PERSONVERN til besvær i NAV? Senioringeniør Johan Braar Larsen, Datatilsynet Bodø

Innhold Innledning – Om personvern og dagens digitale samfunn – Om Datatilsynet og regelverk Utfordringer – lovverket – Ansvar, internkontroll og avtaler – Arkivering – Sikkerhet og Datasystemer – Tilgangsstyring og taushetsplikt Innspill om personvern i NAV basert på fra erfaringer fra Datatilsynet.

Hva er personvern? Beskyttelse om personlige konfidensialitet og integritet Individets rett og stilling i samfunnet Rett til å beslutte hvem man vil dele informasjon med En grunnleggende verdi på linje med menneskerettigheter – støttes dermed i person-opplysningsloven og annen lovgivning.

Hvem vil du dele dine egne opplysninger med, hva er din terskel for samtykke? Navn, adresse, telefon, kjønn Inntekt, formue, sivilstatus Fødselsnummer Vaner, adferd, holdninger Legning, rusvaner Helseplager, strafferegister Det private rom Indre tanker, intime detaljer Samtykke er det ideelle grunnkravet for å enhver behandling, dette supplerer lovpålagte regler – samtykker du til markedsføring???

Personvernutfordringer i dagens digitale samfunn: Den ”sentrale databasen” –Trusselen fra ”storebror ser deg ” er den klassiske årsak til at personvernlovgivning ble satt på agenden for 30 år siden. Elektroniske sporing av ”all din ferd” –Det elektroniske dagligliv danner spor som kan lagres, gjenfinnes og sammenstilles til å utgjøre en minst like stor trussel som basen med fakta om den enkelte. Elektroniske ”profiler” –Samlet gir dette muligheter til å danne profiler den enkelte utsettes for et maktovergrep han lite kan påvirke NAV har et så omfattende dataomfang at der gir trussel for profilering og maktovergrep mot svake grupper og personer i en utsatt situasjon.

Datatilsynets virkemidler Samfunnspåvirkning Råd og veiledning Tilsyn og sanksjon Saksbehandling (regulering / vilkår) Uavhengig forvaltingsorgan Leder Georg Apenes 30 faste stillinger Klageinstans er personvern-nemnda

Den behandlingsansvarlige Ansvarlig (fengsel, mulkt, erstatning) Bestemmer formål og hjelpemidler Har sikkerhetsansvar i egen virksomhet og ansvar leverandører og databehandlere Avtale om hva databehandlere mv. gjør Pliktregler overfor den registrerte Internkontroll er prinsippløsningen Ledelsen har ansvar for hvordan personvern ivaretas, i NAV er utfordringer ansvaret er hos 2/3 enheter (NAV / kommune /kontorleder).

Behandling: Enhver bruk av personopplysninger: –Innsamling og registrering (husk informasjon og samtykke) –Sammenstilling og lagring (ergen bruk av data) –Utlevering (til andre virksomheter eller personer) Opplysninger skal brukes til et uttrykkelig angitt formål som er sakelig begrunnet i virksomheten. - Formålet skal være klart i lov eller samtykket Data skal ikke senere brukes til andre formål uten nytt samtykke –NB. Formålet heller ikke motstridende Utfordringen i NAV-samarbeidet er hvordan ulike opplysninger av ulik kvalitet og relevans blir benyttet / deles / utleveres i ulike faser

Trusler mot sikkerhet Påført av noen fra ”utsiden” Påført av noen fra ”innsiden” Andre trusler (feil ved strøm osv.) Det tas også hensyn til trusler mot lovpålagte krav ekstern nett Internt sone sikret sone NB: de trusler som gir fleste brudd er fra egne ansatte

Risikovurdering, flere trinn Kartlegg og klassifiser alle behandlinger Identifiser uønskede hendelser Konsekvensvurdering (1-4) Sannsynlighetsvurdering (letthet 1-4) Sammenlign resultater og iverksett tiltak for å komme innenfor akseptabel risiko (ikke på totalkonsepter, men alle delene) Sannsynlighet Konsekvens

Personvernutfordringer i NAV-regelverk: Overskuddsinformasjon –Store mengder sensitive opplysninger som skal brukes av person med ivaretakelse av Taushetsplikten. Datatilsynets innspill til prosessen om NAV – Ønsket et regelverk som tok personvernhensyn ved å legge til grunn et ”need to know – prinsipp” med kontrolltiltak –Vedtatt lovverk bygger på: –Sterk personlig taushetsplikt – uklar og omfattende adgang til utlevering og tilgang ut fra behov. –Sterk vekt på internkontroll og sikkerhet i løsningene Datatilsynet har nå vært utført tilsyn med fokus på tilgangsstyring og sikkerhet

Personvern i paragrafer §3 i loven gir behandlingsansvar for AV-etaten til Direktoratet, gjelder også POL §13 og §14 §4 gir kommunen anledning til å delegere utøvende behandlingsansvar til kontorleder §7 i loven er en streng personlig taushetsplikt §8 i loven regulerer bistand fra AV etaten til sosialtjeneste (samtykke / lov / konkrete data) §14 i loven gir mulighet til å avtale at oppgaver kan utføres på hverandres myndighetsområder §16 i loven sier at taushetsplikt ikke er til hinder for at opplysninger er tilgjengelig for ansatte ved kontoret for hensiktsmessig arbeids- arkivordning for veiledning i andre saker Husk at ”klientene” kan oppleve at dårlig personvern kan dårlig tillit og tjenestekvalitet (Datakvalitet, informasjon og samtykke)

Om Behandlingsansvar Mange ansvarlige. Direktoratet er ansvarlig for AV-etat Kommunen er ansvarlig for egen og delt sosial Kontorleder er ansvarlig for noe på kontoret Utfordringer Delegering internkontroll Noen erfaringer fra tilsyn og henvendelser: Kommunen vil lett komme i en situasjon hvor de ”antar” at det direktoratet gjør er lovlig og kontorleder antas å ta / tar beslutninger Vår erfaring er at Sikkerhet og teknologi ikke lar seg delegere, dette følger partene Internkontroll blir ikke uventet mangelfull.

Avtaler §14 i loven gir vide rammer for hva som kan avtales Rammeavtalen KS - departementet De gode intensjoner avtales (ikke egne penger) Samhandling mellom likeverdige parter for felles lokalt kontor som for bruker blir enhetlig Oppkoblingsavtalen for visning av personkort Utformet av NAV ser ut til å være ensidige krav Inneholder juss med mye prosesser og rutiner. Oppkoblingsavtale for Soisalsystem? Jeg er ikke kjent med hvordan konkrete forhold ivaretas – kommunene ser ut til å la informasjon om sosialklienter flyte over i Arena.

Om arkivering Kommunen Fysiske dokumenter, sosial - egne Fysiske dokumenter ”kontorets” Journalsystemet ? Sosialdatasystemet (sosialkontor / NAV-kontor) Felles Personkort (datatilgang som gis til ”hele NAV”) NAV Fysiske dokumenter for en omfattende sektor Arena og Infotrygd er hovedsystem (nye) Det blir viktig å finne løsninger: Organisering egne arkiv og utlån ?? Organisering med varianter av ”delt arkiv”

Sikkerhetsarkitektur Eksternt nett Intern sone1 - sentral adm. 2 - lite lokal kontor Sikret sone Ytre sikkerhet- barriere indre sikkerhets -barriere Kommuner benytter i hovedsak veiledningens modell: - Ytre barriere: - sikrer til en viss grad WWW-opplysninger - enveissikring av intern sone - Indre barriere: - skiller de sensitive behandlinger fra alminnelige - sikrer også sensitive opplysninger ved tynnklient NAV ser ut til å benytte andre løsninger: - Kommuner gitt pålegg om riskovurdering av tilknytning - NAV gitt på legg om endring av epost. DMZ

Datasystemer, tilgangsstyring Gamle fagsystemløsninger Systemene var ”små og homogene” – tilgangsstyring var enkelt Moderne integrerte system Systemene blir bredere og enhetene større – Datatilsynet ser at tilgangsstyring blir ”vid” og uegnet for å ivareta taushetsplikten Logging Har kun effekt etter at skaden er skjedd, og trusselen for å kunne oppdages blir helt ubetydelig, og kikkeren ble ikke ”funnet”. Digitale signaturer Sikrer at vi vet hvem som ”behandlet” – men ikke om berettiget. Det er gitt pålegg om å iverksette logging da gamle systemer langt fra gir den tilgangssyring det er behov for. God tilgangsstyring er samspill med planlagt prosess.

Tilgangsstyring og taushetsplikt Kommunen Har gitt for mange tilganger til AV-kontoret Har lagt sin ”Desktop til AV-etat (uten kontroll) Vet vet ikke om det gis tilgang til AV-baklandet Felles Virker gjennomarbeidet – ikke gitt pålegg (men dette viste seg å være lite nyttig AV-etat ARENA mangler tilgangsstyring og bruken må begrenses i samsvar med åpålegg. Infotrygd blir det også begrenses tilgang til. Datatilsynets frykt var ikke ubegrunnet – det går lang til før gode teknologiløsninger er på plass.

Godkjenne løsningen ? Ikke selvstendig søknad eller godkjenning. Melding (ikke nødvendig ved personvernombud): – Behandlingsansvarlig forteller at regelverket etterleves – Ingen kontroll av meldingen (Tilsynsgrunnlag) Konsesjon – Det fremlegges en begrenset beskrivelse av behandlingen og et lite overordnet utdrag av internkontroll for sikkerhet Det kreves ingen ny melding, og heller ikke endringsmelding utenom spesielle endringer. Det er opp til partene å ivareta personvernet – dette samsvarer ofte med god ”kundepleie”. I praksis gir det gode resultater å kontakte Datatilsynet ved behov for råd og veiledning.

Personvernombud Datatilsynet har intensivert sitt arbeid med å etablere ombud. – Dette kan bidra til styrket personvern – Verksomheten bestemmer selv om eget ombud eller om dette settes ut til andre. Ombudets oppgaver –Skal sikre at virksomheten følger loven – føre meldingsoversikt Verksomhets ”fordel” – Unntak fra meldeplikt–nær kontakt Datatilsynet

Ytterligere informasjon – Helseregisterloven og Personopplysningsloven – Sikkerhetsforskriften med kommentarer – Veiledning i risikovurdering – Veiledning for kommuner – brev av fra justisdepartementet – Bransjenorm for sikkerhet i helsesektoren EPOST – –