Personvern og informasjonssikkerhet ved anskaffelser
Innledning 2
Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring, arbeidsliv) Faggruppe 2 (veiledning, kamera, kredittoplysning, krenkelser og sletting på nett) Faggruppe 3 (samferdsel, telekom, skole, digitalisering i offl.) Faggruppe 4 (helse, forskning) Informasjonsavdeling Administrasjonsavdeling 3
Agenda Hva er personvern? Innebygd personvern Privacy Impact Assessment vurdering av konsekvenser for personvernet Anskaffelser Thinkstock.com 4
Hva handler personvern om? Autonomi / selvbestemmelse Å vite = retten til å velge Forutsigbarhet Tillit Informasjonssikkerhet Thinkstock.com 5
Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 6
Innebygd personvern og vurdering av personvernkonsekvens 7
Innebygd personvern (Privacy by Design) Å ta hensyn til personvernet i alle utviklingsfasene av et system Utviklet av IPC i Ontario Vedtatt på internasjonal personvernkonferanse EUs kommende forordning 8
Innebygd personvern 7 steg 1. Vær i forkant, forebygg fremfor å reparere 2. Gjør personvern til standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet: Både-og, ikke enten-eller 5. Ivareta informasjonssikkerhet fra start til slutt 6. Vis åpenhet 7. Respekter brukerens personvern 9
Vurdering av personvernkonsekvenser (PIA) 10
Hva innebærer det? Målet er å sikre at systemet i minst mulig grad innskrenker brukernes personvern. 11
Hvorfor er det viktig? Hva er fordelene? Et verktøy for å: forutse mulige trusler innføre tiltak for å avverge trusler Sikre riktige beslutninger Oppdage potensielle personvernproblemer Forutse brukernes bekymringer økt tillit til virksomheten Dokumentere at man har gjort en vurdering Redusere kostnader 12
Hva er godt personvern? Viktige personvernprinsipper: Samtykke eller annet rettslig grunnlag Formålsbestemthet Relevans og minimalitet Fullstendighet og kvalitet Informasjon og innsyn Informasjonssikkerhet 13
Hvordan? 1. Forhåndsvurdering 2. Vurderingen a) Kartlegging av informasjon og personopplysninger b) Identifisering av risiko c) Identifisering og anbefaling av tiltak d) Dokumentasjon 14
Spørsmål ved kartlegging av konsekvenser Eksempler: Hvilke personopplysninger samles inn? Hvordan samles opplysningene inn? Hvordan sjekker man at opplysningene er korrekte? Hvor lenge lagres opplysningene? Hvilke eksterne virksomheter deles opplysningene med? Blir den enkelte informert om innsamling? Hvilke rutiner finnes for å rette feil? Er tilgangsstyring rollebasert? Hvilke revisjonsmål og tekniske sikringstiltak er etablert for å hindre misbruk av data? 15
Vurderingstema Rettslige rammer Alternativ behandling? Informasjon ved registrering av nye brukere og autentisering av eksisterende brukere Datafangst Systematisering / supplering av personopplysninger Forvaltning av personopplysninger Beredskap ved sikkerhetsbrudd Samhandling internt i virksomheten og med andre virksomheter Rutiner for sletting og avhending 16
Veiledninger på nett http://www.datatilsynet.no/teknologi/innebygdpersonvern/ www.datatilsynet.no/teknologi/innebygd- personvern/vurdering-av-personvernkonsekvenser--- privacy-impact-assesment/ 17
Hvordan ivareta dette i et anskaffelsesprosjekt 18
Gjør en PIA før bestilling Gjennomføre vurderingen av konsekvenser for personvernet så tidlig i utviklingen som mulig. Vurderingen bør foretas før et nytt informasjonssystem bestilles, og utføres i samarbeid med beslutningstakere. Revider PIA underveis i anskaffelsesprosessen 19
Men Ikke et fasitsvar på hvordan dette skal ivaretas. Avhenger av prosedyre anbudskonkurranse: konkurransepreget dialog konkurranse med forhandling Avhenger selvfølgelig av anskaffelsens art Et PIA-forprosjekt som en egen anskaffelse eller et internt forprosjekt? 20
Konkurransegrunnlaget er viktig Kriterier for tildeling av kontrakt Vurderbare personvernkrav i anskaffelsen Bruk av absolutte krav 21
Eksempler på krav fra egen anskaffelse Krav 7.5.12 Brukervalgt overstyring av lekkasjekontrollen skal kunne logges, og felter som logges og lagringstid skal være konfigurerbart. A Krav 7.5.13 Forsøk på bruk av blokkert funksjonalitet i lekkasjekontrollen skal kunne logges. Felter som logges og lagringstid skal være konfigurerbart. A Krav 7.5.14 Handlinger i lekkasjekontrollen som ikke gjennomføres etter brukervalg skal ikke logges. Dvs. at dersom bruker får opp en advarsel om at han/hun er i ferd med å overføre A 22
Skytjenester Har ikke berørt det som er spesielt for skytjenester. Men se mer informasjon her: http://www.anskaffelser.no/offentlige-anskaffelserit/temaer-it/skytjenester-cloud 23
Mer informasjon Innebygd personvern: 7 steg Sjekkliste for utviklere Lenker til internasjonalt arbeide Veileder for Vurdering av konsekvenser for personvernet Annet som er relevant: Risikovurdering (veileder) Databehandleravtaler (veileder og mal) Skytjenester (veileder) og masse mer på www.datatilsynet.no 24
Takk for meg! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no