Underbygger lovverket kravene til en digital offentlighet

Like dokumenter
NORID - Registrarseminar 26. april 2017

Informasjonssikkerhet i forordningen

Personvern i digitalisering av forvaltningen

Når barn og barnevernsaker eksponeres i media

Nye personvernregler

Nye personvernregler

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Hva gjør så KiNS og KS med GDPR?

EUs nye forordning for personvern

Nye personvernregler fra 2018

EUs nye forordning for personvern

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018, hva nå?

Personvern i digitaliseringens tid Kommuner og nytt regelverk

Kan du legge personopplysninger i skyen?

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018

Personvernmessige utfordringer ved sammenslåing av kommuner Den nye personvernforordningen

Bedre personvern i skole og barnehage

Nye personvernregler fra mai 2018, hva nå?

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

Skytjenester og nytt personvernregelverk

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Nye personvernregler (GDPR)

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018, hva nå?

Nye personvernregler Gullik Gundersen juridisk rådgiver

Bruk av skytjenester og sosiale medier i skolen

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Personopplysninger og opplæring i kriminalomsorgen

Nye personvernregler fra mai 2018

Personvern og informasjonssikkerhet i UH sektoren

Nye personvernregler (GDPR)

Nye personvernregler fra mai 2018

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Nye personvernregler fra mai Mars 2017

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Personvern - Hva er det

Personvern og informasjonssikkerhet ved anskaffelser

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Nye personvernregler fra mai 2018

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nytt personvernregelverk på 1-2-3

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Personopplysningsloven og annet «snacks»

Nye personvernregler fra 2018 hva betyr det for din virksomhet?

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

Krav til informasjonssikkerhet i nytt personvernregelverk

VIRKE. 12. mars 2015

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

OM PERSONVERN TRONDHEIM. Mai 2018

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Nye personvernregler

Vi blir "smartere og smartere", snart er nesten alt tilknyttet alt, alltid. Det stiller store krav til sikkerhet og personvern

PRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Sjekkliste GDPR. Nye personvernregler Hva bør gjøres frem mot 25.mai

Ny personopplysningslov (GDPR) Etter snart 8 måneder, hva har skjedd?

Vi fikk ny personopplysningslov 20. juli 2018

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Personvern - sjekkliste for databehandleravtale

Sikkerhet og personvern i skole og klasserom

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Internkontroll og informasjonssikkerhet lover og standarder

Databehandleravtale for NLF-medlemmer

Personvern barnehagen

Bakgrunn. EU har vedtatt ny personvernforordning

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Personvern i praksis, GDPR personvernforordningen erfaringer

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

KF Brukerkonferanse 2013

Nye personvernreglar Kva betyr det for Seljord kommune?

GDPR-status fra en kommune

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Steinar Nørstebø, styreleder

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Personvern-rett H2016

Status personvern Hedmark og Oppland fylkeskommuner

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Nytt regelverk, nye muligheter og masse avviksmeldinger!

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Transkript:

Underbygger lovverket kravene til en digital offentlighet

Personvern Hva er det? Side 2

Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 3

Personopplysninger hvor er de? 4

Digitalisering Gjør det noen forskjell for personvernet? Side 5

Utfordringer knyttet til digitale prosesser Eksponeres for de som går forbi, eller vet hvor den står. Eksponeres for hele verden, med en gang Side 6

Utfordringer knyttet til digitale prosesser Krever mer kunnskap og kompetanse Større utfordringer knyttet til informasjonssikkerhet Potensialet for uønsket eksponering av opplysninger kan være større enn i manuelle prosesser Store krav til metadata (særlig ved deling av opplysninger) Vite at vi snakker om de samme tingene når vi deler Tilpasning av lovverk følger ikke takten i den teknologiske utviklingen og i digitaliseringen Kravene til autentisering og autorisasjon blir store Krevende å vedlikeholde vet vi at det er rett person og har hun lov å gjøre det hun forsøker? Side 7

Muligheter i digitale prosesser Mulighetene for å ivareta våre rettigheter blir bedre Innsyn i opplysninger i digitale løsninger er enklere Informasjon til oss som innbyggere og næringsliv blir enklere Kortere tid fra et vedtak fattes til det er kjent for den/de som omfattes av vedtaket Gir bedre gjennomsiktighet i forvaltningen Deling og gjenbruk av opplysninger blir enklere «Nøkkelopplysninger» kan hentes inn, lagres og vedlikeholdes ett sted Løsninger kan nås overalt, alltid av «alle» Side 8

Hvordan etterleve loven? 9

Internkontroll Få oversikt over hvilke personopplysninger som behandles og klassifiser dem fra sensitive til ikkesensitive. Lag rutiner og regler for: Innsyn Samtykke Retting og sletting Informasjon Publisering 10

Tekniske tiltak 11

Tilgangsstyring = autentisering, autorisasjon, sporbarhet Hvem skal ha tilgang til hvilke personopplysninger, for hvilke brukere, hvilke informasjonselementer, i hvilket tidsrom evt. andre forutsetninger Disse fem faktorene må balanseres. Hva kan vi leve med og hvor bør grensene gå? 12

Autentisering Hva skal til for å bevise at du er den du hevder du er? Kravet til autentisering avhenger av risiko. Ved sensitive opplysninger eller andre opplysninger med behov for konfidensialitetsbeskyttelse: Brukernavn, passord og kontroll over nettverk eller På internett kreves to-faktor-autentisering, typisk brukernavn, passord og en ekstra faktor Passordkrav 13

Logging Autorisert bruk av informasjonssystemet skal registreres Forsøk på uautorisert bruk av informasjonssystemet skal registreres Bruk av logg Ved henvendelser fra den registrerte Ved tips om misbruk Stikkprøveanalyse Automatiserte analyser 14

Risikovurdering Thinkstock.com 15

Risikovurdering trinn for trinn Kartlegg og klassifiser alle behandlinger Identifiser uønskede hendelser (og årsaker!) Konsekvensvurdering (1-4) Sannsynlighetsvurdering (letthet 1-4) Sammenlign resultater og iverksett tiltak for å komme innenfor akseptabel risiko. Konsekvens Sannsynlighet 16

17 AVVIK

Behandling av avvik Dersom personopplysninger håndteres i strid med fastlagte rutiner, eller det er mistanke om eller dokumentert brudd på informasjonssikkerhet, skal virksomheten iverksette avviksbehandling Formålet med avviksbehandling er å lukke avviket så raskt som mulig, gjenopprette normal tilstand og hindre gjentagelse Når man behandler avvik er det viktig å: Iverksette strakstiltak, blant annet med det formål å avgrense eventuelle følgeskader Iverksette korrigerende tiltak for permanent å gjenopprette normal tilstand Vurdere hvorvidt korrigerende tiltak fungerer etter sin hensikt Varsle Datatilsynet når dette er pålagt (forskriften 2-6, 3. ledd) 18

Fulltekstpublisering av dokumenter Kommune Stat 19

KOMMUNENE Tidlig ute med løsning Lite føringer fra sentrale myndigheter (KS) Prøve og feile-metoden Hva gikk galt? Side 20 08.02.2017

STAT HVA SKJER I DAG? OEP-LØSNING Ingen løsning i dag På forslagsstadiet: Innsendelse av lenke til OEP Side 21 08.02.2017

PERSONVERNMESSIGE KONSEKVENSER VED PUBLISERING personopplysningsloven gjelder RISIKOVURDERING føringer for publisering HINDRE SKYGGEDATABASER HINDRE INDEKSERING FRA EKSTERNE SØKEMOTORER Side 22 08.02.2017

RISIKOVURDERING - rutiner SKAL PERSONOPPLYSNINGER PUBLISERES HVILKE PERSONOPPLYSNINGER SKAL PUBLISERES VEILEDNING ELLER BESTEMTE OG KLARE FØRINGER KONSEKVENSER FOR BORGEREN PERSONVERNERKLÆRING Side 23 08.02.2017

HINDRE INDEKSERING FRA SØKEMOTORER Google, Kvasir o.a. Hvorfor er dette viktig? Hva må til? No robot ikke nok Side 24 08.02.2017

KASUISTIKK NORDFJORDEID KOMMUNE ST. OLAV HOSPITAL RANA KOMMUNE Side 25 08.02.2017

KASUISTIKK Personalsak ved bytte av system Journalmappe på 15 psykisk utviklingshemmede Universitetet fødselsnummer - gjentagelse Kommune helseerklæring - handikapplass Kommune skanning av «bunker» med dokumenter (skilleark) Side 26 08.02.2017

Det nye regelverket

Kjennetegn Noen sier at vi går fra hefte til bok Her er det nok noen modifikasjoner Det sies også at det nye lovverket er som en Sveitserost Like mye hull som ost - som kan fylles med nasjonale tilpasninger Også her er det mange modifikasjoner Det gamle direktivet var nok betydelig mer Sveitserost Derfor er vår personopplysningslov med forskrift ganske forskjellig fra mange andre land i Europa Forordningen gir oss betydelig mer enhetlig lovverk innenfor EU/EØS 28

Bakgrunn Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter 29

Hva gjør Datatilsynet? Bistår Justis- og beredskapsdepartementet og Kommunal- og moderniseringsdepartementet Eget internprosjekt IKT Juridisk WEB Personvernombud Kommunikasjon Deltar i internasjonalt arbeid og bidrar til utredninger 30

Alle norske virksomheter får nye plikter Alle må finne ut hva regelverket betyr Nye rutiner er et ledelsesansvar Alle ansatte skal følge nye rutiner 31

Alle skal ha en forståelig personvernerklæring Informasjonen skal være lett tilgjengelig Klart språk som er tilpasset leserens nivå Stilles krav til hvilke opplysninger som skal gis 32

Alle skal vurdere risiko og personvernkonsekvenser I tillegg til en risikovurdering skal man utrede tiltak med stor personvernrisiko Ved høy risiko, som ikke kan begrenses, skal vi involveres i forhåndsdrøftelser Forordningen stiller krav til vår behandlingstid Vi kan veilede eller forby behandlingen 33

Alle skal bygge personvern inn i nye løsninger Nye krav til løsninger, tiltak og systemer Skal utarbeides på mest mulig personvernvennlig måte Den mest personvernvennlige innstilingen som standard 34

Mange virksomheter må opprette personvernombud Personvernombudsordningen går fra frivillig til obligatorisk Alle offentlige virksomheter Mange private Krav til kompetanse Krav til å involvere ombudet 35

Alle databehandlere får nye plikter Egne rutiner for behandling av personopplysninger Si ifra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Kan bli erstatningspliktige 36

Alle bør samarbeide i egne nettverk og følge bransjenormer Sektorvis utforming av retningslinjer Sikrer at de viktigste rutinene er på plass Flere fordeler ved å følge disse Datatilsynet skal godkjenne bransjenormer 37

Alle får nye krav til avvikshåndtering Strengere regler enn i dag Melde avvik innen 72 timer Stilles krav til innholdet i avviksmeldingen De berørte skal varsles i klart språk 38

Hva bør alle virksomheter gjøre nå? Sørge for å ha oversikt over hvilke personopplysninger de behandler Sørge for å oppfylle dagens lovkrav Sette seg inn i det nye regelverket Lage rutiner for å følge de nye reglene 39

Datatilsynet.no/forordning

Takk for meg! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no hhu@datatilsynet.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding