Syv prinsipper for innebygd personvern. Erlend Andreas Gjære. HelsIT 2012 "Privacy by Design"

Like dokumenter
Hvordan kan personvernet ivaretas i helsesektoren?

Pasientinformasjon "på veggen"

Eksamensbesvarelse DRI2020 høst Oppgave 1

Informasjonssikkerhet i forordningen

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Synspunkter på Gode helseregistre bedre helse

Personvern og informasjonssikkerhet ved anskaffelser

Personvern og velferdsteknologi

Proff behandling av personopplysninger. Bjørn Erik Thon direktør i personvernbloggen.no

Personvern og omsorgsteknologi utfordringer og muligheter

Atle Årnes Fagdirektør. Personvern og bolig

Sikkerhet og effektivitet

Test og kvalitet To gode naboer. Børge Brynlund

Pasientvern versus pasientvern: ulike sider av integritetsvernet. Anne Kjersti Befring

Strategi for informasjonssikkerhet i helse- og omsorgssektoren

Skytjenester bruk dem gjerne, men bruk dem riktig

Hvordan ivareta personvernet med velferdsteknologiske løsninger?

DIN DIGITALE PARTNER

Forventninger til forvaltningen En oppsummering fra Teknologirådets prosjekt om offentlige tjenester på internett

Nye personvernregler

Bedre helse og sikkerhet med EPJ

Hvordan være lur. Ståle Askerød Johansen - UiO-CERT Espen Grøndahl IT-sikkerhetssjef

Hva vet vi om utfordringer og behov rundt personvernhåndtering? En oppsummering av resultater fra en intervjuundersøkelse

HVEM ER JEG OG HVOR «BOR» JEG?

Haukeland og Haraldsplass

Personvern som hinder eller mulighet. Seniorrådgiver Monica Fornes , Nokios Trondheim

Bjørn Erik Thon direktør

Personvern i skyen Medlemsmøte i Cloud Security Alliance

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post:

GDPR Ny personvernforordning

Personvern anno Er det fritt fram for bruk av personopplysninger til testing?

Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten?

Perspektiver og planer ved Universitetet i Oslo

Kjernejournal. IKT Norge , Rune Røren

Personvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

Kjernejournal. HelsIT 2011 Rune Røren

Personvern og informasjonssikkerhet ved samhandling

Muligheter og utfordringer med velferdsteknologi. Varme hender kan fort bli klamme hender godt personvern å bo i egen bolig

Tillit og troverdighet på nett. Tillit. troverdighet. på nett. Cato Haukeland, 2007

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

29. AUGUST Christer Kleppe Personvernombud Helse Bergen HF, Haukeland Universitetssykehus

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

BEHOVSDREVET. 01:INTRODUKSJON 1. utgave

Nye personvernregler (GDPR)

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Informasjonssikkerhet i morgendagens helsevesen

Helseforskningsrett med fokus på personvern

Mobile enheter, sikkerhet og personvern. Bjørn Erik Thon direktør

Denne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg.

Hva er eforvaltning? En oppsummering fra Teknologirådets prosjekt om offentlige tjenester på internett

Betydningen av personvern i helsesektoren. Cecilie L. B. Rønnevik, seniorrådgiver Tromsø 16. juni 2009

Er det så farlig å dele data fra trafikantene?

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Personvernerklæring. Sist oppdatert

GDPR - viktige prinsipper og rettigheter

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Arkivsystemer med skyløsninger

Nøkkelen til morgendagens personvern innebygd personvern

Fra idé til marked Hvorfor elektronikk handler om mer enn kretskort

Kjernejournal. Ambulanseforum , Rune Røren

Jeg vil se mappa mi!

Krav til kvalitetsregistre. Helge Veum, senioringeniør 7. september 2010 Kvalitetsregisterkonferansen, Trondheim

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Personvernerklæring for Søknadsweb

Erfaringer med «Pasientjournal» i Helse Nord

Nye personvernregler fra 2018

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

ETIKK INFORMATIKK IN1050

Personvern og det påtrengende behovet for data om oss.

Risikogrupper og personvernhensyn hvor viktig er personvern når det gjelder sikkerhet, liv og helse?

Frokostseminar om metoder for universell utforming av IKT

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

Rigorøs evaluering EVALUERINGSPLAN KAN INNEHOLDE ROLLER I EVALUERINGEN FORBEREDELSE

Denne personvernerklæringen handler om hvordan Haralds Trafikkskole AS samler inn og bruker personopplysninger om deg.

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Personvern-rett H2016

EUs nye forordning for personvern

Brukersentert design Kapittel 3 i Shneiderman

Oppgave. 1. For å besvare denne oppgaven velger å gjøre rede for legalitetsprinsippet om når Stortinget må bruke lovvedtak.

Personvernerklæring. Museene i Akershus mia.no. Telefon: (+47) E-post: Postboks Strømmen. Org.nr:

STRATEGI FOR ET GODT PERSONVERN I SAMFERDSELSSEKTOREN

Personvern og tilgang på tvers. Hva mener KITH?

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Personvernforordningen

Stikkord om utvikling (1)

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Personvernerklæring for Studentweb

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Falske Basestasjoner Hvordan er det mulig?

Nye personvernregler Gullik Gundersen juridisk rådgiver

Oppdrag digitalt førstevalg

Bruk av pasientjournal og personvern. Helge Veum, senioringeniør DRG-forum, Gardermoen 8. mars 2011

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Temaer. Temaer. Smarte skjermer. Fremtidsbildet. Helse Vest. Ny teknologi Oppsummering. Muligheter. Utfordringsbildet. Smarte skjermer.

Cyberforsikring for alle penga?

Personvernerklæring for EVUweb - søkere

Transkript:

HelsIT 2012 "Privacy by Design" Syv prinsipper for innebygd personvern Erlend Andreas Gjære erlendandreas.gjare@sintef.no SINTEF IKT Systemutvikling og sikkerhet www.costt.no twitter.com/sintef_infosec

If you think encryption solves your security problems, then you don't understand encryption and you don't understand security. Roger Needham (1935-2003) Professor of Computer Systems University of Cambridge HelsIT 20.09.2012 2

Agenda Introduksjon Syv prinsipper for "Privacy by Design" - Inkl. erfaringer fra COSTT-prosjektet Oppsummering HelsIT 20.09.2012 3

Co-Operation Support Through Transparency HelsIT 20.09.2012 4

Personvern i fokus Et middel for å bygge tillit - Svekket tillit til databehandling svekker tilliten til behandlende helsevesen Datatilsynet (2011): Godt personvern i helsesektoren - "jobbe for at det offentlige helsevesen stiller krav om personvernvennlige løsninger, bygd på prinsippene for innebygd personvern" HelsIT 20.09.2012

Privacy by Design Opphav: www.privacybydesign.ca Dr. Ann Cavoukian Personvern sikres ikke kun ved overholdelse av regler - Personvern må være ettertraktet som operativ standard for virksomheten Personvern bør ikke være et nødvendig "onde" - Innebygd personvern kan fremme innovasjon HelsIT 20.09.2012 6

De syv prinsippene 1. Vær proaktiv, ikke reaktiv forebygge, ikke reparere 2. Personvern som standard 3. Personvern innebygget i design 4. Full funksjonalitet positiv sum, ikke negativ 5. Sikkerhet fra vugge til grav hele livssyklusen 6. Synlighet og gjennomsiktighet åpenhet 7. Respekt for individets personvern brukersentrert HelsIT 20.09.2012 7

Relevans for innebygd personvern HelsIT 20.09.2012 8

1 Proaktiv, ikke reaktiv Majoriteten av personvernbrudd oppdages nok aldri Avverge personvernkonflikter før de oppstår Vurdere nøye hvordan data skal behandles og deles Ikke håndtere data som ikke faktisk benyttes Brukersentrert og brukssentrert: Kontroll over data HelsIT 20.09.2012 9

Ut og lære brukeren å kjenne HelsIT 20.09.2012 10

2 Personvern som standard Bevar personvern til individer som ikke foretar seg noe - Samtykke vs. reservasjonsrett - Ikke egnet til alle situasjoner i helsearbeid Spare litt på kruttet før det er nødvendig - Som i praksis: Begynne nøkternt og ev. gi mer HelsIT 20.09.2012 11

Intervjuer katalysert av tidlige skisser HelsIT 20.09.2012 12

3 Personvern innebygget i design Er ikke et tillegg vi bare kan "sette på" til slutt Må med i designspesifikasjonen fra start - Tidlige vurderinger av problematikk - Og tidlig øye for potensiale Eksempel: Google+ vs. Facebook HelsIT 20.09.2012 13

Utvikling av prototype HelsIT 20.09.2012 14

4 Full funksjonalitet positiv sum Personvern bør ikke ofres til fordel for funksjonalitet - Negative hendelser vil oppheve det positive Prøv heller å få til begge deler, og skap et fortrinn Innovasjonen ligger i å lage bærekraftige løsninger - Bare se på reaksjoner når noe går galt HelsIT 20.09.2012 15

Iterativ testing/videreutvikling HelsIT 20.09.2012 16

5 Ende-til-ende-beskyttelse Tenk personvern i alle faser av produktets livssyklus Personvern er heller ikke begrenset til «dingsen» - Hvilke konsekvenser får dette for f.eks. arkitektur? Data bør ikke beholdes lengre enn nødvendig HelsIT 20.09.2012 17

6 Synlighet og gjennomsiktighet Sørg for at individet er klar over databehandling - Innsikt og kontroll Nøyaktig sporing av alle kilder til data Nøyaktig sporing av alle utleveringer av data - Stiller nok noen krav til håndtering av logg HelsIT 20.09.2012 18

7 Respekt for individets personvern Vektlegg aksept blant brukerne - Sterk opplevelse av personvern som standard - Brukervennlige valg for å kontrollere deling/bruk Selvsagt ikke lønnsomt å si en ting og gjøre noe annet Tilrettelegge alternative løsninger for individet HelsIT 20.09.2012 19

Noen lærdommer fra COSTT Vi trenger slett ikke alle hendelser i lengre tid - Status her og nå er det viktige! Og kun lesetilgang Pasientens eksakte identitet er ikke alltid nødvendig Innhold på storskjermer kan avhenge av: - Fysisk plassering, størrelse på utvalgsgruppe, styrke av tilgangskontroll (inkl. fysisk område) HelsIT 20.09.2012 20

Oppsummering Innebygd personvern kan fremme innovasjon Integrer personvern i hele systemutviklingsprosessen Hjelp databehandler å ivareta sin egen taushetsplikt Lag fremragende systemer! HelsIT 20.09.2012 21

Kotanktinformasjon Erlend Andreas Gjære erlendandreas.gjare@sintef.no SINTEF IKT Systemutvikling og sikkerhet Strindvegen 4, 7034 Trondheim www.costt.no twitter.com/sintef_infosec 22

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding