Hvordan være lur. Ståle Askerød Johansen - UiO-CERT Espen Grøndahl IT-sikkerhetssjef

Like dokumenter
Erfaringer med innebygd personvern i utvikling av mobilapper på UiO. Maren Magnus Jegersberg og Dagfinn Bergsager USIT/UiO

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Personvern og informasjonssikkerhet ved anskaffelser

Personopplysninger og opplæring i kriminalomsorgen

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Store data store spørsmål. Bruk av statens store datamengder

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Personvern og velferdsteknologi

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

GDPR Ny personvernforordning

Policy for personvern

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Personvern i digitalisering av forvaltningen

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

PERSONVERN Personopplysninger som lagres Hvilke personopplysninger behandler vi

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Personvern og informasjonssikkerhet

Hva er en behandling av personopplysning Alle handlinger som utføres med personopplysninger. Eksempel på handlinger: *lagring av opplysninger

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

OM PERSONVERN TRONDHEIM. Mai 2018

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Nye personvernregler

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Prosedyre for personvern

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvern - sjekkliste for databehandleravtale

Brudd på personopplysningssikkerheten

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

4. Hvilke personopplysninger vi behandler, hvordan vi bruker personopplysningene, samt formålet med opplysningene

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Personvern i praksis, GDPR personvernforordningen erfaringer

Databehandleravtale for NLF-medlemmer

Nye personvernregler fra 2018

Nye personvernregler

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Personvernerklæring for EVUweb - søkere

Sikkerhet ved outsourcing. Espen Grøndahl IT-sikkerhetssjef UiO

EUs nye forordning for personvern

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

Er din bedrift klar for ny personopplysningslov?

Personvernerklæring for Webstep AS

Personvern - vurdering av personvernkonsekvenser - DPIA

Perspektiver og planer ved Universitetet i Oslo

BEHANDLING AV PERSONOPPLYSNINGER

PERSONVERN TIL HINDER FOR BRUK AV BIG DATA? Advokat Therese Fevang, Bisnode Norge

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Status personvern Hedmark og Oppland fylkeskommuner

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Brukerinstruks Informasjonssikkerhet

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Hva gjør så KiNS og KS med GDPR?

GDPR - viktige prinsipper og rettigheter

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

NINAs personverndokument

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Diabetesforbundet. Personvernerklæring

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

Etikk- og personvernshensyn i brukerundersøkelser

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Personvernerklæring. Innledning. Om personopplysninger og regelverket

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Personopplysningsloven: Formål og grunnleggende begreper. DR1010 Personvern i offentlig forvaltning Vår 2011 Seniorrådgiver Mona Naomi Lintvedt, Difi

Informasjonssikkerhet i forordningen

NORID - Registrarseminar 26. april 2017

Er det så farlig å dele data fra trafikantene?

GDPR for HR. En praktisk tilnærming til hva Sopra Steria har gjort for å møte de nye kravene

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Endelig kontrollrapport

Databehandleravtale etter personopplysningsloven

Personvernerklæring for EVUweb - søkere

Ny personvernforordning trer i kraft i mai 2018

Personvernerklæring for Edvarda (Consortia Manager)

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Nytt regelverk, nye muligheter og masse avviksmeldinger!

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Transkript:

Hvordan være lur Ståle Askerød Johansen - UiO-CERT Espen Grøndahl IT-sikkerhetssjef

To hoveddeler Jus og personvern IT-sikkerhet i det daglige

Hva er personopplysninger? Personopplysninger er alle former for data, informasjon og opplysninger som kan knyttes til og identifisere en person: Eksempelvis: Navn, fødselsnummer, telefonnummer, bilde, bankkontonummer, adferdsmønster Sensitive personopplysninger er: a)rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b)at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c)helseforhold, d)seksuelle forhold, e)medlemskap i fagforeninger. Opplysninger som krever ekstra beskyttelse NB! Fødselsnummer er ikke en sensitiv personopplysning skal likevel anvendes etter nøye vurdering regulert i egen bestemmelse i personopplysningsloven. 12/9/16 3

Behandling av personopplysninger Behandling av disse opplysningene er innsamling, registrering, sammenstilling, lagring og utlevering = enhver bruk Eksempler: Logger Brukernavn Innhold i nettskjema Personpresentasjonen om deg Informasjon lagret i applikasjoner 4

Grunnleggende personvernprinsipp Samtykke i størst mulig grad frivillig, uttrykkelig og informert Proporsjonalitet velge det minst inngripende alternativet Formålsbestemthet bare samles inn og brukes til bestemte og lovlige formål Relevans og minimalitet kun når det er nødvendig og ikke mer enn det som virkelig trengs Fullstendighet og kvalitet korrekte, oppdaterte og nøyaktige Informasjon og innsyn urokkelige rettigheter til de registrerte Informasjonssikkerhet - sikre opplysningene mot uautorisert tilgang, endring, ødeleggelse og spredning. Sensitive personopplysninger trenger særlig vern Anonymitet og sporfri ferdsel retten til å være anonym hvis det ikke er behov for å registrere identifiserende opplysninger 12/9/16 5

Prinsipper i konflikt Sterkt formidlingsønske ved UiO og det er åpenhet som ligger til grunn som prinsipp for arbeidet som blir gjort både forskning og undervisning Prinsippet om åpenhet kan ofte komme i konflikt med den økende risikoen for angrep utenfra som er ute etter våre data og opplysninger Vi som arbeider med IT-sikkerhet og jussens rammer har daglige utfordringer hvor disse prinsippene blir satt mot hverandre, samtidig som vi har grupper av ansatte og studenter, og forskning/undervisning som krever ekstra beskyttelse

Hva betyr dette for dere? Dere håndterer store mengder personopplysninger i flere ulike system Alle har et selvstendig ansvar Ha som mål å ha innebygd personvern i systemet/tjenesten/arbeidet deres Jobbe for at sikkerhet og brukervennlighet nærmer seg hverandre Fange opp problemer som må tas tak i

Innebygd personvern Innebygd personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. 1)Vær i forkant, forebygg fremfor å reparere 2)Gjør personvern til standardinnstilling 3)Bygg personvern inn i designet 4)Skap full funksjonalitet: Både-og, ikke enten-eller 5)Ivareta informasjonssikkerheten fra start til slutt 6)Vis åpenhet 7)Respekter brukerens personvern https://www.datatilsynet.no/teknologi/innebygd-personvern/ 12/9/16 8

Konflikt for utviklere og systemforvaltere Brukervennlighet vs. Personvern Forventning om Brukervennlighet Tilgjengelighet Personvern Bonusen vår dersom vi tenker i pose og sekk er: 12/9/16 Vi følger loven og får lov til å lansere tjenesten Konkurransefortrinn Trygghetsfølelse Omdømmefortrinn Kostnadsbesparende 9

Sjekkliste Hva slags data skal du behandle? Alminnelige personopplysninger, sensitive personopplysninger? Skal noen andre behandle data for UiO? Utforme formål- og hjemmelsgrunnlag før utviklings-/innkjøpsprosess starter Opprette rutiner for håndtering av data og tilgangsstyring Lage vilkår for bruk - brukerne skal informeres om rettigheter og plikter Varsling om bruk av informasjonskapsler /cookies Gå gjennom sjekkliste for innebygd personvern Sørge for at risikovurderinger/-revisjoner gjennomføres

Bruk av reelle data i testing Lovens krav gjelder også på testdata Konsekvensen er større ved lekkasjer og avvik ved bruk av reelle data i test Hovedregel ved UiO: Testing skjer på testdata! 12/9/16 11

Risikovurdering Det rettslige kravet i personopplysningsloven: tjenesten kan først lovlig tas i bruk dersom informasjonssikkerheten i tjenesten er tilfredsstillende det vil si at risikoen for brudd på informasjonssikkerheten (uautorisert tilgang, eksponering, endring, skade eller tap av personopplysninger og andre informasjonsverdier) vurderes å være akseptabel. UiO må selv definere hvor stor risiko for brudd på informasjonssikkerheten vi kan akseptere. Dersom vurderingen viser at risikoen for sikkerhetsbrudd er uakseptabel høy, kan ikke tjenesten tas i bruk. UiO er ansvarlig for å gjennomføre risikoanalyse 12

Hva er avvik? Avvikende behandling personopplysninger på avveie Mapper/dokument med feil tilgang i Vortex Personopplysninger blir lagt ut på åpent nett ved en feil Epost sendt med sensitiv informasjon eller fødselsnummer / feilsendt epost Programmerings-/kodefeil At noen får tilgang til noe de ikke har rett til å få tilgang til... At UiO sine ressurser blir brukt til lovbrudd En student bruker UiOs utstyr til å laste ned ulovlig innhold

Hva gjør du når du oppdager/mistenker avvik? Følg rutinene som gjelder for dere Melde fra når nødvendig Linja nærmeste leder UiO-Cert UiOs IT-sikkerhetsgruppe Kopi av varsling til CERT skal til behandlingsansvarlig ( behandlingsansvarlig@uio.no) Informere ansatte/kolleger når nødvendig Du skal ikke selv undersøke avviket og dets omfang.

Hva gjør vi når vi oppdager/mistenker avvik? Kartlegging av situasjonen og vurderer /iverksetter tekniske tiltak Eks. fjerner tilganger og kartlegger hvem som har aksessert informasjonen Behandlingsansvarlig vurderer henvendelsen og hvem som skal kontaktes Informasjon til de registrerte (særlig de som er rammet av avviket) Rapport sendes til personvernombudet som vurderer om Datatilsynet skal varsles

12/9/16 Hentet fra www.universitas.no 16

Nett og sporing Hva skjer når man surfer?

DNS-server Din maskin web-server www.google.com

Sensorer i nettet Din maskin DNS-server web-server www.google.com

web-server www.google.com

web-server www.google.com

web-server www.google.com

Din maskin web-server www.google.com

cert@uio.no

Før Driftede klienter

Nå Egne klienter Driftede klienter

Dere må patche (!) Automatisk patching av OS-et Firefox Chrome Java Adobe-produkter Flash

Passord

Password managers Keepass Keychain-greier Mac Linux Online-varianter? Not so much.

Oppsummering - passord Send aldri passordet i e-post Ulike passord Lange passord Tema Ikke gjenbruke To-faktor Beskytte toppen Tenk før du fødererer Passord manager (keepass++)

Spam Malware Phishing Ransomware Virus Kjipe ting

Personlige greier Personlige data Bilder Musikk Filmer

Personlige greier Personlige data Bilder Musikk Filmer

UiO-relaterte data Oppgaver Obliger Labrapporter

UiO-relaterte data Oppgaver Obliger Labrapporter Små datasett om steintyper Store datasett om romerske sandaler Små datasett om tannstilling Store datasett om dialekter øst for vannskillet

UiO-relaterte data Oppgaver Obliger Labrapporter Små datasett om steintyper Store datasett om romerske sandaler Små datasett om tannstilling Store datasett om dialekter øst for vannskillet

cert@uio.no (228) 40911

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding