KINS-tech: Innebygd personvern bestemmelsen som implementerer hele forordningen.

Like dokumenter
Innebygd personvern og personvern som standard. 27. februar 2019

Innebygd personvern personvernforordningen artikkel 25

Programvareutvikling med innebygd personvern nye personvernregler

Nøkkelen til morgendagens personvern innebygd personvern

INF37000 Informasjonsteknologi og samfunn. Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet

IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28.

Nye personvernregler i GDPR i helsesektoren

IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21.

Ansvarlighetsprinsippet og virksomhetens plikter

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Programvareutvikling med innebygd personvern og personvern som standardinnstilling. Eirik Saltkjel Veronica Jarnskjold Buer

Hvordan opprettholde DIGITALISERINGSFARTEN etter ny personvernforordning?

Nye personvernregler (GDPR)

Nye personvernregler (GDPR)

Nytt regelverk, nye muligheter og masse avviksmeldinger!

Felles behandlingsansvar med Facebook hva så? Sikkerhetssymposiet 17.oktober 2019

Nye personvernregler fra mai 2018

Minimere og begrense. Gjem og skjul. Separere.

Nye personvernregler fra 2018 hva betyr det for din virksomhet?

Nytt personvernregelverk GDPR e-kommunedagen Hordaland

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Nye personvernregler og innebygd personvern

Vurdering av personvernkonsekvenser (DPIA)

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Krav til informasjonssikkerhet i nytt personvernregelverk

GDPR - viktige prinsipper og rettigheter

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Nye personvernregler fra 2018

Nye personvernregler

Nye personvernregler

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Steinar Nørstebø, styreleder

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvern - vurdering av personvernkonsekvenser - DPIA

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Nye personvernregler

Personvern - sjekkliste for databehandleravtale

Personvern og informasjonssikkerhet ved anskaffelser

Policy for personvern

Nye personvernregler fra mai 2018

Nye personvernregler Gullik Gundersen juridisk rådgiver

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

Nytt personvernregelverk på 1-2-3

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Brudd på personopplysningssikkerheten

Personvern - Hva er det

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Hvordan ivareta personvernet ved skikkethetsvurderinger?

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Informasjonssikkerhet i forordningen

NORID - Registrarseminar 26. april 2017

Personvern i digitalisering av forvaltningen

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Hva gjør så KiNS og KS med GDPR?

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Vurdering av personvernkonsekvenser (DPIA) -vi vet hvorfor og når, men HVORDAN

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Nye personvernregler fra mai 2018, hva nå?

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018, hva nå?

Nye personvernregler fra mai 2018

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Kappløpet om kundedataene

Databehandleravtale for NLF-medlemmer

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

PERSONVERN I C-ITS

PERSONVERN ARKIVKONFERANSE

Personvernforordning, offentleglov og arkivlov - hvordan forholde seg til disse regelverkene samlet. 6. juni 2019 KINS

GDPR Hva, hvordan og når

REKRUTTERING OG GDPR

Nye personvernregler fra mai 2018

EUs nye forordning for personvern

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Nye personvernregler fra mai Mars 2017

DIFI - Seminar om Skytjenester

Nytt regelverk (GDPR) og IoT

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nye personvernregler

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Personopplysningsloven (GDPR) 5. desember 2017

Skytjenester bruk dem gjerne, men bruk dem riktig

Protokoll; Gjennomgå feltene og vurder fremstilling Protokoll; rettslig grunnlag

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Transkript:

KINS-tech: Innebygd personvern bestemmelsen som implementerer hele forordningen. Veronica Jarnskjold Buer Fagdirektør, digitalisering og innebygd personvern 23.09.2019

Noen ord om Personvernprinsipper og den registrertes rettigheter

Hvem har plikter og rettigheter De registrerte har rettigheter Behandlingsansvarlig, databehandler, underleverandører har plikter 5

Personvernprinsippene, art 5. Lovlig, rimelig og gjennomsiktig Rettslig grunnlag. Respekter de registrertes interesser og rimelige forventninger. Informasjon skal gis på en tilgjengelig og forståelig måte. Korrekte og oppdaterte Opplysningene skal være korrekte og om nødvendig ajourførte. Ukorrekte eller utdaterte personopplysninger skal rettes eller slettes. Formålsbegrensning Opplysningene skal brukes til spesifikke, uttrykkelig angitte og legitime formål. Opplysningene skal ikke brukes til andre uforenlige formål Dataminimering Personopplysningene skal være tilstrekkelige, relevante og begrenset til hva som er nødvendig for formålet. Rutiner for lagring og sletting Personopplysninger skal ikke lagres lengre enn det som er nødvendig for formålet. Automatiske sletterutiner. Integritet og konfidensialitet Personopplysninger skal sikres mot uautorisert eller ulovlig tilgang og mot utilsiktet tap, ødeleggelse eller skade. Det skal brukes egnede tekniske og organisatoriske tiltak. Ansvarlighet Den behandlingsansvarlige har ansvar for, og må kunne dokumentere, at regelverket blir etterlevd

De registrertes rettigheter Informasjon (art 12-14) Innsyn (art 15) Forutsetning for de resterende rettigheter Korrigering (art 16 & 19) Sletting/Retten til å bli glemt (art 17 & 19) Rett til at personopplysninger begrensning (ny, art 18 &19) Dataportabilitet (ny, art 20) Innsigelse (ny, art 21) Automatiserte avgjørelser, inkludert profilering (ny, art 22) 7

Den registrertes friheter, jf. EMK, fortalen (4) og art. 24 (1). 8

Personvern i vår digitaliserte verden Skal vi oppnå personvern fremover må personvern være inkorporert i programvaren, løsnigen. Nøkkelpersonene for at vår digitale verden blir personvernvennlig vil være utviklingsteamet med ledelsen i spissen. Tilstrekkelig kunnskap om personvern, innebygd personvern og personvern som standard for å bygge personvernfremmende applikasjoner, tjenester, roboter, algoritmer for automatiske beslutninger, kunstig intelligens, deep learning osv. 9

Vår digitale hverdag Digitalisering og innovasjon: Introduksjon av (ny) teknologi og som skaper en forandring samfunnet. 10

Noen eksempler

12

Programvareutvikling med innebygd personvern

Veileder for programvareutvikling med innebygd personvern Veileder Sjekkliste (teknisk) 16 Obligatorisk Tekniske og organisatoriske tiltak. Ivareta personvernprinsipper og den registrertes rettigheter og friheter. Det minst personverninngripende alternativet som standard, mht. mengde, omfang, lagringstid, tilgjengelighet. Ha et rammeverk for programvareutvikling, og inkluder disse sju aktivitetene er i rammeverket. Behandlingsansvarlige: Krav til å benytte programvare, løsninger etc som har innebygd personvern og personvern som standardinnstilling.

Opplæring Mål: Basiskunnskap og forståelse for personvern og informasjonssikkerhet, og risiko tilknyttet dette Hva skal det gis opplæring i: Personvern og informasjonssikkerhet i de ansattes daglige arbeidsoppgaver. Suksesskriterier er at virksomheten har etablert retningslinjer for personvern og informasjonssikkerhet, og at intern opplæring i disse retningslinjene er adressert. 17

Kravsetting Sett personvern- og sikkerhetskrav Type opplysninger, hvem er eier, hvem er behandlingsansvarlig, databehandler, mottaker Prinsipper skal være oppfylt og rettigheter ivaretatt Nødvendig? Mengde, omfang, lagringstid, tilgjengelighet Åpenhet gi informasjon så den registrerte kan ivareta sine rettigheter Informasjonssikkerhet Sett toleransenivå for risiko knyttet til personvern og informasjonssikkerhet Gjennomfør vurdering av personvernkonsekvenser Gjør risikovurdering (verdi, trussel, sårbarhet) 18

Design Dataorienterte designkrav: Minimer og begrens «Select before you collect», «Gjem og skjul», Separer, Aggreger, Personvern som standard Prosessorienterte designkrav: Informer, Kontroller, Håndheve, Demonstrer Analyser angrepsflaten i den designede programvaren for å redusere muligheter til å utnytte svake punkter og sårbarheter. Ved trusselmodellering analyserer man komponenter, tilgangspunkter, dataflyt og prosessflyt i programvaren. hvordan noen kan misbruke programvaren ved ulike scenarioer. hvordan designet kan forbedres for å unngå trusler som er identifisert. Resultat er et mer herdet og robust sluttprodukt. 19

Koding Bruk godkjente verktøy og rammer Beskriv bruksområde, sikkerhetsfunksjonalitet, omfatter Støttekomponenter og verktøy fra tredjeparter, Verktøy må risikovurderes og analyseres for sårbarheter Ugyldiggjør utrygge funksjoner og moduler Analyser funksjoner, API, tredjepartsbibliotek og moduler, Forby de som er utrygge, oppdater de som er utdaterte eller inneholder kjente sårbarheter, Bruk verktøy for kodeskanning for å sjekke koden, Deaktiver unødig sporing, logging og innsamling av personopplysninger Statisk kodeanalyse og kodegjennomgang Automatiske verktøy, Manuell gjennomgang for å fange opp svakheter som kan medføre feil bruk eller lekkasje av personopplysninger, Regelmessig gjennomgang 20

Koding Bruk godkjente verktøy og rammer Beskriv bruksområde, sikkerhetsfunksjonalitet, omfatter Støttekomponenter og verktøy fra tredjeparter, Verktøy må risikovurderes og analyseres for sårbarheter Ugyldiggjør utrygge funksjoner og moduler Analyser funksjoner, API, tredjepartsbibliotek og moduler, Forby de som er utrygge, oppdater de som er utdaterte eller inneholder kjente sårbarheter, Bruk verktøy for kodeskanning for å sjekke koden, Deaktiver unødig som sporing, kan logging brukes og innsamling av av personopplysninger Statisk kodeanalyse og kodegjennomgang Automatiske verktøy, Manuell gjennomgang for å fange opp svakheter som kan medføre feil bruk eller lekkasje av personopplysninger, Regelmessig gjennomgang 21 The Register avslørte at den kanadiske banken Scotiabank hadde lagt ut store mengder data hackere på nettstedet GitHub. Banken har fått skarp kritikk for sikkerheten.

Test Test om personvern og sikkerhetskravene er implementert og riktig implementert? Er alle komponenter med? Sikkerhetstesting Dynamisk testing: Test funksjonalitet i kjørende kode, brukerrettigheter og kritiske sikkerhetsfeil Fuzz testing: Fremprovoser feil i programvaren, misformet data inn i programvaren, Test alle grensesnitt Penetrasjonstesting/ sårbarhetsanalyse: Kjøres før produksjonssetting og jevnlig, Lovlig og autorisert forsøk på å finne, utnytte og avdekke sårbarheter Gjennomgang av trusselmodell og angrepsflate Verifisere at angrepsvektorer som ble avdekket i designfasen er håndtert, at nye ikke er introdusert og ikke håndtert, Ny gjennomgang av trusselmodell og vurderingen av personvernkonsekvenser 22

Produksjonssetting Utarbeid plan for hendelseshåndtering for effektivt håndtere oppgaver og hendelser som kan oppstå etter produksjonssetting. Hva er en hendelse, hvilken livssyklus den har (omfatter å detektere, analysere, rapportere, håndtere og normalisere), ressurser, kontaktpunkt/responssenter, kontaktinformasjon, responstid, kanaler, logger, rutiner, patching, evaluering, varsle ledelsen, den registrerte og Datatilsynet. Full sikkerhetsgjennomgang av programvaren skal baseres på tidligere gjennomganger i utviklingsløpet og inngå i de kontrollpunkter (control gates) som må gjøres før produksjonssetting. Godkjenning av produksjonssetting Sikkerhetsrådgiver og personvernombud verifiserer at definerte sikkerhets- og personvernkrav er implementert og fungerer etter hensikten. Virksomheten må definere hvem som har godkjenningsmyndighet. Arkivering bør gjøres av all relevant data og dokumentasjon fra hele utviklingsløpet. 23

Forvaltning Håndtere hendelser og avvik etter planen Når akutte hendelser opptrer, er det viktig å bevare roen og å bruke tid på å analysere hendelsen. Responsteamet skal vite hvem de skal kontakte når og hvem som er i stand til å bygge, teste og installere oppdateringer. Responsteamet må vite hvilke prioriteringer som gjelder, samt vite nøyaktig hva de kan og skal gjøre når det virkelig er krise. Øv Forvaltning, drift og vedlikehold av programvaren skal følge etablerte rutiner for hvordan personvern og sikkerhet skal ivaretas over tid. Styringssystem for personvern og informasjonssikkerhet som omfatter anskaffelse, forvaltning, drift og vedlikehold. Rutiner for regelmessige testing og revidering, sikkerhetsovervåkning, målinger, forbedring mm. 24

Artikkel 25.. bestemmelsen som implementerer hele forordningen fordi den skal sørge for at alle Personvernprinsippene i Artikkel 5 Alle våre rettigheter Artikkel 12-22 Alle vår friheter jf EMK og fortalen (4) IVARETAS! 25

EDPBs arbeid med retningslinjer for DPbDD Norge leder arbeidet Etter vel et års arbeid er det gått igjennom i Tech ESG Skal opp i EDPB i november 2019, for godkjennelse Public consultation Innarbeide nyttige innspill Den norske veilederen er smalere men i tråd med denne. Tre+tre+en hovedord: By design, by default, og at tiltakene er effektive Personvernprinsipper, rettigheter og friheter Respektere 26

Ny konkurranse Innebygd personvern i praksis 2019 Datatilsynet inviterer til ny konkurranse om beste programvare utviklet utfra prinsippene for innebygd personvern. Send oss programvare, tjenester, apper eller andre løsninger dere har utviklet eller holder på å utvikle som viser innebygd personvern i praksis. I år har vi egen studentkategori, der premien er et stipend på 20 000 kr. Hvordan delta i konkurransen? Fyll inn søknadsskjema på nettsidene våre og send oss en nærmere beskrivelse av produktet. Les mer på datatilsynet.no Frist for å sende inn bidrag var 1. desember 2019 Vinnerne vil lanseres februar/mars 2020. Jury: Dag Wiese Schartum, Lillian Røstad, Maria Bartnes, Torgeir Waterhouse, Veronica J. Buer 27

Takk for oppmerksomheten! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no @datatilsynet (Twitter) @veronica_buer

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding