Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Like dokumenter
Utkast til ny arkivlov. Geir Magnus Walderhaug Norsk Arkivråd, Region øst 5.juni 2019

Får vi til digital dokumentasjonsforvaltning med utkast til lov om samfunnsdokumentasjon 15. oktober 2019, Kristine Synnøve Brorson, Consulting

Bakgrunn: Mandat og sammensetning

Bakgrunn: Mandat og sammensetning

Dokumentasjonsforvaltning i virksomhetene

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Får vi en ny arkivlov? NOU-en er sluppet, men hva nå?

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

NOU 2019: 9. Fra kalveskinn til datasjø. Ny lov om samfunnsdokumentasjon og arkiver

Forslag til ny lov om samfunnsdokumentasjon og arkiver

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Høringssvar NOU 2019:9

FOKUSTEMA TIL DISKUSJON. Medlemsmøte i Region Vest Bergen 7.juni Stavanger 14.juni

Seksjon for informasjonssikkerhet

Forslag til ny lov om samfunnsdokumentasjon og arkiver Sett fra et kommunalt og regionalt perspektiv

NOU 2019: 9. Fra kalveskinn til datasjø. Ny lov om samfunnsdokumentasjon og arkiver

FRA KALVESKINN TIL DATASJØ ARKIVLOVUTVALGETS NOU 2019:9 MEDLEMSMØTE I NA REGION VEST 7. JUNI 2019 NY LOV OM SAMFUNNSDOKUMENTASJON OG ARKIVER

Fra journalføringsplikt og arkivplikt til dokumentasjonsplikt Kommentar på Norsk Arkivråd sitt frokostmøte 5. juni 2019

Oversikt. Remi Longva

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Sikkert nok - Informasjonssikkerhet som strategi

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Raskere digitalisering med god sikkerhet. Evry

Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018

Regelverk. Endringer i regelverk for digital forvaltning

NOU 2019:9 Fra kalveskinn til datasjø Ny lov om samfunnsdokumentasjon og arkiver

NOU 2019:9 Fra kalveskinn til datasjø Ny lov om samfunnsdokumentasjon og arkiver

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Styringssystem i et rettslig perspektiv

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Arkivlovutvalget har levert!

Fra kalveskinn til datasjø Ny lov om samfunnsdokumentasjon og arkiver

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Aggregering av risiko - behov og utfordringer i risikostyringen

Internkontroll i praksis (styringssystem/isms)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Studieplan 2017/2018. PERSONVERN en grunnopplæring i personvernregelverk (2017) Studiepoeng: 15. Studiets nivå og organisering. Bakgrunn for studiet

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Forslag til nye regler om elektronisk kommunikasjon med og i offentlig forvaltning

Digitalt førstevalg. Digital postkasse som en del av digitalt førstevalg i forvaltningen. FINF 4001 høst 2016

Informasjonsforvaltning et rettslig perspektiv. Jon Holden

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Difis veiledningsmateriell, ISO og Normen

Strategi for Informasjonssikkerhet

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

Kriminalomsorgen. Taushetserklæring

Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

BEHANDLING AV PERSONOPPLYSNINGER

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Regelverk for digital kommunikasjon i og med forvaltningen

Personvernforordningen

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Forvaltningsrevisjon IKT sikkerhet og drift 2017

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Informasjon om bruk av personnummer i Cristin-systemet

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Styringssystem for informasjonssikkerhet et topplederansvar

Rammeverk for informasjonsforvaltning og Felles Datakatalog

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Politikk for informasjonssikkerhet

GDPR Prosjektgjennomføring Sjekkliste

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Risikobasert arbeid med personvern

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Hva er et styringssystem?

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Databehandleravtale for NLF-medlemmer

Personvernforordningen

Personvern i Røyken Eiendom AS

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

GDPR HVA ER VIKTIG FOR HR- DATA

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Om dokumentasjon av automatisert rettsanvendelse. Dag Wiese Schartum, Senter for rettsinformatikk, UiO

På tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS

Barne- og likestillingsdepartementet

Transkript:

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15. Oktober 2019

Orden i eget hus + styring og kontroll

Hva er informasjonssikkerhet? Sikre: konfidensialitet integritet tilgjengelighet på informasjon som behandles i tilknytning til våre arbeidsoppgaver

KIT for personopplysninger Behandlingsansvarliges plikter Informasjonssikkerhet Personvern Den registrertes rettigheter

Forretningshemmeligheter/ konkurransevridende informasjon Ved å sende Excel-filen med klagers prisskjema til valgte leverandør, [har innklagede] ikke oppfylt sin plikt til å: "hindre at andre får adgang eller kjennskap til opplysninger om [ ] drifts- og forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde", jf. forskriften 3-6.

Difis rolle innen informasjonssikkerhet Fagorgan for informasjonssikkerhet i forvaltningen Arbeide for en styrket og mer helhetlig tilnærming Bidra til at forvaltningnen har systematisk styring og kontroll på informasjonssikkerhetsområdet Gi anbefalinger og veiledning til forvaltningsorgan om internkontroll på informasjonssikkerhetsområdet jf. eforvaltningsforskriften 15

eforvaltningsforskriften 15 Skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Basert på anerkjente standarder. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Omfang og innretning på internkontrollen skal være tilpasset risiko.

Internkontrollområder (eksempler) Internkontroll Informasjonssikkerhet Kvalitet HMS Andre områder

Helhetlig internkontroll Internkontroll Områdespesifikke deler Felleselementer Omfang av integrering på tvers må tilpasses virksomheten Informasjonssikkerhet Kvalitet HMS Andre områder

6. Dokumentasjonsstrategi (1) Virksomheter skal regelmessig ajourføre en dokumentasjonsstrategi som: a) gjør rede for dokumentasjonsplikter som gjelder for virksomheten, og for hvilken dokumentasjon som er særlig viktig for virksomheten b) beskriver organiseringen av arbeidet med å ivareta dokumentasjonspliktene c) gjør rede for hvilke informasjonssystemer i virksomheten som skaper og tar vare på dokumentasjon omfattet av denne loven d) gjør rede for virksomhetens bruk av kommunikasjonskanaler, herunder sosiale medier e) gjør rede for hvordan virksomheten sørger for langtidsbevaring, minimering og sletting av dokumentasjon og arkiver f) refererer til virksomhetens styringsdokumenter for informasjonssikkerhet, personvern, anskaffelser mv. og g) gir en vurdering av virksomhetens etterlevelse av denne loven. (2) Øverste organ i virksomheter omfattet av 2 første ledd bokstav a til c skal vedta dokumentasjonsstrategien minst én gang hvert fjerde år.

Systematiske aktiviteter

9. Plikt til å dokumentere informasjonssystemer, databaser, registre mv. (1) Når en virksomhet tar i bruk et informasjonssystem som produserer dokumentasjon som senere skal overføres til langtidsbevaring, skal det foreligge tilstrekkelige beskrivelser av systemet, bruksrutiner, datamodell og systemegenskaper som sikrer betryggende forvaltning, drift og vedlikehold. (2) Virksomheter som har behandlingsansvar for eller eier informasjonskilder, databaser, registre mv., skal beskrive a) når database- eller registerløsningen ble etablert, vesentlig endret eller omstrukturert og avviklet b) hvilke typer data som inngår i løsningen, om det er personopplysninger, og hvilke kilder datatypene er hentet fra c) bruksformålet for løsningen d) hvilke kategorier virksomheter eller personer som har tilgang til dataene, og e) hvordan dataene er beskyttet mot urettmessige endringer. (3) Ved overføring til langtidsbevaring i arkivinstitusjon skal beskrivelsene som nevnt i første og annet ledd følge med. Arkivinstitusjonen kan uten hinder av opphavsrett oppbevare systembeskrivelser for å bevare og gjøre tilgjengelig overført dokumentasjon. Kongen kan gi utfyllende forskrift.

10. Plikt til å dokumentere ved automatisert rettsanvendelse (1) Virksomheter som helt eller delvis automatiserer rettsanvendelse, skal dokumentere a) hvilke datatyper som anvendes b) hvilke kilder som benyttes for disse datatypene c) hvilke behandlingsregler som er utledet av rettsreglene og som er styrende for vedtakene, og d) hvilke endringer som er gjort av systemet på bakgrunn av vedtak av lover og forskrifter og andre politiske vedtak. (2) Kongen kan pålegge at det utarbeides dokumentasjon som gir grunnlag for rekonstruksjon av kjørbar programkode, etter at systemet er tatt ut av drift.

Få oversikt og prioritere før risikovurderinger

Få oversikt og prioritere før risikovurderinger Positive sideeffekter: Kan gi nyttige refleksjoner og innspill til bedre etterlevelse av personvernregelverket utover informasjonssikkerhet muligheter for datadeling iht. krav i Digitaliseringsrundskrivet prosessforbedringer i den enkelte enhet samordning av prosesser på tvers i virksomheten Input til prosess for identifisering og sikring av dokumentasjon Unngå å gjøre samme jobben flere ganger!

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding