Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet Bjørn Erik Thon direktør 23.09.2010 Side 1
Dagens tekst - Kort om Datatilsynet - Kommentarer til undersøkelsen - Supplering: Hva vi finner på tilsyn - Personombudsordning -.og hva kan gå galt - Hva skjer nå i samfunnet? - (ID-tyveri) - Visjoner for Datatilsynet 23.09.2010 Side 2
Datatilsynet Uavhengig forvaltningsorgan Etablert i 1980 Kan ikke instrueres av Kongen eller departementet Administrativt underlagt FAD 40 medarbeidere - Fire avdelinger Juridisk Tilsyns- og sikkerhet Informasjon Administrasjon 23.09.2010 Side 3
Datatilsynet Håndhever personopplysningsloven, helseregisterloven, statistikkloven + annet lovverk Saksbehandling Tilsyn/kontroll Veiledning/informasjon Fire viktige prosjekter Slettmeg.no Personvernombud Kommuneprosjektet Dubestemmer
Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til å bestemme over egne personopplysninger Retten til å være i fred 23.09.2010 Side 5
Hva er personvern? - Noen viktige ord: - Samtykke - Informasjon og innsyn - Sletting - korrekt informasjon og mulighet for retting av feil - God informasjonssikkerhet - God internkontroll 23.09.2010 Side 6
Noen kommentarer til mørketallsundersøkelsen - Kjennskap til personopplysningsloven - En supplering: Hva finner vi på tilsyn - Bruk av sosiale medier i jobbsammenheng 23.09.2010 Side 7
Kjennskap til personopplysningsloven - 80% har kjennskap til personopplysningsloven - Hvis sikkerhetsansvarlig : 94% - Hvis daglig leder/annen : 78%/77% - 67% har utviklet rutiner for behandling av personopplysninger - 52% har etablert intern kontroll for håndtering av personopplysninger - 44 % mangler oversikt over hvilke personopplysninger de 23.09.2010 Side 8 behandler
Kjennskap til personopplysningsloven - Det mangler en god del på bevisstheten rundt hva slags personopplysninger man behandler - 67% har rutiner men hjelper vel egentlig lite når de ikke vet hvilke personopplysninger de behandler og har manglende internkontroll. - Hva sier dette oss? - Forankring er svært viktig jo bedre forankret hos en dedikert person, jo bedre. - Tallene samsvarer med vår erfaring i kontrollvirksomheten finner vi ofte feil ved internkontrollen 23.09.2010 Side 9
En supplering: Hvilke funn gjør vi på tilsyn? - Utydelige ansvarsforhold hvem har ansvar for hva? - Manglende risikovurderinger mangler analyse av risiki og av hvilke personopplysninger som behandles - Manglende avviksbehandling den samme feil skjer igjen og igjen 23.09.2010 Side 10
En supplering:hvilke funn gjør vi på tilsyn? - Tilgangskontroll det er ikke klare retningslinjer for hvem som kan se hva - Manglende logging hvem har gjort hva? - Kommunikasjon går ofte usikret epost - Manglende sletting - Lagring er billigere enn sletting - Manglende kontroll på backup 23.09.2010 Side 11
To ting i oppfølgingen av dette - Personvernombud - Hva kan gå galt? 23.09.2010 Side 12
Hva gjør et personvernombud? Et personvernombud er en ressursperson og rådgiver for virksomheten med solid kunnskap om personvernregelverket. Personvernombudets fremste oppgave er å styrke virksomhetskulturen på personvernfeltet og fremme kunnskap om regelverket. Personvernombudet er en veileder til bedre etterlevelse av regelverket. 23.09.2010 Side 13
Personvernombudets viktigste oppgaver - Være rådgiver for virksomhetens ledelse og ansatte i personvernspørsmål - Motta meldinger om virksomhetens behandlinger av personopplysninger og føre tilgjengelig oversikt - Bistå i virksomhetens internkontroll - Påpeke brudd på personvernregelverket internt og bistå ledelsen i løsningsarbeidet - Kontaktperson for den registrerte (kunder, ansatte, etc). 23.09.2010 Side 14
Personvernombudets ansvarsområde Personvernombudet skal påse at virksomheten følger personvernregelverket. Dette innebærer at virksomheten: INFORMERER om hvilke personopplysninger som blir samlet inn og hvorfor. HOLDER OVERSIKT over personopplysningene. GIR INNSYN til den opplysningene gjelder. KONTROLLERER TILGANGEN til personopplysningene. 23.09.2010 Side 15
Personvernombudets ansvarsområde BER OM SAMTYKKE fra de personopplysningene gjelder før opplysningene blir behandlet. BESKYTTER INFORMASJONEN slik at den ikke kommer på avveier. VURDERER RISIKO for sikkerhetsbrudd og konsekvenser. SLETTER personopplysninger det ikke lenger er behov for 23.09.2010 Side 16
og hva kan gå galt? 23.09.2010 Side 17
Bruk av sosiale medier i jobbsammenheng - Enorm økning i virksomheter som er på FB - Fra 3% til 22% på to år - Man trenger ikke være spåmann for å si at denne vil øke ytterligere - Noen eksempler 23.09.2010 Side 22
23.09.2010 Side 23
23.09.2010 Side 24
23.09.2010 Side 25
23.09.2010 Side 26
Hva kan gjøres? - Anbefaling: Utarbeide retningslinjer og brukeropplæring innenfor de områdene virksomhetene benytter ( epost på mobil og bruk av nettsamfunn) - Fornuftig tilnærming tilpasset virkeligheten - Trond i dusjen.. 23.09.2010 Side 27
Og hva skjer nå i samfunnet? - Mer detaljert kunnskap om hvor vi er og hva vi gjør ofte egengenerert - Mer detaljert kunnskap om hva vi liker noe som igjen kan avslører våre svakheter - Mulighet for å bygge opp detaljert kunnskap om oss via ganske åpne kilder - Er åpenhetsviljen i offentlig sektor alltid gjennomtenkt? 23.09.2010 Side 28
23.09.2010 Side 32
Men hva med stat og kommune selv?
23.09.2010 Side 34
ID tyvens buffet
- Personopplysninger + Personlige dokumenter + Et anerkjent identitetsdokument = dekket bord - Spesielt attraktive konvolutter vil være forsendelser fra skattemyndighetene, bank- og finansinstitusjoner, passmyndighetene og ulike offentlige kontorer
Selv relativt uskyldige lovbrudd kan være inngang til alvorlig kriminalitet 23.09.2010 Side 38
23.09.2010 Side 39
23.09.2010 Side 40
Noen foreløpige tanker om Datatilsynet mot 2015 - Nye plandokumenter - Langsiktig strategi Datatilsynet mot år 2015 - Internasjonal satsing - Sosiale medier, web 3.0 og kommersiell benyttelse av personopplysninger - Overvåkning og lokalisering - Personvernfremmende teknologi
Arbeidsformer - Et proaktivt Datatilsyn - Dialogbasert, men ikke redd for å bruke sanksjoner - Tydelig og synlig - Teknologi-interessert og teknologi-optimistisk
Theodor Roosevelt, USAs president 1901 1909: Speak softly, and carry a big stick, and we will go far