Elektroniske spor Senioringeniør Atle Årnes Radisson SAS Scandinavia Hotel, Holbergsgate 30
Det er forbudt å lagre unødvendige personopplysninger Personopplysninger skal ikke lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. 08.03.2007 Side 2
Grunnkrav Bare behandle personopplysninger når det er tillatt Bare nyttes til uttrykkelig angitte formål som er sakelig begrunnet Ikke brukes til andre formål som er uforenelig med det opprinnelige formålet Er tilstrekkelige og relevante for formålet med behandlingen Er korrekte og oppdatert, og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen 08.03.2007 Side 3
Behandling av personopplysninger i norske virksomheter TØI Positiv holdning til personvern Lav kunnskap om loven Uklart om kravene gjelder egen virksomhet Et mindretall av virksomhetene oppfyller kravene 08.03.2007 Side 4
Mange er ute etter personopplysninger 08.03.2007 Side 5
Informasjonssikkerhet Konfidensialitet Integritet Tilgjengelighet 08.03.2007 Side 6
Dette høres enkelt ut. Men, når skjærer det seg? eksempler 08.03.2007 Side 7
Kameraovervåking Digitale opptak Nok av lagringsplass Sletting etter 7 dager koster Hvem skal ha tilgang til opptak? 08.03.2007 Side 8
Offentlig transport Overgang til elektronisk billettering Registrering av når du går på bussen, når du bytter transportmiddel og også når du går av. Full tilgang til reisemønsteret via Internett. Hvem skal ha tilgang til dette? Mor, far, ektefelle, arbeidsgiver, politiet, skattevesenet? Den som betaler for reisen eller den som foretar reisen? Hvor lenge skal det lagres? Hvorfor skal slike opplysninger lagres, reisen betales på forhånd. 08.03.2007 Side 9
Bompenger og reisetidsmålinger Over 1 million autopassbrikker i dag. Vegvesenet ønsker at alle biler har brikke. Lagrer ett års passeringsdata på Internett. Hvem skal kunne få se disse passeringsdataene? Mor, far, ektefelle, arbeidsgiver, politiet, skattevesenet? Den som betaler for abonnementet eller den som kjører bilen? De 100 siste passeringene lagres i brikken i bilen. De 4 siste reisetidsregistreringene lagres i brikken. Hvorfor skal slike opplysninger lagres, reisen betales på forhånd. 08.03.2007 Side 10
Det har tatt helt av 25 bompengeanlegg 1 av anleggene finner du i Oslo. I Oslo er det 19 kontrollstasjoner. Utenfor bompengeanleggene finner man 14 reistidsantenner som registrerer passeringene dine på brikken. Parkeringshus kan benytte brikke ID. Flere andre tjenester kommer. 08.03.2007 Side 11
Telekom Vi er blitt vant til at trafikkdata for våre kommunikasjoner er lagret, slik at vi kan faktureres for tjenesten. Men hvorfor skal det lagres når man har forhåndsbetalt et kontantkort. Når fakturaen er betalt skal trafikkdataene slettes. Hvorfor tas de allikevel vare på? Norge har ikke implementert datalagringsdirektivet enda. 08.03.2007 Side 12
Samferdselssektoren i sin egen verden Elektronisk billettering på offentlig transport. Autopass for bilistene. Strekningsvis automatisk trafikkontroll (alle blir tatt bilde av) Trafikkdata på fasttelefoni Trafikkdata og lokalisering på mobiltelefon Hvem er du på Internett Hvem sender du e-post til Hvem kommuniserer du med IP-telefon til Bruk av ID for å fly i Norge (i fremtiden bruk av fingeravtrykk) 08.03.2007 Side 13
Justisdepartementet Elektroniske, biometriske pass Nasjonale ID-kort med RFID og e- signaturer Konfidensialiteten ødelegger for fleksibilitet og funksjon. Konfidensialitetskravet er tungt å oppfylle. 08.03.2007 Side 14
Hotellene leser passene 08.03.2007 Side 15
Logging av aktivitet, mulighetene er der E-post Lagring av all e-post inn og ut av virksomheten, men hvordan håndteres sletting? MSN Lagring av kommunikasjon, men hva med kommunikasjon som ikke skal lagres? Telefonsamtaler Lagring av innhold, men hvordan håndtere samtaler som ikke må lagres? 08.03.2007 Side 16
Hvem skal håndtere posten per.olsen@firmaet.no post@firmaet.no 08.03.2007 Side 17
Skurker, hvordan tas de i ettertid Alle ansatte Alle internettbrukere Alle flypassasjerer Alle som kjører på offentlige veier Alle busspassasjerer Alle som overfører mer enn 5000 kroner til utlandet. Alle som kredittsjekkes Alle som benytter telefon Alle som går på offentlig sted Osv. La dem vite at alt de gjør overvåkes og logges. 08.03.2007 Side 18
Rettsaken venter på deg Alt du har gjort kan kjapt og enkelt hentes frem fra logger. Dersom du har gjort noe ulovlig har noen bevisene. Hva er ulovlig? Det diskuterer noen etterpå. Men. Loggen forteller ikke historien slik jeg oppfattet den. Loggen lyver aldri, en logg er faktum. 08.03.2007 Side 19
St.meld.17 auka høve til personidentifisering eit vesentleg utviklingstrekk ved dagens samfunn. Delvis følgjer dette av at det blir utvikla nye typar teknologiar. Retten til å opptre og ferdast anonymt er ikkje uttrykkeleg slått fast i norsk lovgiving. Ein slik rett kan likevel utleiast av grunnleggjande rettar i blant anna menneskerettskonvensjonen artikkel 8 og av EUs personverndirektiv. Her heiter det at einskildpersonars grunnleggjande rettar og fridomar må respekterast, særleg retten til privatlivets fred. I både personverndirektivet og i den norske personopplysningsloven er sjølvråderetten for kvar einskild eitt av grunnprinsippa, fortrinnsvis uttrykt ved at ein må gi eit frivillig, informert og uttrykkeleg samtykke til behandling av personopplysningar. 08.03.2007 Side 20
Stortingsmelding 17 Tiltak 8.2: Regjeringa går inn for at det framleis må vere tilbod om anonyme løysingar i samanhengar der det ikkje er nødvendig å identifisere seg. Anonyme løysingar skal vere tilgjengelege i samanhengar der dette er føremålstenleg. Regjeringa vil greie ut moglegheita for Pseudonyme løysingar som alternativ til full anonymitet og full identifikasjon. Pseudonyme sertifikat i løysingar for digital signatur der dette er tilstrekkeleg. Anonyme betalingskort som alternativ til bankkort/kredittkort som er knytte til identitet. 08.03.2007 Side 21
Virksomheten er selv ansvarlig Virksomheten er selv ansvarlig for å ivareta godt personvern. Både for ansatte og kunder. Datatilsynet lanserte den 15. februar 2007 et nytt og omfattende veiledningsmateriale om internkontroll og informasjonssikkerhet. I mars arrangeres det også gratis seminarer rundt temaet. 08.03.2007 Side 22
Materiell for virksomheter Lansert 15. Februar 2007 Temaheftet "pokerfjes". En fullstendig veileder for internkontroll. Maler for dokumenter i internkontrollen. Tilpasset materiale for de som bare har personopplysninger om ansatte og kunder. Støtteverktøy for kontroll mot regelverket. Alt sammen tilgjengelig på www.datatilsynet.no 08.03.2007 Side 23
Tenk på personvern, tidlig i prosessen Løsningen på all elendighet er ikke overvåking og logging for å kunne ta skurker i ettertid. Da har alt forbrytelsen skjedd. Av hensyn til virksomheten bør man være kreativ på andre løsninger for å ivareta sikkerhet. Virksomheten blir selv lovbryter dersom unødvendige personopplysninger lagres. 08.03.2007 Side 24