På tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013
Kort om Datatilsynet Uavhengig forvaltningsorgan Ombud og tilsynsorgan kontrollere at lover og forskrifter blir fulgt identifisere farer for personvernet gi råd gi uttalelser i spørsmål om behandling av personopplysninger 41 ansatte Personvernnemnda er klageorgan 08.05.2013 Side 2
Dagens tema: På tide med sikker samhandling Observert over tid gjennom Tilsyn Dialog med sektorene (profesjonell) Dialog med brukere i sektorene Avvik Klager Både ferskvare og historisk materiale. Ikke kvantifiserbart materiale En velbegrunnet bekymringsmelding 08.05.2013 Side 3
Krav til sikker kommunikasjon Personopplysninger er informasjonsverdien Krav til informasjonssikkerhet i Personopplysningslovens 13 Personopplysningsforskriftens kapittel 2 Det er også behov for å sikre andre informasjonsverdier Annet regelverk Forretningsmessig behov 08.05.2013 Side 4
Krav til sikker kommunikasjon Personopplysningsforskriften 2-11 - Konfidensialitet 3. ledd: «Personopplysninger som overføres elektronisk ved hjelp av overføringsmedium utenfor den behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig.» Kortversjonen: Kryptering! 08.05.2013 Side 5
Krav til sikker kommunikasjon Personopplysningsforskriften 2-15 Sikkerhet hos andre virksomheter 1. ledd: «Den behandlingsansvarlige skal bare overføre personopplysninger elektronisk til den som tilfredsstiller kravene i forskriften her.» 4. ledd: «Den behandlingsansvarlige skal etablere klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører. Ansvarsog myndighetsforhold skal beskrives i særskilt avtale.» 08.05.2013 Side 6 Kortversjonen: Bli enige om kommunikasjonsformen
Grovsortering Offentlig Privat Offentlig Privat Offentlig Innbygger Innbygger / kunde Innbygger / kunde Offentlig Privat Privat Innbygger 08.05.2013 Side 7
Publikumstjenester Der hvor vi er i ferd med å lykkes Sikker kommunikasjon er velforankret forventet av forbrukeren Selvfølgelig mye å ta tak i men vi bruker ikke tiden her 08.05.2013 Side 8
Problemet E-post I mangel på noe annet 08.05.2013 Side 9
Problemet Den som møter problemet har ikke et tilgjengelig alternativ 08.05.2013 Side 10
Hva har vi som fungerer Portaler Løser publikumstjenester Løser innrapportering til det offentlige Felles fagsystem Eller tilgang i hverandres Eller felles database Krypterte linjer Etater med et utstrakt samhandlingsbehov 08.05.2013 Side 11
Hva har vi som fungerer Sektorløsninger F.eks. Helse (Selv om ikke alt fungerer ) Bruk av PKI-baserte løsninger Lite utbredt Partene har erkjent sikkerhetsbehov og etablert en god løsning 08.05.2013 Side 12
Hva gjør vi i mangel på den gode løsningen Krypterer med kontorstøtteapplikasjoner og med dårlige passord Bedre enn alternativet Splitter informasjonen 08.05.2013 Side 13
Hva gjør vi i mangel på den gode løsningen Bruker en skytjeneste for fildeling Legger dataen på et «skjult» område på en åpen server Finner frem faxen Sender e-posten 08.05.2013 Side 14
E-posten Er løsningen for den som møter problemet Det finnes ikke portaler for alt Ikke alt passer i sektorløsninger Ustrukturert samhandling mellom ulike parter løses først når vi tar i bruk sikre forsendelser 08.05.2013 Side 15
Utfordringer med «gode» løsninger Selv om e-posten blir sikker Ustrukturert informasjonsflyt er utfordrende Manglede kontroll med informasjonen Manglende sletting Ikke tilstrekkelig sikker oppbevaring Informasjonen kommer ikke (bare) i fagsystemet dit den skal Kryptert innhold inn utfordrer sikkerhetstiltakene Høres enkelt ut Men det er krevende å bygge en brukervennlig og sikker løsning 08.05.2013 Side 16
Veien videre Jakten på usikret kommunikasjon fortsetter Delta! Postkassetjenester? Fortsett med standardisering og sektorløsninger hvor det er naturlig 08.05.2013 Side 17
Veien videre Ta i bruk standardiserte PKI-baserte løsninger som lar seg skalere Arbeid for sikker implementering Kultur er også viktig Erstatter ikke teknisk tilrettelegging 08.05.2013 Side 18
Fremtiden Ny personvernforordning Større flyt av personopplysninger på tvers av landegrenser Tilsynsmyndigheten mer koordinert Viktig med regulatorisk etterlevelse for den behandlingsansvarlige Mindre forhåndskontroll Mer tilsyn? Endret informasjonssikkerhetsregelverk Strengere plikter for den behandlingsansvarlige Strengere sanksjonsregime MYE strengere 08.05.2013 Side 20
7 steg til innebygd personvern 1. Vær i forkant, forebygg fremfor å reparere 2. Gjør personvern til standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet: Både-og, ikke enten-eller 5. Ivareta informasjonssikkerheten fra start til slutt 6. Vis åpenhet 7. Respekter brukerens personvern 08.05.2013 Side 21
Datatilsynet - i front for retten til selvbestemmelse, integritet og verdighet. 08.05.2013 Side 22