Er offentlig sektor bevisst farene ved bruk av teknologi? Bjørn Erik Thon Direktør Datatilsynet

Like dokumenter
Personvern i arkivene Drammen, 7. september 2011

Arkiv og enkeltindivider. Kim Ellertsen IKA 22. april 2010

Offshoring, skytjenester og Binding Corporate Rules - foredrag for Dataforeningen, 1. desember Bjørn Erik Thon Jørgen Skorstad

IKA- kongsberg, kontaktseminar. Offentlighet og. Informasjonsdirektør Ove Skåra 21. oktober 2009, Kongsberg

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

Utviklingen av framtidas elektroniske forvaltning hvor går grensen

Skytjenester bruk dem gjerne, men bruk dem riktig

Innherred samkommune. Levanger kommunes tiltak til kravene i Personopplysningsloven. Orientering ved Personvernombudet. 1www.innherred-samkommune.

Kan du legge personopplysninger i skyen?

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Internkontroll og informasjonssikkerhet lover og standarder

Databehandleravtaler. Tommy Tranvik Unit

Nettskyen, kontroll med data og ledelsens ansvar

Tjenester i skyen hva må vi tenke på?

Kommunens Internkontroll

Status personvern Hedmark og Oppland fylkeskommuner

Personvern - sjekkliste for databehandleravtale

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Skytjenester i skolen

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Vår referanse (bes oppgitt ved svar)

Diabetesforbundet. Personvernerklæring

Personvernforordning, offentleglov og arkivlov - hvordan forholde seg til disse regelverkene samlet. 6. juni 2019 KINS

Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet

Oslo kommune Utdanningsetaten

Personvern-rett H2016

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Endelig kontrollrapport

Sikkerhet og personvern i skole og klasserom

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

GDPR (personopplysningsloven)

Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Eva Jarbekk Advokatfirma FØYEN Torkildsen DA

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Bedre personvern i skole og barnehage

Personvern i Røyken Eiendom AS

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Bruk av skytjenester og sosiale medier i skolen

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Databehandleravtaler

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

- IVER 1. OM TJENESTEN

Dagens tekst. Datatilsynet 1. Norge anno 2010 overvåking og kontroll. Bjørn Erik Thon Direktør i Datatilsynet. - Sosiale medier

Endelig kontrollrapport

Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Arve Føyen Advokatfirma Føyen Torkildsen AS

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Hvilke krav stiller personvernforordningen (GDPR) til din virksomhet? ALSO webinar 15. desember 2017 senioradvokat Jens C. Gjesti

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Underbygger lovverket kravene til en digital offentlighet

Endelig kontrollrapport

PERSONVERN Personopplysninger som lagres Hvilke personopplysninger behandler vi

Bakgrunn. EU har vedtatt ny personvernforordning

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. Charlotte Lindberg Difi

Databehandleravtale etter personopplysningsloven

Risikogrupper og personvernhensyn hvor viktig er personvern når det gjelder sikkerhet, liv og helse?

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

Endelig kontrollrapport

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

PERSONVERNERKLÆRING FOR LEXIT GROUP AS

Databehandleravtale for NLF-medlemmer

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel mai 2008

Denne personvernerklæringen beskriver hvordan Sett Sjøbein samler inn og bruker personopplysninger.

Endelig kontrollrapport

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

ekommune 2017 Prosessplan for god praksis om personvern

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Personvernerklæring for Eurofins norske selskaper

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET JUDICIA DA

Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Transkript:

Er offentlig sektor bevisst farene ved bruk av teknologi? Bjørn Erik Thon Direktør Datatilsynet

- Kort om Datatilsynet - Nettskyen - Datatilsynets kommuneundersøkelse - Skal alt være offentlig? - Bruk av Facebook og Google analytics 28.09.2011 Side 2

Nettskyen - Stor aktivitet både i offentlig og privat sektor - DT har utarbeidet en veileder om bruk av nettskyen - IKT Norges initiativ - Berlin-gruppen - Odense kommune - Narvik kommune 28.09.2011 Side 3

Nettskyen II Noen problemstillinger med skytjenester: Sikkerhetskopiering Segmentering (dine vs andres data og opplysninger) Tilgangsstyring Autorisert og uautorisert bruk (forskr 2-14 og 2-16) Dokumentasjon krav om fremleggelse ved kontroll Datatilsynets veiledning 28.09.2011 Side 4

Nettskyen Narvik-saken Google Apps - Narvik kommune en prøvesak - Hvilke personopplysninger behandles i Google Apps - Den risikovurdering kommunen har fortatt - Kopi av avtalen + ev databehandleravtale - Hvem har tilgang hos Google? - sett i lys av bl.a. sikkerhetsforskriftens krav til risikovurdering og sikkerhetsrevisjon - Møte med Google - Svar fra Narvik kommune 28.09.2011 Side 5

Nettskyen..stikker kjepper i hjulene. Gjerne det Det er ikke poenget: Behandlingsansvarliges forpliktelser hva er det? Hvor mye må vi stole på andre uten å ha kontroll selv? Forholdet til store globale leverandører. Det vi har bedt om er at kommunen redegjør for sin forpliktelse etter personopplysingsloven. Rimelig krav? 28.09.2011 Side 6

28.09.2011 Side 7

Datatilsynets kommuneundersøkelse - Gjennomført i perioden juni november 2010 - Hvordan ivaretas internkontroll og informasjonssikkerhet i norske kommuner? 28.09.2011 Side 8

Kriterier som må være på plass i et fullt ut fungerende internkontrollsystem - At kommunen har oversikt over personopplysninger som behandles - At de har kontrollert det rettslige grunnlaget for å behandle opplysningene - At det er fastsatt rammer og klargjort ansvar for informasjonssikkerhet - At det er etablert rutiner for å håndtere avvik - At det er etablert rutiner for innsyn, retting og sletting av personopplysninger 28.09.2011 Side 9

Hva er funnene? - 52% sier de har et internkontrollsystem på plass - Våre undersøkelser viser at kun 7% har et fullverdig internkontrollsystem på plass - Sannheten ligger sannsynligvis et sted midt i mellom 28.09.2011 Side 10

Hva er funnene? - Oversikt over pol? 42 % - Klarlagt rettslig grunnlag? 46 % - Risikovurdering 20% - Avvikshåndtering 42% - Innsyn, sletting, retting 22% - De 52% som sier de har internkontroll har gjennomgående høyere score enn de øvrige 28.09.2011 Side 11

Hva sier egentlig undersøkelsen? - Funnene er alvorlige - Men de sier ikke at norske kommuner behandler personopplysninger på en uforsvarlig måte - Men; de mangler en tilfredsstillende systematikk i etterlevelsen av regelverket 28.09.2011 Side 12

Skal alt være offentlig? - Handler om to ting: - Tabber - Indeksering - Lovgivning/politisk ønske 28.09.2011 Side 13

28.09.2011 Side 15

Typisk henvendelse til Datatilsynet Jeg har mottatt brev/anklage fra Flekkefjord kommune vedr brudd på Forskrift om åpen brenning. Jeg har ikke brutt denne forskriften!! Jeg har fått en beklagelse fra kommunen på at opplysningene de har mottatt i saken ikke er sjekket, og at de tror meg når jeg har kontaktet dem om at jeg ikke har brutt forskriften. Imidlertid reagerer jeg kraftig på at brevet/anklagen ligger på Internett på kommunens postlister med mitt navn på, når til og med anklagen er fullstendig ubegrunnet! Hvilket krav til rettsvern har jeg iflg. Offentlighetsloven eller taushetsplikt i en slik sak? Kommunen vil ikke opplyse hvem som har gitt dem informasjonen har en anklager, som oppgir falsk informasjon, bedre rettsbeskyttelse enn meg i en slik sak?

En annen henvendelse Jeg bor i NN kommune i Hedmark. Jeg vet ikke om dette er noe alle kommuner gjør, men i alle fall så blir alle brev som kommunen sender ut liggende på nettet slik at alle kan lese de. Untatt enkelte brev. Er dette riktig? Vi har nemlig fått brev fra kommunen hvor de skriver til oss at vi har satt opp et uthus ulovlig og vil bli straffet etter straffeloven osv. Det viser seg å være en feil fra deres side (de har somlet bort noen papirer), men likevel brevet ligger der, så alle kan lese det. Og her på landet som vi bor så får alle med seg alt, så vi får jo høre på på bygda at vi har satt opp ulovlig uthus osv. Er det riktig at dette brevet skal ligge der så alle kan lese det?

28.09.2011 Side 21

28.09.2011 Side 22

Offentlighet og innsyn - Er vurderingen av innsyn lik i ulike organer? - Er offentligheten gått for langt? - Innsyn i lønnsopplysninger - Skal alt som er offentlig indekseres? 28.09.2011 Side 24

Det offentlige deltagelse på sosiale medier 28.09.2011 Side 25

- Facebook analytics - Google analytics 28.09.2011 Side 26

28.09.2011 Side 27

28.09.2011 Side 28

28.09.2011 Side 29

28.09.2011 Side 30

28.09.2011 Side 32

I FB kan du målrette annonsen din på en helt unik måte - alder - geografi - kjønn - sivilstatus - utdannelse - jobb - bursdag 28.09.2011 Side 33

28.09.2011 Side 34

28.09.2011 Side 35

Hvor får Facebook all denne informasjonen fra? 28.09.2011 Side 36

.og de selger informasjon som kan skreddersy reklame og markedsføring på en måte vi ikke har sett tidligere - Skifte av sivilstand - Liker - Vi har ikke engang sett begynnelsen på den kommersielle utviklingen av personopplysninger - Hva jeg liker - Hva jeg kjøper - Hvor jeg bor - Hvor jeg har vært i dag - Hvor jeg er akkurat nå - Hvor mye jeg tjener - Hvem mine venner er - Hva de liker - 28.09.2011 Side 37

Starte sushibar i Oslo? - Facebook vet veldig mye om sushi-spisere i Oslo - Mange har trykket på liker knappen - Mange har sjekket inn på sushibarer rundt omkring - Kanskje noen av de samme personene også liker sykehus X eller har sjekket inn her. - Og Facebook har masse kunnskap om disse folka, som selvsagt er nyttig for de som skal starte sushibar.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding