Case: NAVs personvern-prosjekt // Haakon Hertzberg // Partnerforum

Like dokumenter
Status personvern Hedmark og Oppland fylkeskommuner

Personvern - sjekkliste for databehandleravtale

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Personopplysningsvern med ProFundo som databehandler

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

GDPR Prosjektgjennomføring Sjekkliste

DIGITALISERINGSSTRATEGI FOR DDV-SAMARBEIDET

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Studieplan 2017/2018. PERSONVERN en grunnopplæring i personvernregelverk (2017) Studiepoeng: 15. Studiets nivå og organisering. Bakgrunn for studiet

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Digitaliseringsstrategi. - trygghet og tillit til teknologi

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

REKRUTTERING OG GDPR

Digitaliseringsstrategi

Vurdering av personvernkonsekvenser (DPIA) - Vi vet hvorfor og når, men hvordan?

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Databehandleravtaler og GDPR. Kristin Lyng Kategorileder Anskaffelser / Delprosjektleder i Skatteetatens GDPR-prosjekt 6 september 2018

Utviklingen av framtidas elektroniske forvaltning hvor går grensen

Digitaliseringsstrategi

Deres referanse Vár referanse Dato 18/ / /EOL

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

Databehandleravtale for NLF-medlemmer

Digitaliseringsstrategi

Kappløpet om kundedataene

Digitaliseringsstrategi

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

3-1 DIGITALISERINGSSTRATEGI

Protokoll; Gjennomgå feltene og vurder fremstilling Protokoll; rettslig grunnlag

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

GDPR - PERSONVERN. Advokat Sunniva Berntsen

HVORDAN FORANKRE ARBEIDET MED «ORDEN I EGET HUS» OG HVORDAN I PRAKSIS GJENNOMFØRE DET I KOMMUNENE?

Personvern i digitalisering av forvaltningen

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Prosjektveiviser for sikkerhet. Sikkerhet og Sårbarhet 2016/Jens Lien

Databehandleravtaler. Tommy Tranvik Unit

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Digital strategi for HALD Februar 2019

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Konkurransegrunnlag Del A regler for konkurransen. Rammeavtale driftsrelatert programvare

1 Anskaffelsens formål og omfang. 2 Krav til leverandør. Bilag 1 Beskrivelse av Bistanden. 2.1 Rådgivning i anskaffelsesprosessen

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Digitaliseringsvennlig regelverk - norske initiativ

Tiltaksplan digitalisering 2019

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

DFØs mål og samhandling med brukerne

Ny personvernforordning trer i kraft i mai 2018

Programmandat. Versjon Program for administrativ forbedring og digitalisering

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Digitaliseringsstrategi Birkenes kommune Vedtatt av RLG Digitaliseringsstrategi for Birkenes kommune 1

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

3-1 Digitaliseringsstrategi

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Navn på studieprogram (E): Personvern en grunnopplæring i personvernregelverk. Antall studiepoeng: 15 Heltid eller deltid, ev begge deler: Deltid

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Felles veikart for nasjonale felleskomponenter i regi av Skate. Digitaliseringskonferansen 2015 vidar.holmane@difi.no

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Retningslinjer for databehandleravtaler

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Policy for personvern

Digitaliseringsstrategi for Buskerud fylkeskommune Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

HVEM ER JEG OG HVOR «BOR» JEG?

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Helse- og omsorgsdepartementet St.meld. nr Samhandlingsreformen

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

GDPR - viktige prinsipper og rettigheter

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Vurdering av personvernkonsekvenser (DPIA)

Notat for beslutning Delprosjekt D3-001 System Gerica Nye Drammen kommune

Nytt personvernregelverk på 1-2-3

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Prosjektmandat. IT i nye Moss kommune. Delprosjektleder: Skal rekrutteres. Planlagt startdato: Planlagt sluttdato:

Digitaliseringsstrate

Sikkerhet og personvern i skole og klasserom

Personvern - vurdering av personvernkonsekvenser - DPIA

Nye personvernregler (GDPR)

Behandlet dato Behandlet av Utarbeidet av

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

AVTALE OM WEBSAK SYSTEM FOR ELEKTRONISK ADMINISTRATIV SAKSBEHANDLING OG ARKIV. Databehandleravtale. Arbeids-og velferdsdirektoratet

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Personvernerklæring i NOAH AS

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personvern-rett H2016

Digitaliseringsstrategi

DATABEHANDLERAVTALE vedrørende nettjenesten

Sesjon 3: AWS Direktoratet for forvaltning og IKT Anskaffelsesstrategi med Difis nye mal

Transkript:

Case: NAVs personvern-prosjekt 10.10.2018 // Haakon Hertzberg // Partnerforum

organiseringen Prosjekteier: Kunnskapsavdelingen v/haakon Hertzberg Prosjektstyre Linjeressurser Prosjektleder Linjeressurser Delprosjektleder: Org & styring Delprosjektleder: IT-løsninger = Koordineringsaktiviteter = Ressurser utenfor prosjektgruppen = Ressurser i prosjektgruppen

Delprosjekt Organisasjon og styring: Organisering Delprosjektleder: Organisasjon og styringssystem Internkontroll Styringssystem og rutiner for internkontroll Oversikt over behandlinger Oversikt over behandlinger av personopplysninger, retningslinjer for systematisk sletting mv Den registrertes rettigheter Tiltak for å ivareta registrertes rettigheter; rett til korrigering, innsigelsesrett, sletting ved forespørsel, etc. Risiko og vurdering av personvern konsekvenser Metode og malverk for ROS analyser og PVK, samt bistå linjen i gjennomføringen Tredjeparter Maler, veiledere for databehandleravtaler, samt bistå linjen med inngåelse/ forvaltning av avtaler Informasjonssikkerhet Innspill vedr test og testdata, samt identifisere sikkerhetsforhold som trenger utbedring. Informasjon og opplæring = Hoved leveranser = Ressurser i prosjektgruppen Etablere og gjennomføre informasjon og kommunikasjonsstrategi. Lage opplæringsplan, utvikle innhold

Delprosjekt IT: Organisering Produkteiere og eiere teknisk løsning Delprosjekt IT Informasjon selvbetjening Syntetiske testdata Dine Personopplysninger Fagarkiv og korrigeringer Innsyn Bidrag Arkitektur på tvers Metode Sørge for oppdatert informasjon om selvbetjening og personvern på nav.no Etablere og tilrettelegge for bruk av syntetiske testdata i NAV Etablere nye innsynsløsninger på Ditt NAV Tilrettelegging for korrigering, sletting og sperring av feilaktige opplysninger i fagarkiv/joark Sørge for tilgjengeliggjøring av bidragsdokumenter på Ditt NAV Analyser og koordinering på tvers Utviklingsmetode

Prosjekt leveranser IT Prosjekt leveranser Org & styring Personvern tema Oversikt over hovedleveranser i Personvernprosjektet Internkontroll Oversikt over behandlinger Den registrertes rettigheter Risiko og vurdering av personvernkonsekvenser Tredjeparter Informasjonssikkerhet Styringssystem og rutiner for internkontroll Oversikt over behandlinger av personopplysninger, retningslinjer for systematisk sletting mv Tiltak for å ivareta registrertes rettigheter; rett til korrigering, innsigelsesrett, sletting ved forespørsel, etc. Metode og malverk for ROS analyser og PVK, samt bistå linjen i gjennomføringen Maler, veiledere for databehandleravtaler, samt bistå linjen med inngåelse/ forvaltning av avtaler Innspill vedr test og testdata, samt identifisere evt. sikkerhetsforhold som trenger utbedring i 2019 Informasjon og opplæring Etablere og gjennomføre informasjon og kommunikasjonsstrategi på tvers av hele prosjektet (både org&styring og IT). Lage opplæringsplan, samt utvikle innhold ved behov. Sørge for oppdatert informasjon om selvbetjening og personvern på nav.no Etablere og tilrettelegge for bruk av syntetiske testdata i NAV Etablere nye innsynsløsninger på Ditt NAV Tilrettelegging for korrigering, sletting og sperring av feilaktige opplysninger i fagarkiv/joark Sørge for tilgjengeliggjøring av bidragsdokumenter på Ditt NAV Sørge for tilgjengeliggjøring av bidragsdokumenter på Ditt NAV Analyser og koordinering på tvers. Utviklingsmetode

Krever god kontroll på alle opplysninger og tilhørende formål Registerdata vs data benyttet i fagappliasjoner Grensedragning partsinnsyn/pol innsyn Syntetiske testdata

IKT varer og tjenester: NAV har kjøpt varer og tjenester fra i alt 482 leverandører. NAV har 167 sentrale avtaler innen driftsområdet. Området er inndelt i tre porteføljer: IKT varer og tjenester, Administrativ portefølje og Profesjonelle tjenester. NAV har 98 ulike kontrakter på IT-området. I porteføljen Profesjonelle tjenester har NAV 50 sentrale rammeavtaler som er bindende for direktoratet, og resten av etaten har opsjon på å benytte disse. Avtalene dekker konsulenttjenester innen HR og IKT, vikartjenester og rekrutteringstjenester. Hjelpemidler: NAV har kjøpt varer og tjenester fra i alt 1 964 leverandører. De 20 største leverandørene på hjelpemiddelområdet utgjør 58 prosent av totalen og 45 leverandører utgjør 80 prosent av totalen. NAV har 169 sentrale avtaler med 118 unike leverandører på hjelpemiddelområdet. Porteføljen er inndelt i om lag 30 avtaleområder som anskaffelsene er inndelt i. En anskaffelse kan bestå av flere poster (delkonkurranser) hvor leverandører kan vinne konkurransen enten som eneste vinner, eller som en av flere vinnere (parallelle rammeavtaler). Alle disse er ikke databehandlere og det er i flere av disse sakene krevende å fastsette roller og ansvar samt finne gode konsepter (En eller flere avtaler med leverandør av flere tjenester)

NAV ønsker å tilby gode, brukervennlige og tilpassede digitale løsninger til sine brukere Brukere NAV IT Utvikling Brukerne har ønsker og forventninger. Tilpassede og relevante tjenester Enkelhet og tilgang til selvbetjeningsløsninger der det er hensiktsmessig Effektiv saksbehandling som NAV må levere på* Brukers behov dekkes gjennom gode brukerløp Brukerne har en aktiv rolle i dialog med NAV Pålitelig forvaltning ved å bl.a. utvikle gode IT løsninger. Nødvendig med: Effektive utviklingsløp Gjenbruk av tilgjengelige personopplysninger Automatiserte prosesser Bruk av profilering og maskinlæring Det er viktig at personvern ivaretas i alle faser av IT utviklingsløpet *Jfr Mål i NAVs langtidsplan 2018-2021

Sentrale tema for ivaretakelse av personvern ved ITutvikling: Innebygd personvern Hvordan sikre at personvern alltid blir ivaretatt og bygd inn i IT løsningene når utviklingsløpene skjer stadig raskere og agilt? Automatisering av behandlinger Tilstrekkelige hjemler for helautomatisering, ikke alltid på plass i eldre regelverk Gjenbruk av personopplysninger Krav til formålsbestemt behandling vs gjenbruk av personopplysninger Maskinlæring Sikre at krav til personvern er oppfylt ved sammenstilling og bruk av personopplysninger gjennom maskinlæring