Innebygd personvern personvernforordningen artikkel 25

Like dokumenter
Programvareutvikling med innebygd personvern nye personvernregler

Nøkkelen til morgendagens personvern innebygd personvern

KINS-tech: Innebygd personvern bestemmelsen som implementerer hele forordningen.

Innebygd personvern og personvern som standard. 27. februar 2019

IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28.

INF37000 Informasjonsteknologi og samfunn. Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet

IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21.

Nye personvernregler (GDPR)

Programvareutvikling med innebygd personvern og personvern som standardinnstilling. Eirik Saltkjel Veronica Jarnskjold Buer

Nye personvernregler i GDPR i helsesektoren

Nye personvernregler (GDPR)

Ansvarlighetsprinsippet og virksomhetens plikter

Informasjonssikkerhet i forordningen

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Nye personvernregler fra 2018

Nye personvernregler og innebygd personvern

Nytt regelverk, nye muligheter og masse avviksmeldinger!

Hvordan opprettholde DIGITALISERINGSFARTEN etter ny personvernforordning?

Minimere og begrense. Gjem og skjul. Separere.

Nye personvernregler fra 2018 hva betyr det for din virksomhet?

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Skytjenester og nytt personvernregelverk

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Vi blir "smartere og smartere", snart er nesten alt tilknyttet alt, alltid. Det stiller store krav til sikkerhet og personvern

Krav til informasjonssikkerhet i nytt personvernregelverk

Vurdering av personvernkonsekvenser (DPIA)

Personvern i digitaliseringens tid Kommuner og nytt regelverk

Nytt personvernregelverk GDPR e-kommunedagen Hordaland

Nye personvernregler

Nye personvernregler fra mai 2018

Nye personvernregler

Felles behandlingsansvar med Facebook hva så? Sikkerhetssymposiet 17.oktober 2019

GDPR - viktige prinsipper og rettigheter

Nytt personvernregelverk på 1-2-3

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Personvern - vurdering av personvernkonsekvenser - DPIA

Personvern og informasjonssikkerhet ved anskaffelser

Personvern - sjekkliste for databehandleravtale

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

GDPR - PERSONVERN. Advokat Sunniva Berntsen

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Nye personvernregler Gullik Gundersen juridisk rådgiver

Personvern for apputviklere

Vurdering av personvernkonsekvenser (DPIA) -vi vet hvorfor og når, men HVORDAN

Personvern og det påtrengende behovet for data om oss.

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

Er det så farlig å dele data fra trafikantene?

Personvern og informasjonssikkerhet i UH sektoren

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

GDPR Ny personvernforordning

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personvernforordning, offentleglov og arkivlov - hvordan forholde seg til disse regelverkene samlet. 6. juni 2019 KINS

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Nye personvernregler fra mai 2018, hva nå?

Nye personvernregler fra mai 2018, hva nå?

OM PERSONVERN TRONDHEIM. Mai 2018

PERSONVERN OG DELING FRA KVALITETSREGISTRE

Arbeidsgiverens behandling av personopplysninger om sine ansatte. Personvernforordningen i det daglige. Dana Jaedicke juridisk seniorrådgiver

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Personopplysningsvern med ProFundo som databehandler

Policy for personvern

Nye personvernregler fra mai 2018

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Nye personvernregler

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

REKRUTTERING OG GDPR

GDPR i et nøtteskall

DIFI - Seminar om Skytjenester

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Bedre personvern i skole og barnehage

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Databehandleravtale for NLF-medlemmer

Hvilke krav stiller personvernforordningen (GDPR) til din virksomhet? ALSO webinar 15. desember 2017 senioradvokat Jens C. Gjesti

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Steinar Nørstebø, styreleder

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Hva gjør så KiNS og KS med GDPR?

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Personvern - Hva er det

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Bruk av skytjenester og sosiale medier i skolen

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL. Åpent kurs oktober 2018

Nye personvernregler fra mai Mars 2017

Personopplysninger og opplæring i kriminalomsorgen

Veileder for tillitsvalgt ved behandling av personopplysninger

Vi fikk ny personopplysningslov 20. juli 2018

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

BEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS

Transkript:

Innebygd personvern personvernforordningen artikkel 25 25.08.2017

Bjørn Erik Thon

Arbeidsgruppen har bestått av: Andreas Hegna Martha Eike Rita Nordtug Johannes Brodwall Eskild Storvik Karoline Klever Eirik Saltkjel Eirin Oda Lauvset Dagfinn Bergsager Trude Talberg-Furulund Veronica J. Buer 3

Utlysning av konkurranse for innebygd personvern

Innebygd personvern i praksis 2018 Datatilsynet inviterer til konkurranse om beste programvare utviklet utfra prinsippene for innebygd personvern. Jury: Dag Wiese Schartum Lillian Røstad Maria Bartnes Torgeir Waterhouse Veronica J. Buer og Martha Eike, Datatilsynet 5

Innebygd personvern i praksis 2018 Hvordan delta i konkurransen? Frist for innsending av bidrag Sende oss et utfylt søknadsskjema med beskrivelse av produktet 1. desember 2017 All informasjon du trenger finner du på datatilsynet.no 6

Introduksjon

PVF Art. 25: Innebygd personvern og personvern som standardinnstilling 8

Pvf artikkel 25 og Grunnlovens 102 Art 25: innebygd personvern og personvern som standardinnstilling. 102: Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet. 9

Innebygd personvern og personvern som standard Vær i forkant, forebygg fremfor å reparere. Gjør personvern til standardinnstilling. Bygg personvern inn i designet. Skap full funksjonalitet: Både-og, ikke enten-eller. Ivareta informasjonssikkerhet fra start til slutt. Vis åpenhet. Respekter den registrertes personvern. Oppsummert art 25: Obligatorisk Tekniske og organisatoriske tiltak. Sett det minst personverninngripende alternativet som standard, mht mengde, omfang, lagringstid, tilgjengelighet. Ivareta personvernprinsipper og den registrertes rettigheter. 10

Personvernprinsipper og den registrertes rettigheter

Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 12

Personopplysninger er også Fødselsnummer: 13087846271 Telefonnummer: 22396900 IP-adresse: 195.159.103.82 Bilnummer: BL 23456 Bluetooth MAC: 17:35:52:78:4B:CA Wi-Fi-adresse MAC: 12:44:32:45:7B:C9 Autpass-brikke-ID: 7483920983278394 UDID: f7426bd759856431d9ae2c99175407a0dcd67ab5 13

Hva er person(opplysnings)vern? Hva er det vi forsøker å beskytte? Er det kun selve informasjonen om et menneske? Nei ikke bare det En krenkelse av personvernet kan skje selv om du beskytter informasjonen aldri så godt Hvis informasjonen du har er feil Hvis det er personen selv som skal bestemme om du får lov å ha informasjonen, og du ikke har innhentet samtykke Person(opplysnings)vern er altså noe mer enn informasjonssikkerhet 14

Hvem har plikter og rettigheter Plikter Rettigheter Behandlingsansvarlig Databehandler Underleverandører De registrerte 15

Prinsipper for behandling av personopplysninger Lovlig, rettferdig og gjennomsiktig Formålsbegrensning Dataminimering Riktighet Lagringsbegrensning Integritet og konfidensialitet Ansvarlighet 16

De registrertes rettigheter Informasjon Innsyn Korrigering Sletting Begrensning Dataportabilitet Innsigelse Automatiserte avgjørelser, inkludert profilering 17

Presentasjon av hver aktivitet i veilederen

Opplæring

Opplæring Mål: Basiskunnskap og forståelse for personvern og informasjonssikkerhet, og risiko tilknyttet dette Hva skal det gis opplæring i: Når og hvorfor personvern og informasjonssikkerhet er viktig i de ansattes daglige arbeidsoppgaver. Suksesskriterier er at virksomheten har etablert retningslinjer for personvern og informasjonssikkerhet, og at intern opplæring i disse retningslinjene er adressert. 20

Obligatorisk Opplæring Intern Interne krav, mål rutiner og metodikk Marked, kunder, brukere Frivillig Lover og regelverk Industristandarder, bransjenormer Ekstern 21

Krav

Personvern- og sikkerhetskrav Type personopplysninger? Kan slutninger trekkes om individer? Hvem er brukere og eiere? Behandlingsansvarlig, databehandler, mottaker? Prinsipper skal være oppfylt og rettigheter ivaretatt Nødvendig? Mengde, omfang, lagringstid, tilgjengelighet Åpenhet gi informasjon så den registrerte kan ivareta sine rettigheter Informasjonssikkerhet 23

Definere toleransenivå for risiko = Hvor høy risiko virksomheten tar ved ulike scenarier. Sikkerhetskategorier, f.eks utilsiktet endring av data (I) uautorisert utlevering (K) mangel på tilgjengelighet (T) Personvernscenarier, f.eks. at den registrerte mangler kontroll på sine data utsettes for diskriminering ved profilering reidentifiseres fra anonyme data Nulltoleranse Akseptabelt toleransenivå = den risiko som virksomheten er villig til å ta Nivå kritikalitet Kritisk Høy Middels Lav Kategori eks: Skade på liv og helse Dødsfall Personskade som medfører varig uførhet Personskade medfører sykemelding Ingen alvorlig personskade eller sykefravær 24

25

Design

Design Dataorienterte designkrav: Minimer og begrens - «Select before you collect» «Gjem og skjul» Separer Aggreger Personvern som standard Prosessorienterte designkrav: Informer Kontroller Håndheve Demonstrer 27

Design Analyser angrepsflaten i den designede programvaren for å redusere muligheter til å utnytte svake punkter og sårbarheter. Ved trusselmodellering analyserer man komponenter, tilgangspunkter, dataflyt og prosessflyt i programvaren. hvordan noen kan misbruke programvaren ved ulike scenarioer. hvordan designet kan forbedres for å unngå trusler som er identifisert. Resultat er et mer herdet og robust sluttprodukt. 28

Koding

Bruk godkjente verktøy og rammer Beskriv bruksområde Tilhørende sikkerhetsfunksjonalitet Støttekomponenter og verktøy fra tredjeparter Verktøy må risikovurderes og analyseres for sårbarheter 30

Ugyldiggjør utrygge funksjoner og moduler Analyser funksjoner, API, tredjepartsbibliotek og moduler Forby de som er utrygge, oppdater de som er utdaterte eller inneholder kjente sårbarheter Bruk verktøy for kodeskanning for å sjekke koden Deaktiver unødig sporing, logging og innsamling av personopplysninger 31

Statisk kodeanalyse og kodegjennomgang Automatiske verktøy Manuell gjennomgang for å fange opp svakheter som kan medføre feil bruk eller lekkasje av personopplysninger Regelmessig gjennomgang 32

Test

Test om kravene er implementert Er personvern- og sikkerhetskrav ivaretatt gjennom design og koding? Er kravene riktig implementert? Er alle komponenter med? 34

Sikkerhetstesting Dynamisk testing Test funksjonalitet i kjørende kode (verktøy eller manuelt) Undersøk ulike brukerrettigheter og ved kritiske sikkerhetsfeil Fuzz testing Fremprovoser feil i programvaren Bruk verktøy som sender tilfeldig og misformet data inn i programvaren Test alle grensesnitt Penetrasjonstesting/ sårbarhetsanalyse Kjøres før produksjonssetting og jevnlig Lovlig og autorisert forsøk på å finne, utnytte og avdekke sårbarheter 35

Gjennomgang av trusselmodell og angrepsflate Verifisere at angrepsvektorer som ble avdekket i designfasen er håndtert Verifisere at nye angrepsvektorer introdusert under koding er identifisert og håndtert Ny gjennomgang av trusselmodell Ny vurdering av personvernkonsekvenser 36

Produksjonssetting

Produksjonssetting Utarbeid plan for hendelseshåndtering for effektivt håndtere oppgaver og hendelser som kan oppstå etter produksjonssetting. Hva en hendelse er og hvilken livssyklus den har (omfatter å detektere, analysere, rapportere, håndtere og normalisere) Ressurser, kontaktpunkt/responssenter, kontaktinformasjon, responstid, kanaler, logger, rutiner, patching, evaluering mm. Varsle ledelsen, den registrerte og Datatilsynet m.fl. 38

Produksjonssetting Full sikkerhetsgjennomgang av programvaren skal baseres på tidligere gjennomganger i utviklingsløpet og inngå i de kontrollpunkter (control gates) som må gjøres før produksjonssetting. Godkjenning av produksjonssetting Sikkerhetsrådgiver og personvernombud skal verifisere at alle definerte sikkerhets- og personvernkrav er implementert og fungerer etter hensikten. Virksomheten må definere hvem som har godkjenningsmyndighet. Arkivering bør gjøres av all relevant data og dokumentasjon fra hele utviklingsløpet. 39

Forvaltning

Forvaltning Håndtere hendelser og avvik etter planen Når akutte hendelser opptrer, er det viktig å bevare roen og å bruke tid på å analysere hendelsen. Responsteamet skal vite hvem de skal kontakte når og hvem som er i stand til å bygge, teste og installere oppdateringer. Responsteamet må vite hvilke prioriteringer som gjelder, samt vite nøyaktig hva de kan og skal gjøre når det virkelig er krise. Øv 41

Forvaltning Forvaltning, drift og vedlikehold av programvaren skal følge etablerte rutiner for hvordan personvern og sikkerhet skal ivaretas over tid. Styringssystem for personvern og informasjonssikkerhet som omfatter anskaffelse, forvaltning, drift og vedlikehold. Rutiner for regelmessige testing og revidering, sikkerhetsovervåkning, målinger, forbedring mm. 42

Veilederen ligger på datatilsynet.no 43

Takk for oppmerksomheten! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no @datatilsynet (Twitter)

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding