Hva er personvern, hvorfor er det viktig. Roller og ansvar Fylkeskommunale PVO. Seminar for skolesektoren 2. april 2019 Ove Skåra - Datatilsynet

Like dokumenter
Personvernlovgivningen ledelsens ansvar Pensjonskassekonferansen 14. mai 2019, Sandefjord. Ove Skåra - Datatilsynet

Ny personopplysningslov (GDPR) Etter snart 8 måneder, hva har skjedd?

Vi fikk ny personopplysningslov 20. juli 2018

Nytt regelverk, nye muligheter og masse avviksmeldinger!

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Personvernombudsordningen etter GDPR

Steinar Nørstebø, styreleder

Ny personopplysningslov, hva betyr det for skoler og skoleledelse?

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personopplysningsvern for barn og unge. 4. juni 2019 KINS

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Rusmiddeltesting i arbeidslivet et personvernperspektiv

GDPR - PERSONVERN. Advokat Sunniva Berntsen

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvernombudsordningen etter GDPR

3

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Status for GDPR et halvt år etter: Hva har det betydd og hvilke utfordringer ser vi?

OM PERSONVERN TRONDHEIM. Mai 2018

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personopplysningsvern med ProFundo som databehandler

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Databehandleravtale. Charlotte Lindberg Difi

Vaksinerådgivning og personvern. Ellen Furuseth Vaksinedagene

Hva betyr det for din virksomhet?

Nye personvernregler (GDPR)

Personvern i EPD-Norge

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Nye personvernregler

Om tabellene. Januar - februar 2019

Personer med nedsatt arbeidsevne. Fylke og alder. Tidsserie måned

Om tabellene. Januar - mars 2019

Personer med nedsatt arbeidsevne. Fylke og alder. Tidsserie måned

Personer med nedsatt arbeidsevne. Fylke og alder. Tidsserie måned

Personer med nedsatt arbeidsevne. Fylke og alder. Tidsserie måned

Om tabellene. Januar - mars 2018

Om tabellene. Januar - desember 2018

Personvernperspektivet og oppbevaring av intervjumateriale

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Krav til informasjonssikkerhet i nytt personvernregelverk

Implementering av det nye personvernregelverket ved UiB

Nye personvernregler (GDPR)

Nytt personvernregelverk på 1-2-3

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21.

Nye personvernregler fra mai 2018

Policy for personvern

Personvern i Amento AS

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Databehandleravtale for NLF-medlemmer

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Hva gjør så KiNS og KS med GDPR?

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Personvern i Otrera AS

Nye personvernregler

Personverndokument NLT

Sikkerhet og personvern i skole og klasserom

Personvern og kundedata

Om tabellene. Periode:

Mottakere av arbeidsavklaringspenger. Fylke og alder. Tidsserie måned

Om tabellene. Periode:

Mottakere av arbeidsavklaringspenger. Fylke og alder. Tidsserie måned

NINAs personverndokument

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

PERSONVERN ARKIVKONFERANSE

Informasjons sikkerhet. Først en øvelse: Hva er det første du tenker på når jeg sier:

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

GDPR Ny personvernforordning

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

GDPR General Data Protection Regulativ

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Personvern i Konstali Helsenor AS

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

GDPR - viktige prinsipper og rettigheter

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Personvernerklæring i NOAH AS

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Nytt personvernregelverk GDPR e-kommunedagen Hordaland

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Personvern i Skjervøy Arbeidssamvirke AS

Personvern-rett H2016

Personvern - vurdering av personvernkonsekvenser - DPIA

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Nye personvernregler fra 2018

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Ny personvernlov ett år hva har det betydd? Bjørn Erik Thon direktør

Risikobasert etterlevelse av pvf

NORID - Registrarseminar 26. april 2017

HL langrenn Stafett Startliste :00:00

GDPR Hva, hvordan og når

Transkript:

Hva er personvern, hvorfor er det viktig. Roller og ansvar Fylkeskommunale PVO. Seminar for skolesektoren 2. april 2019 Ove Skåra - Datatilsynet

Rundebordssamtale hos Datatilsynet den 20. mars i år 1. Hvordan høyne bevisstheten om informasjonssikkerhet og personvern før gratis programvare tas i bruk? 2. Hvordan forbedre bestillerkompetansen på nye digitale løsninger? 3. Hvordan jobbe frem en god kultur for informasjonssikkerhet i skolen? 2

Kommuner og undervisningssektor vies oppmerksomhet Tilsynsrunde på skoler 2013-14 Viktig med ansvarsplassering kommunen er ansvarlig for skolens systemer Pålegg om oversikt og godkjenning av tjenester som tas i bruk Pålegg om tofaktor-autentisering Pålegg om tilgangsstyring elevmapper Henvendelser til veiledningstjenesten -Fra elever, foresatte, ansatte i skolen, sikkerhetsansvarlige og personvernombud -Økt bevissthet om rettigheter «de registrerte» ønsker å bli hørt -Mye spørsmål knyttet til «gratis» tjenester/applikasjoner Meldinger om brudd på personopplysningssikkerheten Konfidensialitets- og integritetsbrudd som følge av sikkerhetshull, mangelfull tilgangsstyring, mangelfull autentisering, etc.

4

Men personvern handler om mer enn info.sikkerhet! 5

Hva er personvern egentlig? 6

Samuel D. Warren Louis D. Brandeis

Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til å bestemme over egne personopplysninger «Man kan bare utvikles som menneske ved at man har et rom der man kan føle seg fri fra å måtte stå til ansvar for hva man sier eller hva man gjør overfor ytre, ukjente, kontrollører. Den offentlige samtale i et fritt samfunn har sitt utgangspunkt i slike frie og utvungne prosesser, den springer fram fra den beskyttede privatsfære». (Ytringsfrihetskommisjonen, 1997)

En menneskerettighet Art. 8 Den europeiske menneskerettskonvensjon (EMK) Art. 12 FNs verdenserklæring om menneskerettigheter Paragraf 102 i Grunnloven: «Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet.» (mai 2014) 9

Om kjernen i personvernlovgivningen 10

Hva er en personopplysning? Identitet: Navn, fødselsnummer, sivilstatus, høyde, vekt Kontaktinfo: Adresse hjemme, adresse jobb, mobilnummer, e-post, etc. Aktivitet: Adferdsmønstre, interesser, hobbyer, utdanning, yrkesliv, lokasjon, posisjon, kjøpemønster, søkehistorikk, likes etc. Finans: Inntekt, skatt, gjeld, bankkonto, kontoutskrift, utgifter, kredittvurdering etc. Kommunikasjon: MAC-adresse, IPadresse, SMS, MMS, fotografier, videoer, sosiale medier, sosialt nettverk, kontakter, cookies etc. Pseudonymiserte opplysninger mann, 58 år, Bærum, gift, en voksen sønn, hund, Datatilsynet, SPK, Statens informasjonstjeneste, Grimstad kommune, oppvokst i Eigersund Særlige kategorier: Helseopplysninger, fagforeningsmedlemskap, politisk oppfatning, religion, seksuelle forhold/orientering, etnisitet/rase 11

Kjenn din og andres roller Den registrerte: Enkeltperson som det behandles personopplysninger om Behandlingsansvarlig: Virksomheten som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes Databehandler: Virksomhet som behandler personopplysninger på vegne av, (og etter avtale med) den behandlingsansvarlige Behandling (av personopplysninger): Enhver prosessering (innsamling, organisering, lagring, endring, utlevering, sletting, etc) Den registrerte Behandlingsansvarlig Databehandler Databehandler Behandlingsansvarlig Behandling av personopplysninger

Gamle personvernprinsipper i ny drakt Lovlighet, rettferdighet og åpenhet Opplysningene skal behandles lovlig, rettferdig og på en åpen måte. Respekter de registrertes interesser og rimelige forventninger. Informasjon skal være tilgjengelig og forståelig, ikke manipulerende. Formålsbegrensning Opplysningene skal brukes for spesifikke, uttrykkelig angitte og berettigede formål. Opplysningene skal ikke brukes til andre uforenlige formål. Dataminimering Personopplysningene skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Korrekte og oppdaterte Opplysningene skal være korrekte og om nødvendig oppdaterte. Ukorrekte eller utdaterte personopplysninger skal rettes eller slettes. Lagringsbegrensning Det skal være rutiner som sikrer at det ikke er mulig å identifisere de registrerte lenger enn hva som er nødvendig for de formål de er samlet inn for. Integritet, konfidensialitet og tilgjengelighet Personopplysninger skal sikres mot uautorisert eller ulovlig tilgang og mot utilsiktet tap, utilgjengelighet, ødeleggelse eller skade. Det skal brukes egnede tekniske og organisatoriske tiltak. Ansvarlighet Den behandlingsansvarlige har ansvar for, og må kunne dokumentere, at personvernprinsippene blir etterlevd. (Artikkel 5)

En folkelig personverntest Vil en normalt fornuftig person, med et noenlunde vanlig følelsesliv, kunne oppleve det som støtende eller urovekkende at personopplysningene om seg blir innsamlet, analysert, brukt og videreformidlet til andre uten vedkommendes aksept, eller i det minste kjennskap? 14

Kort om Datatilsynets virkemidler 15

16

Datatilsynets virkemidler Saksbehandling Tilsyn og kontroll Kommunikasjon Organisatoriske Teknologiske Økonomiske Utredning og analyse Personvernombud Atferdsnormer Gebyrer Best mulig etterlevelse av personvernprinsipper og regelverk

Bergen kommune Dårlig sikkerhet i innloggingssystemene til Bergen kommune Uvedkommende kunne få tilgang til brukernavn, passord, læringsplattformen It s learning og skoleadministrative systemer 35 000 lærere og elever potensielt eksponert 18

Bergen kommune Kommunen reagerte ikke på varsler som kom inn til kommunen om at det var for dårlig sikkerhet i kommunens systemer. Kommunen reagerte ikke tross advarsler fra personvernombudet, tilbud fra leverandør og pålegg fra Datatilsynet om å innføre tofaktorautentisering. 19

Vedtak om overtredelsesgebyr de siste årene Antall 16 22 16 14 2015 2016 2017 2018

Et harmonisert sanksjonsnivå? https://www.hldataprotection.com/2019/03/articles/internatio nal-eu-privacy/dutch-data-protection-authority-sets-gdpr-finesstructure/

Tilsynsvirksomheten 2018 Bransje/sektor/område Stedlig Brevlig Helsesektoren 0 19 PVO hos offentlige virksomheter 0 177 Sum 0 196 22

Hva nå? Vi har hatt en «hvilefase» når det gjelder tilsynsvirksomhet. Den går over. Vi utvikler ny metodikk for vår kontrollvirksomhet Herunder også hvordan kontrollere systemer som baserer seg på algoritmer og kunstig intelligens Det vil bli gjennomført tilsyn i 2019 23

Valg av tilsyn som virkemiddel Tilsyn som virkemiddel kan være aktuelt når vi: Har mistanke om systematisk lovbrudd i en bransje Trenger nærmere kunnskap om en spesifikk bransje, eller tematikk Ønsker å studere virkningene av regelverket Har mangelfull forvaltningspraksis Ønsker å sette fokus på vårt regelverk i en bransje og skape arena for samhandling med bransje Får tips eller på andre måter blir oppmerksom på konkrete hendelser 24

Dette vil Datatilsynet se etter Rutinebeskrivelser og dokumentasjon Personvernkonsekvensvurdering (DPIA) Avviksmeldinger Personvernombud Risikovurderinger Innebygd personvern Opplæring Informasjon og registrertes rettigheter Behandlingsgrunnlag Databehandleravtaler Protokoll over behandlinger

Toppledelse og mellomledere organisasjonsenheter internt Databehandlere De registrerte (kunder, ansatte mv) Datatilsynsmyndigheter Sektormyndigheter Personvernombudsordningen 26

Oppgaver Samle inn og ha oversikt over behandlingsaktiviteter Involvere seg tidlig, informere og gi råd Kontrollere overholdelse av personvernregelverket og interne retningslinjer, deriblant ansvarsfordeling, opplæring, holdningsskapende tiltak mv, Gi råd og delta ved vurdering av personvernkonsekvenser (DPIA) Være kontaktpunkt for de registrerte Være et kontaktpunkt for, og samarbeide med Datatilsynet Skal ha en risikobasert tilnærming til sitt arbeide Mao: En viktig støttende funksjon for å sikre behandlingsansvarliges etterlevelse av kravene i personvernlovgivningen, men PVO overtar ikke behandlingsansvarliges rolle eller ansvar! Art. 39 27

Hvor er kontaktopplysningene til personvernombudet? 28

Brudd på personopplysningssikkerheten - avvikshåndtering 29

Kraftig vekst i antall avviksmeldinger etter 20. juli 2018 1275 821 siden 20. juli 116 84 206 349 2014 2015 2016 2017 2018 30

Hvem melder avvik? 33% 21% Privat 57 % Offentlig 43 % 13% 11% 10% 4% 3% 2% 2% 1% 0% Finans Kommuner Statsforvaltningen Annen privat Helse Sivilsamfunn Telekom og kraftbransjen Fylkeskommuner Butikk og varehandel Samferdsel Justis 31

Og hvordan ligger det an med fylkeskommunene? 1.1.2018 til og med 29.03.2019: DNB bank ASA: 104 Santander bank :78 Hordaland: 6 Akershus: 5 Buskerud: 4* Oslo, utd.etaten: 4* Nordland: 3 Troms: 3 Oppland: 2 Sogn og fjordane: 2 Vest-agder: 2* Østfold 2 Aust-agder: 1 Finnmark: 1 Rogaland: 1 Telemark: 1 Trøndelag 1 Hedmark: 0 Møre og Romsdal: 0 Vestfold: 0 33 Bærum kommune: 22 Kristiansand kommune: 14 Bergen kommune: 12 Stavanger kommune: 12 Bodø kommune: 0 Tønsberg: 0 Larvik: 0 Sandefjord kommune: 0

Hva nå? 34

Noen tiltak etter rundebordskonferansen Bedre samarbeide i kommunene dele erfaringer og kompetanse med hverandre Hvit- og svartlister for apper og verktøy som pedagoger kan velge blant Adaptiv læremiddelbank Databehandleravtaler Skytjenester IKT-Norge inviterer til samarbeidsforum Nasjonal sikkerhetsmåned KINS-elæring Atferdsnormer tidligere prosess vekkes til live igjen 35

Atferdsnormer artikkel 40 Atferdsnormer skal være et viktig virkemiddel for å oppnå et godt og harmonisert personvern i Europa. Personvernmyndighetene skal derfor oppmuntre til utarbeidelse av atferdsnormer. Utvikles av bransjen selv, men må godkjennes av Datatilsynet. Konkrete regler og retningslinjer for hvordan virksomhetene skal innrette seg for å etterleve GDPRs krav. Fleksible rammer for hva normen regulerer Flere fordeler, f.eks for å påvise regeletterlevelse. 36

Noen råd til dere som ledere 1. Få personvernprinsippene inn i ryggmargen! 2. Etabler oversikt over alle personopplysninger dere behandler og IKT-løsningene som benyttes 3. Bygg personvern inn i nye løsninger 4. Gjør risiko- og personvernkonsekvensvurderinger 5. Dokumenter vurderinger dere gjør og de rutinene dere har 6. Bygg kultur for personvern og sikkerhet, og husk opplæring og ledelsens gjennomgang! 7. Bruk personvernombudsrollen aktivt, men respekter deres uavhengighet! 37

Lykke til! Datatilsynet Ove Skåra, fagdirektør Tlf 22 39 69 30 Mobil 917 91 797 Epost osk@datatilsynet.no www.datatilsynet.no www.personvernbloggen.no Twitter.com/datatilsynet Husk å abonnere på nyhetsbrevene fra Datatilsynet og personvernbloggen!

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding