Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet

Like dokumenter

Tanker om fremtiden. Kredittforum, Oslo Børs, 2. september 2010 Bjørn Erik Thon, direktør, Datatilsynet

Personvern i arkivene Drammen, 7. september 2011

Personvern i Norge i 2010 hvilke utfordringer står vi overfor

Dagens tekst. Datatilsynet 1. Norge anno 2010 overvåking og kontroll. Bjørn Erik Thon Direktør i Datatilsynet. - Sosiale medier

Risikogrupper og personvernhensyn hvor viktig er personvern når det gjelder sikkerhet, liv og helse?

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Internkontroll og informasjonssikkerhet lover og standarder

Personvern overvåking og kontrolltiltak i arbeidslivet. Paratkonferansen, 16. november 2010 Bjørn Erik Thon

Hvordan ivareta personvernet med velferdsteknologiske løsninger?

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Bedre personvern i skole og barnehage

Innherred samkommune. Levanger kommunes tiltak til kravene i Personopplysningsloven. Orientering ved Personvernombudet. 1www.innherred-samkommune.

Vår ref: 09/4568 /TLB

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

GDPR-status fra en kommune

Mobile enheter, sikkerhet og personvern. Bjørn Erik Thon direktør

GDPR - PERSONVERN. Advokat Sunniva Berntsen

PERSONVERN OG DELING FRA KVALITETSREGISTRE

Utviklingen av framtidas elektroniske forvaltning hvor går grensen

Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011

Personvernmessige utfordringer ved sammenslåing av kommuner Den nye personvernforordningen

Tjenester i skyen hva må vi tenke på?

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Endelig kontrollrapport

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Personvern - sjekkliste for databehandleravtale

Endelig kontrollrapport

Norm for informasjonssikkerhet Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Personvern og omsorgsteknologi utfordringer og muligheter

Personvernerklæring for Webstep AS

Det er forbudt å lagre unødvendige personopplysninger

Proff behandling av personopplysninger. Bjørn Erik Thon direktør i personvernbloggen.no

Det vil også være mulig å la seg registrere med opplysningen Har ingen verv eller økonomiske interesser.

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Er offentlig sektor bevisst farene ved bruk av teknologi? Bjørn Erik Thon Direktør Datatilsynet

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Personvern og kundedata

Hvordan kan personvernet ivaretas i helsesektoren?

ekommune 2017 Prosessplan for god praksis om personvern

Status personvern Hedmark og Oppland fylkeskommuner

Kort innføring i personopplysningsloven

Personvern barnehagen

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Big data i offentlig sektor og personvern

HVEM ER JEG OG HVOR «BOR» JEG?

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Hvor går Datatilsynets grenser? Norvegfinans konferansen 18. september Direktør Bjørn Erik Thon

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Personvernombud i Norge og databeskyttelsesansvarlig i EU-Kommisjonens forslag til forordning om databeskyttelse

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Policy for personvern

Bjørn Erik Thon direktør

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

GDPR (personopplysningsloven)

Draftit Privacy Personvern på en enkel måte

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Atle Årnes Fagdirektør. Personvern og bolig

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Mønsterbesvarelse til DRI1010 eksamen vår 2013

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvern i Røyken Eiendom AS

Nye personvernregler

Arkiv skal ikkje førast ut or landet

Leverandøren en god venn i sikkerhetsnøden?

PERSONVERN TIL HINDER FOR BRUK AV BIG DATA? Advokat Therese Fevang, Bisnode Norge

VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Personvern og informasjonssikkerhet i UH sektoren

Personvern i skolen. Skolelederkonferansen 24. oktober Leder forretningsjuridisk/ advokat Hege Stensland Sveen

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Vår referanse (bes oppgitt ved svar)

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Elektroniske spor. Senioringeniør Atle Årnes Radisson SAS Scandinavia Hotel, Holbergsgate 30

Kommunens Internkontroll

Kan du legge personopplysninger i skyen?

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Databehandleravtale for NLF-medlemmer

Endelig kontrollrapport

Endelig kontrollrapport

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Fokus på kommunale arkiv - kan kontrollutvalget bistå?

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Avtale mellom. om elektronisk utveksling av opplysninger

Transkript:

Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet Bjørn Erik Thon direktør 23.09.2010 Side 1

Dagens tekst - Kort om Datatilsynet - Kommentarer til undersøkelsen - Supplering: Hva vi finner på tilsyn - Personombudsordning -.og hva kan gå galt - Hva skjer nå i samfunnet? - (ID-tyveri) - Visjoner for Datatilsynet 23.09.2010 Side 2

Datatilsynet Uavhengig forvaltningsorgan Etablert i 1980 Kan ikke instrueres av Kongen eller departementet Administrativt underlagt FAD 40 medarbeidere - Fire avdelinger Juridisk Tilsyns- og sikkerhet Informasjon Administrasjon 23.09.2010 Side 3

Datatilsynet Håndhever personopplysningsloven, helseregisterloven, statistikkloven + annet lovverk Saksbehandling Tilsyn/kontroll Veiledning/informasjon Fire viktige prosjekter Slettmeg.no Personvernombud Kommuneprosjektet Dubestemmer

Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til å bestemme over egne personopplysninger Retten til å være i fred 23.09.2010 Side 5

Hva er personvern? - Noen viktige ord: - Samtykke - Informasjon og innsyn - Sletting - korrekt informasjon og mulighet for retting av feil - God informasjonssikkerhet - God internkontroll 23.09.2010 Side 6

Noen kommentarer til mørketallsundersøkelsen - Kjennskap til personopplysningsloven - En supplering: Hva finner vi på tilsyn - Bruk av sosiale medier i jobbsammenheng 23.09.2010 Side 7

Kjennskap til personopplysningsloven - 80% har kjennskap til personopplysningsloven - Hvis sikkerhetsansvarlig : 94% - Hvis daglig leder/annen : 78%/77% - 67% har utviklet rutiner for behandling av personopplysninger - 52% har etablert intern kontroll for håndtering av personopplysninger - 44 % mangler oversikt over hvilke personopplysninger de 23.09.2010 Side 8 behandler

Kjennskap til personopplysningsloven - Det mangler en god del på bevisstheten rundt hva slags personopplysninger man behandler - 67% har rutiner men hjelper vel egentlig lite når de ikke vet hvilke personopplysninger de behandler og har manglende internkontroll. - Hva sier dette oss? - Forankring er svært viktig jo bedre forankret hos en dedikert person, jo bedre. - Tallene samsvarer med vår erfaring i kontrollvirksomheten finner vi ofte feil ved internkontrollen 23.09.2010 Side 9

En supplering: Hvilke funn gjør vi på tilsyn? - Utydelige ansvarsforhold hvem har ansvar for hva? - Manglende risikovurderinger mangler analyse av risiki og av hvilke personopplysninger som behandles - Manglende avviksbehandling den samme feil skjer igjen og igjen 23.09.2010 Side 10

En supplering:hvilke funn gjør vi på tilsyn? - Tilgangskontroll det er ikke klare retningslinjer for hvem som kan se hva - Manglende logging hvem har gjort hva? - Kommunikasjon går ofte usikret epost - Manglende sletting - Lagring er billigere enn sletting - Manglende kontroll på backup 23.09.2010 Side 11

To ting i oppfølgingen av dette - Personvernombud - Hva kan gå galt? 23.09.2010 Side 12

Hva gjør et personvernombud? Et personvernombud er en ressursperson og rådgiver for virksomheten med solid kunnskap om personvernregelverket. Personvernombudets fremste oppgave er å styrke virksomhetskulturen på personvernfeltet og fremme kunnskap om regelverket. Personvernombudet er en veileder til bedre etterlevelse av regelverket. 23.09.2010 Side 13

Personvernombudets viktigste oppgaver - Være rådgiver for virksomhetens ledelse og ansatte i personvernspørsmål - Motta meldinger om virksomhetens behandlinger av personopplysninger og føre tilgjengelig oversikt - Bistå i virksomhetens internkontroll - Påpeke brudd på personvernregelverket internt og bistå ledelsen i løsningsarbeidet - Kontaktperson for den registrerte (kunder, ansatte, etc). 23.09.2010 Side 14

Personvernombudets ansvarsområde Personvernombudet skal påse at virksomheten følger personvernregelverket. Dette innebærer at virksomheten: INFORMERER om hvilke personopplysninger som blir samlet inn og hvorfor. HOLDER OVERSIKT over personopplysningene. GIR INNSYN til den opplysningene gjelder. KONTROLLERER TILGANGEN til personopplysningene. 23.09.2010 Side 15

Personvernombudets ansvarsområde BER OM SAMTYKKE fra de personopplysningene gjelder før opplysningene blir behandlet. BESKYTTER INFORMASJONEN slik at den ikke kommer på avveier. VURDERER RISIKO for sikkerhetsbrudd og konsekvenser. SLETTER personopplysninger det ikke lenger er behov for 23.09.2010 Side 16

og hva kan gå galt? 23.09.2010 Side 17

Bruk av sosiale medier i jobbsammenheng - Enorm økning i virksomheter som er på FB - Fra 3% til 22% på to år - Man trenger ikke være spåmann for å si at denne vil øke ytterligere - Noen eksempler 23.09.2010 Side 22

23.09.2010 Side 23

23.09.2010 Side 24

23.09.2010 Side 25

23.09.2010 Side 26

Hva kan gjøres? - Anbefaling: Utarbeide retningslinjer og brukeropplæring innenfor de områdene virksomhetene benytter ( epost på mobil og bruk av nettsamfunn) - Fornuftig tilnærming tilpasset virkeligheten - Trond i dusjen.. 23.09.2010 Side 27

Og hva skjer nå i samfunnet? - Mer detaljert kunnskap om hvor vi er og hva vi gjør ofte egengenerert - Mer detaljert kunnskap om hva vi liker noe som igjen kan avslører våre svakheter - Mulighet for å bygge opp detaljert kunnskap om oss via ganske åpne kilder - Er åpenhetsviljen i offentlig sektor alltid gjennomtenkt? 23.09.2010 Side 28

23.09.2010 Side 32

Men hva med stat og kommune selv?

23.09.2010 Side 34

ID tyvens buffet

- Personopplysninger + Personlige dokumenter + Et anerkjent identitetsdokument = dekket bord - Spesielt attraktive konvolutter vil være forsendelser fra skattemyndighetene, bank- og finansinstitusjoner, passmyndighetene og ulike offentlige kontorer

Selv relativt uskyldige lovbrudd kan være inngang til alvorlig kriminalitet 23.09.2010 Side 38

23.09.2010 Side 39

23.09.2010 Side 40

Noen foreløpige tanker om Datatilsynet mot 2015 - Nye plandokumenter - Langsiktig strategi Datatilsynet mot år 2015 - Internasjonal satsing - Sosiale medier, web 3.0 og kommersiell benyttelse av personopplysninger - Overvåkning og lokalisering - Personvernfremmende teknologi

Arbeidsformer - Et proaktivt Datatilsyn - Dialogbasert, men ikke redd for å bruke sanksjoner - Tydelig og synlig - Teknologi-interessert og teknologi-optimistisk

Theodor Roosevelt, USAs president 1901 1909: Speak softly, and carry a big stick, and we will go far