Risikobasert arbeid med personvern

Like dokumenter
Risikobasert etterlevelse av pvf

NIFS Nettverk for Informasjonssikkerhet Tema: Forberedelser til sikkerhetsmåneden. Barbro Lugnfors Seksjon for informasjonssikkerhet 22.mai.

Raskere digitalisering med god sikkerhet. Evry

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Øyvind Grinde, seksjonssjef

Brudd på personopplysningssikkerheten

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Krav til informasjonssikkerhet i nytt personvernregelverk

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Seksjon for informasjonssikkerhet

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Sikkert nok - Informasjonssikkerhet som strategi

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Personvernerklæring i NOAH AS

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Vi fikk ny personopplysningslov 20. juli 2018

Møte i nettverk for informasjonssikkerhet - NIFS

Prosedyre for personvern

Sikkerhet og personvern i skole og klasserom

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Nytt regelverk, nye muligheter og masse avviksmeldinger!

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Internkontroll i praksis (styringssystem/isms)

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Personvern i EPD-Norge

Status personvern Hedmark og Oppland fylkeskommuner

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Personopplysningsvern med ProFundo som databehandler

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personvernforordningen

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Nye personvernregler fra mai 2018

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Ny personopplysningslov (GDPR) Etter snart 8 måneder, hva har skjedd?

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Personvern - Hva er det

Aggregering av risiko - behov og utfordringer i risikostyringen

Databehandleravtale. Charlotte Lindberg Difi

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Bilag 14 Databehandleravtale

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Vedr. informasjonssikkerheten i ISY ProAktiv og Norconsults håndtering av saken

Oversikt. Remi Longva

Personvern - sjekkliste for databehandleravtale

Informasjonssikkerhet

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

NIFS Nettverk for Informasjonssikkerhet Tema: Øvelse. Barbro Lugnfors Seksjon for informasjonssikkerhet

Studieplan 2017/2018. PERSONVERN en grunnopplæring i personvernregelverk (2017) Studiepoeng: 15. Studiets nivå og organisering. Bakgrunn for studiet

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

Nye personvernregler fra 2018

Personvern i Amento AS

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

Nye personvernregler Gullik Gundersen juridisk rådgiver

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Styringssystem i et rettslig perspektiv

Nye personvernregler (GDPR)

Nye personvernregler (GDPR)

Rusmiddeltesting i arbeidslivet et personvernperspektiv

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Strategi for Informasjonssikkerhet

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

Personvern i Otrera AS

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Personvernmessige utfordringer ved sammenslåing av kommuner Den nye personvernforordningen

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Kan du legge personopplysninger i skyen?

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

NINAs personverndokument

Personvern i Skjervøy Arbeidssamvirke AS

Høringssvar fra Difi - utkast til ny personopplysningslov - Gjennomføring av personvernforordningen i norsk rett

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

Til styret i Sunnaas sykehus HF. 18. desember Innføring General Data Protection Regulation (GDPR) - status

Hva gjør så KiNS og KS med GDPR?

Navn på studieprogram (E): Personvern en grunnopplæring i personvernregelverk. Antall studiepoeng: 15 Heltid eller deltid, ev begge deler: Deltid

VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE

Personvern og informasjonssikkerhet i UH sektoren

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Diabetesforbundet. Personvernerklæring

Difis veiledningsmateriell, ISO og Normen

Nye personvernregler fra mai 2018

Databehandleravtale for NLF-medlemmer

Transkript:

Risikobasert arbeid med personvern Tirsdag 6. november 2018 Grev Wedels plass 9 infosikkerhet@difi.no

Velkommen Tidspunkt Tema Foredragsholder 09:30 Kaffe 10:00 Velkommen Svanhild Gundersen - Difi 10:05 Nytt fra Difi Øyvind Grinde Difi 10:15 Nytt regelverk, nye muligheter og masse avviksmeldinger Martha Eike - Datatilsynet 11:00 Diskusjonsoppgave 1 Martha Eike - Datatilsynet 11:30 Lunsj 12:30 Risikobasert personvern Jon Berge Holden - Difi 13:00 Diskusjonsoppgave 2 Risikobasert internkontroll 13:30 Diskusjonsoppgave 3 Sikkerhetsbrudd i din virksomhet Håkon Styri - Difi Jon Berge Holden og Kjetil Korslien Difi 14:00 Oppsummering Zoya Shah Difi

NIFS Øyvind Grinde Seksjonssjef 6. november 2018

Videre arbeid Delprosjekt Leder Bidrar Etatsstyring Sikkerhetskultur og kompetanse Øvelser Risikostyring

Veien videre Nettverk for informasjonssikkerhet Opprettet Dilemmatrening Internkontroll i praksis Kunnskapsgrunnlag Styringsdialogen 2013 2015 2017 2019 2021 IKT-øvelser Kompetanse og kultur Skytjenester Tekniske standarder Sikkerhet i anskaffelser Helhet og samordning Programvaresikkerhet Hendelseshåndtering på tekniske tiltak Er det sikkert?

Nytt regelverk, nye muligheter og masse avviksmeldinger Martha Eike Datatilsynet

Diskusjonsoppgave 1

Beskrivelse av avviket: Via hjemmesiden til en offentlig etat kan søkere som søker om erstatning følge saken sin via «Min Side». Her får søker en kort beskrivelse av hvor i saksbehandlingen søknaden befinner seg, samt noe forklarende tekst. Man skal i utgangspunktet kun ha tilgang til egne saker som er registrert på sitt eget fødselsnummer. Man får ikke tilgang til underliggende dokumenter, kun overskriften. Det som vises til søker er «Søknad fra Ola Nordmann fødselsnummer 12345678901», samt overskrift i neste dokument osv. Man får ikke tilgang til dokumentinnholdet. Leverandøren oppdaterte systemet en kveld og oppdateringen var ferdig kl. 21.00. Etter oppdateringen kunne de som gikk inn på «Min side» se alle søknader som etaten hadde mottatt seks år tilbake i tid. Uvedkommende kunne få tilgang til å se alle saker i saksbehandlingssystemet og ikke kun sine egne saker. Etaten ble gjort oppmerksom om avviket på e-post fra en bruker noen timer etter oppdateringen. E-posten ble lest kl. 06.00 dagen etter og nødvendig personell ble tilkalt og siden ble tatt ned.

Oppgaver til diskusjon: Hvilke tiltak bør iverksettes? Plikter virksomheten å melde avviket til Datatilsynet? Hvorfor eller hvorfor ikke? Plikter virksomheten å informere de berørte? Hvorfor eller hvorfor ikke?

LUNSJ 11:30-12:30

Risikobasert arbeid med personvern Jon Berge Holden Difi

Diskusjonsoppgave 2

Oppgave 2 Risikobasert internkontroll for etterlevelse av pvf (risikobaserte krav) Bakgrunn: Eforvaltningsforskriften 15 anbefaler helhetlig og risikobasert internkontroll, og krever det på informasjonssikkerhetsområdet. Personvernforordningen stiller krav om risikobasert internkontroll innen sitt område, jf. pvf artikkel 24. I din virksomhet: Hva innebærer kravet om risikobasert internkontroll i din virksomhet? Dvs. hvilke behandlinger og hvilke deler av regelverket må prioriteres høyest, når dere skal sikre etterlevelse av pvf hvor er det størst risiko for brudd på pvf hos dere? (størst sannsynlighet for alvorlige konsekvenser)? Ta f.eks. utg.pkt i vurderinger av hvilke bestemmelser dere mener dere har god/dårlig etterlevelse av, og hvilke etterlevelsesbrudd dere tror de registrerte er mest bekymret for? eks. kvaliteten på profileringbaserte beslutninger om utplukk til kontroll, eks. fare for at opplysninger blir endret urettmessig, faren for at opplysninger kommer på avveie, faren for at de ikke er kjent med behandlingen, faren for at det ikke blir gitt innsyn i deres opplysninger, faren for at opplysninger lagres i utlandet,...) eks. infoplikter, innsynsplikter, behandlingsgrunnlag, infosikkerhet, profilering

Diskusjonsoppgave 3

Oppgave 3 Sikkerhetsbrudd i din virksomhet Bakgrunn: Personvernforordningen stiller krav om dokumentasjon av alle sikkerhetsbrudd (jf. art 33 nr 5), og noen av bruddene skal også varsles til Datatilsynet og ev. de registrerte. Brudd skal meldes til Datatilsynet «med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter (art 33 nr 1). Mens de registrerte skal underrettes hvis det er «sannsynlig at bruddet... vil medføre en høy risiko for fysiske personers rettigheter og friheter» (art 34 nr 1). I din virksomhet: Vurder ulike typer sikkerhetsbrudd i din virksomhet fra alvorlig til ubetydelig. Hvordan bør bruddene dokumenteres, og hvilke av dem bør varsles? Gi eksempler på alvorlige brudd (gjerne som har skjedd, ev. noe dere har truffet spesielle tiltak for å unngå at skal inntreffe). Har dere hittil varslet de registrerte eller Datatilsynet om slike brudd? Vil slike brudd kreve varsling etter dagens regler, jf. pvf art 33-34? Gi eksempler på vanlige sikkerhetsbrudd som ofte oppstår. Hvordan dokumenterer dere dette i dag? Er det behov for endringer? Gi eksempler på sikkerhetsbrudd dere i dag neppe avdekker. Er det behov for nye tiltak? Forordningens uttrykk er «brudd på personopplysningssikkerheten», jf. art 33-34. Begrepet er definert i artikkel 4 nr 12.

NIFS 2019

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding