Sikkerhet og personvern i skole og klasserom

Like dokumenter
Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny personvernforordning Konsekvenser. Tommy Tranvik

Databehandleravtale for NLF-medlemmer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Databehandleravtaler. Tommy Tranvik Unit

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Nye personvernregler

EUs nye forordning for personvern

Databehandleravtale. mellom. Navn på skoleeier: Org. nr.: (behandlingsansvarlig)

DATABEHANDLERAVTALE vedrørende nettjenesten

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Nye personvernregler

Personvern - sjekkliste for databehandleravtale

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Nytt personvernregelverk på 1-2-3

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Nye personvernregler (GDPR)

Nye personvernregler fra 2018

Nye personvernregler Gullik Gundersen juridisk rådgiver

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

OM PERSONVERN TRONDHEIM. Mai 2018

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale. mellom. Kunden (behandlingsansvarlig) Devinco AS (databehandler)

Krav til informasjonssikkerhet i nytt personvernregelverk

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Status personvern Hedmark og Oppland fylkeskommuner

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Retningslinjer for databehandleravtaler

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Kan du legge personopplysninger i skyen?

Internkontroll og informasjonssikkerhet lover og standarder

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvern-rett H2016

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Hva gjør så KiNS og KS med GDPR?

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

POWEL DATABEHANDLERAVTALE

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Registrerte og personopplysninger som behandles

Skolen og personvern: Utfordringer for skoleeier, ledere og lærere Ann Elisabeth Gunnulfsen, førsteamanuensis og Jeffrey Hall,

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

GDPR - viktige prinsipper og rettigheter

Perspektiver og planer ved Universitetet i Oslo

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Policy for personvern

Steinar Nørstebø, styreleder

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. Digitale løsninger og GDPR (General Data Protection Regulation)

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Den nye personvernforordningen (GDPR)

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Personvern - Hva er det

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Nye personvernregler fra mai Mars 2017

Del 2. Fagdag GDPR - Arkiv Troms

Nye personvernregler fra mai 2018, hva nå?

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nye personvernregler (GDPR)

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Personvernforordningen

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Skytjenester i skolen

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Nye personvernregler fra mai 2018

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Brudd på personopplysningssikkerheten

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Transkript:

Sikkerhet og personvern i skole og klasserom NKUL 2017 Tommy Tranvik Harald Torbjørnsen

Vi skal: Øke kvaliteten i det pedagogiske arbeidet med digitale ferdigheter hos barn og unge Øke den digitale kompetansen hos ansatte i barnehage og grunnskole Øke kvaliteten i sektorens infrastruktur og administrative prosesser Utvikle og drifte nasjonal portal for yrkes-, utdannings- og karriereveiledning

Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 gjennomgå noen viktige regler, fokus på informasjonssikkerhet praktiske råd for etterlevelse av krav til risikovurderinger av informasjonssikkerheten

EUs personvernforordningen Gjelder fra 25. mai 2018 Personvernforordningen erstatter EUs personverndirektiv fra 1995 personopplysningsloven med forskrift Kjennetegn mer omfattende og komplisert mye gjenbruk økt fokus på risikostyring

Oversikt 11 kapitler, 99 artikler kapittel 1: generelle regler kapittel 2: prinsipper kapittel 3: den registrertes rettigheter kapittel 4: behandlingsansvarlig og databehandlers plikter kapittel 5: overføring av personopplysninger til utlandet kapittel 6 og 7: datatilsyn oppgaver og overnasjonal samordning kapittel 8: sanksjoner kapittel 9: spesielle behandlingssituasjoner kapittel 10 og 11: administrative bestemmelser

Når gjelder regelverket? Ved (elektronisk) behandling av personopplysninger Behandlinger innsamling, lagring, overføring, sammenstilling, gjenbruk, publisering, sletting, osv. Personopplysninger all informasjon og alle vurderinger som kan knyttes til bestemte ansatte, elever eller foreldre/foresatte Skoleeier er ansvarlig for at regelverket etterleves (behandlingsansvarlig) Skoleeiers ansvaret omfatter all bruk av eksterne tjenester eller nettressurser hvor personopplysninger behandles (databehandlere) Skoler etterspør og følger opp skoleeiers retningslinjer for ivaretakelse av regelverket

Rettigheter Kapittel tre i Forordningen De registrerte (ansatte, elever eller foreldre/foresatte) har rett til informasjon (formkrav) få innsyn i og kreve retting eller sletting av egne opplysninger kreve begrensning av behandling av egne personopplysninger motsette seg visse typer behandlinger dataportabilitet Skoleeier har plikt til å ivareta rettighetene

Informasjonssikkerhet som Artikkel 5 i Forordningen grunnkrav Grunnleggende krav til behandling av personopplysninger, bl.a. lovlig grunn, formål og formålsbegrensning, dataminimering, datakvalitet og sletting/anonymisering Informasjonssikkerhet er et nytt grunnkrav tilfredsstillende informasjonssikkerhet mht. konfidensialitet og integritet tilfredsstillende sikring mot ulovlig eller uautorisert bruk av personopplysninger tekniske og organisatoriske tiltak Krav til dokumentasjon av informasjonssikkerhet og andre grunnkrav Brudd på grunnkrav kan utløse de høyeste gebyrene

Hovedbestemmelsen Artikkel 32 i Forordningen Gjelder både for skoleeier (behandlingsansvarlig) og databehandler Tilfredsstillende konfidensialitet, integritet, tilgjengelighet og robusthet Risikostyrt arbeid pseudonymisering og kryptering nevnes spesielt krav til beredskap og kontinuitet krav til testing og evaluering av sikringstiltak Krav til organisatoriske sikringstiltak (instrukser)

Varsling til Datatilsynet Artikkel 33 i Forordningen Varsling til Datatilsynet ved sikkerhetsbrudd som innebærer risiko for krenkelser av personvernet så snart som mulig og senest innen 72 timer krav til innholdet i varslingen unntak for mindre alvorlige sikkerhetsbrudd Databehandler skal varsle skoleeier uten ubegrunnet opphold Krav til dokumentasjon, bl.a. omstendighetene rundt sikkerhetsbruddet, konsekvensene av sikkerhetsbruddet og gjenopprettende tiltak

Varsling til de registrerte Artikkel 34 i Forordningen Varsling til de registrerte (ansatte, elever, foreldre/foresatte) ved sikkerhetsbrudd som innebærer høy risiko for krenkelser av personvernet (artikkel 34) hver enkelt registrert umiddelbart etter at bruddet blir kjent krav til tydelighet (forståelig språk) krav til innholdet i varslingen Unntak for mindre alvorlige sikkerhetsbrudd effektive sikringstiltak allerede er iverksatt Hvis varsling er uforholdsmessig kostnadskrevende, kan de registrerte informeres via offentlige bekjentgjørelser

Personvernombud Artikkel 37-39 i Forordningen Skoleeiere pålegges å utnevne personvernombud flere virksomheter kan ha samme ombud ombudet kan være ansatt eller innleid kan utøve rollen på heltid eller deltid skal ha spesialkompetanse om personvern og regelverket

Ombudets oppgaver og posisjon Involveres i spørsmål vedrørende behandling av personopplysninger informere og gi råd om regelverket kontrollere praktisering av regelverket kontrollere praktiseringen av interne rutiner og retningslinjer (organisering, bevisstgjøring, opplæring og revisjoner) gi råd ved konsekvensutredninger (PIA) bistå de registrerte kontaktpunkt for og samarbeid med Datatilsynet Skal være uavhengig (ikke instrueres eller straffes) Rapporterer direkte til toppledelsen, for eksempel rådmannen Skoleeier (ikke personvernombudet) er ansvarlig for regeletterlevelsen

Databehandlere Artikkel 28 og 29 i Forordningen Mer detaljerte krav til bruk av databehandlere krav om databehandleravtaler krav til innhold krav til informasjonssikkerhet hos og avtaler mellom leverandører og underleverandører krav ved overføring av opplysninger til land utenfor EU/EØS Databehandlere får større selvstendig ansvar for informasjonssikkerheten Databehandlere kan bli ilagt sanksjoner ved brudd på sikkerhetsreglene

Sanksjoner Ved regelbrudd kan straffen maksimalt bli 10 mill. euro, alternativt to prosent av årsomsetningen, eller 20 mill. euro, alternativt fire prosent av årsomsetningen Avhenger blant annet av hvilke regler som brytes

Anbefalte tiltak fra Datatilsynet Vil gi et utgangspunkt for å oppfylle pliktene i regelverket dersom skoleeier kartlegger personopplysninger de er ansvarlige for utfører og dokumenterer risikovurderinger

Hvordan komme i gang? Avklar ansvar/roller som: kartlegger og vurderer personopplysningene og systemene de ligger i. gjennomfører risikovurderinger inngår databehandleravtaler informerer om brukernes rettigheter

System for internkontroll Viktig redskap for informasjonssikkerheten dokumentasjon vedlikehold/ oppdatering kvalitet på data mangelfull internkontroll i skole og barnehage Datatilsynet 2014 - Personvern i skole og barnehage

Et stykke fram for mange... Digitalt internkontrollsystem innkjøpt etter tilsyn i skolen...skolen får avvik av Datatilsynet flere år etterpå for ikke å bruke internkontrollsystemet...

Risikovurderinger Kjernen i arbeidet med forebyggende informasjonssikkerhet Nøktern vurdering av: hvilke problemer som kan oppstå? hvor store problemene er? hva kan gjøres med de viktigste problemene? Kompetansehevende effekt kartlegger og diskuterer IKT-praksis i undervisning og administrasjon

Risikovurderingens 3 hovedfaser 1. Forberedelse 2. Gjennomføring 3. Oppsummering og etterarbeid

Eksempel på uønskede hendelser Feil ved tilgangsstyring fører til at personer får tilgang til sensitiv informasjon Lærer låner ut eget utstyr til elevene. Teknisk svikt fører til at innhold/systemer er utilgjengelig i kritiske perioder Elever får tak i læreren sin FeideID og gjør endringer på fravær og vurderinger

Etabler nødvendige tiltak Risikovurdering blir ofte et «byråkratisk ritual» gjør vurderingen for å vise at den er gjort lang vei fra vurdering til tiltak ofte et spørsmål om økonomi Oppfølging med nødvendige tiltak krever forpliktelse fra beslutningstakere tydelig kommunikasjon av resultater realistiske tiltaksforslag

Eksempel på tiltak Klasse 9B ønsker å ta i bruk skytjeneste for publisering. Skolens rutine godt kjent blant lærerne Feideinnlogging et krav Egen skole/skoleeiergruppe risikovurderer skoleeier inngår eventuell databehandleravtale.

Håndter daglige hendelser Risikovurderinger er ferskvare IKT-praksis i skolehverdagen er dynamisk Mye vil skje mellom risikovurderinger rapporter og håndter uheldige hendelser skriv opp hendelser og håndtering legg frem og diskuter i formelle skolefora

Eksempel på daglige hendelser Digital mobbing Elev mistenkes for å ha bevis på konto i skyplattform Avviksmelding IKT-reglement Kap 9 forskrift til personopplysningsloven Ordensregler Skjønn

Databehandleravtaler Sjekk at leverandørene tilbyr databehandleravtaler Sjekk innholdet i databehandleravtalene, jf. mal for databehandleravtaler

Rettigheter og informasjon Etabler rutiner for innsyn Publiser og kommuniser rettighetene og rutinene

Følg oss: iktsenteret iktsenteret Nyhetsbrev (via iktsenteret.no)

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding