Risikobasert arbeid med personvern Tirsdag 6. november 2018 Grev Wedels plass 9 infosikkerhet@difi.no
Velkommen Tidspunkt Tema Foredragsholder 09:30 Kaffe 10:00 Velkommen Svanhild Gundersen - Difi 10:05 Nytt fra Difi Øyvind Grinde Difi 10:15 Nytt regelverk, nye muligheter og masse avviksmeldinger Martha Eike - Datatilsynet 11:00 Diskusjonsoppgave 1 Martha Eike - Datatilsynet 11:30 Lunsj 12:30 Risikobasert personvern Jon Berge Holden - Difi 13:00 Diskusjonsoppgave 2 Risikobasert internkontroll 13:30 Diskusjonsoppgave 3 Sikkerhetsbrudd i din virksomhet Håkon Styri - Difi Jon Berge Holden og Kjetil Korslien Difi 14:00 Oppsummering Zoya Shah Difi
NIFS Øyvind Grinde Seksjonssjef 6. november 2018
Videre arbeid Delprosjekt Leder Bidrar Etatsstyring Sikkerhetskultur og kompetanse Øvelser Risikostyring
Veien videre Nettverk for informasjonssikkerhet Opprettet Dilemmatrening Internkontroll i praksis Kunnskapsgrunnlag Styringsdialogen 2013 2015 2017 2019 2021 IKT-øvelser Kompetanse og kultur Skytjenester Tekniske standarder Sikkerhet i anskaffelser Helhet og samordning Programvaresikkerhet Hendelseshåndtering på tekniske tiltak Er det sikkert?
Nytt regelverk, nye muligheter og masse avviksmeldinger Martha Eike Datatilsynet
Diskusjonsoppgave 1
Beskrivelse av avviket: Via hjemmesiden til en offentlig etat kan søkere som søker om erstatning følge saken sin via «Min Side». Her får søker en kort beskrivelse av hvor i saksbehandlingen søknaden befinner seg, samt noe forklarende tekst. Man skal i utgangspunktet kun ha tilgang til egne saker som er registrert på sitt eget fødselsnummer. Man får ikke tilgang til underliggende dokumenter, kun overskriften. Det som vises til søker er «Søknad fra Ola Nordmann fødselsnummer 12345678901», samt overskrift i neste dokument osv. Man får ikke tilgang til dokumentinnholdet. Leverandøren oppdaterte systemet en kveld og oppdateringen var ferdig kl. 21.00. Etter oppdateringen kunne de som gikk inn på «Min side» se alle søknader som etaten hadde mottatt seks år tilbake i tid. Uvedkommende kunne få tilgang til å se alle saker i saksbehandlingssystemet og ikke kun sine egne saker. Etaten ble gjort oppmerksom om avviket på e-post fra en bruker noen timer etter oppdateringen. E-posten ble lest kl. 06.00 dagen etter og nødvendig personell ble tilkalt og siden ble tatt ned.
Oppgaver til diskusjon: Hvilke tiltak bør iverksettes? Plikter virksomheten å melde avviket til Datatilsynet? Hvorfor eller hvorfor ikke? Plikter virksomheten å informere de berørte? Hvorfor eller hvorfor ikke?
LUNSJ 11:30-12:30
Risikobasert arbeid med personvern Jon Berge Holden Difi
Diskusjonsoppgave 2
Oppgave 2 Risikobasert internkontroll for etterlevelse av pvf (risikobaserte krav) Bakgrunn: Eforvaltningsforskriften 15 anbefaler helhetlig og risikobasert internkontroll, og krever det på informasjonssikkerhetsområdet. Personvernforordningen stiller krav om risikobasert internkontroll innen sitt område, jf. pvf artikkel 24. I din virksomhet: Hva innebærer kravet om risikobasert internkontroll i din virksomhet? Dvs. hvilke behandlinger og hvilke deler av regelverket må prioriteres høyest, når dere skal sikre etterlevelse av pvf hvor er det størst risiko for brudd på pvf hos dere? (størst sannsynlighet for alvorlige konsekvenser)? Ta f.eks. utg.pkt i vurderinger av hvilke bestemmelser dere mener dere har god/dårlig etterlevelse av, og hvilke etterlevelsesbrudd dere tror de registrerte er mest bekymret for? eks. kvaliteten på profileringbaserte beslutninger om utplukk til kontroll, eks. fare for at opplysninger blir endret urettmessig, faren for at opplysninger kommer på avveie, faren for at de ikke er kjent med behandlingen, faren for at det ikke blir gitt innsyn i deres opplysninger, faren for at opplysninger lagres i utlandet,...) eks. infoplikter, innsynsplikter, behandlingsgrunnlag, infosikkerhet, profilering
Diskusjonsoppgave 3
Oppgave 3 Sikkerhetsbrudd i din virksomhet Bakgrunn: Personvernforordningen stiller krav om dokumentasjon av alle sikkerhetsbrudd (jf. art 33 nr 5), og noen av bruddene skal også varsles til Datatilsynet og ev. de registrerte. Brudd skal meldes til Datatilsynet «med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter (art 33 nr 1). Mens de registrerte skal underrettes hvis det er «sannsynlig at bruddet... vil medføre en høy risiko for fysiske personers rettigheter og friheter» (art 34 nr 1). I din virksomhet: Vurder ulike typer sikkerhetsbrudd i din virksomhet fra alvorlig til ubetydelig. Hvordan bør bruddene dokumenteres, og hvilke av dem bør varsles? Gi eksempler på alvorlige brudd (gjerne som har skjedd, ev. noe dere har truffet spesielle tiltak for å unngå at skal inntreffe). Har dere hittil varslet de registrerte eller Datatilsynet om slike brudd? Vil slike brudd kreve varsling etter dagens regler, jf. pvf art 33-34? Gi eksempler på vanlige sikkerhetsbrudd som ofte oppstår. Hvordan dokumenterer dere dette i dag? Er det behov for endringer? Gi eksempler på sikkerhetsbrudd dere i dag neppe avdekker. Er det behov for nye tiltak? Forordningens uttrykk er «brudd på personopplysningssikkerheten», jf. art 33-34. Begrepet er definert i artikkel 4 nr 12.
NIFS 2019