Regelverk for digital kommunikasjon i og med forvaltningen

Like dokumenter
Digitalt førstevalg. Digital postkasse som en del av digitalt førstevalg i forvaltningen. FINF 4001 høst 2016

Digitale adresser Kontakt- og reservasjonsregisteret. Adresseseminaret Helge Bang, Difi

Digital kommunikasjon som hovedregel. Hva betyr dette for forvaltningen.

Krav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Sikker digital posttjeneste

Sikker digital posttjeneste

Krav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden

Regelverk. Endringer i regelverk for digital forvaltning

Forslag til nye regler om elektronisk kommunikasjon med og i offentlig forvaltning

Nærmere informasjon om endringer i forvaltningsloven og eforvaltningsforskriften

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Sikker digital post til innbygger

E-forvaltning - anno 2014

Digital postkasse til innbyggere

Sikker digital posttjeneste status og tilknytning av avsendervirksomheter

Digital postkasse til innbyggerne. Sikker Digitalisering 2015 Birgitte Egset, Difi

Sikker digital posttjeneste. Digital postkasse til innbyggere Kontakt- og reservasjonsregisteret

Spørsmålsorientert veiledning til eforvaltningsforskriften

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Styringssystem i et rettslig perspektiv

Alt du trenger å vite om digital postkasse. Informasjon til ansatte i offentlig sektor

Krav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden

HØRINGSUTTALELSE - ENDRINGER I FORVALTNINGSLOVEN

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Begrensninger i innsynsrett. DRI mars 2011 Jon Berge Holden

Digital postkasse og mye attåt

Disposisjon. Digitalt førstevalg

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Offentlige informasjonsinfrastrukturer

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel mai 2008

Digitaliseringsprogrammet - hva blir utfordringene for arkivet?

Informasjonsforvaltning et rettslig perspektiv. Jon Holden

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Internkontroll og informasjonssikkerhet lover og standarder

Taushetsplikt og andre begrensinger i tilgang til personopplysninger. DRI mars 2014 Jon B. Holden

1.6 Sentrale lover og forskrifter

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Digital postkasse til innbyggere

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Forslag til endringer i enhetsregisterloven og enhetsregisterforskriften. Plikt til å melde elektronisk adresse til Enhetsregisteret.

Endelig kontrollrapport

Offentlige informasjonsinfrastrukturer

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Sikkert nok - Informasjonssikkerhet som strategi

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

BEHANDLING AV PERSONOPPLYSNINGER

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontakt- og reservasjonsregisteret. Elektroniske adresser,

Olav Skarsbø

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Kristian Bergem. Direktoratet for forvaltning og IKT

Digitalt først og fremst. Bærum Seniornett 11. Februar Bekkestua Bibliotek.

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Veiledning for bruk av Kontakt- og reservasjonsregisteret. Versjon 1

Taushetsplikt og andre begrensinger i tilgang til personopplysninger. DRI mars 2015 Jon B. Holden

Fagforbundets fagdager 3.september 2014 Anne Lund

Konvert. Hei! Vedlagt oversendes Lenvik kommunestyres uttalelse til høringssaken. Beklager forsinkelsen! Saken vil også bli oversendt i papirutgave!

Forskriften og hjemmelslover

Offentlige informasjonsinfrastrukturer

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Veiledning for bruk av Kontakt- og reservasjonsregisteret. Versjon 1, februar 2018

Hva er et styringssystem?

Nasjonale standardar og felleskomponentar kva er det og korleis påverkar det arkivet?

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018

Høring - endringer i eforvaltningsforskriften - Digital kommunikasjon som hovedregel

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

HØRINGSNOTAT. Digital kommunikasjon som hovedregel

FOR nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltnin...

Digital post (nok engang) Velg mellom Digipost og e-boks og få post fra det offentlige til din elektroniske postkasse

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Endelig kontrollrapport

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Kommunens Internkontroll

Oppstart digital forsendelse fra sak/arkivsystem og rutiner internt i organisasjonen

Endelig kontrollrapport

KF Brukerkonferanse 2013

Internkontroll i praksis (styringssystem/isms)

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Oslo kommune Byrådsavdeling for finans

Seksjon for informasjonssikkerhet

Styringssystem for informasjonssikkerhet et topplederansvar

Stig Hornnes Rådgiver - FAD 19. April 2012

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Digital Post til Virksomheter (DPV) + eformidling = SANT

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Høringsuttalelse til forslag fra Fornyings-, administrasjons- og kirkedepartementet om endring i eforvaltningsforskriften

SvarUt Offentlig digital post

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Personvern og informasjonssikkerhet

Transkript:

Regelverk for digital kommunikasjon i og med forvaltningen Jon Holden, Difi Fagforbundets fagdager 3.-4. september 2014 jho@difi.no

To hovedspørsmål Hvem kan/skal/skal ikke kommunisere digitalt med forvaltningen? Hva er forutsetningene? Hva er vilkårene Hvordan skal kommunikasjonen skje Struktur Utgangspunkt i endringene i efvf fra februar 2014 før- og nåsituasjonen Går så på overordnede regler

Hvordan var reglene før? Det kan kommuniseres digitalt Hvis det er sikkert nok Men viktig post skal sendes på papir, med unntak av hvis parten har gitt samtykke, og parten har oppgitt sin elektroniske varslingsadresse, og parten er varslet, og meldingen sendes til egnet informasjonssystem, og han/hun åpner posten innen én uke

Digital befolkning Husholdningene (Kilde: SSB 2. kvartal 2013) 94% med tilgang til internett 99 % blant husholdninger med barn 86% bruker nettbank (16-79 år) Offentlige nett-tjenester hittil i år 40 millioner innlogginger i ID-porten 3,4 millioner personer med e-id og kontaktinformasjon

Bakgrunn Nettbaserte tjenester skal være hovedregelen for forvaltningens kommunikasjon med innbyggere og næringsliv Digital forvaltning skal gi bedre tjenester Mer effektiv bruk av offentlige ressurser «Innbyggerne skal kunne velge mellom markedsbaserte postkasseløsninger, og kunne få post fra det offentlige i samme digitale postkasse som de bruker til annen digital post.»

Sikkerhet, robusthet og personvern

Hånd i hånd Løsningsutvikling Regelverk

Velg postkasse e-boks Digipost

Offentlig virksomhet Informasjon ut Informasjon inn Digital post Offentlig portal, f.eks. Altinn, helsenorge.no og Lånekassen Sikker digital posttjeneste Innsyn Interaksjon Digital post Innbygger

eforvaltningsforskriften endret i år: Samtykkekravet opphevet, 8 Reservasjonsrett innført, 9 Kontaktregister opprettet, 29 Varsel skal sendes til varslingsadresse i kontakt- og reservasjonsregisteret (e-post eller mobilnummer) Ekstra varsling hvis ikke åpnet innen en uke, 8 femte ledd Ingen automatisk papirutsendelse Klarere sikkerhetsbestemmelse - 15 Krav til internkontroll tilpasset risikoen

eforvaltningsforskriften kapittel 7 Kontakt- og reservasjonsregisteret Innhold, 32 Fødselsnummer eller D-nummer E-postadresse og mobilnummer Eventuell reservasjon Valgt postkasse og sertifikater Eventuelle fullmaktsforhold Bruk, 29 Kan brukes til varsling, saksbehandling og andre forvaltningsoppgaver Merk: Fødselsnummer er nødvendig Oppdatering, 32-34 Basert på ID-portens kontaktregister, registrert av innbyggeren Innbygger kan oppdatere eller slette opplysningene Vask mot folkeregisteret 3,4 mill. registrerte, ca 1 % reserverte

Hva kan man reservere seg mot?

Meldinger med betydning for rettsstilling. Enkeltvedtak Forhåndsvarsel (forvaltningsloven 16) Meldinger av særlig betydning å sikre at vedkommende mottar.

Må jeg på nett for å reservere meg? Må man logge inn på en elektroniske tjeneste for å reservere seg mot kommunikasjon på nett? Ring grønt nummer: 800 30 300 Krever kun fødselsnummer Kan gjøre det på nett www.norge.no

OVERGANGSREGLER OG INFORMASJON TIL DEN REGISTRERTE

Varslingsplikt etter 8 Innhold og omfang av varslingsplikten er ikke endret Forvaltningsorganet skal sørge for at parten blir varslet om at enkeltvedtak er fattet og om hvor og hvordan vedkommende kan skaffe seg kunnskap om innholdet. Det som gjelder enkeltvedtak gjelder tilsvarende for Forhåndsvarsel etter forvaltningsloven 16 For andre meldinger som har betydning for vedkommendes rettsstilling eller for behandlingen av saken og For meldinger som det av andre grunner er av særlig betydning å sikre at vedkommende mottar

Nytt vedrørende varsling i 8 For privatpersoner skal den varslingsadresse som er registrert i register over digital kontaktinformasjon og reservasjon benyttes. Alle forvaltningsorganer skal benytte den kontaktinformasjonen som er registrert i register over digital kontaktinformasjon og reservasjon til å sende varsel senest fra 1.januar 2016 ( 37(1)). For enheter registrert i Enhetsregisteret skal en oppdatert elektronisk adresse som enheten har oppgitt benyttes for å sende varsel

Nytt vedrørende varsling i 8 Gjentatt varsling én gang Har parten ikke skaffet seg tilgang til enkeltvedtaket innen én uke fra det tidspunktet vedtaket ble gjort tilgjengelig, og varsel ble sendt, skal parten varsles en gang til i samsvar med nr (2)

Overgangsbestemmelse 37 Avgjørende når forvaltningsorganet kobler seg til kontakt- og reservasjonsregisteret Før tilkobling: må ha samtykke og egen varslingsadresse Etter tilkobling: Kan kommunisere digitalt med alle som ikke har status «reservert» i dette registeret Må bruke varslingsdressene i kontaktregisteret Må koble seg opp innen 1.1.2016

Info til de registrerte Informasjonsplikt etter 38 (2) Formål: informere de som er registrert i IDportens kontaktregister om ny bruk av deres e-post adresse og mobilnummer Tilleggsinformasjon: Reservasjonsadgang Kanal: Informasjon ved innlogging til 30.4.14 Sendt e-post og SMS til de som ikke har logget inn i perioden Brev på papir når vi både får feilmelding på e-post og ikke får levert SMS

Alle statlige forvaltningsorganer som sender post på papir til innbyggere skal innen 1.7.2015, i samråd med Difi, lage en plan for overgang til løsning for digital postkasse innen første kvartal 2016.

Frist for å ta i bruk kontakt- og reservasjonsregisteret er 1.1.2016 tidligere innhentede samtykker er ugyldige etter dette.

DE GRUNNLEGGENDE RAMMER

Efvf 15 (tidligere 13) Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi). Disse skal danne grunnlaget for forvaltningsorganets internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Sikkerhetsstrategien og internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks.

Efvf 15 (forts.) Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Det organet departementet peker ut skal gi anbefalinger på området. Omfang og innretning på internkontrollen skal være tilpasset risiko I den utstrekning det er relevant skal (som gml.)

Referansekatalogen 4.1 fra Difi Pkt. 2.16 Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av styringssystem for informasjonssikkerhet. I arbeidet med å implementere relevante tiltak (kontroller) anbefales det å følge strukturen i vedlegg A i ISO/IEC 27001:2013 og innholdsmessig støtte seg på ISO/ IEC 27002:2013. Dersom en virksomhet allerede har et operativt styringssystem på andre områder (f.eks. i relasjon til ISO 9001, ISO 14001, HMS eller mål- og resultatstyring), vil det i de fleste tilfeller være mest hensiktsmessig å oppfylle kravene i ISO/IEC 27001:2013 innenfor rammene av det eksisterende styringssystemet.

Referansekatalogen 4.1 fra Difi Pkt. 2.16 Det presiseres at lov- og regelverkskrav kan være mer omfattende enn krav og anbefalinger som uttrykkelig er inntatt i de ovennevnte standardene. Den enkelte virksomhet må derfor som en del av arbeidet tilknyttet styringssystem for informasjonssikkerhet identifisere og etterleve de lov- og regelverkskrav som gjelder for dem. (+ anbefalinger om overgang fra 2005-versjon til 2013- versjon av standarden)

Relevant regelverk med krav til informasjonssikkerhet Forvaltningsloven taushetsplikt, forsvarlig saksbehandling Personopplysningsloven Arkivloven Sikkerhetsloven Beskyttelsesinstruksen Esignaturloven Særlover eks. helseregisterloven

Forvaltningsloven 13 taushetsplikt: enhver hindre andre.. adgang kjennskap det han får vite om personlige forhold /konkurransemessig betydning 13c oppbevares på betryggende måte

Informasjonssikkerhet, pol 13 13. Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd. Kongen kan gi forskrift om informasjonssikkerhet ved behandling av personopplysninger, herunder nærmere regler om organisatoriske og tekniske sikkerhetstiltak.

Personopplysningsloven Tilfredsstillende informasjonssikkerhet, 13 Tiltakene skal stå i forhold til sannsynlighet for og konsekvens av sikkerhetsbrudd, pof 2-1 Tiltak pålegges hvis er nødvendig, pof 2-11 til 2-13, dog: fnr i særstilling pof 9-2 Internkontroll som er nødvendig, 14 tilpasses virksomhetens størrelse, pof 3-1 Prosesskrav - planmessig, systematisk Risikovurdering, 2-4, sikkerhetsrevisjon, 2-5 Dokumentert Sikkerhetsmål, -strategi, 2-3, rutiner, 2-16 mfl

Arkivlova 6: «arkiv innretta slik at dokumenta er tryggja som informasjonskjelder for samtid og ettertid» 9 Kassasjon «Kan ikkje førast ut or landet» Forskrifta 4-1 «Arkivlokala vern mot vatn og fukt, mot brann og skadeleg varme, mot skadeleg påverknad frå klima og miljø og mot skadeverk, innbrot og ulovleg tilgjenge.»

Kort om sikkerhetsloven Formål, jf. 1 motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser Gradering, 11 STRENGT HEMMELIG/ HEMMELIG/ KONFIDENSIELT/ BEGRENSET Skade hvis informasjonen kommer på avveie (ref. 1) Gradering, 17a MEGET KRITISK / KRITISK / VIKTIG Skade hvis funksjonssvikt/rettstridig overtakelse Streng need-to-know, 12 NSM-godkjenning av informasjonssystemer, 13, m.v. Forskrifter Informasjonssikkerhetsforskrift m.v. med detaljerte sikringsregler Objektsikkerhetsforskriften

Kort om beskyttelsesinstruksen Instruks for statsforvaltningen Gradering ( 2) STRENGT FORTROLIG eller FORTROLIG Vurderingstema ( 4) skade/betydelig skade mht. offentlige interesser, en bedrift, en institusjon eller en enkeltperson at dokumentets innhold blir kjent for uvedkommende Konsekvenser Strengt need-to-know-prinsipp, 7 personlig ansvar Elektronisk behandling så langt det passer ihht. deler av informasjonssikkerhetsforskriften etter sikkerhetsloven, jf. 12

Merk: flere kryssende regelverk om konfidensialitet ER OFFENTLIG Saksdokument, offhl 3 MEROFF. 11/ TAUSHETSRETT (kan unntas, offhl kap 3) Personopplysninger TAUSHETSPLIKT offhl 13, eks. personlig forhold, fvl 13 (m presiseringer i fvl 13a flg) Sensitive p.o. Gradert, sikklov/b.i

Rettslige krav til informasjonssikkerhet oppsummering av hovedkrav «Tilfredsstillende», pol 13 «Tilpasset risiko», efvf 15 Risikovurdering, jf. bl.a. pof 2-4, avgjørende Jf. økonomiregelverkets krav om tilfredsstillende internkontroll Prosesskrav: Sikkerhetsstrategi (pol 13, efvf 15) skal finnes

HVA BETYR DET I PRAKSIS?

Kommunikasjon til innbygger utenom digital postkasse? Vurder sikkerhetsbehovet Tilfredsstillende sikring på annen måte Annet egnet informasjonssystem Kryptert e-post Meldinger med begrenset behov for konfidensialitet, tilgjengelighets og integritet Servicemeldinger Ikke taushetsplikt Men merk: enkeltvedtak m.v. må gå på papir til den som har reservert seg enkelte særregler om kommunikasjonsform Pof 10-2, offhf 7 (internettpublisering)

Hva med digital kommunikasjon til forvaltningen? Enhver kan kommunisere elektronisk med forvaltningsorganet, hvis Forvaltningsorganet har lagt til rette for det Det skjer på den anviste måten Og ikke annet følger av lov eller forskrift Jf. fvl 15a annet ledd Forvaltningsorganet kan sette krav Forvaltningsorganet må forebygge konfidensialitetssvikt og veilede om restrisiko, efv 5 Forvaltningsorganet skal gi automatisk bekreftelse på mottaket, 6

SPØRSMÅL?

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding