Brudd på personopplysningssikkerheten

Like dokumenter
Nytt regelverk, nye muligheter og masse avviksmeldinger!

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Ny personopplysningslov (GDPR) Etter snart 8 måneder, hva har skjedd?

Krav til informasjonssikkerhet i nytt personvernregelverk

Status personvern Hedmark og Oppland fylkeskommuner

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvernlovgivningen ledelsens ansvar Pensjonskassekonferansen 14. mai 2019, Sandefjord. Ove Skåra - Datatilsynet

Personvernerklæring i NOAH AS

Personvern - vurdering av personvernkonsekvenser - DPIA

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Personvern i EPD-Norge

Prosedyre for personvern

Nye personvernregler fra mai 2018

HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?

Nye personvernregler fra 2018

Personvern i Amento AS

Personvern i Otrera AS

Policy for personvern

Nye personvernregler Gullik Gundersen juridisk rådgiver

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Personvern - Hva er det

Databehandleravtale for NLF-medlemmer

Personvern - sjekkliste for databehandleravtale

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Risikobasert arbeid med personvern

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Sikkerhet og personvern i skole og klasserom

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Personvern i Konstali Helsenor AS

Internkontroll og informasjonssikkerhet lover og standarder

Personvern i skyen Medlemsmøte i Cloud Security Alliance

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

Personopplysningsvern med ProFundo som databehandler

Nye personvernregler (GDPR)

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Arbeidsgivers personvernplikter

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Vi fikk ny personopplysningslov 20. juli 2018

Risikobasert etterlevelse av pvf

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Personverndokument NLT

NINAs personverndokument

Informasjonssikkerhet i forordningen

Nytt personvernregelverk på 1-2-3

Etterlevelse av personvernforordningen (GDPR) sett opp mot ISO hva er nytt/viktig? Anders Bergman Greenfinger AB

3.1 Prosedyremal. Omfang

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Har du kontroll på verdiene dine

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Personvern i Skjervøy Arbeidssamvirke AS

Ny personopplysningslov, hva betyr det for skoler og skoleledelse?

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Nye personvernregler fra mai Mars 2017

Nye personvernregler

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Spørreundersøkelse om informasjonssikkerhet

Nye personvernregler (GDPR)

GDPR- hva betyr dette for NTNU

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Nye personvernregler fra 20. juli 2018

Perspektiver og planer ved Universitetet i Oslo

Kommunens Internkontroll

Personopplysninger og opplæring i kriminalomsorgen

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Retningslinjer for varsling av kritikkverdige forhold

Varsling- veileder for deg som ønsker å varsle

Retningslinjer for mediehåndtering

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Sjekkliste GDPR. Nye personvernregler Hva bør gjøres frem mot 25.mai

POWEL DATABEHANDLERAVTALE

Instruks for personvernombud ved OsloMet

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Informasjonssikkerhet og etikk hvordan henger dette sammen DRI

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Hva betyr det for din virksomhet?

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Implementering av det nye personvernregelverket ved UiB

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Transkript:

Brudd på personopplysningssikkerheten

Hva skal vi snakke om? 1 2 3 4 Hva er brudd på personopplysningssikkerheten? Eksempler på avvik meldt til Datatilsynet Prosessen for å behandle avvik Personvernombudets rolle

1 Hva er brudd på personopplysningssikkerheten?

Brudd på personopplysningssikkerheten Ikke bare konfidensialitet, men også tilgjengelighet og integritet Definisjon: «- er et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig (uautorisert) spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet» Art. 4 4

Avviksmeldinger Når må virksomheten sende melding om avvik til Datatilsynet? «Ved brudd på personopplysningssikkerheten, med mindre det er lite trolig at bruddet vil medføre en risiko for fysiske personers rettigheter og friheter.» Art. 33 5

Informasjon til de berørte Dersom det er sannsynlig at bruddet vil medføre en høy risiko Berørte skal informeres så raskt som mulig, slik at de skal kunne foreta seg noe for å begrense skaden. Bruk den kanal som det er størst sjanse for å nå ut til den berørte (f.eks. telefon, SMS, e-post, brev..) Unntak i kravet om varsling: Eksisterende tiltak som gjør informasjonen uleselig, f.eks. kryptering Tiltak i ettertid som sikrer at den høye risikoen ikke lengre vil oppstå Uforholdsmessig innsats. Må i stedet informere offentlig eller tilsvarende. Personopplysningsloven 16 4. ledd, jf. bokstav a, b og d Art. 34 6

Når er det høy risiko Risiko er høy når det er sannsynlig at bruddet kan føre til (f.eks.): Diskriminering Identitetstyveri eller svindel Økonomisk tap Skade på omdømme Brudd som innebærer personopplysninger som avslører (f.eks.): Rase eller etnisk opprinnelse Politisk oppfatning Religion eller filosofisk tro Fagforeningstilhørighet Opplysninger om genetikk, helse eller sexliv Straffedommer og lovovertredelser eller relaterte sikkerhetstiltak kan sannsynligvis medføre skade for den registrerte 7

2 Eksempler på avvik meldt til Datatilsynet

Vanligste sikkerhetshendelser i 2017 Kilde: «Mørketallsundersøkelsen 2018» https://www.nsr-org.no/

Vanligste årsak til at hendelsen ble oppdaget var ved en tilfeldighet (eller flaks!) Virksomheter med internkontroll eller styringssystem baserer seg mindre på tilfeldigheter og mer på intern sikkerhetsmonitorering

Kraftig vekst i antall avviksmeldinger etter 20. juli 2018 1275 2000? 821 siden 20. juli 718 349 116 84 206 2014 2015 2016 2017 2018 2019 11

Innmeldte avvik fra kommuner 25 20 15 10 5 0 20. juli 2018 28. mai 2019 126 kommuner har meldt inn avvik 4 av 30 kommuner med under 1000 innbyggere har meldt inn avvik 296 kommuner har ikke meldt inn avvik Sandefjord: 0 (63 000 innb) Asker: 0 (61 000 innb) Bodø: 0 (52 000 innb).. Karmøy: 0 (42 000 innb) Haugesund: 0 (37 000 innb) Antall 12

men mange skyldes feilsendte e-poster «menneskelig svikt»

3 Prosessen for å behandle avvik

Håndtering av personvernavvik Sikre at nødvendige skadebegrensende og forebyggende tiltak blir iverksatt. Beslutning om å informere basert på korrekt informasjon og vurderinger. Motta og vurdere informasjon om hendelse Iverksette tiltak Varsle internt og melde til Datatilsynet Informere de berørte Oppfølging, evaluering og læring Sikre at informasjon om mulige personvernavvik blir tatt i mot og behandlet. Sikre at behov for å sette krisestab avklares basert på korrekt informasjon. Sikre at vi melder Datatilsynet innen fristen. Rydde opp etter hendelsen og lære av den for å unngå at det skjer igjen.

Prinsipper for håndtering av personvernavvik Ansvar Den virksomheten/fagenheten som har ansvar i en normalsituasjon, har også ansvar for å håndtere ekstraordinære hendelser Nærhet Hendelser/ kriser skal organisatorisk håndteres på lavest mulig nivå. Likhet Den organisasjonen man opererer med i forbindelse med avvik skal være mest mulig lik den organisasjonen man har til daglig.

Det er viktig å forstå.. Personvernkonsekvenser Konsekvenser for den registrertes rettigheter og friheter Personvernrisiko Hvor ille er / kan det bli for den registrerte? Personvernrisiko vurderes høyere hvis det gjelder barn det er store mengder personopplysninger og/eller det gjelder mange personer

Avvikssystemet noen erfaringer HMS Tjenestekvalitet Personvern og sikkerhet Øvrige avvik Avvikene blir ikke meldt Avvikene stopper opp i avvikssystemet (Les: blir ikke åpnet og behandlet av ledere) Avvikene eskaleres til fylkesrådmann (i systemet) Tiden går

Det handler om praktiske løsninger Si fra til nærmeste leder! Håndtere og få kontroll Rapportere

4 Personvernombudets rolle

Roller og ansvar Rolle Leder med daglig ansvar for behandlingen Personvernkoordinator Personvernombud IKT og databehandlere Fylkesdirektøren/ - rådmann Kommunikasjonsenheten Ansvar Hovedansvar for håndtering av personvernavviket, iverksettes tiltak, informere de berørte og melde til Datatilsynet. Bistå daglig ansvarlig i håndtering av personvernavviket. Rådgiver og støttespiller i hele prosessen. Skal bli informert Kan melde avvik til Datatilsynet Bidra i forståelse av hendelsen, og eventuell iverksette tiltak. Bli informert ved behov Sette krisestab ved behov Sikre god og riktig informasjon til de berørte og andre eksternt.

Opplæring Alle må forstå hva avvik er og hvor de skal si fra (Elæring) Da må alle forstå hva som er god personopplysningssikkerhet Bygge kultur for å melde avvik Opplæring og øvelser i ledergrupper Opplæring av personvernkoordinatorer

Øvelse i ledergruppa; Stjålet PC PC-en til en av de ansatte i ledergruppa i Innlandet er stjålet. Tyveriet skjedde på toget da flere i ledergruppa var på reise PC-en innehold bl.a. dokumenter med navn, kontaktinformasjon og notater om ansatte som var aktuelle for innplassering på nivå 3. Notatene inkluderer innstilling til stillinger på nivå 3 fra Mercuri Urval, og egen oppsummering av diskusjoner etter gjennomførte intervjuer der kandidatenes sterke og svake sider og egnethet Den ansatte meldte selv fra om at PC-en var blitt stjålet Senere får kommunikasjonsleder en telefon fra en journalist med kritiske spørsmål knyttet til innplasseringsprosessen. Spørsmålene er formulert slik at det er tydelig at de bygger på informasjon fra den stjålne PC-en.

Skjer det avvik hos oss? 1 2 August 2018 Mai 2019

Personvernombudets erfaringer og «dilemmaer» Hvordan skal den ansatte vite og forstå hva et avvik er? Skal vi melde avvikene eller ikke? Hva er et avvik hvordan ivareta kravene i personopplysningsloven Andre prioriteringer/ politikk, mangel på kunnskap og forståelse og «gamle rutiner» (f eks adgangskontroll) Hvem skal rapportere til Datatilsynet?

Endre atferd Ha kjennskap til regler Akseptere regler Forstå teknologi Vilje til etterlevelse Motta og vurdere informasjon om hendelse

Avvik skjer! Det er ingen skam å rapportere avvik! Det er ikke sladring! Vis åpenhet! Evner dere å oppdage og håndtere avvik? Iverksett og gjennomgå tiltak (organisatoriske og tekniske) Bør vi endre våre rutiner? Kan vi gi bedre opplæring? Backup og oppdatering av SW? God tilgangsstyring? Gjør vi (sikkerhets)testing? Vurder risiko - Skal de berørte varsles? Skal Datatilsynet varsles? Lær av egne og andres hendelser, og bruk dem som scenarioer i risikovurderinger Hold dere oppdatert på trusselbildet og ikke bagatelliser egne verdier 31

Anbefalte tiltak for å øke virksomheters egenevne 32 Kilde: regjeringen.no - Strategi og tiltaksoversikt ble lansert 30. januar 2019

så litt reklame

Veileder for programvareutvikling med innebygd personvern med sjekklister er tilgjengelig på Datatilsynets nettsider. Konkurransen «Innebygd personvern i praksis» frist 1. desember 2019. https://www.datatilsynet.no/regelverk-ogverktoy/veiledere/programvareutvikling-med-innebygd-personvern/

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding