Trafikantene legger igjen spor - Hvilket ansvar tar aktørene i bransjen?

Like dokumenter
Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Etikk- og personvernshensyn i brukerundersøkelser

Policy for personvern

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Personopplysninger og opplæring i kriminalomsorgen

Personvernerklæring for Clemco Norge AS

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Nye personvernregler

GDPR Ny personvernforordning

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Internkontroll i mindre virksomheter - introduksjon

Databehandleravtale etter personopplysningsloven

PERSONVERNPOLICY Slik behandler ABAX personopplysninger

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Personvernerklæring. Innledning. Om personopplysninger og regelverket

Behandlingsansvarlig for personopplysningene vi behandler er Natur og Ungdom ved daglig leder Therese Hugstmyr Woie.

Personvern og informasjonssikkerhet

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

OM PERSONVERN TRONDHEIM. Mai 2018

Brukerinstruks Informasjonssikkerhet

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

PERSONVERNERKLÆRING FOR LEXIT GROUP AS

Sosiale nettsamfunn: Datasikkerhet og personvern. Informasjonsdirektør Ove Skåra Vårsymposium Drammen 21. april 2010

Prosedyre for personvern

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Personvern - sjekkliste for databehandleravtale

Kommunens Internkontroll

EasyParks Personvernerklæring

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Personvernerklæring for Skagerak Kraft AS

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

Personvernerklæring for Webstep AS

Databehandleravtale etter personopplysningsloven

GDPR - Personvern

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: Saksnummer:

Er din bedrift klar for ny personopplysningslov?

Personvernerklæring for MOOC

Databehandleravtale for NLF-medlemmer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

PERSONVERNERKLÆRING. 1. Hvilke personopplysninger behandler NFKR?

Databehandleravtale etter personopplysningsloven

Nettvett i STFK. Retningslinjer og etiske regler. for bruk av datanett i STFK RETNINGSLINJE FOR INFORMASJONSSIKKERHET. Versjon 1.0.

Personvernerklæring Stendi

Åpne data og juridiske problemstillinger

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

1. Tillit til ulike virksomheters behandling av personopplysninger

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

IT-reglement Aurskog-Høland kommune for ansatte og politikere

Vemma Europes personvernerklæring

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Tillitsvalgtes håndtering av personopplysninger - GDPR GK2

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Sist oppdatert: Rutiner for Gjettum barnehage. Samtykkeerklæring (personvern) 1. Innledning

Personvern eller vern av personopplysninger. Hvem vet hva om oss

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

BRUKERVEILEDNING TIL TRINN 1 - Datakartlegging

1. Hvilke personopplysninger behandler YMI Norge?

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Personvern-rett H2016

Personvernerklæring for Søknadsweb

Trafikantene legger igjen spor bryr de seg?

VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE

Personvernerklæring for Søknadsweb

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Synsam Norge AS PERSONVERNPOLICY. Synsam Norge AS

Personvernerklæring for Søknadsweb

VET DU NOK OM SIKRINGEN OG BESKYTTELSEN AV PERSONOPPLYSNINGENE DINE? PERSONOPPLYSNINGER OG HVORDAN VI BEHANDLER DEM

Personvernerklæring. 3.1 Informasjon vi får fra deg Vi får informasjon fra deg når du:

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Personvern og velferdsteknologi

1.1 Generelt om Jacobsen Dental og vår integritetspolicy

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Transkript:

Trafikantene legger igjen spor - Hvilket ansvar tar aktørene i bransjen? Liv Øvstedal Liv.Ovstedal@sintef.no 24. november 2010

Kvalitativ studie om behandling av personopplysninger for persontransport Mål og hensikt Hensikten med etatsprosjektet er å utvide kunnskapene om problemstillinger knyttet til personvern innenfor transportsektoren, som grunnlag for å håndtere evt. konflikter. Målet med denne studien er å beskrive: Hvordan praktiseres personopplysningsloven? Er det vesentlige forskjeller mellom virksomheter og sektorer for innenlands persontrafikk? Er dette er forskjeller som bør jevnes ut?

9 intervju i 8 virksomheter + møter i 3 virksomheter Private og offentlige aktører, små og store, geografisk spredning Kollektivtransport på vei, bane, sjø og luft Parkering og bompengeselskap Telefonintervju august desember 2008 IT-ansvarlig Intervjuguide tilsendt med forespørsel om å avtale tid Renskrevet intervju sendt for kommentarer Bakgrunn for intervjuguide: Gjennomgang av Personopplysningsloven, forskrifter, veiledere Informasjon om personvern og transport i litteratur, dokumenter, internett og media

Spørsmål om bedriften Ansvar, rutiner, opplæring Hva registreres, formål og vilkår Behandlingsansvarlig, databehandler Internopplæring og bevissthet hos egne ansatte Rutiner for Å vurdere formål, vilkår, fordeler og ulemper At behandling tilsvarer formål Å opplyse om registreringen Sletting av data Risikovurdering, sikkerhetstiltak Innføre og utvikle nye produkt og tjenester Personvern som vilkår for valg av løsning Rutiner for å vurdere konsekvenser for personvernet

Personopplysninger opplysninger og vurderinger som kan knyttes til enkeltperson Elektronisk betaling, kunderegistre, plassreservasjon, billettbestilling, passasjerlister, adgangskontroll Navn, adresse, betalingsinformasjon Evt. e-post, fødselsnummer, personnummer, behov for assistanse Reiseopplysninger: Dato, klokkeslett, til fra, bilens registreringsnummer Kameraovervåking Veier og gater, bygninger, transportmidler Krever lovgrunnlag for å ta ut videoopptak, slettes etter noen dager Ved bompassering; noen bilder må behandles manuelt GPS mest yrkestransport Mye data, men lite sensitive opplysninger Sensitive opplysninger etter loven: Helse, seksuelle forhold, etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, medlemskap i fagforeninger, mistanke om straffbar handling.

Lagring av data Aktører velger løsninger som gir store forskjeller Lagrer ikke mer enn vi trenger, det gir ekstraarbeid I løpet av en reise lagres automatisk en rekke data der ikke alle er like nødvendige Enklest å lagre, alt selv om utvalg sparer plass. Noen skiller ut fakturaopplysninger og lagrer reiseopplysninger anonymt. Tolkning mht bokføringsloven fra måneder til 10 år. Din side betyr i praksis lang lagringstid. Mange personopplysninger samles inn for offentlig betalte transporter Aktørene opplever det som vanskelig å avklare regelverk og ønsker klarere retningslinjer og veiledere. Avveininger mellom interesser: Kundevennlig, effektiv servicerettet kundebehandling, privatlivets fred, korrekt fakturering, bokføringslovgivning, statistikk for å planlegge tilbud, samfunnsmessig god reisevanestatistikk. Eksempler på drivkrefter: IKT, e-handel, ITS, kundenes forventninger Tiltak mot formålsutgliding: Taushetsplikt, klare regler for utlevering, sletterutiner, sperrer mellom ulike registre, anonymisert statistikk eller innhenter tillatelse.

Min side Kundens forventninger Gir innsyn (mulighet for korreksjon) Kunden skal aktivt samtykke, men mange sider eksisterer uoppfordret Hvordan slette? Samme lagringstid for papirbillett og e-billett?

Elektronisk billettering Kan lagre svært mye Ulike aktiviteter og reiser med flere operatører kan samles i samme register Må aktivt velge nødvendig og legitim behandling (for fakturering)

Uoversiktlig for kunden Hva lagres ved e-billettering? (store forskjeller) Hva lagres i min bil? Informasjon om personvernpolicy gjelder i mange tilfeller bedriftens internettside, ikke bedriftens virksomhet (telefonkontakt?) Er det behov for felles retningslinjer (med oppfølging) Er det behov for å definere felles reiseprodukt? Konsekvenser for hvem? De som synlig skiller seg ut (kameraovervåking etc.) Personer som opplever uønsket oppmerksomhet (trusler, vold, beundring) Personer avhengig av myndighetsutøvelse, offentlige ordninger etc.

Internopplæring og ansattes bevissthet Noe datasikkerhet i internopplæring, ikke direkte om Personopplysningsloven Tydelig opplæring i hvordan informasjon behandles: Taushetsbelagt informasjon Hva man ikke forteller publikum Rutiner for telefonhenvendelser Taushetserklæringer, etiske regler, IT-reglement Noen peker ut ansatte med spesielt ansvar Andre kjenner ikke til opplæring En ansatt måtte sette seg inn i lovverket på egen hånd, etter at problemer var avdekket. Etterlyser informasjon og noen å spørre. Arvet IT-utstyr, programvare og arbeidsoppgaver ved omorganisering.

Relevante, korrekte og oppdaterte data Tiltak for IT-sikkerhet gjennomføres: Adgangskontroll (brukernavn og passord), rolletildeling, høy sikkerhet ved pålogging eksternt, Bank-ID, kryptering ved overføring av informasjon. Brannmur på pc og nettverk, separate lukkede system for ulike registre, fysisk sikre datarom. Rutiner for backup og for overskriving av data. Et fåtall kan endre eller fjerne data, kan spores. Rutiner for visuell sjekk og logisk kontroll av data. Lærer og endrer rutiner på bakgrunn av hendelser, også hos andre (kunne dette hendt hos oss?) Jevnlig risikovurdering som del av fastlagt program Trusler Myndigheter ber om registre eller detaljerte analyser Private aktører tilbyr samletjenester for kunden (samle alle e-faktura etc.) Tungvindt hvis pc er skal sikres helt, minnepinner kan laste mye data raskt Kan ikke gardere seg helt mot menneskelig feil

Policy ved kjøp og utvikling av nye produkter Grunnleggende tema ved valg av og utvikling av IKTtjenester, og ved kjøp av eksterne tjenester (en aktør) HMS-ansvarlig og markedsansvarlig har ulike roller og ansvar, slik at effektivitet veies mot sikkerhet og personvern (en aktør). Vurderer formål mot personvern og hvilke lover og regelverk som gjelder. Bruker anerkjente firma, flere aktører samarbeider, produktet skal følge norsk regelverk.

Konsekvenser av uønskede hendelser Omdømme viktigst for bedriften: Kunder skiller ikke mellom aktørene, feil håndtering hos en aktør kan ramme større deler av bransjen og framtidige muligheter. Merarbeid, manglende grunnlag for fakturering, utlevering av data som har konsekvenser for kunden (kredittkortnummer) Kunder kan oppleve den personlige integriteten som krenket hvis de ikke ønsker at andre skal vite hvor de har vært. Lite sensitive data. Storstilt tyveri av personopplysninger på nett 14.09.2007 kl. 05:56 Kilde: NTB Til nå er fem norske teleoperatører blitt utnyttet av potensielle svindlere. Personopplysningene til minst 140.000 nordmenn er blitt tappet fra nettet i sommer. Del på Facebook Del på Twitter Legg til på Nettby Utskriftsvennlig versjon Tips en venn VG Nett følger Datakriminalitet / RSS Lag din egen RSS - Vi har ikke holdepunkter for å si at organiserte kriminelle står bak, men problemet er at vi ikke kan utelukke det, sier avdelingsdirektør Leif T. Aanensen i Datatilsynet til Bergens Tidende.

Aksept - personlig oppfatning Hvor bevisste er folk flest? Vanskelig for kunden å skjerme seg hvis man ønsker å motta tjenester. Noen bryr seg, andre ikke. Ungdom lite bevisste. Både positivt og negativt; ønsker kameraovervåking og personifiserte tjenester. Vi blir tilvendt, eller mer skeptiske. Tror du skandaler påvirker folks holdninger? Helse, økonomi og logging av enkeltperson over lang tid er skandaler som vil gjøre størst skade. Hvor viktig er formålet? Hensikt og gjennomføring må tåle offentlig debatt. Det må være forståelig for publikum at personifiserte data gir bedre effekt. Er det forskjell for yrkes- og privattransport? Større ansvar i yrkessammenheng kan forsvare mer registrering.

Ansvar personlig oppfatning Hvem har ansvaret for totalt omfang av registrering? Har myndigheter og virksomheter ansvar for å opplyse folk? Hvilke farer ser du for misbruk? Hensikt og ansvar Bedriften har ansvar for å forklare hva som registreres og hensikten. Myndighetene har et ansvar for å bevisstgjøre folk om hva som kan skje. Trusler Manglende rutiner, svikt i rutiner, interesse av misbruk: Uhell, feil, misbruk, kopiering, utnytte data til andre formål. Generelt lite interessante data.

Oppsummering Ikke klare forskjeller mellom transportsektorer, mye felles for kollektivtransport Aktørene er opptatt av datasikkerhet; fra å lære av hendelser til å ligge i forkant. Oversiktlig og lettere å gjøre endringer i små organisasjoner, men mer prisgitt ekstern ekspertise? Komplekse organisasjoner og omorganiseringer kan gjøre det uoversiktlig å se konsekvenser av egne oppgaver. Aktørenes oppgave er tilbudet til kunden, vil ha enkle regler Eget omdømme viktigste motivasjon. Opptatt av å utvikle tilbudet - statistikk og kobling av registre for planlegging og drift, og sikkerhetskultur må skapes gjennom bevissthet hos den enkelte. Medier og Datatilsyn påvirker fokus. Informantene legger vekt på bedriftens eget ansvar - men peker på at flere rammes av konsekvensene. Aktørene ønsker prinsipielle avklaringer, veiledning og ett kontaktpunkt for transportsektoren.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding