Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Krav til sikring av personopplysninger Prof. Dag Wiese Schartum, AFIN.

PublisertTore Evensen Endret for 8 år siden

Liknende presentasjoner

Presentasjon om: "Krav til sikring av personopplysninger Prof. Dag Wiese Schartum, AFIN."— Utskrift av presentasjonen:

1

2 Krav til sikring av personopplysninger Prof. Dag Wiese Schartum, AFIN

3 Data: Formalisert representasjon av informasjon i en form som er egnet for overføring, tolkning og behandling (manuelt eller automatisk) Informasjon: Kunnskap om objekter (fakta, prosesser, begreper mv) som i en viss sammenheng har en spesiell mening. Opplysning: “Små biter informasjon”, mer eller mindre formalisert (kan ofte relateres til en fysisk eller juridisk person) “Datasikkerhet”, “informasjonssikkerhet” og “sikring av personopplysninger” brukes ofte om hverandre uten at ordbruken alltid er klart begrunnet Temaet her er “sikring av personopplysninger”, og dette må relateres til “data-” og “informasjonssikkerhet” “data”, “informasjon”, “opplysninger” Innledende kommentar I: “data”, “informasjon”, “opplysninger”

4 “sikring”, “sikkerhet” (av/for data”, “informasjon”, “opplysninger”) Innledende kommentar II: “sikring”, “sikkerhet” (av/for data”, “informasjon”, “opplysninger”) “Sikring” og “sikkerhet” (mot hva?) –Mot brudd på fastsatte normer (rettslige, faglige, sosiale). –Her: Vekt på ivaretakelse av kravene i pol § 13 og pof kapittel 2 (og generelt rettslige normer vedrørende informasjonssikkerhet) “Sikring” og “sikkerhet” (i relasjon til/hva kan normene gjelde?) –I utgangspunktet kan enhver norm “sikres” –Spesielt aktuelt: konfidensialitet, tilgjengelighet, integritet –Også aktuelt: identitet, autensitet, kvalitet, rettslig grunnlag, rettigheter og lovmessighet ellers “Sikring” og “sikkerhet” (hvordan - hva slags tiltak?) –Organisatoriske –Tekniske/teknologiske –Fysiske –Rettslige Forholdet til andre regelverk om informasjonssikkerhet

5 Forholdet mellom kravene til sikring og internkontroll Felles krav til informasjonssikkerhet og internkontroll, pol §§ 13 og 14 –Tiltak skal være Planlagte Systematiske Dokumenterte –Dokumentasjonen skal være tilgjengelig for Alle aktuelle medarbeidere Tilsynsmyndigheter Mulig å se informasjonssikkerhet som et særskilt område av internkontrollen

6 Krav til informasjonssikkerhet etter pol § 13 Bestemmelsen i § 13 gjelder både behandlingansvarlig og data- behandler og utgjør ramme for hva som kan bestemmes i forskrift Arbeidet med informasjonssikkerhet skal omfatte –Konfidensialitet –Integritet –Tilgjengelighet Informsjonssikkerheten skal være “tilfredsstillende”, jf pol § 13 –Vurderingen gjelder hvor ekstensive (omfattende) tiltakene skal være –og hvor intensive/strenge tiltakene skal være § 13 innebærer krav om konkret vurdering av hver behandling –Forskriften stiller opp noen materielle minstkrav mv –Forskriften stiller opp krav til organisering mv av sikkerhetsarbeidet –Forskriften stiller opp krav til framgangsmåter for sikkerhetsarbeidet –Forskriftens krav må vurderes ift hva som konkret er “tilfredsstillende”

7 Krav til organisering mv av sikkerhetsarbeidet Aktuelle roller: Behandlingsansvarlig, databehandler, daglig leder, daglig ansvarlig person, sikkerhetsrevisor, stedlig repesentant, personvernombud Den daglige ledelsen for den behandlingsansvarliges virksomhet skal ha (daglig) ansvar for etterlevelse av sikkerhetsbestemmelsene (§ 2-3, 1) Det skal etableres klare ansvars- og myndighetsforhold vedrørende bruk av informasjonssystemet (§ 2-7, 1) Bruk av sikkerhetsmessig betydning skal følge faste rutiner (§ 2-7, 5) IS skal konfigureres slik at tilfredsstillende sikkerhet oppnås (§ 2-7, 3) Ansvar- og myndighetsforhold samt konfigurasjon av systemet skal dokumenteres (§ 2-7, 2 og 4) Sikkerhetsdokumentasjonen etter § 2-7 må bare endres på måter som er autorisert av (sikkerhets)ledelsen. Personell skal bare utføre pålagte oppgaver de er autoriserte for (§ 2-8) Personell skal ha nødvendig kunnskap om bruk i hht autorisasjon og rutiner (§ 2-8)

8 Krav til fremgangsmåter i sikkerhetsarbeidet –Stiller krav til etablering av sikkerhetsmål og -strategi (§ 2-3, 2 flg) Formål og overordnede føringer for bruk av IKT skal inngå Valg og prioriteringer i sikkerhetsarbeidet skal beskrives –Stiller krav til gjennomføring av risikovurdering (§ 2-4) “Vurdering” og ikke nødvendigvis “analyse” Vurderingen skal skje ift egne kriterier for akseptabel risiko og/eller ift pålegg som Datatilsynet har gitt, jf § 2-2 Skal vurdere hva den antatte risikoen er Forskriften gir ikke anvisning på spesielle metoder mv for risikovurdering, jf dog NS 5814 “Krav til sikkerhetsanalyser” Forskjellen mellom antatt og akseptabel risiko skal utlignes ved hjelp av sikkerhetstiltak Risikovurdering skal gjentas ved relevante endringer Resultatene av risikovurderingen skal dokumenteres

9 Forskriftens materielle krav til informasjonssikkerhet Krav til sikring forutsetter mulig “personverntap” ! (til tross for § 2-1, 1) Tiltakene skal stå i forhold til sannsynligheten for og konsekvenser av “sikkerhetsbrudd” (§ 2-1, 2), jf krav til risikovurdering (§ 2-4) Konkretiserer krav til: –Fysisk sikring (§ 2-10) –Konfidensialitet (§ 2-11) –Tilgjengelighet (§ 2-12) –Integritet (§ 2-13) –Sporbarhet, ikke-manipulering og automatisering (§ 2-14) –Krav til kvalitet ved overføring av personopplysninger (§ 2-15) –Datatilsynet kan gi pålegg om sikring (§ 2-2, jf pol §§ 46 og 47)

Laste ned ppt "Krav til sikring av personopplysninger Prof. Dag Wiese Schartum, AFIN."

Liknende presentasjoner

Personopplysningsloven: -innhold, styrker og svakheter

Personopplysningsloven: -innhold, styrker og svakheter
Astrid Øksenvåg Rådgiver EKOR AS

Astrid Øksenvåg Rådgiver EKOR AS
Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt

Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt
Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.

Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.
Eksempler på Rettskildestudier (“annen rettskildeforskning”) Dag Wiese Schartum, AFIN.

Eksempler på Rettskildestudier (“annen rettskildeforskning”) Dag Wiese Schartum, AFIN.
Om myndigheter som har med ivaretakelse av personvern å gjøre Dag Wiese Schartum, AFIN.

Om myndigheter som har med ivaretakelse av personvern å gjøre Dag Wiese Schartum, AFIN.
Rettslig regulering av identitet og identifisering i Norge Dag Wiese Schartum, AFIN.

Rettslig regulering av identitet og identifisering i Norge Dag Wiese Schartum, AFIN.
Prof. Dag Wiese Schartum, AFIN

Prof. Dag Wiese Schartum, AFIN
Personopplysningslovens formål, grunnbegreper og virkeområde

Personopplysningslovens formål, grunnbegreper og virkeområde
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)

Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)
Jus som ramme for beslutningssystemer i forvaltningen Aktøranalyse og systemavgrensing Dag Wiese Schartum.

Jus som ramme for beslutningssystemer i forvaltningen Aktøranalyse og systemavgrensing Dag Wiese Schartum.
Personopplysningslovens formål og grunnleggende begreper

Personopplysningslovens formål og grunnleggende begreper
Om forholdet mellom rettssikkerhet og personvern i elektronisk forvaltning Dag Wiese Schartum, AFIN.

Om forholdet mellom rettssikkerhet og personvern i elektronisk forvaltning Dag Wiese Schartum, AFIN.
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen

Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen
Informasjonssikkerhet

Informasjonssikkerhet
Presentasjon av UiOs mal for databehandleravtale, bruk av malen og oppfølging av arbeidet med behandlinger av personopplysninger.

Presentasjon av UiOs mal for databehandleravtale, bruk av malen og oppfølging av arbeidet med behandlinger av personopplysninger.
Instruktørkurs for kommuner Ansvar og avtaler (45 min)

Instruktørkurs for kommuner Ansvar og avtaler (45 min)
Dag Wiese Schartum, AFIN

Dag Wiese Schartum, AFIN

Liknende presentasjoner

Annonser fra Google