Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Like dokumenter
Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Personvern i skyen

Tjenester i skyen hva må vi tenke på?

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Nye personvernregler

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

CRM-løsninger i skyen - hva har du lov til å lagre?

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Trust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Cyberspace og implikasjoner for sikkerhet

Personvern - sjekkliste for databehandleravtale

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Personvern-rett H2016

Ny personvernforordning trer i kraft i mai 2018

GDPR og test. Advokat Eva Jarbekk

Følger sikkerhet med i digitaliseringen?

Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Kampanje Event EU GDPR Advokat Rune Opdahl

Kan du legge personopplysninger i skyen?

Ny personvernforordning

Nye personvernregler

Blir du klar til mai 2018?

Informasjonssikkerhet i forordningen

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

DATABEHANDLERAVTALE MELLOM., org.nr. «Behandlingsansvarlig» Info Vest Forlag, org.nr «Databehandler»

Nye personvernregler

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Big Data, kommersialisering og eierskap til informasjon

Aibel Vår tilnærming til GDPR. Elin H Madell HR System Owner

Verdipapirfondenes forening. Ny personvernforordningen GDPR

GDPR og ny lov om personvern

GDPR Prosjektgjennomføring Sjekkliste

Barns personvern spesielt samtykke til behandling av personopplysninger

Hacking av MU - hva kan Normen bidra med?

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

DecisionMaker Frequent error codes (valid from version 7.x and up)

Rusmiddeltesting i arbeidslivet et personvernperspektiv

kpmg AS Senior revisor

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Plassering og bevegelse

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf)

Juridiske utfordringer med digitalisering

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

En praktisk anvendelse av ITIL rammeverket

MED PUBLIC CLOUD INNOVASJON OG MULIGHETER. Altinn Servicelederseminar September 2017

Ny personvernlovgivning er på vei

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Og her følger svaret fra Wikborg og Rein (Styret i Sanderød Vel) datert (sendt per mail) 29. juni 2015

Er din bedrift klar for ny personopplysningslov?

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

Grunnleggende personvern. Fagsamling 1: Personvern 18. januar 2017

GDPR krav til innhenting av samtykke

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

Prosjektet Digital kontaktinformasjon og fullmakter for virksomheter Digital contact information and mandates for entities

PERSONVERN FRA ET CYBERPERSPEKTIV

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Internkontroll og informasjonssikkerhet lover og standarder

EUs nye forordning for personvern

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Bjørn Erik Thon Direktør

Digital protokoll over behandlinger

Diabetesforbundet. Personvernerklæring

Lee A. Bygrave, Senter for rettsinformatikk Person(opplsynings)vernforordningens bestemmelser om innebygget person(opplysnings)vern

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Styrket personvern, svekkede bedrifter? Deloittes personvernundersøkelse Februar 2017

GDPR HVA ER VIKTIG FOR HR- DATA

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler


Skytjenester. Forside og Databehandleravtale. Telenor Norge

Kundetilfredshetsundersøkelse FHI/SMAP

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September Kari Gimmingsrud.

Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Registrerte og personopplysninger som behandles

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Transkript:

Mellom IT-sikkerhet og personvern Jarle Langeland Mellom IT-sikkerhet og personvern 2

Mellom IT-sikkerhet og personvern IT-sikkerhet en forutsetning for godt personvern Mellom IT-sikkerhet og personvern 3

Mellom IT-sikkerhet og personvern 4

Mellom IT-sikkerhet og personvern IT-sikkerhet en forutsetning for godt personvern IT-sikkerhetstiltak kan likevel etter omstendighetene være en trussel mot personvernet og ulovlige etter personopplysningsloven Mellom IT-sikkerhet og personvern 5

Trender IT-sikkerhet Skjerpet trusselbilde (NSM, PST, E-tjenestens vurderinger) Kompetansemangel «Security as a service» Økende bevissthet Mer data, mer analyse, IoT? Mellom IT-sikkerhet og personvern 6

Trender Personvern Ny forordning i 2018 Mer oppdatert regelverk (Vesentlig) høyere bøter Europeisk regulering «Privacy by design» Mye fokus Snowden Lekkasjer Myndigheter / store selskaper Mellom IT-sikkerhet og personvern 7

Personopplysningsloven Svært mange virksomhetsprosesser innebærer behandling av personopplysninger, jf. personopplysingsloven Enhver bruk av opplysninger som kan knyttes til enkeltperson, jf. 2, også lagring og overføring Virksomheten selv vil alltid være behandlingsansvarlig for sine opplysninger og ha ansvaret etter personopplysningsloven Behandling av personopplysninger krever et behandlingsgrunnlag. Sikkerhet ofte å oppfylle lovkrav eller interesseavveining, jf. 8 f. Mellom IT-sikkerhet og personvern 8

Mitt tema denne morgenen Hvordan gjennomføre IT-sikkerhetstiltak på en måte som ivaretar personvernet Forholdsmessighet og dataminimalisering Bruk av logger/sikkerhetsovervåking Overføring til andre? Informasjon til brukerne Noen utviklinger Sikkerheten i skyen Personvernforordningen Kryptering og personopplysninger Mellom IT-sikkerhet og personvern 9

Dataminimalisering Ikke behandle mer personopplysninger over lenger tid enn nødvendig for å oppnå formålet med behandlingen, jf. personopplysningsloven 28. Logger vil svært ofte inneholde personopplysninger Hvilke logger trenger dere? Hvor lenge trenger dere dem? Særregel for sikkerhetsrelatert informasjon «Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registreringer av alle andre hendelser med betydning for informasjonssikkerheten.» jf. personopplysningsforskriften 2-16 Mellom IT-sikkerhet og personvern 10

Dataminimalisering hvorfor viktig? Når dataene først finnes, kan formålet med «behandlingen» lett endres: Kompromitteres I seg selv være mål for angrep Friste til å ta i bruk ny stordataanalyse / «BI» Mellom IT-sikkerhet og personvern 11

Bruk av logger til andre formål Personopplysningsforskriften 9-2 jf. 7-11: Arbeidsgiver har ikke rett til å overvåke arbeidstakers» bruk av elektronisk utstyr, herunder bruk av Internett, ut over: a) å administrere systemet, eller b) å avdekke/oppklare brudd på sikkerheten i edb-systemet. Personopplysninger som fremkommer som følge av slike behandlinger «kan ikke senere behandles for å overvåke eller kontrollere den enkelte» Logger/informasjon fra sikkerhetsovervåkning kan som det klare utgangspunkt ikke brukes til andre formål som f.eks. Personalsaker Måling av de ansattes effektivitet Mellom IT-sikkerhet og personvern 12

Overføring til andre? Overføring av logger eller andre personopplysninger til andre krever behandlingsgrunnlag eller databehandleravtale Sikkerhetskonsulenter «Managed Security» / Security as a service CERT Myndigheter? Overføring utenfor EU krever særlige forholdsregler No more Safe Harbor Standardavtaler Mellom IT-sikkerhet og personvern 13

Informasjon til brukere/ansatte De ansatte skal vite at det foretas logging/sikkerhetsovervåkning hva loggene skal brukes til hva som utgjør uakseptabel bruk Nivå? ikke for teknisk språk kategorier data og bruk gjerne greit Mellom IT-sikkerhet og personvern 14

Noen utviklinger Sikkerhet i skyen Mellom IT-sikkerhet og personvern 15

Mellom IT-sikkerhet og personvern 16

Mellom IT-sikkerhet og personvern 17

Sikkerhet i skyen Sky vs. tradisjonell IT-drift Ulike risiki Tradisjonell IT-drift Fysisk sikkerhet (tilgang, brannsikring etc. etc) Operasjonell sikkerhet (vaskedame og reboot) Redundans Sky Nettilgang Datatilgang Internkompetanse Tilgangshåndtering Mellom IT-sikkerhet og personvern 18

Personvern og sikkerhet i skyen Dokumentasjon få og kunne dele (revisjonsrapporter, databehandleravtaler etc.). Hva logges egentlig? AWS eksempel: We may monitor the external interfaces (e.g., ports) of Your Content to verify your compliance with the Agreement. You will not block or interfere with our monitoring, but you may use encryption technology or firewalls to help keep Your Content confidential. Mellom IT-sikkerhet og personvern 19

Ny personvernforordning (49) The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping denial of service attacks and damage to computer and electronic communication systems. Mellom IT-sikkerhet og personvern 20

Kryptering og personvern Kryptering kan være et ypperlig tiltak for informasjonssikkerhet og personvern Opplysningene fortsatt personopplysninger, man kan ikke kryptere seg ut fra personopplysningsloven Mellom IT-sikkerhet og personvern 21

Advokatfullmektig Jarle Langeland Mobil: +47 932 35 365 E-post: jl@foyentorkildsen.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding