det at personopplysninger er sikret på en forsvarlig måte, og at øverste leder kan garantere at dette blir gjort I praksis betyr det å sørge for at virksomheten har oversikt over; hvilke plikter som gjelder hvordan opplysninger behandles og sikres at alle rutiner knyttet til dette er godkjent og blir fulgt opp av alle ansatte Side 8

9 Prosessen for å etablere internkontroll og informasjonssikkerhet Utarbeide håndteringsrutiner Innledende oppgaver Behandlingsansvarlig Kartlegge formål med behandlinger og behandlingsgrunnlag. For håndtering av personopplysninger generelt i virksomheten. For ivaretakelse av de registrertes rettigheter. Iverksette styringssystem for informasjonssikkerhet Utarbeide sikkerhetsmål, strategi og akseptkriterier. Etablere sikkerhetsorganisasjon. Gjennomføre risikovurdering. Gjennomføre sikkerhetsrevisjon Oppfølging Utarbeide rutiner for avvikshåndtering og egenkontroll. Utarbeide rutiner for rapportering og forslag til tiltak Side 9

10 Hva er personopplysninger? Personopplysninger Opplysninger og vurderinger som kan knyttes til en enkeltperson (personopplysningsloven 2 1) Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson, navn adresse lønn referanseuttalelser oppgavebesvarelser klientopplysninger skyldneropplysninger kundeopplysninger Side 10

11 Hva er sensitive personopplysninger? Sensitive personopplysninger Personopplysninger om (personopplysningsloven 2 8): Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling Helseforhold Seksuelle forhold Medlemskap i fagforeninger Sensitive personopplysninger er for eksempel informasjon om hvilke sykdommer en person har hatt, medisiner vedkommende bruker, straffedommer, tidligere og pågående rusmisbruk og seksuell legning. Det knytter seg et særlig behov for vern rundt sensitive personopplysninger, regelverket stiller derfor strengere krav til behandling av denne typen opplysninger Side 11

12 Dokumentasjon av internkontrollsystemet Det er et lovpålagt krav at internkontrollsystemet skal være dokumentert. Dokumentasjonen er delt i tre emner: 1. Styrende dokumentasjon som ledelsen er ansvarlig for å utarbeide. 2. Gjennomførende dokumentasjon med rutiner og tiltak for daglig drift. 3. Kontrollerende dokumentasjon med rutiner for oppfølging, korrigering og forbedring av internkontroll og informasjonssikkerhet Side 12

13 Virksomhetens leder er behandlingsansvarlig Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemidler som skal brukes (personopplysningsloven 2 nr 4). Behandlingsansvarlig er ansvarlig for etablering og vedlikehold av planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven, herunder sikre personopplysningenes kvalitet. (personopplysningsloven 14) Side 13

14 Kartlegge virksomhetens behandlinger Virksomheten skal ha en oversikt over hvilke behandlinger av personopplysninger som foretas, og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for at virksomheten skal kunne ivareta pliktene sine. Oversikten danner også grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved risikovurderinger. Informasjon Formål Lønn og personal: lønns- opplysninger Databehandler Person-opplysnings-loven, 8f Melding/ Konsesjon Unntatt i forskriftens 7-16 Behand-lingsgrunnlag Klassifikasjon Personopplysninger Sikkerhetsti ltak Lagring og kommunikasjon Opplysningenes omfang Ca. 130 ansatte Avdeling personalopplysninger Barnevern: vurdering og tiltak Helse- opplysninger: pasientjournal Elevadministrasjon elever / foresatte Barnevernloven, 3-1 Sensitive personopplysninger Helsepersonel-loven 39 Sensitive personopplyninger Opp-læringsloven 13-5 Meldt Meldt Personopplyninger Ca. 68 barn og foresatte Ca. 413 pasienter Ca. 219 søkere lærere Hendelsesregister: Person-opplysnings-loven, Unntatt i Person- Arkivlogg,n forskriftens opplyninger ettverks logg over brudd logg og serverlogg, Side 14 PC-logger

15 Plikter for den behandlingsansvarlige Meldeplikt Konsesjonsplikt Rutiner man plikter å ha Rutiner for kvalitetssikring av personopplysninger Rutiner for sletting av personopplysninger Rutiner for utlevering av personopplysninger til andre Side 15

16 Meldeplikt All behandling av personopplysninger er i utgangspunktet meldepliktig, jf. personopplysningsloven 31. En del behandlinger er imidlertid unntatt i personopplysningsforskriften. Dette gjelder blant annet utdanningssektorens personregistre og personalregistre. Krav til rutiner og sikkerhetstiltak gjelder selv om behandlingen er unntatt meldeplikt. (Personopplysningsforskriften kapittel 7) Side 16

17 Den registrertes rettigheter Den behandlingsansvarlige er pålagt å informere den registrerte om behandlingen som igangsettes. Der personopplysningene innhentes fra den registrerte selv skal informasjonen gis før behandlingen tar til. Informasjon skal gis uoppfordret, uten at den registrerte krever det, og uten kostnader for den registrerte. Plikt til å informere når det samles inn opplysninger fra den registrerte er beskrevet i personopplysningsloven 19. Plikt til å informere når det samles inn opplysninger fra andre enn den registrerte, er beskrevet i personopplysningsloven Side 17

18 Rutiner for innsyn, retting og supplering Innsyn i virksomhetens generelle behandlinger Virksomheten skal ha rutine for behandling av forespørsel om innsyn i virksomhetens generelle behandlinger Innsyn i egne opplysninger Virksomheten skal ha rutine for behandling av forespørsel om innsyn fra mulig registrerte Retting og supplering Virksomheten skal ha rutine for behandling av forespørsel om retting og supplering for en registrert Ivaretakelse av eventuell reservasjonsrett mot automatiserte avgjørelser Den behandlingsansvarlige skal ha rutiner for manuell behandling, til bruk når noen reserverer seg mot automatiserte avgjørelser Innsyn i privat e-post og private filområder Datatilsynet anbefaler at virksomheten utarbeider utfyllende rutiner for når innsyn i e-post kan bli aktuelt og hvordan innsyn skal gjennomføres Side 18

19 Hva er informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger Informasjonssikkerhet omfatter beskyttelse av: konfidensialitet - uvedkommende får ikke tilgang på opplysningene integritet - opplysningene endres ikke uautorisert eller utilsiktet tilgjengelighet - opplysningene er tilgjengelige når tilgang er nødvendig Side 19

20 Sikkerhetsmål og sikkerhetsstrategi Sikkerhetsmålene omfatter ledelsens beslutninger om hva informasjonsteknologien skal brukes til i virksomheten og hvordan den skal benyttes for å nå virksomhetens øvrige mål. Sikkerhetsmål vil således utgjøre en del av virksomhetens beskrivelse av sin totale målsetting. Sikkerhetsstrategien skal omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet. Dette går på fordeling av arbeidsoppgaver mellom ledelse og driftspersonell, og beslutning om eventuelt å ta i bruk eksterne leverandører i sikkerhetsarbeidet. Forholdet mellom ledelse, driftspersonell, sikkerhetspersonell og den enkelte bruker må avklares her Side 20

21 Sikkerhetsorganisasjon Det må nedsettes en sikkerhetsorganisasjon, og at denne skal dokumenteres. Det skal etableres klare ansvars- og myndighetsforhold med utgangspunkt i beslutninger tatt av virksomhetens ledelse (sikkerhetsstrategien). Ansvar og myndighet relatert til drift av informasjonssystemet (driftsledelse) og for oppfølging av sikkerhetsarbeidet (sikkerhetsledelse) må klarlegges. I mindre organisasjoner kan det være samme person som ivaretar disse oppgavene. For større organisasjoner må det fremlegges organisasjonskart som viser de nevnte funksjonene og deres plassering i forhold til ledelsen og virksomheten for øvrig Side 21

22 Gjennomføre risikovurdering Formålet med risikovurdering er å sikre at den risiko som avdekkes ved behandling av personopplysninger er innenfor de akseptkriterier virksomheten har fastlagt Risiko betegner forholdet mellom sannsynligheten for at en uønsket hendelse vil inntreffe og konsekvenser av en slik hendelse. Virksomheten skal gjennomføre risikovurdering ved endringer i forhold som kan påvirke informasjonssikkerheten, for eksempel endringer i informasjonssystemet eller endringer i trusselbildet. Virksomheten skal minst en gang årlig gjennomføre risikovurdering bl.a. i forbindelse med vurdering av endringer i trusselbildet og/eller planlagte endringer i informasjonssystemet Side 22

23 Eksempel på tabell over akseptabel risiko Konsekvens: Liten Moderat Stor Katastrofal Sannsynlighet: Lav Sensitive opplysninger om en ansatt på avveier. Uautorisert endring av opplysninger om en ansatt Sensitive opplysninger om alle ansatte på avveier. Moderat Utilgjengelighet av personalsystem i 24 timer Budsjettinformasjon på avveier. Styreinformasjon på avveier. Konkurransesensitiv informasjon på avveier. Høy Informasjon med lavt beskyttelsesbehov på avveier. En dags bortfall av sikkerhetskopiering. Ukjente mennesker i kontorlokalene Svært høy Side 23

24 Valg av og gjennomføring av sikkerhetstiltak Lage en beskrivelse av hvilke sikkerhetstiltak som er nødvendige for å motstå identifiserte trusler og avverge identifiserte uønskede hendelser Lage en aktivitetsplan for å ivareta informasjonssikkerhet for behandling av personopplysninger, som er i overensstemmelse med resultater av risikovurdering Lage en dokumentert budsjettplan som inkluderer en tidsog aktivitetsplan Side 24

25 Behandling av avvik Dersom personopplysninger håndteres i strid med fastlagte rutiner, eller det er mistanke om eller dokumentert brudd på informasjonssikkerhet, skal virksomheten iverksette avviksbehandling Formålet med avviksbehandling er å lukke avviket så raskt som mulig, gjenopprette normal tilstand og hindre gjentagelse Avviksbehandling består av: Å oppdage avviket Avviket rapporteres i henhold til intern organisering (på eget skjema) Iverksettelse av strakstiltak, blant annet med det formål å avgrense eventuelle følgeskader Iverksettelse av korrigerende tiltak for permanent å gjenopprette normal tilstand Vurdering av hvorvidt korrigerende tiltak fungerer etter sin hensikt Side 25

26 Oppsummering internkontroll og informasjonssikkerhet Et ledelsesansvar Dokumentasjonskrav Lag oversikt over behandlinger Gjennomfør jevnlige risikovurderinger Ha en tydelig ansvarsmatrise Ha en ryddig, tydelig og godt kjent avviksbehandling Informer alle ansatte om hvordan internkontroll og informasjonssikkerhet er implementert og jobbes med i organisasjonen Side 26

27 Databehandleravtaler Det skal inngås databehandleravtale med alle som behandler data på vegne av virksomheten Det skal utarbeides oversikt over tilganger til informasjonssystemet og adgang til fysiske områder Det skal undertegnes taushetserklæringer for alle leverandørers personell med tilganger eller fysisk adgang? Alle leverandører skal ha en dokumentert og tilfredsstillende sikkerhetsløsning Alle eventuelle underleverandører skal være kjent og godkjent av virksomheten Side 27

28 Minimumskrav til databehandleravtaler 1. Angi formålet med behandlingen Det skal klart framgå av avtalen hva som er formålet med behandlingen av personopplysningene. 2. Beskriv hvordan personopplysningene skal behandles Det skal tydelig fremgå av avtalen hva databehandler skal gjøre med personopplysningene. Databehandler har ikke råderett over personopplysningene, og kan dermed heller ikke behandle disse til egne formål. Databehandler skal kun forholde seg til avtalen. Hvis han skal utlevere personopplysninger til andre eksterne parter må dette framgå klart av databehandleravtalen. Avtalen må inneholde bestemmelser om hvem som skal kunne få personopplysninger utlevert, og vilkår i tilknytning til dette. 3. Bruk av underleverandør skal reguleres i avtalen Hvis databehandler gjør bruk av underleverandører av tjenester, skal dette klart framgå av avtalen mellom databehandler og behandlingsansvarlig Side 28

29 Minimumskrav til databehandleravtaler 4. Ivareta den registreres rettigheter Avtalen kan inneholde en arbeidsfordeling mellom behandlingsansvarlige og databehandler, for eksempel hvem som skal håndtere og behandle henvendelser fra de registrerte. 5. Avtalen må pålegge databehandleren å ha tilfredsstillende informasjonssikkerhet Avtalen må klargjøre hva databehandler skal ha på plass av sikringstiltak for å ivareta konfidensialitet, integritet og tilgjengelighet 6. Avtalens varighet må avtales Avtalen må inneholde opplysninger om avtalens varighet hva som skal skje med opplysningene etter at avtalen er opphørt Side 29

30 Personvernombud Den viktigste oppgaven til et personvernombud er å være en ressursperson, både for den behandlingsansvarlige og for de som er registrert. Personvernombudet bør være en som kjenner virksomheten, hvilke formål som ligger til grunn for behandlingen, hvilke fremgangsmetoder som benyttes og hvilke behandlingssystem som er innført. Personvernombudet skal føre oversikt over hvilke behandlinger av personopplysninger som gjøres i virksomheten. Personvernombudet skal bistå i opplæring internt i virksomheten og i behandling av klager fra både virksomhetens egne ansatte og eksterne aktører relatert til bruk av personopplysninger. Et personvernombud må godkjennes av Datatilsynet og deltar på opplæring og seminarer i regi av tilsynet. Virksomheter med personvernombud er fritatt fra den lovpålagte meldeplikten til Datatilsynet. Virksomhetens leder kan ikke være personvernombud Side 30

31 Hvorfor en egen norm? 1. En felles forståelse av personvernet 2. Felles holdninger 3. Nedfelt i et felles omforent regelsett Side 31

32 Normen Alle krav som må oppfylles iht lovverket Bindende for alle virksomheter i sektoren Forvaltes av sektoren Lovverkets krav - ferdig tolket og tygd Ingen begrensninger utover lovverkets krav, dvs det er lovverket som setter begrensningene I tillegg: Forslag til praktiske løsninger Side 32

33 Hvordan ivareta kravene i Normen? Etablere eller revidere styringssystem for informasjonssikkerhet Gjennomføre risikovurdering av all behandling av helseopplysninger Lære opp medarbeidere i informasjonssikkerhet Gjennomføre nødvendige tiltak iht Normen og resultat fra risikovurdering Sørge for løpende oppfølging og bruk av styringssystemet Side 33

34 Bruk av private hjelpere Bruk av informasjonssikkerhetsløsnings leverandører To store som stort sett deler kommune markedet Digital kvalitet Kvalitetslosen Datatilsynet har gjennomført møter med begge og påpekt Hva vi opplever som bra med løsningene Hvor vi ser at de har forbedringspotensiale Side 34

35 Maler og hjelpemidler Her finnes det mye til bruk i etablering av tilfredsstillende internkontroll og informasjonssikkerhet Side 35