Erfaringer med innebygd personvern i utvikling av mobilapper på UiO. Maren Magnus Jegersberg og Dagfinn Bergsager USIT/UiO
|
|
- Ann Enger
- 6 år siden
- Visninger:
Transkript
1 Erfaringer med innebygd personvern i utvikling av mobilapper på UiO Maren Magnus Jegersberg og Dagfinn Bergsager USIT/UiO
2 UiO er Norges eldste institusjon for forsking og høyere utdanning studenter tilsatte God infrastruktur for IT er vesentlig i arbeidet med UiOs kjernevirksomhet Utdanning Forskning
3 Forskningsprosjekter Ved UiO har vi tusenvis av forskningsprosjekter Veldig mange behandler personopplysninger, og i stor grad også sensitive personopplysninger En trend med innovative forskere som vil digitalisere og forenkle Nye muligheter med mobilapper
4 Universitetets senter for informasjonsteknologi (USIT) Leverer IT til Universitetet i Oslo og universitets- og høyskolesektoren i Norge Drifter store, nasjonale tjenester for forskning og utdanning Eksempelvis Samordna Opptak og Studentweb Utvikler nye og nyskapende tjenester, f.eks: Tjeneste for sensitive data (TSD), Nettskjema, mobilapplikasjoner for forskning
5 Strategier og strenge krav Disse leveransene hadde vi ikke klart uten å ha fokus på gode sikkerhetsstrategier og krav om innebygd personvern i alle ledd i prosessen Lang og utfordrende prosess, men vi nærmer oss Fokus på opplæring og dialog for å forstå ulike fagområder Konsekvensene ved å mislykkes er store og vi risikerer å miste tilliten i markedet vårt
6 Innebygd personvern før og etter GDPR Tidligere var det ikke et krav etter loven, men anbefalte tiltak for å oppfylle brukernes rettigheter Etter GDPR er det inntatt i forordningen under generelle forpliktelser Viser viktigheten av kravene Gjelder for både behandlingsansvarlig og databehandler Organisatoriske tiltak Tidligere ble det sett på som unødvendig ekstraarbeid, nå er det et stort konkurransefortrinn
7 7 steg til innebygd personvern Organisatoriske tiltak Tekniske tiltak Innebygd personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. 1) Vær i forkant, forebygg fremfor å reparere 2) Gjør personvern til standardinnstilling 3) Bygg personvern inn i designet 4) Skap full funksjonalitet: Både-og, ikke enten-eller 5) Ivareta informasjonssikkerheten fra start til slutt 6) Vis åpenhet 7) Respekter brukerens personvern Hentet fra:
8 Konflikt for utviklere: brukervennlighet versus personvern àpersonvern vant! Brukerne har en klar forventning om at vi oppfyller krav til: 1. Personvern 2. Tilgjengelighet 3. Brukervennlighet Bonusen vår dersom vi tenker i pose og sekk er: Vi følger loven og får lov til å lansere tjenesten, systemet, applikasjonen J Trygghetsfølelse Konkurransefortrinn Omdømmefortrinn Kostnadsbesparende
9 Hvordan klarer vi å utvikle mobilapper som samler inn sensitive personopplysninger på lovlig vis? -jo, vi koder med og tenker innebygd personvern!
10 Mobilapper med sensitive data Har utviklet 10 mobilapper som samler inn data med sensitive personopplysninger Har mobilapper som brukes klinisk på Rikshospitalet Har mobilapper som kan ta opp samtaler mellom klinikker og pasient
11 Opplæring Illustrasjon hentet fra
12 Opplæring Organisatoriske tiltak Før: gjennomgang med sikkerhet og jus én gang i året Nå: alle må ha et forhold til sikkerhet og jus Utviklerforum med jevnlig fokus på personvern og sikkerhet Lokal programvare kjøpes inn sentralt, og sikkerhetsvurderes Sjekklister for utvikling av nye applikasjoner Avsjekk med sikkerhet og jus Planlegger obligatoriske kurs for alle utviklere og driftere høsten 2017/våren
13 Krav Illustrasjon hentet fra
14 Organisatoriske tiltak Prioriteringer for all utvikling 1. Sikkerhet og personvern 2. Bruksopplevelse for den som skal levere data 3. Funksjonalitet for den som samler inn data -Vi skal alltid være best på sikkerhet og personvern! -og fungere på alt utstyr for alle personer -og være enkel og bruke for datainnsamler
15 Åpenhet Tekniske tiltak Åpen kildekode Vilkår for bruk Personvernerklæring Vi forteller om sikkerhetstiltak og arkitektur Åpne ROS-analyser som kan brukes som dokumentasjon for andre prosjekter Tett dialog med Datatilsynet og personvernombud på OUS REK og NSD kjenner godt til våre løsninger
16 Åpenhet Gir gjennomsiktighet ved at vi er klare og åpne om hva vi gjør i applikasjonen med personopplysningene Informasjon om hvordan vi oppfyller grunnkravene etter loven, også etter GDPR Blant annet: reglene om vilkår for samtykke (art. 7 og 8) om informasjon og innsyn i personopplysninger (art ), korrigering og sletting (art )
17 Nye utfordringer med mobilapper Mobilappen må lagre noe data Når du leverte data sist ID på hvem som har levert svaret At du har installert appen kan kobles til at du har en diagnose Dersom appen mister nett, kan det være behov for å legge data i kø Data på mobiler blir ofte sikkerhetskopiert til apple/google
18 som også gir juridiske problemstillinger Relevans og minimalitet hva er virkelig nødvendig å samle inn Fullstendighet og kvalitet opplysningene må være oppdaterte, korrekte og nøyaktige Informasjonssikkerhet vi må sikre mot uautorisert tilgang, utilsiktede endringer, ødeleggelse og spredning Særlig vern til sensitive personopplysninger Tekniske tiltak Rett i kjernen av de grunnleggende prinsippene for vern av personopplysninger (art. 5)
19 Design Illustrasjon hentet fra
20 Nettskjema.uio.no Egenutviklet applikasjon Samler inn data fra skjema via forms Innlogging med FEIDE eller ID-porten Lansert som sektorløsning for UH Høyt fokus på sikkerhet og personvern Samler inn forsknings- og studiedata (ca 3000 svar daglig)
21 Tjenester for sensitive data Sikker forskningsplattform for UiO og andre offentlige forskningsinstitusjoner. Alle prosjekter får sin egen sikre server Arbeid med data skjer på serveren inne i TSD Mulig å få inn data samlet inn med Nettskjema fra web 339 aktive prosjekt 29.aug
22 Tekniske tiltak Teknisk design for datainnsamling Data leveres fortløpende fra telefonen Alle data defineres som skjerm på nett
23 Koding Illustrasjon hentet fra
24 Organisatoriske tiltak Vår metode: Scrumban Morgenmøter med gjennomgang av tasks i Jira Har en slags teamleder (faller naturlig) Leder av morgenmøtet baseres på loddtrekning dagen før Veldig mye morsommere med ny scrummaster hver morgen! Prodsetter brancher den dagen Hver story har en dedikert eier Hele tiden endringer i hvordan vi bruker og gjennomgår Jira Hurra, vi er agile!
25 Organisatoriske tiltak Vår metode: Scrumban Ekstra langt morgenmøte på mandagen Jeg forteller hva som er viktigst denne uka Prioriteringer diskuteres Demo fra forrige ukes releaser Retrospekt en gang i måneden Gjennomgang av backlog i fellesskap en gang i måneden Alle oppgaver skal i jira Alle comitts i git skal godkjennens av en annen utvikler
26 Verktøy Før: noen kjøpte alt de ville Nå: mer komplisert og vi har strammet kraftig inn Høyere pris Hva lagres i skyen Konkurranseregler Krav om standardisering Jobber med nye rutiner
27 Test Illustrasjon hentet fra
28 Bruk av personopplysninger i test Tekniske tiltak Organisatoriske tiltak Lovens krav gjelder også på testdata det samme vil det gjøre etter GDPR Formål, rettslig grunnlag etc. (art. 5, 6, 7, 8 m.fl.) Hovedregel ved UiO: Testing skjer på testdata Enten databaser hvor opplysningene har blitt anonymisert eller egne databaser med fiktive data Tung vei å gå, men den må gås Ingen trenger reelle data i test
29 Tekniske tiltak Systematisk testing Alle apper pentestes før produksjon Endringer brukertestes av UX
30 Produksjonssetting Illustrasjon hentet fra
31 Krav som må oppfylles før produkssetting Risiko- og sårbarhetsvurdering (art. 32) Sikre at applikasjonen har et tilstrekkelig sikkerhetsnivå sett opp mot risikoen Vurderes opp mot hva behandlingen er, omfanget, formålet og sammenhengen den utføres i Kan ikke tas i bruk før risikoen er ansett som akseptabel UiO må selv definere hvor stor risiko for brudd på informasjonssikkerheten vi kan akseptere Uautorisert tilgang, eksponering, endring, skade eller tap av personopplysninger og andre informasjonsverdier Organisatoriske tiltak
32 Krav som må oppfylles før produkssetting Personvernkonsekvensanalyse (DPIA, art. 35) En vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for den enkeltes personvern Frem til nå har vi gjort dette sammen med risiko- og sårbarhetsanalysen Den skal skilles ut som en selvstendig analyse etter GDRP I samarbeid med personvernombudet/-rådgiver (art. 39) Organisatoriske tiltak Kravene til personvernkonsekvensanalyse øker i takt med sensitiviteten og omfanget av personopplysningene Kan være krav om forhåndsdrøftelse med Datatilsynet (art. 36)
33 Tekniske tiltak Nøye på data som lagres i mobilapp Risikovurdert hver app ut i fra hvilke data som kan lagres i appen Pinkode StudieID håndteres som passord (Keyring) Bilder og lyd legges kryptert i kø dersom nett mangler Data i kø er ikke lesbare i appen Nøye kontroll over hva som blir tatt backup av
34 Tekniske tiltak DevOps Produksjonsetter flere ganger om dagen uten nedetid Avhengige av automatiske tester som kjører hver gang Gjennomtenkt testdekning (ikke fullstendig) Alle på teamet prodsetter
35 Forvaltning Illustrasjon hentet fra
36 Tekniske tiltak Skanner jevnlig data Leter etter publiserte fødselsnummer hver natt Markerer alle skjema som samler inn personinformasjon Fjerner automatisk persondata etter en gitt periode Varsler bruker om at personopplysninger blir lagret og hvilke typer opplysninger
37 Tekniske tiltak Scanning av kode Alle kode (i all utviklet software) og underliggende biblioteker og avhengigheter scannes hver natt for sårbarheter Basert på top ten OWASP
38
39 Hva gjør vi når vi oppdager/mistenker avvik? Klare rutiner for hendelseshåndtering som skal følges Dedikert team som er trent for situasjonene Institusjonene kjenner godt til rutinene Kartlegging av situasjonen og vurderer /iverksetter tekniske tiltak Eks. fjerner tilganger og kartlegger hvem som har aksessert informasjonen Tekniske tiltak Organisatoriske tiltak
40 Hva gjør vi når vi oppdager/mistenker avvik? Behandlingsansvarlig vurderer hendelsen og hvem som skal kontaktes Informasjon til de registrerte Organisatoriske tiltak Rapport sendes til personvernombudet som vurderer om Datatilsynet skal varsles Økte krav til hendelseshåndtering etter GDPR (art. 33 og 34) Rapportere avvik som omfatter brudd på konfidensialitet, integritet og tilgjengelighet av personopplysninger innen 72 timer Krever klare rutiner og god beredskap for håndtering
41 demo
Hvordan være lur. Ståle Askerød Johansen - UiO-CERT Espen Grøndahl IT-sikkerhetssjef
Hvordan være lur Ståle Askerød Johansen - UiO-CERT Espen Grøndahl IT-sikkerhetssjef To hoveddeler Jus og personvern IT-sikkerhet i det daglige Hva er personopplysninger? Personopplysninger er alle former
DetaljerPerspektiver og planer ved Universitetet i Oslo
Perspektiver og planer ved Universitetet i Oslo Nye personvernregler Maren Magnus Jegersberg Juridisk seniorrådgiver UiO Personvern handler om retten til et privatliv og retten til å bestemme over egne
DetaljerDigital signert samtykke til forskning -erfaring med bruk av esignering. Dagfinn Bergsager
Digital signert samtykke til forskning -erfaring med bruk av esignering Dagfinn Bergsager 12.09.2019 3 12.09.2019 4 12.09.2019 5 12.09.2019 6 12.09.2019 7 12.09.2019 8 12.09.2019 9 TSD - Tjenester for
DetaljerGDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger
GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger ? PERSONVERN ANNO 2017 NOE HAR SKJEDD - Robotisering - Digitalisering - Kunstig intelligens VI MÅ GJØRE OSS FORTJENT TIL KUNDEDATAENE
DetaljerNye personvernregler (GDPR)
Nye personvernregler (GDPR) 02.11.2017 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse Innebygd personvern
DetaljerHva kan vi bruke NSD til?
Hva kan vi bruke NSD til? Bergen 25.04.2019 Øyvind Straume Spesialrådgiver, NSD NSD Kort om NSD Endringer med GDPR Hva gjør NSD? o Helseforskning o Krav om personvernkonsekvensvurdering (DPIA) Innsendte
DetaljerNøkkelen til morgendagens personvern innebygd personvern
Nøkkelen til morgendagens personvern innebygd personvern 24.10.2017 Personvern, prinsipper og rettigheter Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 Fødselsnummer: 13087846271
DetaljerPå tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013
På tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013 Kort om Datatilsynet Uavhengig forvaltningsorgan Ombud og tilsynsorgan kontrollere at lover og forskrifter
DetaljerPersonvern - vurdering av personvernkonsekvenser - DPIA
ID Nfk.4.6.1 Versjon 1.03 Gyldig fra 22.05.2018 Siste versjon 28.05.2018 Forfatter May Moursund Verifisert Jonny Brodersen Godkjent Stig Olsen Side 1 av 8 Se lenker til relevante rutinebeskrivelser til
DetaljerPersonvernerklæring for Flyt Høgskolen i Molde
Personvernerklæring for Flyt Høgskolen i Molde Sist endret: 24.07.2019 Innhold: 1) Kort om Flyt 2) Om denne personvernerklæringen 3) Hva er personopplysninger? 4) Formålet med og rettslig grunnlag for
DetaljerPersonvernerklæring for Søknadsweb
Personvernerklæring for Søknadsweb Sist endret: 06.07.2018 Kort om Søknadsweb Søknadsweb er en webapplikasjon for søking om opptak til studier ved VID vitenskapelige høgskole. Søknadsweb er knyttet til
DetaljerPersonvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger
DetaljerINFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober
INFORMASJONSSIKKERHET & GDPR Kundeforum 18.oktober Den nye personvernforordningen GDPR (General Data Protection Regulation) Hvem gjelder den for? Lovverket gjelder for alle EU- og EØS-land og alle bransjer
DetaljerNye personvernregler fra 2018
Nye personvernregler fra 2018 Agenda Personopplysninger Bakgrunn for nye personvernregler Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Innebygd personvern og DPIA Personvernombud
DetaljerPersonvern og informasjonssikkerhet ved anskaffelser
Personvern og informasjonssikkerhet ved anskaffelser Innledning 2 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis,
DetaljerVEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold
VEILEDER GDPR PERSONVERN DEL 2 - personopplysninger utover ansatteforhold Nye krav fra 20. juli 2018 Forordningen ble norsk lov og den gjeldende loven ble erstattet. Det nye lovverket styrker forbrukernes
DetaljerPersonvernerklæring for Fagpersonweb
Personvernerklæring for Fagpersonweb Sist endret: 27.06.2018 1) Kort om Fagpersonweb Fagpersonweb er en webapplikasjon som lar fagpersoner utføre en del nødvendige studieadministrative rutiner og oppgaver.
DetaljerPersonvernerklæring for Søknadsweb
Personvernerklæring for Søknadsweb Sist endret: 07.06.2018 1) Kort om Søknadsweb Søknadsweb er en webapplikasjon for søknad om opptak til studier ved MF vitenskapelig høyskole. Søknadsweb er knyttet til
DetaljerPersonvernerklæring for EVUweb - søkere
Personvernerklæring for EVUweb - søkere Sist endret: 21.06.2018 1) Kort om EVUweb EVUweb er en webapplikasjon som lar deg melde deg på kurs og andre arrangementer og å søke om opptak til Nord universitet.
DetaljerPersonvernerklæring for Studentweb
Personvernerklæring for Studentweb Sist endret: 21.06.2018 1) Kort om Studentweb Studentweb er en webapplikasjon som lar deg som student utføre en rekke studieadministrative oppgaver, slik som semesterregistrering
DetaljerGDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse
GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse Bakgrunn General Data Protection Regulation (GDPR) ble formelt vedtatt av EU i april 2016 GDPR trer i kraft
DetaljerImplementering av det nye personvernregelverket ved UiB
Implementering av det nye personvernregelverket ved UiB Læringsdag MatNat 31.01.2019 Spørsmål? Hvordan har UiB fulgt opp kravene i det nye personvernregelverket i datasystemene vi bruker Hva bør lokale
DetaljerPersonvernerklæring for Søknadsweb
Personvernerklæring for Søknadsweb Sist endret: 01.06.2018 kn 1) Kort om Søknadsweb Søknadsweb er en webapplikasjon for søking om opptak til studier ved NLA Høgskolen. Søknadsweb er knyttet til det studieadministrative
DetaljerCW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?
CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden? 26.04.2018 Hva er en smart verden? «Politikk er kunsten å hindre folk i å blande seg opp i det som angår dem» Paul Valéry
DetaljerInformasjonssikkerhet i forordningen
Informasjonssikkerhet i forordningen 19.10.2016 Agenda Personopplysninger Bakgrunn om forordningen Dagens krav til informasjonssikkerhet Krav til informasjonssikkerhet i nytt regelverk Thinkstock.com 2
DetaljerNye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,
Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger, 26.10.2017 Personopplysninger hva er det? Fødselsnummer: 090361 46271 IP-adresse: 195.159.103.82 Bilnummer: BL 23456 Bluetooth MAC:
DetaljerPersonvernerklæring for Cristin (Current Research Information System in Norway)
Personvernerklæring for Cristin (Current Research Information System in Norway) Sist endret: 15.06.2018 Innhold: 1) Kort om Cristin (Current Research Information System in Norway) 2) Hva er en personvernerklæring?
DetaljerPersonvernerklæring for Studentweb
Personvernerklæring for Studentweb Sist endret: 07.06.2018 1) Kort om Studentweb Studentweb er en webapplikasjon som lar deg som student utføre en rekke studieadministrative oppgaver, slik som semesterregistrering
DetaljerNye personvernregler
Nye personvernregler Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til
DetaljerMin bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...
Personvern - GDPR Aktualitet - mål Alle virksomheter som behandler personopplysninger - dvs. de fleste - må sørge for å opptre iht. gjeldende personvernlovgivning. Virksomheten er ansvarlig, og kan ikke
DetaljerPersonvernerklæring for Studentweb
Personvernerklæring for Studentweb Sist endret: 06.07.2018 1) Kort om Studentweb Studentweb er en webapplikasjon som lar deg som student utføre en rekke studieadministrative oppgaver, slik som semesterregistrering
DetaljerPersonvernerklæring for EVUweb - søkere
Personvernerklæring for EVUweb - søkere Sist endret: 06.06.2018 1) Kort om EVUweb EVUweb er en webapplikasjon for påmelding til kurs og andre arrangementer ved MF vitenskapelig høyskole. EVUweb er knyttet
DetaljerNye personvernregler (GDPR)
Nye personvernregler (GDPR) 10.10.2017 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse PVO, internasjonalt
DetaljerNy personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018
Ny personopplysningslov Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018 Ny lov og forordning GDPR General Data Protection Regulation Personvernforordningen I kraft i EU 25. mai 2018 Ny Personopplysningslov
DetaljerOM PERSONVERN TRONDHEIM. Mai 2018
OM PERSONVERN TRONDHEIM Mai 2018 HVORFOR ER VI HER? Ny lovgivning Alle snakker om GDPR Rundreise i alle avdelinger Overordnet innføring i regelverket Hva skjer i NHN Hva skjer med Normen OVERSIKT OVER
DetaljerRollefordeling og begrepsforståelse ved UiO etter nytt personvernregelverk
Rollefordeling og begrepsforståelse ved UiO etter nytt personvernregelverk NARMA vårkonferanse 2019 Maren Magnus Voll Personvernombud UiO en stor virksomhet GDPR et kjent regelverk Ca. 13 000 årsverk Ca.
DetaljerPersonvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit
Personvern og studieadministrasjon Sadia Zaka Juridisk seniorrådgiver Unit Hva er personvern? Retten til privatliv - Familie, hjem og korrespondanse Retten til å bestemme over egne personopplysninger Vern
DetaljerHva gjør så KiNS og KS med GDPR?
1 Hva er KiNS Foreningen Kommunal Informasjonssikkerhet KiNS 2003 Over 200 kommuner/fylkeskommuner Samarbeider nært med KS, Datatilsynet, DiFi, NSM, ehelse, Senter for IKT i undervisningen. KiNS arrangerer
DetaljerEndringer i universitets- og høyskoleloven og EUs nye personvernforordning
Endringer i universitets- og høyskoleloven og EUs nye personvernforordning Sadia Zaka Juridisk seniorrådgiver Kunnskapsdepartementets tjenesteorgan 13.04.2018 1 Viktige definisjoner/begreper Personopplysning:
DetaljerPersonvern, studentoppgaver og undervisning. Johannes Elgvin April 2019
Personvern, studentoppgaver og undervisning Johannes Elgvin April 2019 Personvern hva er det? Retten til privatliv en menneskerettighet Vi eier opplysninger om oss selv, og vi skal kunne ha kontroll over
DetaljerPersonopplysninger og opplæring i kriminalomsorgen
Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier
DetaljerHelseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud
Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå
DetaljerKrav til informasjonssikkerhet i nytt personvernregelverk
Krav til informasjonssikkerhet i nytt personvernregelverk 8. desember 2017 Informasjonsikkerhet er et ledelsesansvar Sikkerhetsledelse Klare ansvarsforhold Oversikt over det totale risikobildet og beslutte
Detaljer«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg
«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg GDPR 20. juli 2018 ble «GDPR», også omtalt som EUs personvernforordning en del av den norske personopplysningsloven. GDPR viktige endringer: De registrerte
DetaljerNy personvernforordning i EU/EØS GDPR (General Data Protection Regulations)
Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations) Webinar 22. mars 2018 Sadia Zaka og Marte Holhjem Kunnskapsdepartementets tjenesteorgan Generelt Ny personvernforordning trer
DetaljerInnebygd personvern og personvern som standard. 27. februar 2019
Innebygd personvern og personvern som standard 27. februar 2019 Personvern i vår digitaliserte verden Skal vi ivareta personvernprinsippene effektivt må de være inkorporert i programvaren Nøkkelpersonene
DetaljerNINAs personverndokument
NINAs personverndokument Opprettet: Juni 2018 Sist oppdatert: 1. OM PERSONVERNDOKUMENTET... 1 2. ANSVAR FOR BEHANDLING AV PERSONOPPLYSNINGER HOS OSS... 1 3. GRUNNKRAV FOR BEHANDLING AV PERSONOPPLYSNINGER...
DetaljerPersonvern i digitalisering av forvaltningen
Personvern i digitalisering av forvaltningen En varde av ettertanke «Slik kan man ( ) tenne en varde av ettertanke ved den stadig sterkere automatiseringen innen offentlig forvaltning. Hvordan kontrollerer
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerGDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018
GDPR General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 en grunnleggende kjedelig men absolutt nødvendig innføring for lag og foreninger i Asker
DetaljerNye personvernregler
Nye personvernregler Agenda Hva er personvern og personopplysninger Bakgrunn for nye personvernregler De viktigste endringene fra idag til 2018 Hva nå? - våre forventninger og råd om veien videre Innledning
DetaljerPersonvern og velferdsteknologi
Personvern og velferdsteknologi «Personvern» Enkelt sagt handler personvern om retten til et privatliv og retten til å bestemme over egne personopplysninger Fra www.datatilsynet.no Når jeg går inn på badeværelset
DetaljerGDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud
GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april 2018 Seniorrådgiver Linda Svendsrud Presentasjon av KS-Konsulent as Visjon Kompetente kommuner lokale løsninger Verdier Utfordrende
DetaljerPersonvern i skyen Medlemsmøte i Cloud Security Alliance
Personvern i skyen Medlemsmøte i Cloud Security Alliance 31. oktober 2018 Trond Ericson Agenda Personvern i skyen Kort om Devoteam Kort om GDPR GDPR i skyen Oppsummering Devoteam Fornebu Consulting Devoteam
DetaljerMobile enheter, sikkerhet og personvern. Bjørn Erik Thon direktør Datatilsynet @bjornerikthon www.personvernbloggen.no
Mobile enheter, sikkerhet og personvern Bjørn Erik Thon direktør Datatilsynet @bjornerikthon www.personvernbloggen.no Tema - Kort om Datatilsynet - Personverntanken - Mobile apper særlig helseapper - Briller
DetaljerEUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye
EUs personvernforordning - hva kreves? #Oppdatert 2017 19. oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye Innhold 1. Personvernforordningen hva er det EU vil og hva er nytt? 2.
DetaljerInformasjonssikkerhet
Informasjonssikkerhet med spesielt blikk på administrative funksjoner Ingvild Stock-Jørgensen Juridisk seniorrådgiver UiT Norges arktiske universitet Innledning Om meg Tema for dagen Hva er informasjonssikkerhet
DetaljerGDPR. Status og veien videre. Inge V. Bakken. 12. April 2018
GDPR Status og veien videre Inge V. Bakken 12. April 2018 GDPR EUs personvernforordning (GDPR Generell Data Protection Regulations) Om arbeidet så langt ved SSHF. Noen hovedelementer i ny personvernlovgivning
DetaljerHelseforskningsrett med fokus på personvern
Helseforskningsrett med fokus på personvern Sverre Engelschiøn Helseforskningsrett 2009 Sverre Engelschiøn 1 Tema Nærmere om personvern Hva menes med informasjonssikkerhet? Helseregistre og forskning Helseforskningsrett
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerEUs nye forordning for personvern
EUs nye forordning for personvern 22.03.2017 Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger
DetaljerPERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING
PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING Frokostseminar 25. oktober 2016 V/advokat Christopher Clausen og advokatfullmektig Helene Bjørgo 1 DAGENS LOVGIVNING Personopplysningsloven Sentrale
DetaljerNye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017
Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017 GDPR kommer! 4 Nye personvernregler - oversikt Bakgrunn / begrunnelse Tilpasning til ny
DetaljerFagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019
Fagseminar og nettverkssamling personvern Quality Hotel Leangkollen 28.-29. mai 2019 Vurdering av personvernkonsekvenser (DPIA) 28.05.2019 The Nagel s Hvilke behandlingsaktiviteter er omfattet av en DPIA?
DetaljerArkivsystemer med skyløsninger
Arkivsystemer med skyløsninger Erfaringer fra Ruter Svein Winje og Svend Wandaas, Brukerforum Stavanger Tema 1. Behovet for ny sak og arkivløsning 2. Juridiske utgangspunkt. 3. Krav i konkurransen og besvarelse
DetaljerBruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.
Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. mars 2015 Utgangspunktet Det er Datatilsynets utgangspunkt at det er mulig
DetaljerBehandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold
Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.
DetaljerBakgrunn. EU har vedtatt ny personvernforordning
GDPR på UB Bakgrunn EU har vedtatt ny personvernforordning General Data Protection Regulation (GDPR) styrke europeiske borgeres personvern styrke tilliten til digitale tjenester gjøre det lettere å utveksle
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerGDPR - viktige prinsipper og rettigheter
GDPR - viktige prinsipper og rettigheter 11.09.2017 Agenda Bakgrunn for nye personvernregler Viktige prinsipper i forordningen Registrertes rettigheter Hva nå? våre forventninger og råd om veien videre
DetaljerBEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017
BEHANDLING AV PERSONOPPLYSNINGER Tone Tenold 2017 PERSONVERNLOVGIVNINGEN - bygger på en kjerne av grunnleggende personvernprinsipper Disse springer ut fra et ideal om at alle skal ha bestemmelsesrett over
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling
DetaljerPersonvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU
Personvern nye krav etter GDPR Stian F. Kristensen seniorrådgiver, SBU stian.kristensen@nb.no Hva skal vi gjennom? Kort intro til GDPR Hva er nytt? Personvernprinsipper GDPR i bibliotek Viktige begreper
DetaljerNORID - Registrarseminar 26. april 2017
NORID - Registrarseminar 26. april 2017 26.04.2017 Bakgrunn for ny personvernforordning Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den
DetaljerUansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018
Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 21.09.2017 Agenda Bakgrunn for nye personvernregler De viktigste endringene fra i dag til 2018 Hva nå? våre forventninger og råd
DetaljerRevisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer
Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Mottaker: Kunnskapsdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold til lov om Riksrevisjonen
DetaljerNoen aktuelle tema for personvernombud i finans
Noen aktuelle tema for personvernombud i finans 31.01.2019 HVEM I ALLE DAGER SKAL (VIL?) VÆRE PERSONVERNOMBUD? Uavhengig rolle Kompetent på juss it - sektor Ikke den som bestemmer eller gir råd om prioriteringer
DetaljerNye personvernregler fra mai 2018
Nye personvernregler fra mai 2018 27.04.2017 Datatilsynet Opprettet 1980, lokalisert i Oslo Ca 50 medarbeidere Uavhengig forvaltningsorgan under KMD To roller tilsynsorgan og ombud Regelverk: Personopplysningsloven
DetaljerPersonvernombudsrollen. Henrik Gullaker, personvernombud.
Personvernombudsrollen Henrik Gullaker, personvernombud. Temaer Hva er personopplysningsloven og personvernforordningen? Hvorfor har vi fått nye regler? Begrepsforklaring. Hva er et personvernombud? Personvernombudsprosjektet.
DetaljerForum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim
Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse Personvernombud Marianne Seim Personvern Ny personvernlovgivning: Personopplysningsloven av 20. juli 2018. EUs personvernforordning (GDPR)
DetaljerGDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016
GDPR The General Data Protection Regulation Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016 Personloven basert på 1995 vs 2016 Eus direktiv Det har skjedd mye innen teknologien på 20 år,
DetaljerNye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017
Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017 Personvern - Hva er det 3 Hva er personopplysninger? Side 4 5 Viktig nytt i forordningen
DetaljerInnføring av ny personvernforordning (GDPR) på universitetet
Innføring av ny personvernforordning (GDPR) på universitetet Styringsdokument Styringsgruppemøte 21. juni 2018 Innhold Side Agendapunkter 3 Sak 1: Godkjenning av referat 4-6 Sak 2: Leveransene i prosjektet
DetaljerPolicy for personvern
2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...
DetaljerEU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)
EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION) Hvor er vi nå? Ny personopplysningslov trer i kraft senest 25.5.2018 Ingen «amnestiperiode», virksomheter må være innenfor lovverket
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerKetil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN
Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN Dette dokumentet beskriver hvordan oppfyller kravene i personopplysningsloven og EUs personvernforordning, GDPR. Versjon 1 04.12.2018 Innhold
DetaljerGDPR-status fra en kommune
GDPR-status fra en kommune «Hvordan har vi det med etterlevelsen i dag?» NKRF fagkonferanse Hamar, 13.06.2019 Knut J. Eggen, Personvernombud Sarpsborg kommune Hvor gyldig er mitt «værvarsel»? Kort om Sarpsborg
DetaljerPersonvernerklæring i NOAH AS
Personvernerklæring i NOAH AS ID: 583 Revisjonsdato: 18.05.2018 Versjonsnummer: 1 Ansvarlig: Svanhild Rindalsholt Side 1 av 10 INNHOLD 1. OM PERSONVERNDOKUMENTET... 3 2. ANSVAR FOR BEHANDLING AV PERSONOPPLYSNINGER
DetaljerInnføring av ny personvernforordning (GDPR) på universitetet
Innføring av ny personvernforordning (GDPR) på universitetet Styringsdokument Styringsgruppemøte 3. mai 2018 Innhold Side Agendapunkter 3 Sak 1: Godkjenning av referat 4 Sak 2: Notat fra universitetsdirektøren
DetaljerPersonvernerklæring for Webstep AS
Personvernerklæring for Webstep AS Terminologi «Personopplysninger» Betyr enhver opplysning om en identifisert eller identifiserbar fysisk person. Personopplysninger er typisk navn, adresse, telefonnummer,
DetaljerPersonvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?
Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR? Stab Fag, pasientsikkerhet og samhandling Avdeling for informasjonssikkerhet og personvern Hovedbudskap fra Datatilsynets
DetaljerPersonvernerklæring for OJS
Personvernerklæring for Om denne personvernerklæringen Hva er personopplysninger? Kort om tjenesten Formålet med behandling av personopplysninger i tjenesten Registrerte personopplysninger, rettslig grunnlag
DetaljerHvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015
Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerMobilapper for innsamling av sensitive forskningsdata. UiOs IT-konferanse 2016 Dagfinn Bergsager Gruppeleder webutvikling, USIT
Mobilapper for innsamling av sensitive forskningsdata UiOs IT-konferanse 2016 Dagfinn Bergsager Gruppeleder webutvikling, USIT Hypotese: 1. Kan vi enkelt bytte ut frontenden på Nettskjema med mobilapper?
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
Detaljer