Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Spesielt om personvern og krav til sikring av personopplysninger

PublisertSigbjørn Møller Endret for 5 år siden

Liknende presentasjoner

Presentasjon om: "Spesielt om personvern og krav til sikring av personopplysninger"— Utskrift av presentasjonen:

1 Spesielt om personvern og krav til sikring av personopplysninger
Dag Wiese Schartum

2 Personvern i forvaltningen - et problem!

3 Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens regler Ikke mulig å trekke sikre generelle slutninger ut i fra type informasjonssystem I tillegg til personopplysningsloven kan det gjelde særlover som regulerer behandling av personopplysninger innen bestemte forvaltningsområder. Særlovgivning som regulerer vedkommende forvaltningsområde (ligningslov, folketrygdlov, tollov mv) kan også ha særlig betydning fordi de sier noe om hvilke opplysninger som er nødvendige for å treffe enkeltvedtak gir saksbehandlingsregler for øvrig som bør ses i sammenheng med personopplysningslovens regler Også forvaltningsloven og offentlighetsloven er nødvendige å ta hensyn til, i tillegg til anvendelsen av pol og særlovgivning

4 “Personopplysning” Beslutningssystemer Nettsider mv
Alle opplysninger som anvendes for å treffe enkeltvedtak er (normalt) personopplysning om parten(e) Logger mv knyttet til bruken av beslutningssystemet er (normalt) personopplysninger om saksbehandleren(e) Nettsider mv Opplysninger som publiseres på nettet er ofte personopplysninger Opplysninger som samles inn via nettet er ofte personopplysninger Opplysninger i logger er normalt personopplysninger

5 Sjekkliste, trinn 1 Gjelder loven for mitt informasjonssystem?
Beslutningssystemer: Ja, nesten uten unntak Nettsider: Hvem er “behandlingsansvarlig”?

6 Sjekkliste, trinn 2 Har jeg lovlig adgang til de opplysningene jeg ønsker å behandle (eller kan jeg skaffe det?) Beslutningsystemer Lovhjemmel (forekommer: f.eks. plikt/rett til informasjon) Nødvendighet (ofte, jf § 8 bokstav e og § 9 bokstav b) Samtykke (særlig aktuelt som supplerende grunnlag) Nettsider Lovhjemmel (sjelden, bare indirekte) Nødvendighet (praktisk viktig; jf § 8 bokstavene a og f, jf også § 9 bokstav d) Samtykke (viktig(ste) grunnlag)

7 Sjekkliste, trinn 3 Hva kan forvaltningen benytte PO til (formål)?
Både beslutningssystemer og nettsider må ha ett eller flere bestemte formål For beslutningssystemer vil formål kunne ligge eksplisitt eller implisitt i særlovgivning, men også andre formål kan formuleres.

8 Sjekkliste, trinn 4 Er personene tilstrekkelig sikkert identifiserte?
Beslutningssystemer: I praksis akseptert å benytte fødselsnummer Uklart hva som kan godtas av biometriske identifikasjonsmetoder (her skjer det rettsutvikling) Nettsider Normalt anledning til å benytte fødselsnummer dersom det skal inngis opplysninger som skal utgjøre grunnlag for vedtak, men forutsetningen er tilstrekkelig sikring Neppe adgang til å bruke f.nr. på nettsider ellers

9 Sjekkliste, trinn 5 Hva er tilfredsstillende sikkerhetstiltak?
Avhenger av en konkret vurdering Grunn til å behandle beslutningssystemer strengere enn andre systemer ? (jf enkeltvedtak) Neppe grunn til å behandle Internett-baserte rutiner strengere enn andre rutiner, med mindre de er del av beslutningssystem Se for øvrig fra og med bilde 12

10 Sjekkliste, trinn 6 Er jeg sikker på at jeg vil komme til å etterleve loven? Internkontroll for beslutningssystemer må/bør gjennomføres for å sikre etterlevelse av krav i: personopplysningslov (pol) med forskrifter konsesjoner og andre enkeltvedtak i hht pol vedkommende særlov med forskrifter forvaltningsloven, eventuelt offentlighetsloven mv Internkontroll for nettsider må/bør gjennomføres for å sikre etterlevelse av krav i: personopplysningslov med forskrifter eventuelle enkeltvedtak i hht pol åndsverkloven (opphavsrett) (NB! Pålegget om interkontroll i pol gjelder direkte bare ift personvern, pol jf § 1)

11 Sjekkliste, trinn 7 Kan jeg starte behandlingen? Beslutningssystemer
Normalt ikke konsesjonsplikt selv om det skal behandles sensitive personopplysninger, jf § 33 fjerde ledd og særlovgivning Selv om unntak fra konsesjonsplikt, skal behandlingen normalt meldes Nettsider Sjelden konsesjonsplikt Kan også være unntatt fra meldeplikt, jf pof §§ 7-11 og 7-12

12 Sikkerhetsregler og andre regler
“Kombinasjoner” Enkeltstående regler Helhetlige regelverk grunnregler

13 Oversikt over helhetlig regelverk vedrørende informasjonssikkerhet
Personopplysningsloven § 13 med forskrifter (pof kap. 2) Forvaltningsloven § 13c og (særlig) forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften), § 4 og kapitlene 3 - 6 Helseregisterloven (2014) § 21 med forskrifter Sis-loven § 3 og (særlig) Sis-forskriften kap. 7 Politiregiserloven kap. 4, særlig § 15 (loven er ikke i kraft) Sikkerhetsloven kap. 4 med forskrifter IKT-forskriften, jf. finanstilsynsloven § 4 Beskyttelsesinstruksen (Instruks for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter; forskrift nr 3352)

14 Hvordan sikre? Tiltak skal være
Lovens krav til framgangsmåter i når personopplysninger skal sikres, jf pol § 13 Tiltak skal være Planlagte Systematiske Dokumenterte Dokumentasjonen skal også omfatte informasjonssstemet All dokumentasjon (IS + tiltak) skal være tilgjengelig for Alle aktuelle medarbeidere Tilsynsmyndigheter Alle typer virkemidler er aktuelle: Rettslige Organisatoriske Teknologiske Pedagogiske Økonomiske mv Pof kap. 2 er i stor grad inspirert av BS7799, jf ISO-17799: 2005 "Informa- sjonsteknologi - Sikkerhetsteknikk - Administrasjon av informasjonssikkerhet"

15 Hvem skal sikre, hva skal sikres og hvor sikre skal opplysningene være
Hvem skal sikre, hva skal sikres og hvor sikre skal opplysningene være? (jf pol § 13) Bestemmelsen i § 13 gjelder både behandlingsansvarlige og databehandler, og utgjør ramme for hva som kan bestemmes i forskrift Arbeidet med informasjonssikkerhet skal omfatte Konfidensialitet Integritet Tilgjengelighet Informsjonssikkerheten skal være “tilfredsstillende”, jf pol § 13 Vurderingen gjelder hvor ekstensive (omfattende) tiltakene skal være og hvor intensive/strenge tiltakene skal være Kravet i § 13 om tilfredsstillende sikkerhet innebærer at det alltid skal skje en konkret vurdering av hver behandling Forskriften stiller opp noen materielle minstkrav mv Forskriften stiller opp krav til organisering mv av sikkerhetsarbeidet Forskriften stiller opp krav til framgangsmåter for sikkerhetsarbeidet Behov for harmoniserende fortolkning!

16 Krav til organisering mv av sikkerhetsarbeidet i pof
Aktuelle roller: Behandlingsansvarlig, databehandler, daglig leder, daglig ansvarlig person, sikkerhetsrevisor, stedlig representant, personvernombud Den daglige ledelsen for den behandlingsansvarliges virksomhet skal ha (daglig) ansvar for etterlevelse av sikkerhetsbestemmelsene (§ 2-3, 1) Det skal etableres klare ansvars- og myndighetsforhold vedrørende bruk av informasjonssystemet (§ 2-7, 1) Bruk av sikkerhetsmessig betydning skal følge faste rutiner (§ 2-7, 5) Ansvar- og myndighetsforhold samt konfigurasjon av systemet skal dokumenteres (§ 2-7, 2 og 4) Sikkerhetsdokumentasjonen etter § 2-7 må bare endres på måter som er autorisert av (sikkerhets)ledelsen. Personell skal bare utføre pålagte oppgaver de er autoriserte for (§ 2-8) Personell skal ha nødvendig kunnskap om bruk i hht autorisasjon og rutiner (§ 2-8)

17 Krav til fremgangsmåter i sikkerhetsarbeidet i pof
Stiller krav til etablering av sikkerhetsmål og -strategi (§ 2-3, 2 flg) Formål og overordnede føringer for bruk av IKT skal inngå Valg og prioriteringer i sikkerhetsarbeidet skal beskrives Stiller krav til gjennomføring av risikovurdering (§ 2-4) “Vurdering” og ikke nødvendigvis “analyse” Vurderingen skal skje ift egne kriterier for akseptabel risiko og/eller ift pålegg som Datatilsynet har gitt, jf § 2-2 Skal vurdere hva den antatte risikoen er Forskriften gir ikke anvisning på spesielle metoder mv for risikovurdering, jf dog NS 5814 “Krav til sikkerhetsanalyser” Forskjellen mellom antatt og akseptabel risiko skal utlignes ved hjelp av sikkerhetstiltak Risikovurdering skal gjentas ved relevante endringer Resultatene av risikovurderingen skal dokumenteres

18 Materielle krav til informasjonssikkerhet i pof
Krav til sikring forutsetter mulig “personverntap” ! (til tross for § 2-1, 1) Tiltakene skal stå i forhold til sannsynligheten for og konsekvenser av “sikkerhetsbrudd” (§ 2-1, 2), jf krav til risikovurdering (§ 2-4) Konkretiserer krav til: Fysisk sikring (§ 2-10) Konfidensialitet (§ 2-11) Tilgjengelighet (§ 2-12) Integritet (§ 2-13) Sporbarhet, ikke-manipulering og automatisering (§ 2-14) Krav til kvalitet ved overføring av personopplysninger (§ 2-15) Datatilsynet kan gi pålegg om sikring (§ 2-2, jf pol §§ 46 og 47)

19 Oversikt over nærmere krav til sikkerhets- dokumentasjon mv i pof
Innholdsmessige elementer i dokumentasjonen Ansvars- og myndighetsforhold (internt og eksternt) Sikkerhetsmål og -strategi Resultatet av risikovurdering Resultatet av sikkerhetsmessige gjennomganger av IS (2-3, 4) Iverksatte sikkerhetstiltak Resulatet av sikkerhetsrevisjon Resultatet av avviksbehandling Krav til fortløpende logging Forsøk på uautorisert bruk (2-14, 2) Autorisert bruk (2-8, 3)

Laste ned ppt "Spesielt om personvern og krav til sikring av personopplysninger"

Liknende presentasjoner

Personopplysningsloven: -innhold, styrker og svakheter

Personopplysningsloven: -innhold, styrker og svakheter
Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt

Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt
Rettsregler vedrørende Internett og betydningen for informasjonsfriheten Prof. Dag Wiese Schartum, AFIN.

Rettsregler vedrørende Internett og betydningen for informasjonsfriheten Prof. Dag Wiese Schartum, AFIN.
Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.

Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.
Eksempler på Rettskildestudier (“annen rettskildeforskning”) Dag Wiese Schartum, AFIN.

Eksempler på Rettskildestudier (“annen rettskildeforskning”) Dag Wiese Schartum, AFIN.
Prof. Dag Wiese Schartum, AFIN

Prof. Dag Wiese Schartum, AFIN
Personopplysningslovens formål, grunnbegreper og virkeområde

Personopplysningslovens formål, grunnbegreper og virkeområde
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)

Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)
Dag Wiese Schartum, AFIN

Dag Wiese Schartum, AFIN
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen

Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen
Dag Wiese Schartum, AFIN

Dag Wiese Schartum, AFIN
Dokumentasjon av rettslige beslutningssystemer Dag Wiese Schartum, AFIN.

Dokumentasjon av rettslige beslutningssystemer Dag Wiese Schartum, AFIN.
Dag Wiese Schartum, AFIN

Dag Wiese Schartum, AFIN
Risikovurdering i UDI; DRI 3001 Dag Wiese Schartum, AFIN

Risikovurdering i UDI; DRI 3001 Dag Wiese Schartum, AFIN
Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum.

Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum.
Om personopplysningslovens betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO.

Om personopplysningslovens betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO.
Eksempler på Rettskildestudier (“annen rettskildeforskning”) Dag Wiese Schartum, AFIN.

Eksempler på Rettskildestudier (“annen rettskildeforskning”) Dag Wiese Schartum, AFIN.
Dokumentasjon av rettslige beslutningssystemer Dag Wiese Schartum, AFIN.

Dokumentasjon av rettslige beslutningssystemer Dag Wiese Schartum, AFIN.

Liknende presentasjoner

Annonser fra Google