Erfaringer med innebygd personvern i utvikling av mobilapper på UiO. Maren Magnus Jegersberg og Dagfinn Bergsager USIT/UiO

Like dokumenter
Hvordan være lur. Ståle Askerød Johansen - UiO-CERT Espen Grøndahl IT-sikkerhetssjef

Perspektiver og planer ved Universitetet i Oslo

Digital signert samtykke til forskning -erfaring med bruk av esignering. Dagfinn Bergsager

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Nye personvernregler (GDPR)

Hva kan vi bruke NSD til?

Nøkkelen til morgendagens personvern innebygd personvern

På tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013

Personvern - vurdering av personvernkonsekvenser - DPIA

Personvernerklæring for Flyt Høgskolen i Molde

Personvernerklæring for Søknadsweb

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Nye personvernregler fra 2018

Personvern og informasjonssikkerhet ved anskaffelser

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Personvernerklæring for Fagpersonweb

Personvernerklæring for Søknadsweb

Personvernerklæring for EVUweb - søkere

Personvernerklæring for Studentweb

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Implementering av det nye personvernregelverket ved UiB

Personvernerklæring for Søknadsweb

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Informasjonssikkerhet i forordningen

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Personvernerklæring for Cristin (Current Research Information System in Norway)

Personvernerklæring for Studentweb

Nye personvernregler

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Personvernerklæring for Studentweb

Personvernerklæring for EVUweb - søkere

Nye personvernregler (GDPR)

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

OM PERSONVERN TRONDHEIM. Mai 2018

Rollefordeling og begrepsforståelse ved UiO etter nytt personvernregelverk

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Hva gjør så KiNS og KS med GDPR?

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

Personvern, studentoppgaver og undervisning. Johannes Elgvin April 2019

Personopplysninger og opplæring i kriminalomsorgen

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Krav til informasjonssikkerhet i nytt personvernregelverk

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Innebygd personvern og personvern som standard. 27. februar 2019

NINAs personverndokument

Personvern i digitalisering av forvaltningen

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Nye personvernregler

Personvern og velferdsteknologi

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Mobile enheter, sikkerhet og personvern. Bjørn Erik Thon direktør

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Informasjonssikkerhet

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Helseforskningsrett med fokus på personvern

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

EUs nye forordning for personvern

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Arkivsystemer med skyløsninger

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Bakgrunn. EU har vedtatt ny personvernforordning

Kommunens Internkontroll

GDPR - viktige prinsipper og rettigheter

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

NORID - Registrarseminar 26. april 2017

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Noen aktuelle tema for personvernombud i finans

Nye personvernregler fra mai 2018

Personvernombudsrollen. Henrik Gullaker, personvernombud.

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Innføring av ny personvernforordning (GDPR) på universitetet

Policy for personvern

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Endelig kontrollrapport

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

GDPR-status fra en kommune

Personvernerklæring i NOAH AS

Innføring av ny personvernforordning (GDPR) på universitetet

Personvernerklæring for Webstep AS

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Personvernerklæring for OJS

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Mobilapper for innsamling av sensitive forskningsdata. UiOs IT-konferanse 2016 Dagfinn Bergsager Gruppeleder webutvikling, USIT

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Transkript:

Erfaringer med innebygd personvern i utvikling av mobilapper på UiO Maren Magnus Jegersberg og Dagfinn Bergsager USIT/UiO

UiO er Norges eldste institusjon for forsking og høyere utdanning 27 000 studenter 6 000 tilsatte God infrastruktur for IT er vesentlig i arbeidet med UiOs kjernevirksomhet Utdanning Forskning 04.09.2017 3

Forskningsprosjekter Ved UiO har vi tusenvis av forskningsprosjekter Veldig mange behandler personopplysninger, og i stor grad også sensitive personopplysninger En trend med innovative forskere som vil digitalisere og forenkle Nye muligheter med mobilapper 04.09.2017 4

Universitetets senter for informasjonsteknologi (USIT) Leverer IT til Universitetet i Oslo og universitets- og høyskolesektoren i Norge Drifter store, nasjonale tjenester for forskning og utdanning Eksempelvis Samordna Opptak og Studentweb Utvikler nye og nyskapende tjenester, f.eks: Tjeneste for sensitive data (TSD), Nettskjema, mobilapplikasjoner for forskning 04.09.2017 5

Strategier og strenge krav Disse leveransene hadde vi ikke klart uten å ha fokus på gode sikkerhetsstrategier og krav om innebygd personvern i alle ledd i prosessen Lang og utfordrende prosess, men vi nærmer oss Fokus på opplæring og dialog for å forstå ulike fagområder Konsekvensene ved å mislykkes er store og vi risikerer å miste tilliten i markedet vårt 04.09.2017 6

Innebygd personvern før og etter GDPR Tidligere var det ikke et krav etter loven, men anbefalte tiltak for å oppfylle brukernes rettigheter Etter GDPR er det inntatt i forordningen under generelle forpliktelser Viser viktigheten av kravene Gjelder for både behandlingsansvarlig og databehandler Organisatoriske tiltak Tidligere ble det sett på som unødvendig ekstraarbeid, nå er det et stort konkurransefortrinn 04.09.2017 7

7 steg til innebygd personvern Organisatoriske tiltak Tekniske tiltak Innebygd personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. 1) Vær i forkant, forebygg fremfor å reparere 2) Gjør personvern til standardinnstilling 3) Bygg personvern inn i designet 4) Skap full funksjonalitet: Både-og, ikke enten-eller 5) Ivareta informasjonssikkerheten fra start til slutt 6) Vis åpenhet 7) Respekter brukerens personvern Hentet fra: https://www.datatilsynet.no/regelverk-og-skjema/lage-nye-losninger/innebygd-personvern/ 04.09.2017 8

Konflikt for utviklere: brukervennlighet versus personvern àpersonvern vant! Brukerne har en klar forventning om at vi oppfyller krav til: 1. Personvern 2. Tilgjengelighet 3. Brukervennlighet Bonusen vår dersom vi tenker i pose og sekk er: Vi følger loven og får lov til å lansere tjenesten, systemet, applikasjonen J Trygghetsfølelse Konkurransefortrinn Omdømmefortrinn Kostnadsbesparende 04.09.2017 9

Hvordan klarer vi å utvikle mobilapper som samler inn sensitive personopplysninger på lovlig vis? -jo, vi koder med og tenker innebygd personvern! 04.09.2017 10

Mobilapper med sensitive data Har utviklet 10 mobilapper som samler inn data med sensitive personopplysninger Har mobilapper som brukes klinisk på Rikshospitalet Har mobilapper som kan ta opp samtaler mellom klinikker og pasient 04.09.2017 11

Opplæring Illustrasjon hentet fra www.datatilsynet.no 04.09.2017 12

Opplæring Organisatoriske tiltak Før: gjennomgang med sikkerhet og jus én gang i året Nå: alle må ha et forhold til sikkerhet og jus Utviklerforum med jevnlig fokus på personvern og sikkerhet Lokal programvare kjøpes inn sentralt, og sikkerhetsvurderes Sjekklister for utvikling av nye applikasjoner Avsjekk med sikkerhet og jus Planlegger obligatoriske kurs for alle utviklere og driftere høsten 2017/våren 2018 04.09.2017 13

Krav Illustrasjon hentet fra www.datatilsynet.no 04.09.2017 14

Organisatoriske tiltak Prioriteringer for all utvikling 1. Sikkerhet og personvern 2. Bruksopplevelse for den som skal levere data 3. Funksjonalitet for den som samler inn data -Vi skal alltid være best på sikkerhet og personvern! -og fungere på alt utstyr for alle personer -og være enkel og bruke for datainnsamler 04.09.2017 15

Åpenhet Tekniske tiltak Åpen kildekode Vilkår for bruk Personvernerklæring Vi forteller om sikkerhetstiltak og arkitektur Åpne ROS-analyser som kan brukes som dokumentasjon for andre prosjekter Tett dialog med Datatilsynet og personvernombud på OUS REK og NSD kjenner godt til våre løsninger 04.09.2017 16

Åpenhet Gir gjennomsiktighet ved at vi er klare og åpne om hva vi gjør i applikasjonen med personopplysningene Informasjon om hvordan vi oppfyller grunnkravene etter loven, også etter GDPR Blant annet: reglene om vilkår for samtykke (art. 7 og 8) om informasjon og innsyn i personopplysninger (art. 13-15), korrigering og sletting (art. 16-20) 04.09.2017 17

Nye utfordringer med mobilapper Mobilappen må lagre noe data Når du leverte data sist ID på hvem som har levert svaret At du har installert appen kan kobles til at du har en diagnose Dersom appen mister nett, kan det være behov for å legge data i kø Data på mobiler blir ofte sikkerhetskopiert til apple/google 04.09.2017 18

som også gir juridiske problemstillinger Relevans og minimalitet hva er virkelig nødvendig å samle inn Fullstendighet og kvalitet opplysningene må være oppdaterte, korrekte og nøyaktige Informasjonssikkerhet vi må sikre mot uautorisert tilgang, utilsiktede endringer, ødeleggelse og spredning Særlig vern til sensitive personopplysninger Tekniske tiltak Rett i kjernen av de grunnleggende prinsippene for vern av 04.09.2017 19 personopplysninger (art. 5)

Design Illustrasjon hentet fra www.datatilsynet.no 04.09.2017 20

Nettskjema.uio.no Egenutviklet applikasjon Samler inn data fra skjema via forms Innlogging med FEIDE eller ID-porten Lansert som sektorløsning for UH Høyt fokus på sikkerhet og personvern Samler inn forsknings- og studiedata (ca 3000 svar daglig) 04.09.2017 21

Tjenester for sensitive data Sikker forskningsplattform for UiO og andre offentlige forskningsinstitusjoner. Alle prosjekter får sin egen sikre server Arbeid med data skjer på serveren inne i TSD Mulig å få inn data samlet inn med Nettskjema fra web 339 aktive prosjekt 29.aug 2017 04.09.2017 22

Tekniske tiltak Teknisk design for datainnsamling Data leveres fortløpende fra telefonen Alle data defineres som skjerm på nett 04.09.2017 23

Koding Illustrasjon hentet fra www.datatilsynet.no 04.09.2017 24

Organisatoriske tiltak Vår metode: Scrumban Morgenmøter med gjennomgang av tasks i Jira Har en slags teamleder (faller naturlig) Leder av morgenmøtet baseres på loddtrekning dagen før Veldig mye morsommere med ny scrummaster hver morgen! Prodsetter brancher den dagen Hver story har en dedikert eier Hele tiden endringer i hvordan vi bruker og gjennomgår Jira Hurra, vi er agile!

Organisatoriske tiltak Vår metode: Scrumban Ekstra langt morgenmøte på mandagen Jeg forteller hva som er viktigst denne uka Prioriteringer diskuteres Demo fra forrige ukes releaser Retrospekt en gang i måneden Gjennomgang av backlog i fellesskap en gang i måneden Alle oppgaver skal i jira Alle comitts i git skal godkjennens av en annen utvikler

Verktøy Før: noen kjøpte alt de ville Nå: mer komplisert og vi har strammet kraftig inn Høyere pris Hva lagres i skyen Konkurranseregler Krav om standardisering Jobber med nye rutiner 04.09.2017 27

Test Illustrasjon hentet fra www.datatilsynet.no 04.09.2017 28

Bruk av personopplysninger i test Tekniske tiltak Organisatoriske tiltak Lovens krav gjelder også på testdata det samme vil det gjøre etter GDPR Formål, rettslig grunnlag etc. (art. 5, 6, 7, 8 m.fl.) Hovedregel ved UiO: Testing skjer på testdata Enten databaser hvor opplysningene har blitt anonymisert eller egne databaser med fiktive data Tung vei å gå, men den må gås Ingen trenger reelle data i test 04.09.2017 29

Tekniske tiltak Systematisk testing Alle apper pentestes før produksjon Endringer brukertestes av UX 04.09.2017 30

Produksjonssetting Illustrasjon hentet fra www.datatilsynet.no 04.09.2017 31

Krav som må oppfylles før produkssetting Risiko- og sårbarhetsvurdering (art. 32) Sikre at applikasjonen har et tilstrekkelig sikkerhetsnivå sett opp mot risikoen Vurderes opp mot hva behandlingen er, omfanget, formålet og sammenhengen den utføres i Kan ikke tas i bruk før risikoen er ansett som akseptabel UiO må selv definere hvor stor risiko for brudd på informasjonssikkerheten vi kan akseptere Uautorisert tilgang, eksponering, endring, skade eller tap av personopplysninger og andre informasjonsverdier Organisatoriske tiltak 04.09.2017 32

Krav som må oppfylles før produkssetting Personvernkonsekvensanalyse (DPIA, art. 35) En vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for den enkeltes personvern Frem til nå har vi gjort dette sammen med risiko- og sårbarhetsanalysen Den skal skilles ut som en selvstendig analyse etter GDRP I samarbeid med personvernombudet/-rådgiver (art. 39) Organisatoriske tiltak Kravene til personvernkonsekvensanalyse øker i takt med sensitiviteten og omfanget av personopplysningene Kan være krav om forhåndsdrøftelse med Datatilsynet (art. 36) 04.09.2017 33

Tekniske tiltak Nøye på data som lagres i mobilapp Risikovurdert hver app ut i fra hvilke data som kan lagres i appen Pinkode StudieID håndteres som passord (Keyring) Bilder og lyd legges kryptert i kø dersom nett mangler Data i kø er ikke lesbare i appen Nøye kontroll over hva som blir tatt backup av 04.09.2017 34

Tekniske tiltak DevOps Produksjonsetter flere ganger om dagen uten nedetid Avhengige av automatiske tester som kjører hver gang Gjennomtenkt testdekning (ikke fullstendig) Alle på teamet prodsetter 04.09.2017 35

Forvaltning Illustrasjon hentet fra www.datatilsynet.no 04.09.2017 36

Tekniske tiltak Skanner jevnlig data Leter etter publiserte fødselsnummer hver natt Markerer alle skjema som samler inn personinformasjon Fjerner automatisk persondata etter en gitt periode Varsler bruker om at personopplysninger blir lagret og hvilke typer opplysninger 04.09.2017 37

Tekniske tiltak Scanning av kode Alle kode (i all utviklet software) og underliggende biblioteker og avhengigheter scannes hver natt for sårbarheter Basert på top ten OWASP 04.09.2017 38

04.09.2017 39

Hva gjør vi når vi oppdager/mistenker avvik? Klare rutiner for hendelseshåndtering som skal følges Dedikert team som er trent for situasjonene Institusjonene kjenner godt til rutinene Kartlegging av situasjonen og vurderer /iverksetter tekniske tiltak Eks. fjerner tilganger og kartlegger hvem som har aksessert informasjonen Tekniske tiltak Organisatoriske tiltak

Hva gjør vi når vi oppdager/mistenker avvik? Behandlingsansvarlig vurderer hendelsen og hvem som skal kontaktes Informasjon til de registrerte Organisatoriske tiltak Rapport sendes til personvernombudet som vurderer om Datatilsynet skal varsles Økte krav til hendelseshåndtering etter GDPR (art. 33 og 34) Rapportere avvik som omfatter brudd på konfidensialitet, integritet og tilgjengelighet av personopplysninger innen 72 timer Krever klare rutiner og god beredskap for håndtering

demo 04.09.2017 42

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding