SlideShare a Scribd company logo

Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi og nettsky

Download as PPT, PDF
Eva Jarbekk
Eva Jarbekk

Foredrag for etatsledere i Oslo kommune om ledelsesansvar og informasjonssikkerhet, personvern, nettsky (cloud) og råd for IKT-anskaffelser i offentlig sektor, teknologijuss

Technology
1 of 41
Informasjonssikkerhet, personvern ledelse, ansvar og litt teknologijuss 24. oktober 2013 advokat Eva Jarbekk
Evas «briller» • Advokat, partner i Lynx Advokatfirma DA • Arbeider for offentlig sektor, har arbeidet for Oslo kommune, helseforetak, Helsedirektoratet, private leverandører • Leder i Personvernnemnda • Partner i Faktum Nor AS • Ekstern advokat Spesialenheten for politisaker • Leder advokatforeningens lovutvalg for IKT- og personvern
Foredraget 1.Personvern /informasjonssikkerhet 2.Ledelsesansvar 3.Teknologi 4.Anskaffelser 5.Refleksjoner
1 Personvern
OKs nye instruks «….Informasjonssikkerhet er i stor grad knyttet til IKT-sikkerhet i form av rent systemtekniske sikringstiltak, men det er viktig å presisere at informasjonssikkerhet er mer enn dette. Informasjonssikkerhet er summen av de organisatoriske, fysiske og systemtekniske sikkerhetstiltakene som skal beskytte informasjonen. Tiltakene skal gi tilstrekkelig Konfidensialitet, tilgjengelighet og integritet ….»
Informasjonssikkerhet = personvern • Personvern er et vanskelig begrep • underhensyn trekker i flere retninger • Tilgjengelighet • Er et krav fra brukerne – og effektivitetsfokuserte politikere • Drosjeløyver • Gerica • Kjernejournal – én journal EPJ • Opplysningene tilhører brukerne – brukerne kan forvalte dem; dele, gi tilgang, begrense – finner ikke myndighetene løsninger, så gjør private det • Konfidensialitet - informasjonssikkerhet • Åpenhet truer konfidensialitet • Snoking må kontrolleres
Personvern Personvern • Det er (OFTE) lov å ikke ville dele all informasjon • Det kan være hensiktsmessig å holde informasjon tilbake - Kontekstuelt - Tidsmessig Selvbestemmelse • rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål osv Informasjon • hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem, til hvilke formål osv
Hovedprinsipper - personvern • Personopplysninger (PO) gjelder all informasjon om alle individer – direkte eller indirekte identifikasjon • PO brukes kun til oppgitt formål • Formålene er saklig begrunnet ifht virksomheten • PO brukes ikke senere til nye formål • Informasjon til de ansatte • Ny teknologi gir stadig nye (kontroll)muligheter; • video, lokasjon/GPS, IP-telefoni, datalogger, screening-systemer på dokumenter, etc • Informasjon som finnes vil bli ønsket brukt = utfordring
2 Ledelsesansvar
Hvem – hvorfor .. Det er ledelsen som er ansvarlig. •Lovfestet ansvar – personopplysningsloven – forskrifter - Datatilsynet •OKs instruks av 2002 er erstattet – personopplysningsloven er fra 2000 • Lex spesialis for offentlig sektor – intet konsesjonsbehov – lite fokus • Ganske tamt økonomisk sanksjonsapparat •Nytt EU-direktiv er underveis • Samme hovedprinsipper • Langt strengere økonomisk sanksjonsapparat • 5% av brutto (global) omsetning – kanskje bare 3% før vedtatt? • Fokus på ansatte, kontrolltiltak, kunder i privat sektor
Hvorfor – hva – hvordan.. • Er ikke blitt målt på dette med mindre tilsyn fra Datatilsynet – det blir dere fremover • Hva • Hvilke opplysninger har vi – på hvilket rettslig grunnlag - kartleggingskrav • Hva er outsourcet/offshoret – holdes dere orientert om overføringer til utlandet? • Hvordan – instruks pr 10. oktober 2013 • En del av vanlig virksomhetsstyring • Ingen er perfekt – men hvilken risiko aksepteres – og hvilke tiltak må da gjøres? • Alle ansatte forvalter personopplysninger – de må utdannes • Dokumentasjonsplikt • Revisjon
3 Moderne teknologi
HVORFOR FOKUS PÅ TEKNOLOGI? • Ledere er med på å velge hvilken teknologi som skal prioriteres, utvikles og tas i bruk • Teknologi må brukes innen rettslige rammer • Jussen har stadig mer fokus på konsekvenser av teknologi • En av de «nye» stillingstypene er ansvarlig for compliance, personvernombud • Ledere trenger ikke å kunne verken teknologi eller juss, men det kan være nyttig å vite at det er en sammenheng
Noen lysark om • Aktuell utvikling • Informasjon på Internett – instrumenter/sensorteknologi på nett • BYOD – gransking • Autentisering/indentifisering
Teknologisk utvikling • I gamle dager - informasjon på papir • Nå - elektrisk papir? • Meld St nr 9 2013 – En innbygger en journal – «Papir med strøm» • Personopplysningsloven er fra «før» Internett • Nå - informasjon kommer/er på nett • Hva er informasjonsdeling – når er det saksbehandling? Utgående info Dialog Saksbehandling Kompleksitet • Hva med bruk av cloud? Jf Narvik og Moss kommune
Teknologiskift • Paradigmeskifte – type informasjon på internettet • Instrumenter • Sensorteknologi - eldreteknologi • Mobilapplikasjoner • Instrumenter og ting kommer på nett
Instrumenter på nett • PVN 2013 – 05 • Her: kun offentlig tilgjengelig informasjon • Uautorisert uthenting av helseopplysninger gjennom maskiner som drives av GE • Tilgang etablert for overvåking og vedlikehold av utstyr • Helseopplysninger er over ført til USA • Over 100 000 pasienter er berørt • Sykehusene har vært uvitende • Datatilsynet: • «Virksomheten må informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens §23 første ledd nr 5»
Instrumenter på nett • PVN 2013 – 05 • Dreier seg om ulike sykehus – • Flere sykehus ønsker å begrense informasjonsplikten • Ikke der opplysninger om AT MR-undersøkelse er utført • Ikke der opplysninger om fødselsnummer, vekt • Kun der kliniske opplysninger er utlevert? • Belastende å få brev fra sykehuset for mottaker? • Tyngende å informere mange • PVN • Informasjonsplikt påhviler behandlingsansvarlig – hvem er det egentlig? • Hva ligger i informasjonsplikt • Ved oppstart – all utlevering skal informeres om • Annerledes hvis senere?
Instrumenter og mobiler på nett • Vi eier informasjon om oss – (i all hovedsak) • Private arbeider med applikasjoner for helse • FDA har rettslig rammeverk for godkjenning av mobilapplikasjoner • Mobildeksel måler hjerterytme – godkjent i USA • EU-kommisjonen har publisert liste over anbefalte helseapplikasjoner • http://alturl.com/qd58y • Kategorier av apper • Pasientdrevet informasjon/innsamling/identifikasjon • Mye brukt? • Hvem er utgiver • IKKE noe om juss, lovvalg
Grunnleggende spørsmål • Sensorteknologi/mobilteknologi • Hvor lagres informasjonen – mobiltelefon/annet sted • Hvem bruker informasjonen • Kan den slettes • Kan den deles med andre – private - offentlig sektor – interaksjon?????? • Big Data - forskning
Et sideblikk til gransking - BYOD BYOD – Bring Your Own Device •Det er ikke innsynsrett i datautstyr som arbeidsgiver ikke eier •Konsekvens? • Egen mobiltelefon? • Egen pc? • Amerikanske selskaper tillater ikke privat utstyr •Unntak: Kan gå rettens vei for å få innsyn i utstyr vedkommende kan unndra kontroll UTEN varsel – hvis fare for bevisforspillelse
Visma retail - fingeravtrykk • Ny teknologi kan gi rettsutvikling • PVN foretar en avvikende/presiserende rettstolkning i forhold til tidligere biometri-saker. • Saken var ikke sammenlignbar med de tidligere sakene om biometri som Personvernnemnda har behandlet, hvor fingeravtrykk skulle bli benyttet som en nøkkel inn i en kundedatabase og således benyttes til identifikasjon • Poeng: hva gjør man med fingeravtrykket? Identifisering eller autentisering • Autentisering – ikke bakveis identifikasjon • Praktisk for offentlig sektor? Ja.
4 IKT-anskaffelser
IKT-anskaffelser • Offshoring og skytjenester i anbud • Geografisk plassering av data kan utløse • • • Prisbesparelser – det er fint, hvis det er håndterbart ifht konkurransekriterier Krav til samtykke fra Datatilsynet – tar tid og har ikke alltid garantert positivt utfall Informasjonsplikt overfor de som er registrert • Dette bør man ha tenkt på før utlysing av konkurranse • • Geografisk begrensning av datalokasjon? Lav prising grunnet bruk av ressurser i land man ikke vet om godkjennes, hva gjør man da? • Nettskyer tvinger seg frem pga effektivitet og kostnadsbesparelser Kilde: IT i praksis – Rambøll - bruk av IT i de 500 største private og offentlige virksomhetene i Norge
IKT-anskaffelser •Utgangspunkt: Personopplysningslovens generelle krav til behandling av personopplysninger er oppfylt (§§8, 9, 11) og § 29 gir hovedregler: • • • PO kan overføres til land innen EU og EØS-området PO kan overføres til land som Europakommisjonen har godkjent (liste) PO kan overføres til enkeltbedrifter i USA som har sluttet seg til Safe Harbor •Ikke konsesjonspliktig i seg selv, men overføringen må beskrives i konsesjonssøknad eller melding knyttet til hovedformålet •Overføring til andre tredjeland og vsh i USA utenfor Safe Harbor • Må følge ”unntakene” i § 30 • I utgangspunktet er overføring ikke tillatt med mindre unntak kan brukes • Samtykke, særskilt tillatelse fra Datatilsynet, EUs standardavtaler kan brukes
Overføring av PO til utlandet § 30 Unntak Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Datatilsynet kan sette vilkår for overføringen. Typisk: EUs standardavtaler Binding Corporate Rules (BCR) Processor Binding Rules (PBCR)
EUs standardavtaler, modellavtaler, SCC Presise bestemmelser om •Hvilke typer opplysninger som kan overføres •Hva opplysningene kan brukes til •Hvor de skal lagres •Hvor lenge •De registrerte skal informeres når det gjelder sensitive PO •Hvis man gjør endringer, f eks tar ut bestemmelsen om informasjon til de registrerte, vil avtalen ikke bli godkjent Hvis man gjør noe annet enn hva som er beskrevet, må ny avtale inngås og godkjennes Mye arbeid, tar tid i DT
Alternativt - PBCR • Processor Binding Corporate Rules – foreløpig ganske ukjent – en variant av BCR • Grunnlag for bruk av databehandler som lagrer opplysninger utenfor EU/EØS • Ingen godkjent pt • Informasjonsplikt til de registrerte? • Veiledere på Artikkel 29-gruppens hjemmesider
Begrense leverandørens geografiske frihet? • Fristende ifht pol’s regler • General Procurement Agreement • GPA-avtalen • plurilateral avtale, omfatter 41 av WTOs medlemmer • Likebehandling og ikke-diskriminering for tjenester mellom landene • Kan ikke ekskludere GPA-medlemmer
GPA-avtalen • Omfatter datatjenester • Vanskelig å sette en begrensning i konkurransegrunnlaget om at plattformen kun kan etableres i EU • Selv om GPA-land må inkluderes, kan Datatilsynet sette begrensninger på eventuelle overføringer
Ny tilnærming ved offentlige anbud • Aktuelle land må forhåndsgodkjennes av Datatilsynet • Tar lengre tid • Mer arbeid • Gir kontroll
5 Refleksjon
Refleksjoner • Økt teknologibruk vil gi flere logger og informasjon fra enheter som er ”nære” oss fysisk, mobiltelefoner, lokasjonsdata, informasjonsanalyser av e-post, biler etc • Formelle prosedyrer overfor ansatte blir viktigere, jf GPS-dommen • Datatilsynets bevilgning økes • Informasjonssikkerhet og compliance får stadig mer fokus • Teknologiske nyvinninger øker mulighet for sikkerhet og rasjonalisering • BP-saken • Fingeravtrykkssakene skiller mellom autentisering og identifikasjon • Klare brudd har så langt fått liten konsekvens • Bøter vil fremover økes til 3-5% av BRUTTO GLOBAL OMSETNING • Internasjonalisering øker – og er vanskelig – derfor også bruk av BCR i store konsern – PBCR viktig for offentlig sektor
Innebygget personvern - Privacy by Design Tenke og praktisere personvern fra start til slutt – fra kravspesifikasjon via design og utvikling, til systemet er tatt i bruk og etter avvikling. Side 39
7 trinn til innebygget personvern 1. Vær proaktiv, ikke reaktiv. Forebygg, ikke forbedre 2. Personvern som standard 3. Personvern innebygd i design 4. Full funksjonalitet: Både-og, ikke enten-eller 5. Informasjonssikkerhet fra start til slutt 6. Synlighet og åpenhet 7. Respekt for brukerens personvern 23.10.13 Side 40
Lysarkene ligger på www.slideshare.net LYNX advokatfirma DA Hieronymus Heyerdahls gate 1 N-0160 Oslo Eva Jarbekk ej@lynxlaw.no Tlf 900 51 011 Twitter: @evajarb http://lynxlaw.no/menneskene/eva-jarbekk/

Recommended

Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernEva Jarbekk
 
EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? Kristian Foss
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserEva Jarbekk
 
GDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserGDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserKjell Steffner
 
GDPR datainnsamling på web
GDPR datainnsamling på webGDPR datainnsamling på web
GDPR datainnsamling på webKjell Steffner
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxEva Jarbekk
 
GDPR-helsesjekk
GDPR-helsesjekkGDPR-helsesjekk
GDPR-helsesjekkKjell Steffner
 
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxEva Jarbekk
 

Recommended

Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernEva Jarbekk
 
EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? Kristian Foss
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserEva Jarbekk
 
GDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserGDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserKjell Steffner
 
GDPR datainnsamling på web
GDPR datainnsamling på webGDPR datainnsamling på web
GDPR datainnsamling på webKjell Steffner
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxEva Jarbekk
 
GDPR-helsesjekk
GDPR-helsesjekkGDPR-helsesjekk
GDPR-helsesjekkKjell Steffner
 
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxEva Jarbekk
 
Personvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolPersonvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolOle Martin Refvik
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
Privacy by Design
Privacy by DesignPrivacy by Design
Privacy by DesignAdvokatfirmaet Haavind
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Eva Jarbekk
 
Open Banking og personvern
Open Banking og personvernOpen Banking og personvern
Open Banking og personvernNTNU Accel
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGThorbjørn Værp
 
E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013Eva Jarbekk
 
Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Eva Jarbekk
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Advokatfirmaet Haavind
 
EDAG i skyene
EDAG i skyeneEDAG i skyene
EDAG i skyeneFlemming Ottosen
 
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxForedrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxEva Jarbekk
 
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Eva Jarbekk
 
RTT Datalagringsdirektivet
RTT DatalagringsdirektivetRTT Datalagringsdirektivet
RTT DatalagringsdirektivetTeknologirådet
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxEva Jarbekk
 
Personvern og databehandleravtaler
Personvern og databehandleravtaler Personvern og databehandleravtaler
Personvern og databehandleravtaler Senter for IKT i utdanningen, redaksjon
 
Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Geir André Strømsvold
 
Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Jermund Ottermo
 
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014Steinar Skagemo
 
Personvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtalerPersonvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtalerSenter for IKT i utdanningen, redaksjon
 
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkiv
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkivOffentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkiv
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkivAnne Marit Noraker
 
Hvorfor personvern er viktig for kommunikasjon – med Eva Jarbekk
Hvorfor personvern er viktig for kommunikasjon – med Eva JarbekkHvorfor personvern er viktig for kommunikasjon – med Eva Jarbekk
Hvorfor personvern er viktig for kommunikasjon – med Eva Jarbekkwebdagene
 
Siri og Vegards Åpenhetskurs
Siri og Vegards ÅpenhetskursSiri og Vegards Åpenhetskurs
Siri og Vegards ÅpenhetskursStiftelsen for en Kritisk og Undersøkende Presse
 

More Related Content

What's hot

Personvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolPersonvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolOle Martin Refvik
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Eva Jarbekk
 
Open Banking og personvern
Open Banking og personvernOpen Banking og personvern
Open Banking og personvernNTNU Accel
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGThorbjørn Værp
 

What's hot (6)

Personvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolPersonvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i Admincontrol
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
 
Privacy by Design
Privacy by DesignPrivacy by Design
Privacy by Design
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011
 
Open Banking og personvern
Open Banking og personvernOpen Banking og personvern
Open Banking og personvern
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCG
 

Similar to Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi og nettsky

E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013Eva Jarbekk
 
Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Eva Jarbekk
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Advokatfirmaet Haavind
 
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxForedrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxEva Jarbekk
 
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Eva Jarbekk
 
RTT Datalagringsdirektivet
RTT DatalagringsdirektivetRTT Datalagringsdirektivet
RTT DatalagringsdirektivetTeknologirådet
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxEva Jarbekk
 
Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Jermund Ottermo
 
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014Steinar Skagemo
 
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkiv
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkivOffentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkiv
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkivAnne Marit Noraker
 
Hvorfor personvern er viktig for kommunikasjon – med Eva Jarbekk
Hvorfor personvern er viktig for kommunikasjon – med Eva JarbekkHvorfor personvern er viktig for kommunikasjon – med Eva Jarbekk
Hvorfor personvern er viktig for kommunikasjon – med Eva Jarbekkwebdagene
 
Nokios .Personverutfordringer
Nokios .PersonverutfordringerNokios .Personverutfordringer
Nokios .PersonverutfordringerIKT-Norge
 
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikSenter for IKT i utdanningen, redaksjon
 

Similar to Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi og nettsky (20)

E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013
 
Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?
 
EDAG i skyene
EDAG i skyeneEDAG i skyene
EDAG i skyene
 
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxForedrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
 
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
 
RTT Datalagringsdirektivet
RTT DatalagringsdirektivetRTT Datalagringsdirektivet
RTT Datalagringsdirektivet
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptx
 
Personvern og databehandleravtaler
Personvern og databehandleravtaler Personvern og databehandleravtaler
Personvern og databehandleravtaler
 
Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0
 
Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?
 
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014
 
Personvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtalerPersonvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtaler
 
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkiv
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkivOffentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkiv
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkiv
 
Hvorfor personvern er viktig for kommunikasjon – med Eva Jarbekk
Hvorfor personvern er viktig for kommunikasjon – med Eva JarbekkHvorfor personvern er viktig for kommunikasjon – med Eva Jarbekk
Hvorfor personvern er viktig for kommunikasjon – med Eva Jarbekk
 
Siri og Vegards Åpenhetskurs
Siri og Vegards ÅpenhetskursSiri og Vegards Åpenhetskurs
Siri og Vegards Åpenhetskurs
 
Nokios .Personverutfordringer
Nokios .PersonverutfordringerNokios .Personverutfordringer
Nokios .Personverutfordringer
 
Digitale spor
Digitale sporDigitale spor
Digitale spor
 
Digitale spor
Digitale sporDigitale spor
Digitale spor
 
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
 

More from Eva Jarbekk

Nye personvernregler fra EU
Nye personvernregler fra EUNye personvernregler fra EU
Nye personvernregler fra EUEva Jarbekk
 
Advokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjenAdvokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjenEva Jarbekk
 
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxStedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxEva Jarbekk
 
Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf Eva Jarbekk
 
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxArbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxEva Jarbekk
 
For og i mot varsling.pptx
For og i mot varsling.pptxFor og i mot varsling.pptx
For og i mot varsling.pptxEva Jarbekk
 
Etikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptxEtikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptxEva Jarbekk
 
Forholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxForholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxEva Jarbekk
 
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptxForedrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptxEva Jarbekk
 
Byggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxByggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxEva Jarbekk
 
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxRevisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxEva Jarbekk
 
Foredrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxForedrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxEva Jarbekk
 

More from Eva Jarbekk (12)

Nye personvernregler fra EU
Nye personvernregler fra EUNye personvernregler fra EU
Nye personvernregler fra EU
 
Advokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjenAdvokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjen
 
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxStedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
 
Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf
 
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxArbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
 
For og i mot varsling.pptx
For og i mot varsling.pptxFor og i mot varsling.pptx
For og i mot varsling.pptx
 
Etikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptxEtikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptx
 
Forholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxForholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptx
 
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptxForedrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
 
Byggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxByggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptx
 
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxRevisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
 
Foredrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxForedrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptx
 

Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi og nettsky

  • 1. Informasjonssikkerhet, personvern ledelse, ansvar og litt teknologijuss 24. oktober 2013 advokat Eva Jarbekk
  • 2. Evas «briller» • Advokat, partner i Lynx Advokatfirma DA • Arbeider for offentlig sektor, har arbeidet for Oslo kommune, helseforetak, Helsedirektoratet, private leverandører • Leder i Personvernnemnda • Partner i Faktum Nor AS • Ekstern advokat Spesialenheten for politisaker • Leder advokatforeningens lovutvalg for IKT- og personvern
  • 5. OKs nye instruks «….Informasjonssikkerhet er i stor grad knyttet til IKT-sikkerhet i form av rent systemtekniske sikringstiltak, men det er viktig å presisere at informasjonssikkerhet er mer enn dette. Informasjonssikkerhet er summen av de organisatoriske, fysiske og systemtekniske sikkerhetstiltakene som skal beskytte informasjonen. Tiltakene skal gi tilstrekkelig Konfidensialitet, tilgjengelighet og integritet ….»
  • 6. Informasjonssikkerhet = personvern • Personvern er et vanskelig begrep • underhensyn trekker i flere retninger • Tilgjengelighet • Er et krav fra brukerne – og effektivitetsfokuserte politikere • Drosjeløyver • Gerica • Kjernejournal – én journal EPJ • Opplysningene tilhører brukerne – brukerne kan forvalte dem; dele, gi tilgang, begrense – finner ikke myndighetene løsninger, så gjør private det • Konfidensialitet - informasjonssikkerhet • Åpenhet truer konfidensialitet • Snoking må kontrolleres
  • 7. Personvern Personvern • Det er (OFTE) lov å ikke ville dele all informasjon • Det kan være hensiktsmessig å holde informasjon tilbake - Kontekstuelt - Tidsmessig Selvbestemmelse • rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål osv Informasjon • hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem, til hvilke formål osv
  • 8. Hovedprinsipper - personvern • Personopplysninger (PO) gjelder all informasjon om alle individer – direkte eller indirekte identifikasjon • PO brukes kun til oppgitt formål • Formålene er saklig begrunnet ifht virksomheten • PO brukes ikke senere til nye formål • Informasjon til de ansatte • Ny teknologi gir stadig nye (kontroll)muligheter; • video, lokasjon/GPS, IP-telefoni, datalogger, screening-systemer på dokumenter, etc • Informasjon som finnes vil bli ønsket brukt = utfordring
  • 9.
  • 11. Hvem – hvorfor .. Det er ledelsen som er ansvarlig. •Lovfestet ansvar – personopplysningsloven – forskrifter - Datatilsynet •OKs instruks av 2002 er erstattet – personopplysningsloven er fra 2000 • Lex spesialis for offentlig sektor – intet konsesjonsbehov – lite fokus • Ganske tamt økonomisk sanksjonsapparat •Nytt EU-direktiv er underveis • Samme hovedprinsipper • Langt strengere økonomisk sanksjonsapparat • 5% av brutto (global) omsetning – kanskje bare 3% før vedtatt? • Fokus på ansatte, kontrolltiltak, kunder i privat sektor
  • 12. Hvorfor – hva – hvordan.. • Er ikke blitt målt på dette med mindre tilsyn fra Datatilsynet – det blir dere fremover • Hva • Hvilke opplysninger har vi – på hvilket rettslig grunnlag - kartleggingskrav • Hva er outsourcet/offshoret – holdes dere orientert om overføringer til utlandet? • Hvordan – instruks pr 10. oktober 2013 • En del av vanlig virksomhetsstyring • Ingen er perfekt – men hvilken risiko aksepteres – og hvilke tiltak må da gjøres? • Alle ansatte forvalter personopplysninger – de må utdannes • Dokumentasjonsplikt • Revisjon
  • 14. HVORFOR FOKUS PÅ TEKNOLOGI? • Ledere er med på å velge hvilken teknologi som skal prioriteres, utvikles og tas i bruk • Teknologi må brukes innen rettslige rammer • Jussen har stadig mer fokus på konsekvenser av teknologi • En av de «nye» stillingstypene er ansvarlig for compliance, personvernombud • Ledere trenger ikke å kunne verken teknologi eller juss, men det kan være nyttig å vite at det er en sammenheng
  • 15. Noen lysark om • Aktuell utvikling • Informasjon på Internett – instrumenter/sensorteknologi på nett • BYOD – gransking • Autentisering/indentifisering
  • 16. Teknologisk utvikling • I gamle dager - informasjon på papir • Nå - elektrisk papir? • Meld St nr 9 2013 – En innbygger en journal – «Papir med strøm» • Personopplysningsloven er fra «før» Internett • Nå - informasjon kommer/er på nett • Hva er informasjonsdeling – når er det saksbehandling? Utgående info Dialog Saksbehandling Kompleksitet • Hva med bruk av cloud? Jf Narvik og Moss kommune
  • 17. Teknologiskift • Paradigmeskifte – type informasjon på internettet • Instrumenter • Sensorteknologi - eldreteknologi • Mobilapplikasjoner • Instrumenter og ting kommer på nett
  • 18. Instrumenter på nett • PVN 2013 – 05 • Her: kun offentlig tilgjengelig informasjon • Uautorisert uthenting av helseopplysninger gjennom maskiner som drives av GE • Tilgang etablert for overvåking og vedlikehold av utstyr • Helseopplysninger er over ført til USA • Over 100 000 pasienter er berørt • Sykehusene har vært uvitende • Datatilsynet: • «Virksomheten må informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens §23 første ledd nr 5»
  • 19. Instrumenter på nett • PVN 2013 – 05 • Dreier seg om ulike sykehus – • Flere sykehus ønsker å begrense informasjonsplikten • Ikke der opplysninger om AT MR-undersøkelse er utført • Ikke der opplysninger om fødselsnummer, vekt • Kun der kliniske opplysninger er utlevert? • Belastende å få brev fra sykehuset for mottaker? • Tyngende å informere mange • PVN • Informasjonsplikt påhviler behandlingsansvarlig – hvem er det egentlig? • Hva ligger i informasjonsplikt • Ved oppstart – all utlevering skal informeres om • Annerledes hvis senere?
  • 20.
  • 21. Instrumenter og mobiler på nett • Vi eier informasjon om oss – (i all hovedsak) • Private arbeider med applikasjoner for helse • FDA har rettslig rammeverk for godkjenning av mobilapplikasjoner • Mobildeksel måler hjerterytme – godkjent i USA • EU-kommisjonen har publisert liste over anbefalte helseapplikasjoner • http://alturl.com/qd58y • Kategorier av apper • Pasientdrevet informasjon/innsamling/identifikasjon • Mye brukt? • Hvem er utgiver • IKKE noe om juss, lovvalg
  • 22. Grunnleggende spørsmål • Sensorteknologi/mobilteknologi • Hvor lagres informasjonen – mobiltelefon/annet sted • Hvem bruker informasjonen • Kan den slettes • Kan den deles med andre – private - offentlig sektor – interaksjon?????? • Big Data - forskning
  • 23. Et sideblikk til gransking - BYOD BYOD – Bring Your Own Device •Det er ikke innsynsrett i datautstyr som arbeidsgiver ikke eier •Konsekvens? • Egen mobiltelefon? • Egen pc? • Amerikanske selskaper tillater ikke privat utstyr •Unntak: Kan gå rettens vei for å få innsyn i utstyr vedkommende kan unndra kontroll UTEN varsel – hvis fare for bevisforspillelse
  • 24.
  • 25. Visma retail - fingeravtrykk • Ny teknologi kan gi rettsutvikling • PVN foretar en avvikende/presiserende rettstolkning i forhold til tidligere biometri-saker. • Saken var ikke sammenlignbar med de tidligere sakene om biometri som Personvernnemnda har behandlet, hvor fingeravtrykk skulle bli benyttet som en nøkkel inn i en kundedatabase og således benyttes til identifikasjon • Poeng: hva gjør man med fingeravtrykket? Identifisering eller autentisering • Autentisering – ikke bakveis identifikasjon • Praktisk for offentlig sektor? Ja.
  • 27. IKT-anskaffelser • Offshoring og skytjenester i anbud • Geografisk plassering av data kan utløse • • • Prisbesparelser – det er fint, hvis det er håndterbart ifht konkurransekriterier Krav til samtykke fra Datatilsynet – tar tid og har ikke alltid garantert positivt utfall Informasjonsplikt overfor de som er registrert • Dette bør man ha tenkt på før utlysing av konkurranse • • Geografisk begrensning av datalokasjon? Lav prising grunnet bruk av ressurser i land man ikke vet om godkjennes, hva gjør man da? • Nettskyer tvinger seg frem pga effektivitet og kostnadsbesparelser Kilde: IT i praksis – Rambøll - bruk av IT i de 500 største private og offentlige virksomhetene i Norge
  • 28. IKT-anskaffelser •Utgangspunkt: Personopplysningslovens generelle krav til behandling av personopplysninger er oppfylt (§§8, 9, 11) og § 29 gir hovedregler: • • • PO kan overføres til land innen EU og EØS-området PO kan overføres til land som Europakommisjonen har godkjent (liste) PO kan overføres til enkeltbedrifter i USA som har sluttet seg til Safe Harbor •Ikke konsesjonspliktig i seg selv, men overføringen må beskrives i konsesjonssøknad eller melding knyttet til hovedformålet •Overføring til andre tredjeland og vsh i USA utenfor Safe Harbor • Må følge ”unntakene” i § 30 • I utgangspunktet er overføring ikke tillatt med mindre unntak kan brukes • Samtykke, særskilt tillatelse fra Datatilsynet, EUs standardavtaler kan brukes
  • 29. Overføring av PO til utlandet § 30 Unntak Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Datatilsynet kan sette vilkår for overføringen. Typisk: EUs standardavtaler Binding Corporate Rules (BCR) Processor Binding Rules (PBCR)
  • 30. EUs standardavtaler, modellavtaler, SCC Presise bestemmelser om •Hvilke typer opplysninger som kan overføres •Hva opplysningene kan brukes til •Hvor de skal lagres •Hvor lenge •De registrerte skal informeres når det gjelder sensitive PO •Hvis man gjør endringer, f eks tar ut bestemmelsen om informasjon til de registrerte, vil avtalen ikke bli godkjent Hvis man gjør noe annet enn hva som er beskrevet, må ny avtale inngås og godkjennes Mye arbeid, tar tid i DT
  • 31.
  • 32.
  • 33. Alternativt - PBCR • Processor Binding Corporate Rules – foreløpig ganske ukjent – en variant av BCR • Grunnlag for bruk av databehandler som lagrer opplysninger utenfor EU/EØS • Ingen godkjent pt • Informasjonsplikt til de registrerte? • Veiledere på Artikkel 29-gruppens hjemmesider
  • 34. Begrense leverandørens geografiske frihet? • Fristende ifht pol’s regler • General Procurement Agreement • GPA-avtalen • plurilateral avtale, omfatter 41 av WTOs medlemmer • Likebehandling og ikke-diskriminering for tjenester mellom landene • Kan ikke ekskludere GPA-medlemmer
  • 35. GPA-avtalen • Omfatter datatjenester • Vanskelig å sette en begrensning i konkurransegrunnlaget om at plattformen kun kan etableres i EU • Selv om GPA-land må inkluderes, kan Datatilsynet sette begrensninger på eventuelle overføringer
  • 36. Ny tilnærming ved offentlige anbud • Aktuelle land må forhåndsgodkjennes av Datatilsynet • Tar lengre tid • Mer arbeid • Gir kontroll
  • 38. Refleksjoner • Økt teknologibruk vil gi flere logger og informasjon fra enheter som er ”nære” oss fysisk, mobiltelefoner, lokasjonsdata, informasjonsanalyser av e-post, biler etc • Formelle prosedyrer overfor ansatte blir viktigere, jf GPS-dommen • Datatilsynets bevilgning økes • Informasjonssikkerhet og compliance får stadig mer fokus • Teknologiske nyvinninger øker mulighet for sikkerhet og rasjonalisering • BP-saken • Fingeravtrykkssakene skiller mellom autentisering og identifikasjon • Klare brudd har så langt fått liten konsekvens • Bøter vil fremover økes til 3-5% av BRUTTO GLOBAL OMSETNING • Internasjonalisering øker – og er vanskelig – derfor også bruk av BCR i store konsern – PBCR viktig for offentlig sektor
  • 39. Innebygget personvern - Privacy by Design Tenke og praktisere personvern fra start til slutt – fra kravspesifikasjon via design og utvikling, til systemet er tatt i bruk og etter avvikling. Side 39
  • 40. 7 trinn til innebygget personvern 1. Vær proaktiv, ikke reaktiv. Forebygg, ikke forbedre 2. Personvern som standard 3. Personvern innebygd i design 4. Full funksjonalitet: Både-og, ikke enten-eller 5. Informasjonssikkerhet fra start til slutt 6. Synlighet og åpenhet 7. Respekt for brukerens personvern 23.10.13 Side 40
  • 41. Lysarkene ligger på www.slideshare.net LYNX advokatfirma DA Hieronymus Heyerdahls gate 1 N-0160 Oslo Eva Jarbekk ej@lynxlaw.no Tlf 900 51 011 Twitter: @evajarb http://lynxlaw.no/menneskene/eva-jarbekk/