Semantikkregisteret for elektronisk samhandling (SERES): I hvilken grad er personvernet en hindring? NOKIOS onsdag 15. oktober 2008 Ståle Rundberg
Direktør Erik Fossum Info-stab Plan- og og utviklingsavdelingen Administrasjonsavdelingen Drift Drift personal og og regnskap Drift Drift bygning og og kontor Utvikling og og politikker ITavdelingen IT IT infrastruktur IT IT løsøre og og IT- opplysning IT IT næring Løsøreavdelingen Stab Stab Løsøreregisteret Ektepaktregisteret Gjeldsordningregisteret Gebyrsentralen Konkursregisteret Jegerregisteret Registeret for for utøvere av av alternativ behandling Akvakulturregisteret Næringsavdelingen Rådgiverstab Sekretariat Regnskapsregisteret Foretaksregisteret Enhetsregisteret EMAS Partiregisteret Opplysnings avdelingen Teknikk Marked Informasjon Nettavgivelse Kurs- og og konsulenttjenester Reservasjonsregisteret Avdeling for for nasjonal e-forvaltning og og infrastruktur Strategi og og planlegging Elektroniske tjenester Samordning og og forenkling 2
Oversikt Semantikkregisteret for elektronisk samhandling (SERES): I hvilken grad er personvernet en hindring? Hva er SERES? SERES og informasjonssikkerhet Virksomhetssertifikater som verktøy i elektronisk samhandling 3
SERES Semantikkregisteret for elektronisk samhandling er et felles system for likeartet modellering av informasjon, som skal sikre felles forståelse av data for alle som skal utveksle informasjon i og med det offentlige SERES fokuserer på verktøy og metodikk for å understøtte semantisk interoperabilitet/samvirke Ett utgangspunkt er referansemodeller for elektronisk samhandling i og med offentlig forvaltning [1] [1] A.-J. Berre, B. Elvesæter, Referansemodeller for elektronisk samhandling i og med offentlig forvaltning, revidert rapport, per 25. mai 2007, SINTEF, mai 2007 4
Referansemodell for elektronisk samhandling Samvirkende aktører Offentlig Innbygger Næringsliv Referansemodell for interoperabilitet Referansemodell for IT arkitektur Org. Utviklingsmiljø og modeller Mål Prosess Interaksjon & Portal tjenester Prosess og arb.flyt tjenester Funksjonelle tjenester Informasjon og datatjenester Kommunik asjons tjenester & Plattform Administrasjon og Metadata Sikkerhet og Identitet Produkt Organisatorisk Interoperabilitet (prosess) Semantisk Interoperabilitet informasjon om (tjeneste, data) Teknisk Interoperabilitet Org. Mål Prosess Utviklingsmiljø og modeller Produkt Interaksjon & Portal tjenester Prosess og arb.flyt tjenester Funksjonelle tjenester Informasjon og datatjenester Kommunik asjons tjenester & Plattform Administrasjon og Metadata Sikkerhet og Identitet IT arkitektur 5
Referansemodell for IT arkitektur Presentasjon og interaksjon Prosess og arb.flyt Funksjonelle tjenester Data (lagring og utveksling 6 Utviklingsmiljø og modeller Administrasjon og Metadata Sikkerhet og Identitet Kommunikasjon & Plattform
SERES sin relasjon til referansemodellen Organisatorisk interoperabilitet Presentasjon (Arbeids-) Prosess Automatiserbare Prosesssteg Begrep Mål Organisasjon Produkt Semantisk interoperabilitet, Informasjons Innhold med mening for: Presentasjon Prosess Tjenester Informasjon/ Data Teknisk interoperabilitet (Tekniske standarder) Presentasjon Prosess Tjenester Data Kommunikasjon Adm./ Metadata Sikkerhet Tekn. Sem/ Sem./ org Org. mdl SERES på kort sikt (metadata i forhold til lagring og utveksling av data) SERES og personvernet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. 7
Hva er informasjonssikkerhet Informasjonssikkerhet er å ivareta at informasjon kun er tilgjengelig for de som er autorisert til å se den (konfidensialitet) På kort sikt: informasjonen er korrekt (integritet) På kort sikt: IT-systemer og informasjonen i dem er tilgjengelige og brukbare når de behøves (tilgjengelighet) Bidrar SERES, på kort og lang sikt, positivt eller negativt i forhold til personvernet? På kort sikt: 8
Teknisk Interoperabilitet Arkitektur områder Presentasjon og Interaksjon Prosess og arbeidsflyt/regel Funksjonelle tjenester Data (lagring/utveksling) Kommunikasjon Administrasjon og Metadata Sikkerhet Teknisk standard HTML, BPEL, WS-Rules WSDL, OWL-S, P2P, Event, Grid, Agents XML, SQL, Dok.format. ODF (Synkron, Asynkron, Event, Streaming,..) TCP/IP, HTTP, ebxml RIM, UDDI, SERES, PKI, HTTPS, Teknologi for semantiske og organisatoriske modeller/spesifikasjoner UML, BPMN, ER, NIAM, Tabeller, EPC, GERAM, 9
Virksomhetssertifikater som verktøy i elektronisk samhandling Virksomhetssertifikater har som oppgave å identifisere virksomheter som er registrert i Enhetsregisteret Virksomhetssertifikater er en del av en velegnet infrastruktur for sikker elektronisk kommunikasjon mellom virksomhetene og i en viss grad mot borgerne Infrastrukturen legger til rette for en sikker elektronisk kommunikasjon uten at partene må ha en forutgående dialog med inngåelse av avtale og utlevering og installering av sertifikater 10
Bruksmåter for sertifikatinnehaver (virksomheten) Virksomhetssertifikat benyttes av: en automatisert prosess under virksomhetens kontroll (eks. en server) en fysisk person autorisert av virksomheten når flere personer hver for seg skal disponere virksomhetssertifikat, bør hver enkelt disponere eget virksomhetssertifikat 11
Virksomhetssertifikater i et sektorperspektiv Integritet og uavviselighet Offentlig forvaltning Konfidensialitet Offentlig forvaltning Autentisering Integritet og uavviselighet Konfidensialitet Integritet og uavviselighet Autentisering Konfidensialitet Privat næring Elektronisk brevhode Borgere Konfidensialitet Autentisering Kryptering og dekryptering Pålogging og videreformidling Integritet og uavviselighet Privat næring Konfidensialitet Integritet og uavviselighet Borgere eforvaltningsforskriften 14. Sertifikat for forvaltningsorgan (virksomhetssertifikat) (1) Forvaltningsorgan som benytter elektronisk signatur kan benytte sertifikat som identifiserer forvaltningsorganet (virksomhetssertifikat). (2) Hvis det skal benyttes sertifikat ved underretning om enkeltvedtak og varsling etter 8 og ved høringer etter 11, bør det benyttes virksomhetssertifikat. 5. Formidling av taushetsbelagte opplysninger og personopplysninger til forvaltningen (4) Ved kryptering av melding til forvaltningen skal forvaltningsorganets krypteringsnøkkel eller krypteringsnøkkel til en nærmere angitt enhet ved forvaltningsorganet benyttes. 12
Antall enheter i Enhetsregisteret 1) 1 000 000 Hovedenheter Organisasjonsledd Underenheter Antall enheter 900 000 800 000 700 000 600 000 500 000 400 000 300 000 200 000 915000 potensielle brukere av virksomhetssertifikater 35 000 847 000 100 000 0 Offentlig sektor 27 000 3 000 3 000 Privat sektor 1) Det er talt opp alle underenheter der det finnes to eller flere pr. hovedenhet/organisasjonsledd 13
Utstedere av virksomhetssertifikater pr. 1. kv. 2008 ZebSign AS selvdeklarert 2006.06.26 Buypass AS selvdeklarert 2006.08.31 Commfides Norge AS selvdeklarert 2007.05.08 2 300 sertifikater identifiserer 1 500 virksomheter BankID samarbeidet ikke selvdeklarert 14
Virksomhetssertifikater fordelt på offentlig og privat sektor Hovedenheter Organisasjonsledd Underenheter 1800 1600 1400 1,6 promille av enhetene i Enhetsregisteret kan identifiseres med virksomhetssertifikater 1200 1000 800 600 5 1530 400 200 0 11 34 336 Offentlig sektor Privat sektor Ukjent 384 15
SERES, virksomhetssertifikater og informasjonssikkerhet Konfidensialitet Modellering i SERES på prosessnivå og bruk av virksomhetssertifikater sikrer at informasjon kun er tilgjengelig for de som er autorisert til å se den 16
Fra start til start og ende kryptering Katalogtjeneste Bruker Etat Bruker Altinn Etat Ordinære data Sensitive Sensitive data data 3DES nøkkel til bruker 3DES Bruker 3DES nøkkel til etat Etat 17
SERES, virksomhetssertifikater og informasjonssikkerhet Konfidensialitet På lang sikt: Modellering i SERES på prosessnivå og bruk av virksomhetssertifikater sikrer at informasjon kun er tilgjengelig for de som er autorisert til å se den Integritet På lang sikt: Signering ved hjelp av virksomhetssertifikater sikrer at informasjonen er uendret og mottakere kan verifisere hvem som er avsender Tilgjengelighet På lang sikt: En forutsetning for sikker elektronisk kommunikasjon med høy tilgjengelighet ved hjelp av virksomhetssertifikater, er stor utbredelse av virksomhetssertifikater Bidrar SERES, på lang sikt, positivt eller negativt i forhold til personvernet? 18
Tjenestetrappa fra st.meld. nr. 17 (2006-2007), Eit informasjonssamfunn for alle 19 En av forutsetningene for å nå trinn 4 i tjenestetrappa er stor utbredelse av virksomhetssertifikater
Diskusjon Semantikkregisteret for elektronisk samhandling (SERES): I hvilken grad er personvernet en hindring? 20