Har du kontroll på verdiene dine

Like dokumenter
Krav til informasjonssikkerhet i nytt personvernregelverk

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?

Informasjonssikkerhet i forordningen

Nye personvernregler

Nye personvernregler

Vår ref.: 17/ Postadresse: 1478 LØRENSKOG Telefon:

Deres refranse Vår referanse Dato 16/ / / /GRA

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Kan du legge personopplysninger i skyen?

25 APR 50,3. Datatilsynet ~+~ 0ffl0/L? 70~~?5. Vedtak om pålegg - overtredelsesgebyr til Sykehuset Innlandet HF

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Styringssystem i et rettslig perspektiv

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Regelverk for IoT. GDPR eprivacy

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Endelig kontrollrapport

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Internkontroll og informasjonssikkerhet lover og standarder

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Varsel om vedtak fra Datatilsynet - Overtredelsesgebyr

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Endelig kontrollrapport

Sikkerhet og personvern i skole og klasserom

Endelig kontrollrapport

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Bruk av skytjenester og sosiale medier i skolen

VIRKE. 12. mars 2015

GDPR - Personvern

Nye personvernregler fra 2018

Nye personvernregler (GDPR)

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Hva er et styringssystem?

Nytt regelverk, nye muligheter og masse avviksmeldinger!

Databehandleravtaler. Tommy Tranvik Unit

Risikoanalysemetodikk

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Noen aktuelle tema for personvernombud i finans

Endelig kontrollrapport

Endelig kontrollrapport

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Endelig kontrollrapport

Databehandleravtale for NLF-medlemmer

Hva gjør så KiNS og KS med GDPR?

INF37000 Informasjonsteknologi og samfunn. Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Hvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer?

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28.

Ot.prp. nr. 51 ( )

Nytt fra departementet

Smarte bygg og personvern

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Personopplysninger og opplæring i kriminalomsorgen

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Brudd på personopplysningssikkerheten

Status personvern Hedmark og Oppland fylkeskommuner

Pålegg om stans av behandling av personopplysninger - Gator AS

Retningslinje for risikostyring for informasjonssikkerhet

Endelig kontrollrapport

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Nytt regelverk (GDPR) og IoT

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Databehandleravtale etter personopplysningsloven

BEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS

Personopplysningsloven (GDPR) 5. desember 2017

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

HVEM ER JEG OG HVOR «BOR» JEG?

Styret Helse Sør-Øst RHF 14. desember 2017

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Nye personvernregler

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Personvern - sjekkliste for databehandleravtale

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL

Databehandleravtale. Charlotte Lindberg Difi

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Transkript:

Har du kontroll på verdiene dine Et juridisk perspektiv 1_Tittellysbilde Advokat Arve Føyen 1

Selskapets verdier Finansielle verdier Omdømme Humankapital Kunderelasjoner IPR og Forretningshemmeligheter Personopplysninger Fysiske eiendeler Risikovurderinger iverksettelse av tiltak 2

Hvorfor sikre verdiene Egeninteresse Beskyttelse og ivaretakelse av økonomiske verdier Ivaretakelse av ideelle verdier Ivaretakelse av omdømme Lovkrav f. eks Sikkerhetslovgivningen Personopplysningslovgivning GDPR Helseregister- pasientjournalloven, helsepersonelloven osv IKT-forskriften (Bank og finans) Internkontrollforskriften Bokføringslovgivningen Arkivlovgivningen 3

Fra NRK.NO 4

Hva var problemet ved HSØ De behandlingsansvarlige helseforetakene har ikke hatt tilstrekkelig eierskap til, eller kontroll med de planlagte endringene knyttet til informasjonssystemet. Helseforetakene har overlatt ansvaret for beslutninger som har betydning for pasientenes personvern og informasjonssikkerheten knyttet til behandling av personopplysninger, til databehandleren og til ansatte lenger ned i organisasjonen. Det ble ikke gjennomført nødvendige risiko- og sårbarhetsvurderinger før det ble besluttet å konkurranseutsette avtale om strategisk partnerskap, herunder drift og vedlikehold av IKT-infrastruktur. Det ble heller ikke gjennomført nødvendige risiko- og sårbarhetsanalyser i forkant av beslutningen om å velge underleverandør i Bulgaria. Valgt underleverandør har i et begrenset tidsrom hatt tilgang til pasientopplysninger, i strid med ledelsens forutsetning om tilgangskontroll. 5

Manglende sikkerhetsledelse 1. Manglende sikkerhetsledelse og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven 22 jf. 5, personopplysningsloven 13-15 og personopplysningsforskriften 2-3, 2 7 og 2 15. 2. Manglende etterlevelse av plikten til å gjennomføre risikovurdering ved endringer som har betydning for informasjonssikkerheten er i strid med kravet i personopplysningsforskriften 2 4 jf. 2 1 og pasientjournalloven 22. 3. Tilgang til pasientopplysninger er gitt i strid med ledelsens forutsetninger og dermed uten forankring i ledelsen. Dette innebærer overtredelse av personopplysningsforskriften 2 11 og 2 13 til 2 15. Tilgang gitt i strid med ledelsens beslutning viser også manglende ledelsesforankring som omtalt i forrige punkt. 6

Manglende sikkerhetsledelse (forts) 4. Manglende kontroll og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven 22 jf. 5, personopplysningsloven 13-15 og personopplysningsforskriften 2 3 og 2 7. 5. Tilgangskontroll skal sikre personopplysningers konfidensialitet, integritet og tilgjengelighet, jf. personopplysningsforskriftens 2-11, 2 12 og 2 13 og pasientjournalloven 22 jf. 15 og 16. Tilgangsstyring er et sårbarhetsreduserende tiltak som implementeres på grunnlag av en risikoanalyse. 7

Etablere ønsket nivå for beskyttelse Faser i etablering av internkontroll for alle relevante verdier Finansielle verdier Omdømme Humankapital Kunde relasjoner IPR og Forretningshemmeligheter Personopplysninger Fysiske eiendeler Planlegge Kartlegge nå-situasjon Produsere dokumentasjon og etablere rutiner Avklaringer og intern forankring Implemen tering GAPanalyse Leverandørstyring 8

Risikovurderinger For å kunne vite noe om risiko og trusler i forhold til de verdiene som skal beskyttes må man gjennomføre risikovurderinger. En risikovurdering vil si noe om trusler, sannsynligheten for at en sikkerhetshendelse vil inntreffe og konsekvensen om hendelsen inntreffer. Virksomheten setter akseptansekriterier for hva som kan aksepteres av risiko. Tiltak iverksettes for de truslene eller truselnivåene som ikke aksepteres. I en risikomatrise får man et risikobilde, som på en enkel måte illustrerer hvilke trusler man ikke aksepterer. 9

10

Den store kraftanstrengelsen 11

GDPR-krav til sikkerhet artikkel 32 Den behandlingsansvarlige og databehandleren skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, f. eks bl a: Pseudonymisering og kryptering av personopplysninger Evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og tjenestene Evne til å gjenopprette tilgjengelighet og tilgangen til opplysningene i rett tid dersom det oppstår fysisk eller teknisk hendelse En prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er 12

13

Arve Føyen Mobil: +47 91 81 99 62 E-post: af@foyentorkildsen.no 14

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding