Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, 20041 Datalovgivning og datasikkerhet Lover og forskrifter for personopplysninger Krav.

Liknende presentasjoner


Presentasjon om: "HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, 20041 Datalovgivning og datasikkerhet Lover og forskrifter for personopplysninger Krav."— Utskrift av presentasjonen:

1 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Lover og forskrifter for personopplysninger Krav til informasjonssikkerhet, taushetsplikt Håndtering av copyright ved publisering Etiske normer og holdninger Læreboka: Kap 4 IT,samfunnet og lovverket

2 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet OECD retningslinjer for sikkerhet i informasjonssystemer og nettverk Alle aktører som bruker nettverk og datasystemer må: 1.Bevisstgjøres på behovet for å sikre informasjonssystemer og nettverk og hva de kan gjøre for å forbedre sikkerheten 2.Være ansvarlige for sikkerheten til infosystemer og nettverk 3.Reagere raskt på en samarbeidsrettet måte for å forebygge, oppdage og reagere på sikkerhetshendelser 4.Respektere andre aktørers rettmessige interesser 5.Ivareta sikkerheten til informasjonssystemer innenfor grunnleggende verdier i et demokratisk samfunn 6.Gjennomføre risikovurderinger 7.Gjøre sikkerheten til en integrert del av infosystemer og nettverk 8.Innføre en helhetlig tilnærming til sikkerhetsadministrasjon 9.Løpende gjennomgå og vurdere sikkerheten og iverksette tiltak OECD 1037, 25. juli 2002

3 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Lovverket er viktig Det er viktig å kjenne til hva som er gjeldende lover og regler innenfor IKT-området Vi skal spesielt se på: Personopplysningsloven og Datatilsynet Regler for informasjons lagring og formidling Sikkerhetsbegreper og sikkerhetsansvar Ansvar for virksomheten og for den enkelte medarbeider Taushetsplikt og ”None disclousure agreements” Åndsverkloven og forholdene rundt copyright Redaktørplakaten og web-hosting Holdninger til datasikkerhet

4 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Tilgang til informasjon Det kan oppnås mange gevinster ved tilgang til informasjon der du trenger den og når du trenger den Vi må sørge for tilfredsstillende sikkerhet i løsningene slik at gjeldende lover og forskrifter følges Det må foreligge en sikkerhetsdokumentasjon Det må være pålitelige og stabile tjenester Det må være enkelt å finne riktig informasjon Brukene må oppleve dette som effektive verktøy Sikkerhetstiltak kan bli sett på som et ”nødvendig onde” som det er nødvendig for brukeren å forholde seg til

5 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Personopplysningsloven (Lov om behandling av personopplysninger av nr 31) Formålet er å beskytte den enkelte mot at personvernet blir krenket ved behandling av personopplysninger Loven gjelder for virksomheter som behandler opplysninger om fysiske personer Loven tar hensyn til den enkeltes rett til å bestemme over opplysninger som gjelder ham eller henne (Individfilosofi) Loven er basert på EU-direktiv om felles regler for å sikre betryggende fri informasjonsflyt Loven vektlegger systemer og rutiner dvs generelle opplegg for behandling av personopplysninger

6 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Personvern - begreper Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson Behandling av personopplysninger: enhver bruk av person- opplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter Personregister: registre, fortegnelser mv. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen Behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes Databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige Sensitive personopplysninger: opplysninger om a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger.

7 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Personopplysningsforskriften (av ) Sikkerhetsbestemmelsene i forskriften gir mange overordnede føringer for hvordan sikkerheten med hensyn til konfidensialitet, integritet og tilgjengelighet i elektroniske journaler skal tilfredsstilles: § 2-1. Forholdsmessige krav om sikring av personopplysninger Reglene i dette kapittelet gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet er nødvendig å sikre konfidensialitet, tilgjengelighet og integritet for opplysningene. Der slik fare er til stede skal de planlagte og systematiske tiltakene som treffes i medhold av forskriften, stå i forhold til sannsynligheten for og konsekvens av sikkerhetsbrudd. § 2-2. Pålegg fra Datatilsynet Datatilsynet kan gi pålegg om sikring av personopplysninger og herunder fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. § 2-3. Sikkerhetsledelse Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene i dette kapittelet følges.

8 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Sikkerhetsansvar Behandlingsansvarlige, internt ansvar: Tilfredsstillende informasjonssikkerhet Planlagte og systematiske tiltak (må være dokumentert) Det skal gjøres en risikovurdering, og ansvar og rutiner skal være beskrevet i sikkerhetsdokumentasjonen Behandlingsansvarlige, ansvar overfor andre virksomheter / samarbeidspartnere: At partene tilfredsstiller sikkerhetsbestemmelsene Skal avtalefeste ansvar og oppgaver for sikkerhet Elektronisk overføring kun til parter som oppfyller sikkerhetsforskriftene Behandlingsansvarlige har ansvar overfor Datatilsynet

9 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Datatilsynet Datatilsynet ble etablert 1. januar Datatilsynet er et uavhengig forvaltningsorgan administrativ underlagt Kongen og departementet. Datatilsynet skal føre en offentlig liste over alle behandlinger som er meldt eller som har konsesjon. Vidare skal tilsynet behandle konsesjoner og vurdere å gi pålegg. Datatilsynet skal informere og gi råd i forhold til personvernet generelt og farer for personvernet spesielt, hjelpe bransjene med å utarbeide egne normer for atferd samt gi råd om sikring av personopplysninger. Se nærmere på web-sidene:

10 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Melde- og konsesjonsplikt Hovedregelen er at behandling av personopplysninger er meldepliktig til Datatilsynet etter personopplysningsloven Personopplysninger: opplysninger og vurderinger som kan knyttes til en enkeltperson Behandling av personopplysninger: enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av disse Meldeplikt: Den behandlingsansvarliges meldeplikt er regulert i personopplysningsloven § 31 Behandling av sensitive opplysninger er imidlertid gjort konsesjonspliktig. Sensitive personopplysninger: Blant annet opplysninger om helse, rase, tro, politisk tilhørighet, straffbare handlinger, seksuelle forhold. Konsesjonsplikt: Den behandlingsansvarliges konsesjonsplikt er regulert i personopplysningsloven § 33.

11 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Datatilsynet og sikkerhetsgodkjenning Datatilsynet har ikke ansvar for sikkerhetsgodkjenning, men det skal søkes om konsesjon Sikkerhetsansvarlige skal sende melding til Datatilsynet der det dokumenteres at sikkerhetstiltak er iverksatt Sikkerhetsdokumentasjonen blir gjennomgått ved konsesjonssøknader (del av konsesjonen) Datatilsynet skal ut i fra opplysninger innsamlet fra meldinger, konsesjoner og annet kontrollere at: Virksomheten har oppgitt at forskriftene etterleves Brudd medfører at ledelsen stilles til ansvar Unntak fra konsesjonsplikten er offentlig myndighet hjemlet i særlover

12 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Sikkerhetsdefinisjon Det må iverksettes tiltak for å etablere en tilfredsstillende informasjonssikkerhet for å: Motvirke fare for tap av liv og helse Beskytte i forhold til personlig integritet Beholde anseelse (ikke miste tillit) Begrense økonomiske tap Ved slik fare skal planlagte og systematiske tiltak stå i forhold til risiko, og en må ivareta hensynet til: Konfidensialitet Integritet Tilgjengelighet Tiltakene består av styringssystem (kvalitetssystem) og sikkerhetstiltak (teknisk utstyr) som er dokumentert

13 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Risikovurdering Trinn 1: Opplysningene må kartlegges Behandlingsopplysninger (feks. formål) Hjemmelsgrunnlag (feks. Lover som stiller krav) Type opplysninger (feks. sensitive opplysninger) Antall (størrelse på registeret) Personkonsekvensen må klassifiseres Det må angis hvor viktig sikkerheten er, og konsekvens ved brudd på sikkerhet Trinn 2: Fastlegge akseptabel risiko Virksomheten må vurdere dette og bestemme ”hvor lista skal legges”, og Datatilsynet kan ved behov delta i dette Trinn 3: Gjennomføre risikovurdering for de operasjoner som utføres (sannsynlighet x konsekvens) Dette sees i sammenheng med forhold til liv/helse, økonomi, anseelse/integritet, opprettelige skader osv. Trinn 4: Sammenligne resultatene og iverksette tiltak for å komme innenfor akseptabel risiko Dette må vurderes for hver enkelt operasjon/aktivitet Kilde: Datatilsynet

14 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Sikkerhetstiltak (i henhold til Personopplysningsforskriften) Avhengig av hvor sikkerhetsnivået defineres skal det iverksettes sikkerhetstiltak for å: Tilfredsstille risikovurderingen §2-4 Sikkerhetsrevisjon skal gjennomføres jevnlig §2-5 Oppdage avvik, og uautorisert bruk §2-6 Tilfredsstille konfigurasjonen §2-7 Autorisasjons mekanismer for personell §2-8 Fysiske tiltak mot uautoriserte § 2-10 Konfidensialitet inkludert kryptering, sletting mv. §2-11 Tilgjengelighet inkludert backup og alternativ drift §2-12 Integritet inkludert ødeleggende programvare §2-13 Tiltak som det ikke er mulig å omgå §2-14 Parters og leverandørers tiltak § 2-15

15 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Styringssystemet (i henhold til Personopplysningsforskriften) Det skal utarbeides styrende dokumenter som Angir ansvar, mål, strategi § 2-3 Etablerer klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører § 2-15 Det skal etableres klare ansvars- og myndighetsforhold som ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder § 2-7 Gjennomførende dokumenter fastlegger: Autorisere kompetent personell med nødvendig kunnskap § 2-8 Medarbeidere pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig dette skal også omfatte annen informasjon med betydning for informasjonssikkerheten Kontrollerende dokumenter: Ledelsens gjennomgang § 2-3 Sikkerhetsrevisjon gjøres jevnlig § 2-5 Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse. Avviksbrudd meldes til Datatilsynet § 2-6 Risikovurderinger gjennomføres ved endringer av betydning for informasjonssikkerheten §2-4 Dokumentasjon Dokumentasjon skal lagres i minst 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder (dette gjelder også logger fra brannmurer og innbruddsovervåkning)

16 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Ledelsens ansvar At de personopplysninger virksomheten behandler er tilfredsstillende sikret At det utarbeides sikkerhets mål Utarbeide en strategi for å oppnå sikkerhetsmålene Utarbeide oversikt over de personopplysninger virksomheten behandler – dette skal beskrive: Innhold, angivelse av omfang, hvor opplysningene befinner seg i informasjonssystemet og klassifisering Det skal gjennomføres risikoanalyser med vurdering av trusler: Som trussel skal også regnes muligheter for temperaturpåvirkning, vanninntrenging, mekanisk påvirkning og elektromagnetisk påvirkning – sammen med menneskelige feil, feil ved utstyr eller programvare mv.

17 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Egenkontroll Det skal gjennomføres årlig egenkontroll av virksomhetens informasjonssystem og arbeidet med informasjonssikkerhet for å kontrollere at besluttet sikkerhetsstrategi etterleves Ved slik revisjon skal virksomheten selv kontrollere at: Beskrevne ansvars- og myndighetsforhold er i samsvar med de virkelige forhold Beskrevne arbeidsoppgaver er i samsvar med de oppgaver som utføres i praksis Rutiner benyttes og fungerer etter sin hensikt Planlagte sikkerhetstiltak er iverksatt og fungerer etter sin hensikt

18 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Konfigurasjonskontroll Informasjonssystemet skal konfigureres slik at tilfredsstillende sikkerhet oppnås Det skal utarbeides oversikt over konfigurasjon i form av kart som angir: Koblinger mellom utstyr og program Kommunikasjonspunkt for ekstern overføring Det skal utarbeides beskrivelse av utstyr / program: Utstyrets eller programmets navn eller modellbetegnelse, og serienummer eller versjonsnummer Opplysninger om oppsett og innstillinger av utstyr/program Historikk om når utstyret/programmet ble tatt i bruk Opplysninger om vedlikehold, skade, funksjonsfeil, reparasjoner

19 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Tekniske rutiner Arbeidet med informasjonssystemet og bruk, drift og vedlikehold av det enkelte utstyr eller program, skal utføres i henhold til fastlagte rutiner Rutinene skal angi ansvar og myndighet for utførelse av en oppgave, og være detaljert nok til at oppgaven utføres likt hver gang den repeteres Forøvrig skal detaljeringsgraden være tilpasset virksomhetens behov Alt servicepersonell skal informeres om vilkårene for informasjonssikkerhet og underskrive taushetserklæring. Det skal informeres om taushetspliktens omfang og varighet, og om konsekvenser dersom den brytes

20 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Avviksbehandling Avvik, som for eksempel brudd på informasjons- sikkerheten, oppgaver utført i strid med rutiner eller skade på utstyr eller program, skal behandles i henhold til rutine for avviksbehandling som minst omfatter: Retningslinjer for beskrivelse og rapportering av avvik Retningslinjer for iverksetting av strakstiltak og korrigerende tiltak Krav om evaluering av de korrigerende tiltakenes effekt Beskrivelse av ansvar og myndighet Ved brudd på informasjonssikkerheten som har medført uautorisert utlevering av sensitive person opplysninger, eller ved mistanke om slik utlevering, skal avviket meddeles Datatilsynet

21 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Personellsikkerhet Kompetansekrav : Alle medarbeidere som bruker, administrerer, vedlikeholder eller utvikler informasjonssystemene eller på annen måte påvirker informasjonssikkerheten, skal ha nødvendig kompetanse til å utføre pålagte oppgaver Kompetanse skal vedlikeholdes og utvikles gjennom planmessig etterutdanning Medarbeidere skal kunne dokumentere nødvendig kompetanse relevant for den teknologi som benyttes Autorisasjon: Adgang til områder og utstyr og tilgang til soner, data og program skal autoriseres i henhold til autorisasjonsrutine Det skal bare gis adgang eller tilgang i den grad det er nødvendig for å utføre pålagte oppgaver

22 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Krav til delte edb-system Et edb-system regnes som ”delt”, hvis det inneholder personopplysninger, og edb-systemet kan være tilgjengelig for uvedkommende Eksempel: Helsevesenet I sykehus/helseinstitusjoner/kommunale helse- og sosial- avdelinger, lagres det personopplysninger Medisinsk personell kan ha tilgang til denne informasjonen, men det er forutsatt ”need-to-know”-prinsippet Administrativt og teknisk personell kan benytte det samme edb- systemet – men disse skal ikke gis tilgang til slik info Dette forutsetter at det iverksettes sikkerhets tiltak og brannmurs-løsninger for å forhindre tilgang til informasjon ”Uvedkommende skal ikke kunne få tilgang til, eller kunne endre den sensitive informasjonen”

23 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Hvem er uvedkommende ? Som uvedkommende regnes enhver som ikke har lovlig tilgang til personopplysningene i henhold til gjeldende taushetsplikt regler Eksempel: Helsevesenet Medisinsk taushetsplikt er definert i Legeloven Den nødvendige informasjon kan gis til legens medhjelper (andre leger, sykepleiere, medisinsk personell) Dette er således selektert info (ikke all informasjon som er tilgjengelig om pasienten) – ivaretas av den enkelte Alle opplysninger som registreres skal signeres Opplysninger skal ikke kunne endres eller slettes (det er bare tillatt med tilføyelser som retter opp feilaktig info)

24 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Taushetserklæringer Det er ikke bare innen helsevesenet at det er viktig med taushetsplikt, også innenfor bedrifter og ved deltagelse i utviklingsprosjekter stilles det slike krav Non-disclosure Agreement: En taushetserklæring som alle medarbeidere i et prosjekt må undertegne. Stadfester at alle opplysninger om prosjektet skal hemmeligholdes, dette omfatter ideer, løsninger, knowhow, datakode, produktplaner, finansielle planer, strategier, navn på personer/partnere i prosjektet mv Hemmeligholdelsen har ingen tidsbegrensning, og gjelder også etter at prosjektet er avsluttet Taushetserklæringer må også undertegnes av drifts- personell som får tilgang til bedrifts sensitiv informasjon, og eller skal arbeide med sikkerhet i datanett og sensitive personopplysninger

25 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Åndsverkloven Det er fastsatt klare regler for åndsverk som bla skriftlige publikasjoner (bøker, læremateriell, artikler), kunstverk, fotografier, musikk komposisjon og fremføring, video og filmproduksjon, kartdata mm. Copyright regler innebærer at det må inngås en kontrakt med rettighetshaver om bruk/gjengivelse Det er forbundet med et straffeansvar og erstatningsansvar dersom disse regler brytes Reglene har betydning også innen digitale medier: CD-ROM produksjoner WEB-presentasjoner Interaktive systemer Annen spredning i digital form

26 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Håndtering av copyright Dersom du har behov for å benytte materiale som er forbundet med copyright, forutsettes det at du inngår avtale med rettighetshaver (TONO, LINO mfl.) Du må betale for den aktuelle bruken, og oppgi aktuelt lisensnummer Vær derfor spesielt oppmerksom dersom du: Skal lage en web-side og ønsker å bruke et bilde, animasjon, videosnutt, musikk-klipp ol på din web-side Skal lage en CD-ROM med et tilsvarende innhold Drøft problemstillingen med din oppdragsgiver, og drøft hvilke økonomiske rammer som er aktuelle for kjøp av nødvendige rettigheter Husk at såvel produsent som utgiver kan rammes ved overtredelse og brudd på eventuell copyright

27 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Redaktørplakaten Enhver utgivelse av publikasjon som avis, tidsskrift, radio, nyhetsformidling, web-sider/web-portal mv forutsetter en ansvarlig redaktør som utgiver Redaktørenes ”vær-varsom-plakat” fastsetter visse etiske regler og retningslinjer som en plikter å følge Disse omfatter bla hensynet til personvernet, kilde-vern, saklighet, ikke utilbørlig uthenging av enkeltpersoner, unngå kobling av redaksjonell frihet og økonomiske avtaler/reklame, krav til å opptre i henhold til lover og forskrifter En web-master kan anses som redaktør, og kan rammes ved brudd på slike etiske regler

28 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Web-hosting Internet Service Providere som hoster web-sider, er også pålagt at gjeldende lover og forskrifter følges Dersom en kunde publiserer ulovlig materiell som feks barneporno, kan en få pålegg om å fjerne web-sidene som tilhører kunden Web-hosting vil normalt innebære en skriftlig avtale mellom provider og kunde, der slike forhold er regulert, og hvor det stilles krav til kundens forpliktelser Et web-byrå som utvikler web-sider for en kunde, kan også stilles til ansvar dersom det publiseres ulovlig materiell eller personvernet brytes

29 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Digital vannmerking Dersom du ønsker å beskytte dine elektroniske bilder og tegninger, kan du sørge for en digital merking av åndsverkene Digimarc er et system som lager et ”kodemønster” som overlagres billedinformasjonen Denne signaturen kan gjenkjennes også etter at bildet er trykket, og scannet, og finnes selv i en liten del av bildet I et bildebehandlings program kan du se at et bilde er elektronisk merket, via web ser du hvem som har copyright Sørg da for lisensiering av bruken

30 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Nå kan sjefen overvåke deg Nye dataprogram gjør sjefen i stand til å kontrollere alt du gjør på Internett og alt du skriver på e-post. Programmene snuser gjennom e-posten din og rapporterer til sjefen Programmene I-Gear og Mail-Gear har til oppgave å stanse unødig nettsurfing, hindre at bedriftshemmeligheter røpes eller laste ned pornografi Programmet kan lett stilles inn for systematisk overvåking av hva de ansatte i bedriften bruker PC-en til Såvel bedriftsleder som systemansvarlig må sette grenser for hvordan slike systemer skal benyttes i bedriften Det kan være er en vanskelig balanse i forhold til behov/ønsker og lovligheten

31 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Personvern Det er klare lover og regler som setter krav til personvern i forhold til datasystemer Systemansvarlige må også forholde seg til personvern i forhold til medarbeidere Du kan ikke drive ”overvåkning” Personlig informasjon skal være beskyttet, også det som lastes ned fra Internett er personlig, dette innebærer at er privat Hva kan da gjøres dersom ulovlige ting oppdages?

32 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet IKT-tekniske sikkerhetsområder Datasikkerhet må være et sentral tema innenfor mange IKT-faglige områder: Programvareutvikling – lage robuste bugfri program, digitalt signert Datanettverk – pålitelige systemer med sikker tilgang til nettverk Datakommunikasjon – sikker og pålitelig overføring av data Web-tjenester – virusfri, hackingsikre, lovlig informasjon – virusfri, sikker overføring av informasjon med kryptering E-handel – sikre og pålitelige betalingstjenester Mobilitet – sikre integrasjon og tilgang til systemer, men på en sikkerhetsmessig betryggende måte IKT-systemer – brukervennlige men samtidig sikre mot angrep

33 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Regelverk må følges Sørg for at du følger gjeldende lover og forskrifter Vær oppmerksom på Personopplysningsloven og registrering av personopplysninger og sensitive data Ivareta personsikkerheten Ivareta copyright og andre rettigheter Ikke publiser sjikanerende informasjon Personovervåkning er ikke tilatt Ha klare interne regler og prosedyrer Følg gjeldende taushetserklæringer Hold deg oppdatert om informasjon fra Datatilsynet

34 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Holdninger Datautstyr og informasjon kan ikke sikres mot alle former for misbruk Nødvendige sikkerhetstiltak og rutiner forutsettes iverksatt Alle involverte personer må følge innarbeidede normer og rutiner så langt de er beskrevet Sikkerhetstenkning må alltid være forankret ”i blodet” på den enkelte ansatte – se konsekvenser av handling Sunn fornuft og rutiner må danne grunnlag for den enkeltes holdninger - være ansvarlige medarbeidere Sikkerhetsbrudd representerer et tillitsbrudd Har du klare tanker og holdninger til dette ??

35 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet PERSONVERN PERSONDATA er opplysninger som direkte eller indirekte kan føres tilbake til identifiserbare enkeltpersoner.

36 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet PERSONVERN DATATEKNOLOGIEN FØRTE TIL rask lagring og gjenfinning av datamengder økonomisk overkommelig å bygge opp store personregistre mulig å knytte sammen opplysninger fra registre mulig å koble registre via datanett

37 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Personvern PERSONREGISTER: Samling av personopplysninger lagret systematisk. Kan inneholde: identifikasjonsopplysninger personalia, adresse, tlf. siv.stand etc. øk. oppl.: formue, inntekt, skatt etc. utdanning og yrkesbakgrunn helse -rase - religion - kriminelle handlinger

38 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Personvern SENSITIV INFORMASJON: Info som de fleste av oss misliker at andre får/har kjennskap til Litt avhengig av: hvem opplysningene blir gitt til mengden av opplysninger opplysningenes alder tilbakeføringsmuligheter

39 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Bruk og misbruk av personregistre: svindling og forveksling tilbud på varer og tjenester (pos/neg) personopplysninger på avveie kopling av registre (pos/neg) storebror ser deg (pos/neg)

40 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet EFFEKTIVITET OG PERSONVERN strafferegistre kan oppklare saker hurtig avsløring av skattesvindel forenkle offentlig arbeid - forenklet ligning gir mulighet for en rekke servicetiltak Men en avveiing mellom effektivitet og personvern er nødvendig.

41 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet LOV OM PERSONREGISTRE Utgangspunkt var frykt for overdreven offentlig kontroll og styring Spesielt ved den norske loven er at : personvernloven er teknologi-uavhengig personer oppfattes både som individer og som‘juridiske’ personer (selskaper, firmaer) begrenset til å gjelde innenfor privat og offentlig næringsvirksomhet og for foreninger og lag. Personlig bruk kommer ikke inn under loven.

42 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet KONSESJONSPLIKT Hovedregel: Må ha konsesjon for å opprette personregistre som gjør bruk av elektroniske hjelpemidler Manuelle registre som inneholder følsomme opplysninger må også ha konsesjon

43 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet FØLSOMME OPPLYSNINGER: rase, politisk eller religiøs oppfatning mistenkt, tiltalt eller dømt i straffesak helseforhold - misbruk av rusmidler seksuelle forhold familieforhold som slektskap, familie- status, forumuesordning mellom ekte- feller og forsørgelsesbyrde

44 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Gir retningslinjer om: hvilke typer oppl. registeret kan inneholde bruk av registeret begrensning av de mulige ulemper opprettelse og bruk av registeret kan medføre hvem som har ansvaret for at reglene blir fulgt

45 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet KONSESJONSPLIKT Unntak: foreningers medlemsregistre kunde- og leverandør registre advokatarkiver/registre manuelle registre hos leger/ tannleger, psykologer osv. personell-, lønnstakerregistre forlagenes personregistre dags- ukepressens personreg.. bibliotekvesenets registre

46 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet INNSYNSRETT Enhver registrert person har krav på å få se alle opplysninger som er lagret om seg selv. Retten gjelder: alle registre, offentlige og private som er datamaskin- baserte. (Unntak: opplysninger som må anses utilrådelig at vedkommende får kjennskap til av hensyn til helse eller forhold til nære personer) offentlige manuelle registre ansatte i private foretak - rett til å se personalreg. som også føres manuelt

47 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet gjelder ikke: visse registre til politiets bruk rikets sikkerhet registre som brukes utelukkende til: statistikk forskning planleggingsforhold

48 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Adresserings- og distribusjons-virksomhet har konsesjonsplikt (driver salg av adresser for utsending av reklame etc) Registrene skal ‘vaskes’ en gang for året. (likevel hender det at døde personer får postreklame)

49 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Behandle og avgjøre søknader om konsesjon Kontrollere at lover,forskrifter og regler for person- registre og bruk av personoppl. overholdes gi hjelp i saker som gjelder personvern være høringsorgan for saker som gjelder personoppl. Datatilsynes oppgaver

50 HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, Datalovgivning og datasikkerhet Datatilsynets aktivitet: Vurdere personregisterloven med tanke på om den er dekkende for bl.a.: bruk av interaktive system over datanett: - varebestilling, betaling, avtaler, adgangskontroll etc. forskning innenfor genteknologi -lagring av en persons gen-egenskaper nye områder som dukker opp


Laste ned ppt "HØGSKOLEN I AGDER Agder University College © Ask & Fensli, HiA, 20041 Datalovgivning og datasikkerhet Lover og forskrifter for personopplysninger Krav."

Liknende presentasjoner


Annonser fra Google