Da Datatilsynet kom. En skrekkhistorie? UNINETT 2006, Ålesund Jan Erik Frantsvåg, Universitetet i Tromsø

Like dokumenter
Tilbakemelding på melding om behandling av personopplysninger

Bakgrunn. EU har vedtatt ny personvernforordning

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

INFORMASJONSSIKKERHETSPOLICY. Geir Tutturen IT-leder, UMB

Rollefordeling og begrepsforståelse ved UiO etter nytt personvernregelverk

Etikk- og personvernshensyn i brukerundersøkelser

Perspektiver og planer ved Universitetet i Oslo

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Innføring av ny personvernforordning (GDPR) på universitetet

Personvern, studentoppgaver og undervisning. Johannes Elgvin April 2019

Hva kan vi bruke NSD til?

Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet

RETNINGSLINJER FOR BEHANDLING AV SØKNADER OM FORSKNING I KRIMINALOMSORGEN

Personvernombudet for forskning

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

PERSONVERNERKLÆRING FOR LEXIT GROUP AS

Opplæringsbehov etter helseforskningsloven

Personvernerklæring. Nettbasert behandling av personopplysninger

RAPPORT. Evaluering av bruken av bærbare elev- PC er for elever i Vest-Agderskolen. September 2008 Vest-Agder fylkeskommune

Helsedatautvalget. Marta Ebbing, leder. HelseOmsorg21-rådet, 23. januar 2017

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

En undersøkelse av datakvaliteten i nasjonal statusundersøkelse for Legemiddelassistert rehabilitering LAR 2018/2019

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

Innherred samkommune. Levanger kommunes tiltak til kravene i Personopplysningsloven. Orientering ved Personvernombudet. 1www.innherred-samkommune.

Bruk prosjektets engelske tittel. Hvis prosjektet ikke har engelsk tittel skal du bruke den norske. Fjern. Legg til

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Innføring av ny personvernforordning (GDPR) på universitetet

oppgaver og kompetanse

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale.

Personvernerklæring for Cristin (Current Research Information System in Norway)

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Etterlevelse av personvernforordningen (GDPR) sett opp mot ISO hva er nytt/viktig? Anders Bergman Greenfinger AB

UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest)

I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven

RETTE. System for Risiko og ETTErlevelse. Hvorfor RETTE? Personvernkrav Internkontroll Forskningsetikk Kompetanseøkning

Digital signert samtykke til forskning -erfaring med bruk av esignering. Dagfinn Bergsager

PERSONVERN. Har du kontroll? Veileder for personvern i forskning

Introduksjon forskningsetikk og de berørte etter 22. juli

NINAs personverndokument

Personvernerklæring. Nettbasert behandling av personopplysninger

Personvernerklæring. Nettbasert behandling av personopplysninger

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

GDPR-møte

Kommunens Internkontroll

Status for GDPR et halvt år etter: Hva har det betydd og hvilke utfordringer ser vi?

Forskningsinstituttenes Fellesarena - FFA Postboks 5490, Majorstuen 0305 Oslo Tlf

Personvern-rett H2016

Informasjonssikkerhet i UH-sektoren

RUTINER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORSKNINGS- OG STUDENTPROSJEKTER VED NORGES IDRETTSHØGSKOLE

Big data i offentlig sektor og personvern

Innføring av ny personvernforordning (GDPR) på universitetet

Tilgang til forskningsdata. Bjørn Henrichsen NSD Norsk senter for forskningsdata

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Personvernforordningen

Risikogrupper og personvernhensyn hvor viktig er personvern når det gjelder sikkerhet, liv og helse?

Velferdsteknologi vs. GDPR

Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften,

Vedlegg C - Datahåndteringsplan

Personvernombudsrollen. Henrik Gullaker, personvernombud.

Hvordan ivareta personvernet med velferdsteknologiske løsninger?

Samfundsmøte 2. februar

Personvern Prosjektet er meldt til Personvernombudet for forskning, Norsk senter for forskningsdata AS (NSD).

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Lærerstudenter, forskning og bacheloroppgaven: Lærerstudenter som forskere?

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Hva vil vi egentlig måles på? - et moderne arkivtilsyn

Personvernpolicy for markedsføringsregister

Åpne data. NTNUs politikk for åpne forskningsdata

Brudd på personopplysningssikkerheten

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Postadresse Kontoradresse Telefon* Universitets- og

Orientering om arbeidsgruppe - implementering av ny helseforskningslov

Personvern - sjekkliste for databehandleravtale

Erfaringer med tilsynet med mastergradsstudier sett fra institusjonen

Tilsyn med arkiv i kommunal sektor funn og erfaringer.

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

3

Kartlegging av læringsutbyttebeskrivelser. Anne Karine Sørskår - Seminar 9. desember 2015

PERSONVERN TIL HINDER FOR BRUK AV BIG DATA? Advokat Therese Fevang, Bisnode Norge

Personvernforordningen

Personvernerklæring for Søknadsweb

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Forskningsdesign. i tråd med lovverk og forskningsetikk

Personvernerklæring for medlemmer

Melde- og konsesjonsplikt, og om myndighetene. DR1010 Mona Naomi Lintvedt

Godkjent referat fra møte i innkjøpsutvalget. fredag 8. mai 2015 kl UHRs lokaler, Stortorvet 2

SUHS-2014 Med UNINETT i en digital fremtid. Petter Kongshaug, Adm. Dir.

Forslag til ny personopplysningslov

Vurdering av personvernkonsekvenser (DPIA)

Læringsplattform for IT-fag basert på HTML5 utviklet i CakePhp

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personvernpolicy for forbrukerkunder

INFORMASJON OM BEHANDLING AV PERSONOPPLYSNINGER VED REKRUTTERING AV NYANSATTE

1 av 5. Personalavdelingen

Utfordringer med medisinsk-teknisk utstyr og informasjonssikkerhet. Barbro Salte, Medisinsk teknologi og e-helse, Akershus Universitetssykehus HF

Transkript:

Da Datatilsynet kom En skrekkhistorie? UNINETT 2006, Ålesund 21.06.06 Jan Erik Frantsvåg, Universitetet i Tromsø janerik.frantsvag@adm.uit.no

Brevet Våren 2004 fikk UiTø varsel om stedlig tilsyn fra Datatilsynet (DT) DT foreslo dato og ba om raske motforestillinger DT ba om spesifikk informasjon innen en gitt frist

Hvor stod vi? Som ADB-leder hadde jeg gjort den erkjennelse at vi hadde en del arbeid ugjort Regimeendringen fra konsesjon til melding hadde vi ikke tatt inn over oss En liten arbeidsgruppe hadde begynt å arbeide med nye retningslinjer og dokumentasjoner Vi trodde vi var på rett vei

Hva gjorde vi? Sendte det vi hadde Forklarte litt om hvor vi stod Erkjente for oss selv at dette neppe kom til å bli en festforestilling Men regnet med at vi kunne lære noe og få en fornuftig dialog

Hva var det stedlige tilsynet DT ville ha samtaler med institusjonsledelsen De ville ha samtaler med de prosjektansvarlige for spesifiserte prosjekter De ville ha samtaler med de ansvarlige for datasikkerheten De ville se dokumentasjoner

Hva lærte vi? Vi tenkte etter den gamle konsesjonsmodellen Den digitale festning Innestenging ved bruk av teknologi DT ser ut til å tenke mer Den digitale løken Flere lag med ulike type sikkerhet, som ikke hver for seg er vanntett men som sammen skaper vansker Dokumenterte vurderinger av hva som egentlig er trusler, hva som er konsekvenser og hva man finner er et forsvarlig sikkerhetsnivå

Hva lærte vi mer? Datasikkerhet blir ofte et ansvar for den sentrale IT-funksjonen Det bør den ikke være Vi er flinke på teknologi Men er det der truslene er? Vi trodde alt som hadde med forskning å gjøre, var ivaretatt i og med at NSD var personvernombud Det var det ikke

Hva er viktig mht sikkerhet? Sikring mot uautorisert tilgang Her er teknologi viktig Men også organisasjon Passordsikkerhet kan skape sikkerhetshull Låsing av dører og PCer viktig, ikke bare brannmurer Oppmerksomhet rundt problemstillingene

mer sikkerhet Sikring av tilgang ved behov Dersom man har persondata, er det for å ivareta behov Da må de som har reelle og legitime behov, faktisk ha tilgang Back-up, nødstrøm, fornuftige tilgangsrettigheter

mer sikkerhet Korrekte data et krav! Feilaktige data kan gi konsekvenser Krever oppdateringsrutiner Krever opplærte og oppegående brukere Unødvendige eller ukorrekte data skal slettes Slike data har man ikke hjemmel til å ha

Forskjellig perspektiv Vi tenkte teknologisk sikring og administrative data DT tenkte organisatoriske tiltak og forskningsdata Det viste seg at de hadde et prosjekt mht forskningsdata i 2004 De startet med å be om informasjon om gitte prosjekter, så det var ingen overraskelse

Forskningsdata Vi trodde alt var ivaretatt i og med at NSD var personvernombud Det viste seg at dette kun gjaldt en del saksbehandling Resten av sikkerhetsarbeidet skulle vi gjøre selv

Hva opplevde vi Én forsker hadde avidentifiserte data på en bærbar datamaskin og identifiseringsnøklene i en annen fil på samme bærbare maskin Hvem som er ansvarlig kan være uklart Gamle samtykker var kanskje ikke lengre holdbare Kunne bety gravlegging av forskningsprosjekter som hadde vart lenge

Samtykke og praktisering Viktig at samtykket samsvarer med det man faktisk foretar seg Sier man at data skal slettes/anonymiseres innen en dato, skal dette skje Man må altså allerede i samtykket ta høyde for forsinkelser eks. svangerskap, sykdom, permisjoner Man kan ikke ombestemme seg men man kan be respondentene om utvidet frist

Studenter Studenter kan til tider foreta intervjuer eller på andre måter få personopplysninger De gjør det som studenter ved vår institusjon Ansvaret er vårt Vi har ingen sanksjonsmuligheter Veileder må ta faktisk fysisk kontroll over dataene

Konklusjoner Ansvaret må legges utenfor og over ITdirektøren Organisasjon like viktig som teknologi Begge deler må være på plass Bedre med litt dokumentasjon som avspeiler virkeligheten enn masse dokumentasjon som ikke brukes

Sikkerhet generelt Det er mange krav til sikkerhet Datatilsynet Riksrevisjonen Utdanningsdepartementet Riksarkivaren NOKUT osv. osv. direktorater instanser departementer tilsyn Bruk personopplysningsloven som utgangspunkt for å lage én totalpakke som tilfredsstiller alle krav

Råd om du får DT på besøk Vær åpen Vær ydmyk DT kan dette, og det er de som har rett Benytt sjansen til å ruste opp sikkerheten din Får du kritikk, legg deg flat og samarbeid

Avslutning Ja, vi ble slaktet Veldig lærerikt Nyttig dialog med DT de er en ressurs Slikt skaper ledelsesfokus prosesser settes i gang Nei, det ble ikke da og ikke senere påvist at personopplysninger hadde nådd noen de ikke skulle nå Men vi kan ikke basere oss på å berges av flaks og tilfeldigheter vi må planlegge og tenke fremover.

Lesestoff Rapporten fra DT om datasikkerhet i forskningsprosjekter: http://www.datatilsynet.no/upload/dokumenter/saker/2004/helserapporten_04.pdf

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding