Stikkord om utvikling (1)

Like dokumenter
Beslutningssystemer: Gjennomsiktighet, organisering og forholdet mellom profesjonene. DRI2001, bolk II: Automatisering av beslutninger

Dokumentasjon, systemutvikling og regelverksutvikling. Forelesning i Finf4001, 26. oktober 2006 Herbjørn Andresen, stipendiat ved Afin

Dokumentasjon, systemutvikling og regelverksutvikling

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Om begrepet transformering

Nye personvernregler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Endelig kontrollrapport

Obligatorisk Oppgave 2

Policy for personvern

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Dokumentasjon, systemutvikling og regelverksutvikling

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Endelig kontrollrapport

Personvern-rett H2016

Hvordan ivareta personvernet ved skikkethetsvurderinger?

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Personvern - vurdering av personvernkonsekvenser - DPIA

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Krav til informasjonssikkerhet i nytt personvernregelverk

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Om personopplysningslovens betydning for systemutvikling. Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Retningslinjer for databehandleravtaler

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Brukerinstruks Informasjonssikkerhet

Databehandleravtale digitale arkiv og uttrekk for deponering

Databehandleravtale etter personopplysningsloven

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Personvernforordningen en praktisk tilnærming

Bilag 14 Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. behandlingsansvarlig

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Endelig kontrollrapport

Personvern i digitalisering av forvaltningen

OM PERSONVERN TRONDHEIM. Mai 2018

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Internkontroll og informasjonssikkerhet lover og standarder

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Rollefordeling og begrepsforståelse ved UiO etter nytt personvernregelverk

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Kan du legge personopplysninger i skyen?

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

DATABEHANDLERAVTALE MELLOM., org.nr. «Behandlingsansvarlig» Info Vest Forlag, org.nr «Databehandler»

Databehandleravtale etter personopplysningsloven

Personopplysningslovens formål og grunnleggende begreper. Dag Wiese Schartum, AFIN

Oppgave 1: Rettslig beslutningssystem

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Endelig kontrollrapport

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

Databehandleravtale etter personopplysningsloven

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Om personopplysningslovens btdi betydning for systemutvikling. Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet

EUs nye forordning for personvern

" Deling og utveksling med pasienter Deling i store foretak Utlevering / deling mellom foretak Legemiddeldeling Kjernejournal

Personvernforordningen

Ny personvernforordning trer i kraft i mai 2018

Databehandleravtale etter personopplysningsloven

Om begrepet transformering

POWEL DATABEHANDLERAVTALE

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

GDPR - viktige prinsipper og rettigheter

1. Forelesning : Introduksjon Arild Jansen, AFIN

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Forvaltningssystem for skatteinnkreving (Sofie) Kontrollstøttesystem(Koss) Løsning for dokumenthåndtering (F-Dok) Avtale mellom

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Forskriften og hjemmelslover

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

Nye personvernregler fra mai 2018

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Krav til formål, utredning og opplysningskvalitet. Dag Wiese Schartum, AFIN

Oppgave 1. DRI1010 Emnekode 7464 Kandidatnummer Dato SIDE 1 AV 6

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Oppsummering og råd til eksamen. DR1010 Personvern i offentlig forvaltning Vår 2011 Mona Naomi Lintvedt

1. Forelesning : Introduksjon Arild Jansen, AFIN

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Databehandleravtaler

Endelig kontrollrapport

Avtale mellom. om elektronisk utveksling av opplysninger

Transkript:

Personvern som premiss for utvikling og drift av informasjonssystemer Finf4001, forelesning høsten 2006 Herbjørn Andresen, stipendiat ved Afin Stikkord om utvikling (1) Hva skal systemet brukes til? Behandling av personopplysninger? Automatiserte beslutninger eller beslutningsstøtte? (rettsregler transformert til programkode) Forstå den verden systemet inngår i Risiko og krav til sikkerhet Andre rammer, for eksempel arkivering, økonomisk bilagshåndtering Samhandling, utveksling/gjenbruk av opplysninger Teknologiske muligheter og begrensninger Samspill mellom IT og manuelle operasjoner 1

Stikkord om utvikling (2) Gjennomføre utvikling hva påvirker resultatet? Metode for styring av prosessen Metoder for spesifisering, design, konstruksjon etc. Tolkning av rettsregler Pragmatikk, hva er praktisk og realistisk? Interessemotsetninger og sammenfall Beslutninger og konfliktløsning Nytt system vs. endringer/vedlikehold Små prinsipielle forskjeller, men visse praktisk forskjeller (omfang, ressurser, prestisje, fallhøyde ) Stikkord om drift (1) Drift i klassisk betydning: En del oppgaver knyttet til å holde et system i gang Starte og stoppe, databaseadministrasjon, kjøre batchjobber, ta sikkerhetskopier og legge data tilbake fra sikkerhetskopier, overvåke kapasiteter i nett og på disker med videre I denne sammenhengen er drift gitt en videre betydning Alle oppgaver (inkludert de nevnt ovenfor) innen administrasjon, forvaltning og bruk av et system Gjennom hele systemets levetid 2

Stikkord om drift (2) Drift er sannhetens øyeblikk Blir forvaltningsorganets vedtak riktige? Blir personvern og andre rettigheter ivaretatt? Holder oppgaveløsningen ellers tilstrekkelig kvalitet? Behov for endring indre faktorer Svakheter og feil som bør/må utbedres (ref. punktene ovenfor) Behov for endring ytre faktorer Endringer i omgivelser eller risikobilde Endringer i regelverk eller organets oppgaver Om forholdet mellom utvikling og drift Utvikling: Forstå og implementere regler m.m. Legge til rette for godt personvern Drift: Følge regler, etterleve prosedyrer m.m. Realisere personvern Men: Ofte vanskelig og misvisende å trekke et så sterkt skille mellom utvikling og drift. Erfaringer og behov for endringer må ofte tilbakeføres til utviklingsprosesser Derfor er det også behov for vekselvirkning mellom legge til rette for og realisere personvern 3

Plikter for rollene i personopplysningsloven Utvikling Behandlingsansvarlig har klare plikter til å legge til rette for : - Grunnkrav og vilkår for behandling ( 11 jf. 8 og 9) - Sende melding om behandling til Datatilsynet innen 30 dager før Databehandler har i prinsippet ingen egne plikter knyttet til utvikling Drift Behandlingsansvarlig har ansvar for alle sider ved å etterleve krav i personopplysningsloven ( overordnet regel om dette er internkontrollkravet i 14 og sikkerhetskravene i 13) Databehandler har negativ plikt, til å ikke behandle opplysninger på annen måte/til annet formål enn det som er skriftlig avtalt ( 15) - Også direkte pålagt å etterleve sikkerhetskravene i 13 Den registrertes rettigheter Den registrertes rettigheter etter pol: Både nødvendig å legge til rette for under utvikling, og å følge opp at organisasjonen praktiserer dette riktig i daglig drift Innsyn Informasjonsplikt Rette/slette/supplere forholdet til arkivlova osv. Reservasjonsrett (der det relevant) Rett til å kreve manuell behandling (der det er relevant) 4

Sikkerhetskrav I hovedsak er det å fastsette sikkerhetskrav og kriterier for akseptabel risiko drift Jf. personopplysningsforskriftens kapittel 2 Skal omfatte helheten av teknologi, organisasjon og fysiske betingelser, ikke bare krav til hvert system Skal evalueres og justeres jevnlig (uavhengig av om det har foregått noen utviklingsaktiviteter) Under utvikling skal nytt eller endret system i prinsippet innordnes under de sikkerhetskravene som er fastsatt gjennom løpende drift Men i praksis vil utvikling ofte aktualisere nye sikkerhetstiltak Elektronisk utveksling/gjenbruk Strenge krav til å kunne utveksle opplysninger Avgiver må ha et grunnlag for å avgi opplysninger Mottaker må ha grunnlag for all sin behandling av de mottatte opplysningene Også generelt forbud mot senere bruk som er uforenlig med det opprinnelige formålet I de fleste tilfeller vil omfattende utveksling og gjenbruk planlegges/tas hensyn til ved utvikling I mer beskjeden grad kan det også være drift, for eksempel utlevering av opplysninger til et eksternt forskningsprosjekt (som for eksempel kan ha konsesjon fra Datatilsynet) 5

Personvernvennlig systemutvikling Hvordan kan mengden opplysninger som samles inn minimaliseres? Hvor klart må den registrerte identifiseres? Hvor lenge må opplysninger lagres? Hvordan sikres best mulig kvalitet i opplysningene Hvordan kan den registrerte sikres best mulig kontroll med behandlingen av opplysninger Er systemavgrensning et personvernspørsmål? Noen konklusjoner Personopplysningslovens regler har betydning både for løsningsvalg inni systemene og for forholdet mellom system og omgivelser Godt personvern forutsetter god tilrettelegging av systemene Dårlig forarbeid under utvikling gjør det vanskeligere å realisere godt personvern i den daglige drift Erfaringer fra drift og bruk tilbakeføres gjerne til senere utviklingsaktiviteter Tilsvarende bør erfaringene fra hvordan personvernet realiseres i praksis, brukes som innspill til hvordan man senere tilrettelegger bedre for personvern 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding