Personopplysningsloven og annet «snacks»

Like dokumenter
Kan du legge personopplysninger i skyen?

Bruk av skytjenester og sosiale medier i skolen

Personopplysninger og opplæring i kriminalomsorgen

VIRKE. 12. mars 2015

Underbygger lovverket kravene til en digital offentlighet

Personvern og informasjonssikkerhet i UH sektoren

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Endelig kontrollrapport

Personvern i digitaliseringens tid Kommuner og nytt regelverk

Brukerinstruks Informasjonssikkerhet

Informasjonssikkerhet i forordningen

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

HVEM ER JEG OG HVOR «BOR» JEG?

Bedre personvern i skole og barnehage

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Internkontroll og informasjonssikkerhet lover og standarder

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Når barn og barnevernsaker eksponeres i media

Endelig kontrollrapport

Internkontroll i mindre virksomheter - introduksjon

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

BEHANDLING AV PERSONOPPLYSNINGER

Databehandleravtale. Denne avtalen er inngått mellom

Endelig kontrollrapport

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Endelig kontrollrapport

Skytjenester og nytt personvernregelverk

Personvernmessige utfordringer ved sammenslåing av kommuner Den nye personvernforordningen

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Kort innføring i personopplysningsloven

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Nytt personvernregelverk på 1-2-3

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Vi blir "smartere og smartere", snart er nesten alt tilknyttet alt, alltid. Det stiller store krav til sikkerhet og personvern

Endelig kontrollrapport

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Databehandleravtale etter personopplysningsloven

Personvern og informasjonssikkerhet ved anskaffelser

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Databehandleravtaler

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personvern og informasjonssikkerhet

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Policy for personvern

Endelig Kontrollrapport

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Endelig kontrollrapport

Nye personvernregler (GDPR)

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Nye personvernregler

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Nye personvernregler fra 2018

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Personvern-rett H2016

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Nye personvernregler

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Nye personvernregler (GDPR)

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Nye personvernregler

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Proff behandling av personopplysninger. Bjørn Erik Thon direktør i personvernbloggen.no

Kommunens Internkontroll

Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

KF Brukerkonferanse 2013

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Endelig kontrollrapport

Sikkerhetskrav for systemer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Transkript:

Personopplysningsloven og annet «snacks»

Agenda Litt om Datatilsynet Erfaring fra kontroller Hva er personopplysninger, personvern og personvernprinsipper Hva er internkontroll og informasjonssikkerhet Regelverket Prosessen med å etablere internkontroll og informasjonssikkerhet Skytjenester Gjør det noen forskjell? Databehandlere og databehandleravtaler «Takk for meg» Side 2

Om Datatilsynet Sånn helt overordnet Side 3

Kort om Datatilsynet Opprettet 1980, lokalisert i Oslo 41 medarbeidere Særlig uavhengig forvaltningsorgan under KMD To roller forvaltning og ombud Regelverk: Personopplysningsloven Helseregisterloven Pasientjournalloven Helseforskningsloven Politiregisterloven Lov om Schengen informasjonssystem mv. Personvernnemnda er klageorgan for våre vedtak Fagavdeling I Avd.direktør Kim Ellertsen Gruppe I Gruppe 2 Direktør Bjørn Erik Thon Fagavdeling II Administrasjonsavd. Avd.direktør Avd.direktør Helge Veum Kjersti Pettersen Gruppe 3 Gruppe 4 Kommunikasjonsavd. Avd.direktør Ove Skåra

Datatilsynets virkemidler Saksbehandling Tilsyn og kontroll Kommunikasjon Organisatoriske Teknologiske Økonomiske Utredning og analyse Best mulig etterlevelse av personvernprinsipper og regelverk

Privatlivets fred og individets integritet Formålsbegrensing Proposjonalitet Medbestemmelse Retten til å bli glemt Samtykke Informert Resosialisering Anonymitet

Erfaring fra kontroller Funn hos offentlige virksomheter? Side 7

Virkemidler Kommuneundersøkelsen 2011 Brevkontroll Målrettet oppfølging Kontroller Råd og veiledning Samarbeidet med KiNS (Kommunal Informasjonssikkerhet) Samarbeidet med KS/KommIT I samarbeid med KMD utvikle nye, forbedrede og forenklede veiledere Med særlig fokus på offentlig sektor, herunder kommuner Tett og god dialog med øvrige premissgivere for kommuner Kartverket, Riksrevisjonen, Fylkesmenn, Riksarkivet, Difi, Altinn mf.fl. Side 8

Noen steder vi har vært? Side 22

Hvor trykker skoen? Manglende oversikt over egne behandlinger Hull i kunnskapen om innsyn og informasjon Manglende eller for dårlige risikovurderinger Usikkerhet knyttet til konfigurasjonsstyring Vertskommuner i regionale samarbeid er ikke alltid bevisst sin rolle som databehandler for de øvrige kommunene I noen tilfeller tror man behandlingsansvaret overføres til vertskommunen (Hvilket er riktig hvis samarbeidet er etter kommuneloven 27) Databehandleravtaler Side 10

Vanligste unnskyldning Vi har ikke kommet i gang ennå Vi har ikke kunnet prioritere dette, så lagt Dette med IT er vanskelig Økonomi Gjennomtrekk på ledernivå Personopplysningsloven er fra 2002! Side 11

Hva er gjennomgående bra? Organisering og delegasjonsfullmakter Avviksbehandling internt Ønsket om å få det til Det er få som skylder på andre Humøret Side 12

Er det forskjell på store og små? I mindre grad eller man kanskje skulle tro Alle lever under samme regelverk uansett størrelse Store kommuner besitter i hovedsak mer og bedre IKTkompetanse (ikke nødvendigvis kompetanse på personvern!) Små kommuner har gjennomgående bedre oversikt over sine behandlinger Små kommuner har større utfordringer med tilgangsstyring og er mer sårbare ift spisskompetanse Små kommuner er som oftest mer ydmyke Side 13

Regionale forskjeller? Ingen signifikante forskjeller Like mye forskjeller innenfor regioner Større utfordringer for kommuner med stor gjennomtrekk av ledere. (Er generelt for alle kommunens områder) Side 14

Personopplysninger Hva er det? Side 15

Hva er personopplysninger? Personopplysninger Opplysninger og vurderinger som kan knyttes til en enkeltperson (personopplysningsloven 2 1) Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson, navn adresse lønn referanseuttalelser oppgavebesvarelser klientopplysninger skyldneropplysninger kundeopplysninger 16

Personopplysninger Opplysninger og vurderinger som kan knyttes til en enkeltperson Knut B. Kaspersen (180455 xxxxx) Direkte eller indirekte identifiserbart Indirekte kan være opplysninger som beskriver en person uten bruk av identifikatorer. Mann 60, lite hår, med briller ansatt i Datatilsynet Side 17

Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 18

Personopplysninger Fødselsnummer: 13087846271 Telefonnummer: 22396900 IP-adresse: 195.159.103.82 Bilnummer: BL 23456 Bluetooth MAC: 17:35:52:78:4B:CA Wi-Fi-adresse MAC: 12:44:32:45:7B:C9 Autpass-brikke-ID: 7483920983278394 UDID: f7426bd759856431d9ae2c99175407a0dcd67ab5 19

Hva er sensitive personopplysninger? Sensitive personopplysninger Personopplysninger om (personopplysningsloven 2 8): Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling Helseforhold Seksuelle forhold Medlemskap i fagforeninger Sensitive personopplysninger er for eksempel informasjon om hvilke sykdommer en person har hatt, medisiner vedkommende bruker, straffedommer, tidligere og pågående rusmisbruk, og seksuell legning. Det knytter seg et særlig behov for vern rundt sensitive personopplysninger, regelverket stiller derfor strengere krav til behandling av denne typen opplysninger. 20

Sensitive personopplysninger 21

Personopplysninger hvor er de? 22

Personvern Hva er det? Side 23

Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til å bestemme over egne personopplysninger Retten til å være i fred Side 24

Hva handler personvern om? Autonomi / selvbestemmelse Å vite = retten til å velge Forutsigbarhet Tillit Informasjonssikkerhet Thinkstock.com 25

Noen viktige sentrale prinsipper for personvern Registreringen skal være riktig Feilaktige opplysninger skal rettes Unødvendige opplysninger skal slettes Informasjonssikkerhet skal ivaretas For sensitive personopplysninger er strengere regler Side 26

Regelverket 27

Rutine for oppfyllelse av rettigheter og plikter 14. Internkontroll Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet. Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. 28

Personopplysningsloven 14. Internkontroll Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet. Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. Kongen kan gi forskrift med nærmere regler om internkontroll. 29

Personopplysningsforskriften 3-1. Systematiske tiltak for behandling av personopplysninger Den behandlingsansvarlige skal etablere internkontroll i samsvar med personopplysningsloven 14. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i medhold av personopplysningsloven, med særlig vekt på bestemmelser gitt i medhold av personopplysningsloven 13. Internkontroll innebærer at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av de ovenstående rutiner, samt ha denne dokumentasjonen tilgjengelig for de den måtte angå. Den behandlingsansvarlige skal også ha rutiner for oppfyllelse av sine plikter og de registrertes rettigheter etter det til enhver tid gjeldende personvernregelverk, herunder ha rutiner for [ ] 30

Personopplysningsforskriften 3-1. Systematiske tiltak for behandling av personopplysninger Den behandlingsansvarlige skal etablere internkontroll i samsvar med personopplysningsloven 14. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i medhold av personopplysningsloven, med særlig vekt på bestemmelser gitt i medhold av personopplysningsloven 13. Internkontroll innebærer at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av de ovenstående rutiner, samt ha denne dokumentasjonen tilgjengelig for de den måtte angå. Den behandlingsansvarlige skal også ha rutiner for oppfyllelse av sine plikter og de registrertes rettigheter etter det til enhver tid gjeldende personvernregelverk, herunder ha rutiner for [ ] 31

Informasjonssikkerhet 13. Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd. 32

Personopplysningsloven 13. Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd. 33

Informasjonssikkerhet i forskriften 2-3 Sikkerhetsledelse 2-4 Risikovurdering 2-5 Sikkerhetsrevisjon 2-6 Avvik 2-7 Organisering 2-8 Personell 2-11 Sikring av konfidensialitet 2-12 Sikring av tilgjengelighet 2-13 Sikring av integritet 2-14 Sikkerhetstiltak 2-15 Sikkerhet hos andre virksomheter 34

Finnes det behandlingsgrunnlag? Personopplysninger Det er ikke tillatt å behandle personopplysninger uten behandlingsgrunnlag. Personopplysningsloven 8 gir vilkår for å behandle personopplysninger. 8 Vilkår for å behandle personopplysninger Personopplysninger (jf. Personopplysningsloven 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for a) å oppfylle en avtale med den registerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse, c) å vareta den registrertes vitale interesser, d) å utføre en oppgave av allmenn interesse, e) å utøve offentlig myndighet, eller f) at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan ivareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. 35

Finnes det behandlingsgrunnlag? Sensitive personopplysninger For behandling av sensitive personopplysninger må i tillegg personopplysningsloven 9 være oppfylt. På samme måte som for 8 må behandlingen som hovedregel enten følge av samtykke, lov eller av en nærmere definert nødvendighetsgrunn. (I tillegg kan det behandles personopplysninger som den registrerte selv frivillig har gjort alminnelig kjent.) 9 Behandling av sensitive personopplysninger "Sensitive personopplysninger (jf. Personopplysningsloven 2 nr. 8) kan bare behandles dersom behandlingen oppfyller et av vilkårene i 8 og a) den registrerte samtykker i behandlingen, b) det er fastsatt i lov at det er adgang til slik behandling, c) behandlingen er nødvendig for å beskytte en persons vitale interesser, og den registrerte ikke er i stand til å samtykke, d) det utelukkende behandles opplysninger som den registrerte selv frivillig har gjort alminnelig kjent, e) behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav, f) behandlingen er nødvendig for at den behandlingsansvarlige kan gjennomføre sine arbeidsrettslige plikter eller rettigheter, g) behandlingen er nødvendig for forebyggende sykdomsbehandling, medisinsk diagnose, sykepleie eller pasientbehandling eller for forvaltning av helsetjenester, og opplysningene behandles av helsepersonell med taushetsplikt, eller h) behandlingen er nødvendig for historiske, statistiske eller vitenskapelige formål, og samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte... " 36

Hvordan etterleve loven? 37

Internkontroll Få oversikt over hvilke personopplysninger som behandles og klassifiser dem fra sensitive til ikkesensitive. Lag rutiner og regler for: Innsyn Samtykke Retting og sletting Informasjon 38

Kartlegge virksomhetens behandlinger Virksomheten skal ha oversikt over personopplysningene Nødvendig for å ivareta sine plikter. Grunnlag for sikkerhetsmål og sikkerhetsstrategi. Underlag for risikovurderinger. Informasjon Formål Lønn og personal: lønnsopplysninger Personopplysning sloven, 8f Melding/ Konsesjon Unntatt i forskriftens 7-16 Klassifikasjon Lagring og kommunikasjon Personopplysninger Behandlingsgrunnlag Sikkerhetstiltak Opplysningenes omfang Ca. 130 ansatte Avdeling Databehandler personalopplysninger Barnevern: vurdering og tiltak Helseopplysninger: pasientjournal Elevadministrasjon elever / foresatte Barnevernloven, 3-1 Sensitive personopplysninger Sensitive personopplyninger Personopplyninger Helsepersonelloven 39 Opplæringsloven 13-5 Meldt 14.01.2009 Meldt 14.01.2009 Ca. 68 barn og foresatte Ca. 413 pasienter Ca. 219 søkere lærere Hendelsesregister: logg over brudd Personopplysning sloven, 13 Unntatt i forskriftens 7-11 Personopplyninger 39 Arkivlogg, nettverkslogg og serverlogg, PClogger

Dokumentasjon av internkontrollsystemet Det er et lovpålagt krav at internkontrollsystemet skal være dokumentert. Dokumentasjonen er delt i tre emner: 1. Styrende dokumentasjon som ledelsen er ansvarlig for å utarbeide. 2. Gjennomførende dokumentasjon med rutiner og tiltak for daglig drift. 3. Kontrollerende dokumentasjon med rutiner for oppfølging, korrigering og forbedring av internkontroll og informasjonssikkerhet. 40

Rutiner for internkontroll Rutinene bør utformes i henhold til en felles mal. Rutinene blir da enklere å bruke, og det blir lettere å vurdere om de er fullstendige. Følgende punkter kan benyttes for utforming av rutiner: 1. Hvorfor skal rutinen utarbeides, hva er hensikten med den? 2. Hvem er ansvarlig for å utføre de ulike aktivitetene? 3. Hva skal utføres av de ulike ansvarlige? 4. Hvordan skal aktivitetene utføres og hva kan man ikke gjøre? 5. Når skal de ulike aktivitetene utføres, eller under hvilke betingelser? 6. Hva er forventet resultat ved utførelse av rutinen? 41

Den registrertes rettigheter Den behandlingsansvarlige er pålagt å ha rutiner for å oppfylle den registrertes rettigheter. Plikt til å informere når det samles inn opplysninger fra den registrerte er beskrevet i personopplysningsloven 19. Plikt til å informere når det samles inn opplysninger fra andre enn den registrerte, er beskrevet i personopplysningsloven 20. Virksomheten skal ha rutine for behandling av forespørsel om innsyn i virksomhetens generelle behandlinger Virksomheten skal ha rutine for behandling av forespørsel om innsyn fra mulig registrerte Virksomheten skal ha rutine for behandling av forespørsel om retting og sletting for en registrert. 42

Informasjonssikkerhet et ledelsesansvar Det forventes ikke alltid at øverste leder har inngående kunnskap om informasjonssikkerhet Derimot forventes det at personopplysninger er sikret på en forsvarlig måte, og at øverste leder kan garantere at dette blir gjort. I praksis betyr det å sørge for at virksomheten har oversikt over: hvilke plikter som gjelder hvordan opplysninger behandles og sikres at alle rutiner knyttet til dette er godkjent og blir fulgt opp av alle ansatte 43

Valg av og gjennomføring av sikkerhetstiltak Lage en beskrivelse av hvilke sikkerhetstiltak som er nødvendige for å motstå identifiserte trusler og avverge identifiserte uønskede hendelser. Lage en aktivitetsplan for å ivareta informasjonssikkerhet for behandling av personopplysninger, som er i overensstemmelse med resultater av risikovurdering. Lage en dokumentert budsjettplan som inkluderer en tids- og aktivitetsplan. 44

Behandling av avvik Dersom personopplysninger håndteres i strid med fastlagte rutiner, eller det er mistanke om eller dokumentert brudd på informasjonssikkerhet, skal virksomheten iverksette avviksbehandling Formålet med avviksbehandling er å lukke avviket så raskt som mulig, gjenopprette normal tilstand og hindre gjentagelse Når man behandler avvik er det viktig å: Iverksette strakstiltak, blant annet med det formål å avgrense eventuelle følgeskader Iverksette korrigerende tiltak for permanent å gjenopprette normal tilstand Vurdere hvorvidt korrigerende tiltak fungerer etter sin hensikt Varsle Datatilsynet når dette er pålagt (forskriften 2-6, 3. ledd) 45

Tekniske tiltak 46

Tilgangsstyring = autentisering, autorisasjon, sporbarhet Hvem skal ha tilgang til hvilke personopplysninger, for hvilke brukere, hvilke informasjonselementer, i hvilket tidsrom evt. andre forutsetninger Disse fem faktorene må balanseres. Hva kan vi leve med og hvor bør grensene gå? 47

Autentisering Hva skal til for å bevise at du er den du hevder du er? Kravet til autentisering avhenger av risiko. Ved sensitive opplysninger eller andre opplysninger med behov for konfidensialitetsbeskyttelse: Brukernavn, passord og kontroll over nettverk eller På internett kreves to-faktor-autentisering, typisk brukernavn, passord og en ekstra faktor Passordkrav 48

Logging Autorisert bruk av informasjonssystemet skal registreres Forsøk på uautorisert bruk av informasjonssystemet skal registreres Bruk av logg Ved henvendelser fra den registrerte Ved tips om misbruk Stikkprøveanalyse Automatiserte analyser 49

Minnepinne og e-post Lagring og forsendelse av personopplysninger med behov for konfidensialitet på minnepinne eller e-post, skal beskyttes ved hjelp av kryptering eller tilsvarende. Sikkerhetsnivåene person-høyt og virksomhet iht gjeldende Kravspesifikasjon for PKI i offentlig sektor anses som tilfredsstillende. For symmetrisk kryptering skal det benyttes algoritmer og nøkkellengder i henhold til veiledningene fra Nasjonal Sikkerhetsmyndighet, herunder «NSM Chryptographic Requirements». Der hvor disse ikke passer, anbefales det at en forholder seg til internasjonalt anerkjente algoritmer og nøkkellengder, samt anerkjente tilnærminger for implementering. 51

Saksbehandlere skal ikke avgjøre hvordan opplysningen skal sikres forskånes fra å være i tvil om hvordan han skal håndtere opplysningene Vite hvilke rutiner som finnes Vite hvem som er ansvarlig for å gi hjelp Vite hvem som skal orienteres om problemer følge ledelsens rutiner rapportere avvik Avvik fra rutiner Manglende eller ufullstendige rutiner 52

Informasjonssikkerhet et ledelsesansvar Det forventes ikke alltid at øverste leder har inngående kunnskap om informasjonssikkerhet Derimot forventes det at personopplysninger er sikret på en forsvarlig måte, og at øverste leder kan garantere at dette blir gjort. I praksis betyr det å sørge for at virksomheten har oversikt over: hvilke plikter som gjelder hvordan opplysninger behandles og sikres at alle rutiner knyttet til dette er godkjent og blir fulgt opp av alle ansatte 53

Risikovurdering Thinkstock.com 54

Risikovurdering trinn for trinn Kartlegg og klassifiser alle behandlinger Identifiser uønskede hendelser (og årsaker!) Konsekvensvurdering (1-4) Sannsynlighetsvurdering (letthet 1-4) Sammenlign resultater og iverksett tiltak for å komme innenfor akseptabel risiko. Konsekvens Sannsynlighet 55

Sikkerhetsrevisjon Sikkerhetsrevisjon av bruk av informasjonssystemet skal: Gjennomføres jevnlig Omfatte: Vurdering av organisering Sikkerhetstiltak Bruk av sikkerhetsparter og databehandlere Bestå av: Egenkontroller Internrevisjon Revisjon med sikkerhetsparter og databehandlere Dokumenteres Dersom sikkerhetsrevisjonen avdekker bruk som ikke er forutsatt, skal det behandles som avvik. 56

Regelverket - kortversjonen Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige Den behandlingsansvarlige skal dokumentere tiltakene Dokumentasjonen skal være tilgjengelig Rutiner for oppfyllelse av plikter og de registrertes rettigheter 57

Gjør det noen forskjell med skytjenester? Er det egentlig noe nytt? ASP, Fjerndrift, stormaskin, hosting, Rokker ikke ved ansvarslinjene Virksomhet Leverandør Behandlingsansvarlig Databehandler Skytjenester betyr ikke fravær av kontroll (i så fall er det uforenlig med regelverket) 58

Viktige lovkrav ved bruk av skytjenester Internkontroll Personopplysningsloven 14 Personopplysningsforskriften 3. kap Informasjonssikkerhet Personopplysningsloven 13 Personopplysningsforskriftens 2. kap Databehandlere Personopplysningsloven 15 og 13 Personopplysningsforskriften 2-15 og hele 2. kapittel Andre relevante krav Personopplysningsloven 11 b) «uttrykkelig angitt formål» Pol 29, 30 - overføring til utlandet 59

Databehandleravtaler 60 Thinkstock.com

Minimumskrav til databehandleravtaler 1. Angi formålet med behandlingen Det skal klart framgå av avtalen hva som er formålet med behandlingen av personopplysningene. 2. Beskriv hvordan personopplysningene skal behandles Det skal tydelig fremgå av avtalen hva databehandler skal gjøre med personopplysningene. Databehandler har ikke råderett over personopplysningene, og kan dermed heller ikke behandle disse til egne formål. Databehandler skal kun forholde seg til avtalen. Hvis han skal utlevere personopplysninger til andre eksterne parter må dette framgå klart av databehandleravtalen. Avtalen må inneholde bestemmelser om hvem som skal kunne få personopplysninger utlevert, og vilkår i tilknytning til dette. 3. Bruk av underleverandør skal reguleres i avtalen Hvis databehandler gjør bruk av underleverandører av tjenester, skal dette klart framgå av avtalen mellom databehandler og behandlingsansvarlig. 61

Minimumskrav til databehandleravtaler 4. Ivareta den registreres rettigheter Avtalen kan inneholde en arbeidsfordeling mellom behandlingsansvarlige og databehandler, for eksempel hvem som skal håndtere og behandle henvendelser fra de registrerte. 5. Avtalen må pålegge databehandleren å ha tilfredsstillende informasjonssikkerhet Avtalen må klargjøre hva databehandler skal ha på plass av sikringstiltak for å ivareta konfidensialitet, integritet og tilgjengelighet 6. Avtalens varighet må avtales Avtalen må inneholde opplysninger om avtalens varighet hva som skal skje med opplysningene etter at avtalen er opphørt 62

Vi forvalter opplysninger om enkeltpersoner Det burde være en selvfølgelighet at vi håndterer disse med respekt Internkontroll er rutiner, rettigheter og plikter Informasjonssikkerhet er et verktøy for å oppfylle disse 63

03.12.2015 Side 64

03.12.2015 Side 65

E-post tilgjenglig på internett 2009-06-03 00:25:24 Butikker annet Sendt til: baby02@babyshop.no fra xxxxx@xxxxxx.no Heisann! Jeg er en svært heldig ung kvinne, fordi jeg for 16 måneder siden fødte verdens vakreste jente, xxxxxxx. Det har seg imidlertid slik at jeg har brutt med hennes far og har nå bodd på krisesenter de siste 6 ukene. 1 juni fikk jeg en leilighet for datteren og meg, det er jeg svært glad for. Jeg har ikke så mye skolegang, men har søkt meg inn på skole til høsten. Har også fått meg vikarjobb på et legesenter, men det gir ikke mye til overs økonomisk. Sakte men sikkert prøver jeg å komme i vater. Jeg har satt opp et budsjett slik at jeg blir gjeldsfri i løpet av sommeren (har 10.000 i kredittgjeld, pluss en haug med regninger og innkassovarsler, som min eks-samboer har bidratt i stor grad til å skaffe). Jeg gjør virkelig så godt jeg kan, et skritt av gangen. Jeg har et nettverk som gir meg emosjonell støtte, men de kan ikke hjelpe meg økonomisk. Derfor sender jeg dette brevet til dere. Et tiggebrev. Sist jeg var på besøk hos min mor, oppdaget jeg da jeg skulle dra hjem, at noen hadde dyttet barnevognen ned trappen i oppgangen, og at bremsen var gått i stykker. Jeg ber ikke om penger. Det jeg ber om er om dere vil donere bort en barnevogn av fjorårets modell? Det koster meg å skrive et slikt brev som dette. Men kanskje mer enn det vil koste dere å donere bort noe dere likevel ikke vil/kan selge. Min oppvekst var vanskelig. Pappa utsatte familien for vold og mamma hadde et rusproblem. Jeg har lært å ta vare på meg selv, for det er ikke nødvendigvis noen andre som gjør det. Ved å gå fra min datters far, som viste seg å være skremmende lik min egen far, lærte jeg meg enda en ting; å be om hjelp er også å ta vare på seg selv. Jeg ønsker å hjelpe meg selv til å være den beste mammaen jeg kan for xxxxxxx. Jeg ønsker å skape et trygt hjem, med en trygg mamma og selvfølgelig også med en trygg barnevogn. Kan dere hjelpe meg? På forhånd tusen takk for hjelpen! Mvh Navn c/o Navn Gate Gatenr Postnr Poststed 66

Side 67

69

Politimann misbruker politiets registre Politimann benytter strafferegister og øvrige politiregister for å kvalitetsikre leietagere av egen privat hytte. Utskrifter gjenglemmes på aktuell hytte og finnes av leietager. 70

Side 71 03.12.2015

Bruk av minnepenn Oppsigelse av trener Tyveri av bærbar PC St. Olavs Hospital Ålesund kommune Andebu kommune Råde kommune 03.12.2015 Side 72

Takk for meg! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no kbk@datatilsynet.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding