Modell for behandlingsgrunnlag i NAV

Like dokumenter
Roller og ansvar ved deling av opplysninger

Roller og ansvar ved deling av personopplysninger

Felles datakatalog. David Norheim

Helsedata. Christine Bergland. 4. april 2018

Identifisering, autentisering og tilgangskontroll for representanter. 10. September 2019 // IT-arkitektur // Håkon Jendal

Tiltaksliste Informasjonsforvaltning og -utveksling

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

Personvernforordningen en praktisk tilnærming

GDPR Prosjektgjennomføring Sjekkliste

Informasjonsforvaltning hos Riksrevisjonen (med en dash GDPR) Faglig Arena for Informasjonsforvaltning (Difi) Erik Hagen, 8. sept.

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

Felles datakatalog. Espen Slotvik, avdeling for digitalisering

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Felles datakatalog og DCAT-AP-NO

Hva har vi gjort og hva kommer?

API katalog: tilbakemeldinger fra Skate

SAKSFRAMLEGG. Forum: Skate Møtedato:

Diabetesforbundet. Personvernerklæring

Samhandlingsarkitekturer i helsesektoren.

- Orden i eget hus - Oversikt over og beskrivelse av egne datasett

Ny personvernforordning trer i kraft i mai 2018

Hva betyr tjenesteorientert arkitektur for sikkerhet?

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Nasjonal e-helsestrategi

Helsetjenestene på nett med helsenorge.no. Innbyggers tilgang til enkle og sikre digitale helsetjenester

Databehandleravtale. Charlotte Lindberg Difi

Personvernerklæring for Fredrikstad kemnerkontor

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

PERSONVERNERKLÆRING. Innledning

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Informasjonsforvaltning og felles datakatalog. Standardiseringsrådet

Prosjektforslag. Prosjektforslag for Felles Datakatalog

Utfordringer og løsninger for håndtering av kompleksitet på nasjonalt nivå Ark 2018

Foreløpig kontrollrapport

Avtale mellom. om elektronisk utveksling av opplysninger

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Jeg søker om tjenester til en person jeg er foresatt eller verge for

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Digitaliseringsvennlig regelverk - norske initiativ

Rammeverk for informasjonsforvaltning for offentlig sektor. Samdok, ,

Personvernerklæring for OJS

HVEM ER JEG OG HVOR «BOR» JEG?

2. OVERORDNET MÅL, FUNKSJONALITET, FREMDRIFT, KOSTNADSRAMMER MV. Nedenfor redegjøres det nærmere om mål, fremdrift og kostnader for prosjektet.

Faseplan for Felles Datakatalog planleggingsfase

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Multiarkitektur fra datavarehus til informasjonsplattform. 12. april 2018 Elin Våge Lafton, NAV IT Digitalisering

Sak 3/18 Sluttbehandling av Etablere enhetlig arkitekturrammeverk (ST 2.2) Skate-møtet 21.mars 2018

Nye personvernregler

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Beskyttelse av pasientinformasjon i en dynamisk hverdag, Situasjonsavhengig tilgangskontroll

STRAKS- vegtrafikkulykker Prosjekt Ny STRAKS. Teknologidagene 22 september 2016

FIKS Plattform for digital samhandling Astrid Øksenvåg KS Kommunesektorens organisasjon

Altinn bruk og tilgangsstyring. Cat Holten, avdelingsdirektør Digitalisering, Brønnøysundregistrene

Hvordan kan en gjenbrukbar NOARK kjerne bidra til samhandling mellom forvaltningsnivåene?

GDPR HVA ER VIKTIG FOR HR- DATA

Krav til rettslig grunnlag for behandling av personopplysninger. Dag Wiese Schartum

Modernisering av folkeregisteret ekommune-konferanse 2012 Trondheim,

Personvern i offentlig forvaltning

Kan du legge personopplysninger i skyen?

Digitalisering i kommuner og fylkeskommuner vi jobber sammen eforum Trøndelag november 2017

GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017

Helse- og omsorgsdepartementet St.meld. nr Samhandlingsreformen

Informasjonsforvaltning - status, planer og Nordic Smart Government 3.0. David Norheim

Felles arkitekturprinsipper for helse- og velferdsområdet

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

REKRUTTERING OG GDPR

Personvernerklæring for jobbsøkere til Gunnar Holth Grusforretning AS

Legalfullmakt, fremtidsfullmakt og vergemål

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Modernisering av Folkeregisteret

Personvernperspektivet og oppbevaring av intervjumateriale

Spesifikasjon for beskrivelse av formål og hjemmel for bruk av datasett

Sentral Policy Basert Autorisasjonsløsning

Prosjektbegrunnelse for. Felles Datakatalog

Modernisering av folkeregisteret Nordisk adressemøte, Oslo mai 2012

DIGITALISERINGSSTRATEGI FOR DDV-SAMARBEIDET

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Opplysninger og tillatelser barn i barnehage

Transkript:

Modell for behandlingsgrunnlag i NAV Faglig arena for informasjonsforvaltning digitaliseringsvennlig regelverk 23. april 2019 // Ida Solheim og John Martin Furseth, NAV

Hvordan havnet vi her? John Martin jobber med samhandling og integrasjon representerer NAV i Skate-tiltak for Felles Datakatalog og Fullmakt for innbygger jobber i prosjekt for Modernisert Folkeregister i NAV, som lager Persondataløsning for håndtering av grunnleggende personopplysninger i NAV Ida lager logiske modeller som skal implementeres Personvernforordningen krever at vi har oversikt over behandling og utveksling av personopplysninger at bruk av personopplysninger har et rettslig grunnlag og begrenses til tjenstlig behov NAVs personvernprosjekt sikter mot å lage løsninger som tilfredsstiller disse kravene. NAV, 24.04.2019 Side 2

Behandlingsoversikt, hva er det? henter inn sammenstiller søker, lagrer, bruker, utleverer sletter Juridisk seksjon: Veileder behandlingsoversikt NAV, 24.04.2019 Side 3

Dagens behandlingsoversikt NAV, 24.04.2019 Side 4

Og så? Legge den i en skuff? Hvem vil lese den? Kan vi bruke den til noe mer? Hvordan holde den oppdatert? På en effektiv måte? NAV, 24.04.2019 Side 5

Kjernen: behandlingsgrunnlag Juridisk seksjon: Veileder behandlingsoversikt NAV, 24.04.2019 Side 7

Et behandlingsgrunnlag er et rettslig grunnlag for å bruke en gitt opplysningstype til et gitt formål Rettslig grunnlag Opplysningstype Formål Artikkel 6(1)e Navn Arbeidsavklaringspenger Artikkel 6(1)e Bostedsadresse Arbeidsavklaringspenger Artikkel6(1)e Rettslig grunnlag Artikkel 6(1)c Helseopplysninger Opplysningstype Helseopplysninger Arbeidsavklaringspenger Formål Dispensasjonssøknader for ørepropper og høreapparater

Et behandlingsgrunnlag er et rettslig grunnlag for å bruke en gitt opplysningstype til et gitt formål. Rettslig grunnlag Behandlingsgrunnlag Opplysningstype Formål Artikkel 6(1)e; Navn; Arbeidsavklaringspenger Artikkel 6(1)e; Navn; Ørepropper og høreapparat Artikkel 6(1)c; Helseopplysninger; Ørepropper og høreapparat B = <r, o, f>

Behandlingsgrunnlag: En gitt opplysningstype kan brukes til et gitt formål i henhold til et rettslig grunnlag. Formål Rettslig grunnlag Opplysningstype Behandlingsgrunnlag Navn, Arbeidsavklaringspenger, Artikkel 6(1)e Navn, Ørepropper og høreapparat, Artikkel 6(1)c Helseopplysninger, Ørepropper og høreapparat, Artikkel 6(1)c B = <o, f, r>

To og to B = <o, f, r> Formål Rettslig grunnlag Navn; Arbeidsavklaringspenger Navn; Ørepropper og høreapparat Helseopplysninger; Ørepropper Opplysningstype Opplysningsbehov Behandlingsgrunnlag Navn, Arbeidsavklaringspenger, Artikkel 6(1)e Navn, Ørepropper og høreapparat, Helseopplysninger, Ørepropper og høreapparat, Artikkel 6(1)c NAV, 24.04.2019 Side 11

Behandlingsgrunnlag i UML-drakt NAV, 24.04.2019 Side 12

Mer av behandlingsoversikten

Et behandlingsgrunnlag for utlevering av en gitt opplysningstype til en gitt mottaker er mottakers rettslige grunnlag for å bruke den til et gitt formål. BU = < m, o, r, f >

Behandlingsgrunnlag for utlevering

Hva er et formål? NAV, 24.04.2019 Side 16

Hva er et datasett? NAV, 24.04.2019 Side 17

Personvernprosjektet adresserer utfordringer NAV skal ha oversikt over og kontroll med bruk av personopplysninger Vi etablerer løsningen «DataNav» som gir: Oversikt over personopplysninger i NAV Katalog over personopplysninger Katalog over behandlingsgrunnlag Rapportering på personopplysninger Sikker utveksling av personopplysninger som ivaretar personvern Tilgangsstyring Intern utveksling (i første omgang) I tjenester I feeds Attributtbasert (ABAC) NAV, 24.04.2019 Side 18

Utvikling av løsningen «DataNAV» (arbeidstittel) DataNAV blir en løsning for Data Governance i NAV: Katalog over personopplysninger, kan utvides Behandlingsoversikt Behandlingsgrunnlag Oversikt over produsenter og konsumenter av personopplysninger Oversikt over distribusjoner og distribusjonskanaler DataNAV Utvikles som Opensource microservice arkitektur Kjører på Google Cloud (Java - Spring Boot - React Java Postgres) Kildekode åpent på Github Skal brukes til rapportering PoC på tilgangsstyring til opplysninger i Persondataløsningen Oversiktene og taksonomiene som dannes, viser seg å være ønsket og etterlengtet i flere sammenhenger. NAV, 24.04.2019 Side 19

Avgrensninger Løsningen samler ikke faktiske persondata om person, men beskriver personopplysninger på metadatanivå. Løsningen har ingen direkte sammenheng med Felles Datakatalog, men kan kanskje utvides å samspille med den. Løsningen kan utvides til å synliggjøre problemområder rundt datakvalitet, men forbedring av datakvalitet er ikke del av løsningen. NAV, 24.04.2019 Side 20

ABAC referansemodell (autorisering, tilgang) NAV, 24.04.2019 Side 22

PoC på tilgangsstyring i Persondataløsningen Styre tilgang Forvalter Oversikt og Rapportering Behandler Behandling Styre tilgang til personopplysninger m/ minimering (ala SparQL) PEP / PDP PEP / PDP Styre tilgang til behandlingsfunksjonalitet Tjeneste Persondataløsning Fagsystem (applikasjon) PIP PIP DataNAV implementerer: Katalog over personopplysninger Behandlingsgrunnlag Behandlingsoversikt og kanskje mye mer DataNAV Axsys (brukertilgang) NAV, 24.04.2019 Side 23

NAV, 24.04.2019 Side 24

KANAL TILGANG «Fullmakt og representasjon for innbygger» : Er behandlingsoversikt også relevant her? Rolletyper: 1. Fullmaktsgiver 2. Person under vergemål 3. Barn Rolletyper: 1. Fullmektig 2. Oppnevnt verge 3. Foreldre med foreldreansvar Aktør: Har rolle som Representert (Innbygger) Representant Har rolle som Aktør: Person Person / Organisasjon Inngår i Inngår i Representerer i bruk av tjeneste Etablerer Representasjonsforhold Definerer tilgangspolicy Kilde Holder på informasjon for policy (=PIP) Styrer tilgang vha. policy (=PDP / PEP) Tjeneste «Kanal» for bruk av tjenesten feks nettløsning, melding eller DPI, varsling SMS/Epost, enveis/toveis/flerparts dialog, brev, oppmøte, telefon, materiell tjeneste, produkt En fullmakt / representasjon må også beskrive hvilken behandling det gis tilgang til Representasjonstyper: 1. Fullmakt 2. Vergemål 3. Foreldreansvar Gyldighet: Tidsperiode Tjenesteomfang Andre betingelser Tjenestetyper: 1. Sak (beslutning) 2. Andre tjenester (dialog, veiledning, innsyn, oppfølging, hjelpemidler etc.) (Tjenester kan aksesseres manuelt, del- eller hel-digitalisert, tilgangsstyring kan støtte alle varianter) NAV, 24.04.2019 Side 25

«Felles datakatalog» : Er behandlingsoversikt også relevant her? NAV, 24.04.2019 Side 26

Det hadde vært fint med Felles og omforent begrepsapparat for digitalisering av regelverk og datadeling med tilhørende modeller. Når vi samhandler internt og eksternt, hva er egentlig vår felles forståelse av: Datasett Datasettbeskrivelse Distribusjon Opplysningstype Informasjonselement Formål Behandling NAV, 24.04.2019 Side 27

Termene som trigget diskusjonen om begrepskoordinering i Felles Datakatalog business Begrepsmodell for informasjonsforvaltning full Terminologi for FDK og IDK Datasettkatalog Behandlingsaktivitetkatalog Behandling Forvaltning Datasett-type Distribusjon Datakatalog Kodesett (Kodeverk) Datasettbeskrivelse (DCAT-AP) Datasett Produsent Behandlingsaktivitet Gjøremål Formål Oppgave Observasjon Hendelse API-katalog API-beskrivelse (OAS/Swagger) Distribusjonstype API Dataforekomst Opplysningstype Personopplysningsbehov IT-system (Applikasjon) Ressurs (Ansatt) Informasjonselement Dataelement Opplysningskategori Aktør Behandlingsgrunnlag Rettslig Grunnlag Samtykke Datatype Myndighet Innbygger Virksomhet Institusjon Representant Regelverk Lovtekst (Hjemmel) Avtale Berettiget interesse NAV, 24.04.2019 Side 28

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding