Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Like dokumenter
Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

Kan du legge personopplysninger i skyen?

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Har du kontroll på verdiene dine

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Skytjenester bruk dem gjerne, men bruk dem riktig

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtaler. Tommy Tranvik Unit

Varsel om vedtak fra Datatilsynet - Overtredelsesgebyr

HVEM ER JEG OG HVOR «BOR» JEG?

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Styret Helse Sør-Øst RHF 14. desember 2017

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Databehandleravtaler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Databehandleravtale. Denne avtalen er inngått mellom

Bruk av skytjenester og sosiale medier i skolen

25 APR 50,3. Datatilsynet ~+~ 0ffl0/L? 70~~?5. Vedtak om pålegg - overtredelsesgebyr til Sykehuset Innlandet HF

Kontrollrapport. Kontrollobjekt: Telenor Objects AS Sted: Fornebu

Advokat Arve Føyen Advokatfirmaet FØYEN Torkildsen

Personvern - sjekkliste for databehandleravtale

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Deres refranse Vår referanse Dato 16/ / / /GRA

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Retningslinjer for databehandleravtaler

Databehandleravtale etter personopplysningsloven

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Arkivsystemer med skyløsninger

Informasjon interesseorganisasjoner

Skytjenester i skolen

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

3 Omfattede typer av personopplysninger og kategorier av registrerte

Bruksvilkår for Difis felleskomponenter

Public 360 Online Datasikkerhet

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Bilag 14 Databehandleravtale

Norm for informasjonssikkerhet i helse og omsorgstjenesten

Pålegg om stans av behandling av personopplysninger - Gator AS

Arkiv skal ikkje førast ut or landet

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale for NLF-medlemmer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

STYRESAK. DATO: SAKSBEHANDLER: Brad Folsom SAKEN GJELDER: Informasjonssikkerhet i Helse Stavanger HF ARKIVSAK: 18/2 STYRESAK: 52/18

Case: Behov, risikovurderinger, informasjonssikkerhet

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Endelig kontrollrapport

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale etter personopplysningsloven

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Sov trygt med dine journalopplysninger i DocuLive EPJ

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Nytt fra departementet

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Informasjonssikkerhet ved bruk av private leverandører Tillegg til tildelingsbrev nr. 4

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

Informasjonssikkerhet

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Endelig kontrollrapport

Lagring av forskningsdata i Tjeneste for

Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Arve Føyen Advokatfirma Føyen Torkildsen AS

Bruk av databehandler (ekstern driftsenhet)

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Styret Helse Sør-Øst RHF 16. november 2017

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Tjenester i skyen hva må vi tenke på?

Tredjepartsvilkår. Charlotte Lindberg Difi

Vår ref.: 17/ Postadresse: 1478 LØRENSKOG Telefon:

Endelig kontrollrapport

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Skytjenester og nytt personvernregelverk

Databehandleravtale etter personopplysningsloven m.m

Lagring av forskningsdata i Tjeneste for Sensitive Data

Tilsyn med etterlevelse av personvernforordningen

Normens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018

Skytjenester Status for Riksarkivets arbeid. Ta styringen! Norsk Arkivråds seminar mars 2015 i Trondheim. Olav Sataslåtten Riksarkivet

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Eva Jarbekk Advokatfirma FØYEN Torkildsen DA

Ansvar og organisering

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Nye personvernregler

Sikkerhetskrav for systemer

Informasjonssikkerhet i forordningen

Databehandleravtaler m.m. etter GDPR

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Personvern i skyen

Sikkerhetskrav for systemer

Transkript:

Vi vil ut I skyen hva gjør vi? Tilgangsstyring Foredrag på NIFS-møte 12.9.18 ved Seniorrådgiver Mari Vestre Difi

Hva er tilgangsstyring? tilgangsstyring. Regler for å styre hvem som skal ha tilgang til hvilke opplysninger eller systemer. Synonym: tilgangskontroll Kilde: Datatilsynet (https://www.datatilsynet.no/regelverk-og-verktoy/verktoy/ordbok-a-til-a/)

Hva er tilgangsstyring? tilgangsstyring. Regler for å styre hvem som skal ha tilgang til hvilke opplysninger eller systemer. Synonym: tilgangskontroll

Hva er tilgangsstyring? tilgangsstyring. Regler for å styre hvem som skal ha tilgang til hvilke opplysninger eller systemer. Synonym: tilgangskontroll MEN..

Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon

Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon

Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon

Sky-leverandøren Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon

Sky-leverandøren Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon

Brukerstøtte/ support Sky-leverandøren Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon

Brukerstøtte/ support Sky-leverandøren Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon

Brukerstøtte/ support Sky-leverandøren Brukerstøtte/ support Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon

Brukerstøtte/ support Sky-leverandøren Krav i regelverket Jurisdiksjon Brukerstøtte/ Sikkerhetsvurdering support Revisjon Tredjeparter Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon

Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon Krav i regelverket Jurisdiksjon Sikkerhetsvurdering Revisjon Tredjeparter

Gebyr til ni helseforetak i Helse Sør-Øst «Manglende sikkerhetsledelse og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven 22 jf. 5, personopplysningsloven 13-15 og personopplysningsforskriften 2-3 og 2-15 Manglende etterlevelse av plikten til å gjennomføre risikovurderinger ved endringer som har betydning for informasjonssikkerheten er i strid med kravet til personopplysninsgsforskriften 2-4 jf. 2-1 og pasientjournalloven 22». «.den databehandlingsansvarlige plikter også å ha kunnskap om sikkerhetsstatusen hos leverandøren og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. Den databehandlingsansvarlige er derfor på lagt å gjennomføre jevnlige revisjoner med databehandler jf 2-5.». «Helseforetakene ble bedt om å redegjøre for: 3. Gi en oversikt over hvilke eksterne leverandører som har tilgang til sykehusene informasjonssystem, hvilke land leverandørene har tilgang fra, hvilke typer tilganger de har, til hvilke systemer, til hvilke personopplysninger (omfang, sensitivitet), samt formålet med tilgangene» «6.2.2.Opplysninger fremkommet i saken I tillegg ser vi at flere av sykehusene også har driftsoperatører fra 3. land utenfor EU. Dette er land som bl.a. USA og India»

Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon Krav i regelverket Jurisdiksjon Sikkerhetsvurdering Revisjon Tredjeparter

Gebyr til ni helseforetak i Helse Sør-Øst «Manglende sikkerhetsledelse og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven 22 jf. 5, personopplysningsloven 13-15 og personopplysningsforskriften 2-3 og 2-15 Manglende etterlevelse av plikten til å gjennomføre risikovurderinger ved endringer som har betydning for informasjonssikkerheten er i strid med kravet til personopplysninsgsforskriften 2-4 jf. 2-1 og pasientjournalloven 22». «.den databehandlingsansvarlige plikter også å ha kunnskap om sikkerhetsstatusen hos leverandøren og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. Den databehandlingsansvarlige er derfor på lagt å gjennomføre jevnlige revisjoner med databehandler jf 2-5.». «Helseforetakene ble bedt om å redegjøre for: 3. Gi en oversikt over hvilke eksterne leverandører som har tilgang til sykehusene informasjonssystem, hvilke land leverandørene har tilgang fra, hvilke typer tilganger de har, til hvilke systemer, til hvilke personopplysninger (omfang, sensitivitet), samt formålet med tilgangene» «6.2.2.Opplysninger fremkommet i saken I tillegg ser vi at flere av sykehusene også har driftsoperatører fra 3. land utenfor EU. Dette er land som bl.a. USA og India»

Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon Krav i regelverket Jurisdiksjon Sikkerhetsvurdering Revisjon Tredjeparter

Gebyr til ni helseforetak i Helse Sør-Øst «Manglende sikkerhetsledelse og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven 22 jf. 5, personopplysningsloven 13-15 og personopplysningsforskriften 2-3 og 2-15 Manglende etterlevelse av plikten til å gjennomføre risikovurderinger ved endringer som har betydning for informasjonssikkerheten er i strid med kravet til personopplysninsgsforskriften 2-4 jf. 2-1 og pasientjournalloven 22». «.den databehandlingsansvarlige plikter også å ha kunnskap om sikkerhetsstatusen hos leverandøren og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. Den databehandlingsansvarlige er derfor på lagt å gjennomføre jevnlige revisjoner med databehandler jf 2-5.». «Helseforetakene ble bedt om å redegjøre for: 3. Gi en oversikt over hvilke eksterne leverandører som har tilgang til sykehusene informasjonssystem, hvilke land leverandørene har tilgang fra, hvilke typer tilganger de har, til hvilke systemer, til hvilke personopplysninger (omfang, sensitivitet), samt formålet med tilgangene» «6.2.2.Opplysninger fremkommet i saken I tillegg ser vi at flere av sykehusene også har driftsoperatører fra 3. land utenfor EU. Dette er land som bl.a. USA og India»

Gebyr til ni helseforetak i Helse Sør-Øst «Manglende sikkerhetsledelse og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven 22 jf. 5, personopplysningsloven 13-15 og personopplysningsforskriften 2-3 og 2-15 Manglende etterlevelse av plikten til å gjennomføre risikovurderinger ved endringer som har betydning for informasjonssikkerheten er i strid med kravet til personopplysninsgsforskriften 2-4 jf. 2-1 og pasientjournalloven 22». «.den databehandlingsansvarlige plikter også å ha kunnskap om sikkerhetsstatusen hos leverandøren og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. Den databehandlingsansvarlige er derfor på lagt å gjennomføre jevnlige revisjoner med databehandler jf 2-5.». «Helseforetakene ble bedt om å redegjøre for: 3. Gi en oversikt over hvilke eksterne leverandører som har tilgang til sykehusene informasjonssystem, hvilke land leverandørene har tilgang fra, hvilke typer tilganger de har, til hvilke systemer, til hvilke personopplysninger (omfang, sensitivitet), samt formålet med tilgangene» «6.2.2.Opplysninger fremkommet i saken I tillegg ser vi at flere av sykehusene også har driftsoperatører fra 3. land utenfor EU. Dette er land som bl.a. USA og India»

Integrasjoner AD Underleverandører (tredjeparter) Intern drift Bruker (Kunde) Leverandør

Integrasjoner AD Underleverandører (tredjeparter) Intern drift Bruker (Kunde) Leverandør

Integrasjoner AD Underleverandører (tredjeparter) Intern drift Bruker (Kunde) Leverandør

Integrasjoner AD Underleverandører (tredjeparter) Intern drift Bruker (Kunde) Leverandør

Hvordan finne ut hvilke krav du må stille til tilgangsstyring? Skyleverandøren vil i utgangspunktet ha tilgang til alt derfor må du finne ut hvilke krav du må stille til skyleverandøren Analyser regelverket som regulerer området skytjenesten skal dekke, det kan være utgangspunkt for krav som du må stille til skytjenesten

Hvordan finne ut hvilke krav du må stille til tilgangsstyring? Skyleverandøren vil i utgangspunktet ha tilgang til alt derfor må du finne ut hvilke krav du må stille til skyleverandøren Analyser regelverket som regulerer området skytjenesten skal dekke, det kan være utgangspunkt for krav som du må stille til skytjenesten Det kan hende krav i særregelverk er i strid med anskaffelsesregelverket

Hvordan finne ut hvilke krav du må stille til tilgangsstyring? Skyleverandøren vil i utgangspunktet ha tilgang til alt derfor må du finne ut hvilke krav du må stille til skyleverandøren Analyser regelverket som regulerer området skytjenesten skal dekke, det kan være utgangspunkt for krav som du må stille til skytjenesten Det kan hende krav i særregelverk er i strid med anskaffelsesregelverket Du må gjøre en selvstendig vurdering av om landet/landene skytjenesten er lokalisert i er sikkert nok

Hvordan finne ut hvilke krav du må stille til tilgangsstyring? Skyleverandøren vil i utgangspunktet ha tilgang til alt derfor må du finne ut hvilke krav du må stille til skyleverandøren Analyser regelverket som regulerer området skytjenesten skal dekke, det kan være utgangspunkt for krav som du må stille til skytjenesten Det kan hende krav i særregelverk er i strid med anskaffelsesregelverket Du må gjøre en selvstendig vurdering av om landet/landene skytjenesten er lokalisert i er sikkert nok Du må stille krav om sertifiseringer og tredjepartsrevisjoner.

Hvordan finne ut hvilke krav du må stille til tilgangsstyring? Skyleverandøren vil i utgangspunktet ha tilgang til alt derfor må du finne ut hvilke krav du må stille til skyleverandøren Analyser regelverket som regulerer området skytjenesten skal dekke, det kan være utgangspunkt for krav som du må stille til skytjenesten Det kan hende krav i særregelverk er i strid med anskaffelsesregelverket Du må gjøre en selvstendig vurdering av om landet/landene skytjenesten er lokalisert i er sikkert nok Du må stille krav om sertifiseringer og tredjepartsrevisjoner. Datatilsynets krav til overføring av opplysninger til tredjeland er et godt utgangspunkt for å stille krav. De som har en rolle i drift og support av skytjenesten vil ha rettigheter som gjør at de kan overføre data https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overfore/

Takk for oppmerksomheten!

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding