SlideShare a Scribd company logo

Personvern, risikovurderinger og databehandleravtaler

Senter for IKT i utdanningen, redaksjon
Senter for IKT i utdanningen, redaksjon

Fra tjenesteleverandørsamling for Feide 29.04.15

Education
1 of 17
Download to read offline
Personvern,  risikovurderinger   og  databehandleravtaler   ​ Samling  for  tjenesteleverandører  i  Feide   ​ 29  april  2015   ​ Tommy  Tranvik   ​ Senter  for  IKT  i  utdanningen  
Personvern   ​ Den  som  opplysningene  gjelder  skal  ha  kontroll  med   og  innBlytelse  over  andres  behandling  av  dem   ​ Gjelder  i  hele  behandlingskjeden   •  vertsorganisasjon   •  tjenesteleverandør   •  underleverandører    
Rettslig  regulering   ​ Personopplysningsloven  med  forskrift     ​ Reglene  gjelder  for   •  elektronisk  behandling   •  personregistre   ​ Behandling     •  registrering,  lagring,  sammenstilling,  publisering,  overføring,   sletting,  osv.  
Personopplysninger     ​ Alle  opplysninger  eller  vurderinger  som  kan   knyttes  til  en  bestemt  enkeltperson   •  tekst,  lyd,  bilder  og  video   ​ Skiller  mellom  alminnelige  og  sensitive   personopplysninger  
Sentrale  roller  i  lovgivningen   ​ Elever,  studenter  og  ansatte  =  de  registrerte   •  kontroll  og  innBlytelse   ​ Vertsorganisasjon  =  behandlingsansvarlig   •  rettslig  hovedansvarlig   ​ Tjenesteleverandør  =  databehandler   •  «jobber»  på  vegne  av  skoleeier   ​ Tilsynsmyndighet  =  Datatilsynet  
Databehandlernes  betydning   ​ Personvern   •  viktige  for  at  elever,  studenter  og  ansatte  skal  ha  kontroll   med  og  innBlytelse  over  egne  opplysninger   ​ Regeletterlevelse     •  viktig  for  at  vertsorganisasjoner  skal  kunne  overholde  sine   rettslige  plikter  
Regler  for  databehandlere   ​ Selvstendig  ansvar  for  informasjonssikkerheten  i   egne  tjenester   ​ Skal  behandle  opplysninger  om  elever,  studenter   og  ansatte  etter  skriftlige  instrukser  fra  skoleeier   (databehandleravtaler)  
Risikovurderinger     ​ Reglene  om  informasjonssikkerhet  i  personopplysningsloven  med  forskrift  gjelder  for   tjenesteleverandører   ​ Informasjonssikkerheten  i  tjenesten  skal  være  «tilfredsstillende»   ​ Vurdere  risikoen  for  tre  typer  uønskede  hendelser   •  uvedkommende  får  tilgang  til  opplysningene   •  uautorisert  endring,  redigering  eller  sletting  av  opplysningene   •  opplysningene  er  utilgjengelige  for  rette  vedkommende   ​ Risikovurderinger  skal  skje  før  tjenesten  «går  online»  og  ved  behov   ​ Risikovurderinger  skal  inkludere  sikkerheten  hos  eventuelle  underleverandører  
Uønskede  hendelser  –  eksempler     ​ Passordproblematikk  –  ID-­‐tyveri   ​ Ustabil  internettilgang     ​ Uautorisert  overføring  av  opplysninger  til  annen  leverandør   ​ Uautorisert  tilgang  til  opplysninger  under  overføring   ​ Manglende  sletting  av  opplysninger  når  elever  avslutter  skolegangen   ​ Manglende  tilbakeføring  av  opplysninger  ved  avsluttet  bruk  
Risikohåndtering   ​ Uønskede  hendelser  med  stor  sannsynlighet   og  skadevirkning  (høy  risiko)  skal  håndteres   ​ Iverksette  tiltak  som  reduserer  risikoen  for  at   «noe  galt»  kan  skje  
Vertsorganisasjonen     ​ Vertsorganisasjoner  skal  risikovurdere  tjenesten  («utredningsplikt»)   •  før  den  tas  i  bruk     •  før  databehandleravtale  inngås  med  leverandøren   ​ Kan  ikke  lovlig  bruke  tjenesten  dersom  informasjonssikkerheten  ikke  er   «tilfredsstillende»  eller  uten  gyldig  databehandleravtale   ​ Trenger  informasjon  om  tjenestens  oppbygging  og  virkemåte  for  å  foreta   risikovurderinger  og  undertegne  databehandleravtale   ​     
Databehandleravtaler   1.  Avtalen  skal  etablere  klare  ansvars-­‐  og  myndighetsforhold   overfor  leverandøren   2.  Leverandøren  kan  ikke  overføre  opplysninger  om  elever,   studenter  og  ansatte  til  andre  uten  at  dette  fremgår  av   avtalen   3.  Avtalen  skal  forplikte  leverandøren  til  å  følge  reglene  om   sikring  av  personopplysninger  i  personopplysningsloven   med  forskrift  
Viktige  momenter   Hensikt   Formål  og  formålsbegrensning   De  registrertes  rettigheter   Bruk  av  underleverandører   Sikkerhet     Sikkerhetsrevisjoner   Varighet   Sletting  av  data  ved  avslutning   Lovvalg  og  verneting  
Underleverandører     ​ Underleverandører  kan  inngå  i   behandlingskjeden     •  hvem,  hva,  hvor   •  avtale  mellom  leverandør  og  underleverandør  
Utenlandske  underleverandører   ​ Innenfor  EØS-­‐området     •  «norske»  regler     ​ Land  godkjent  av  EU     •  «norske»  regler   ​ Amerikanske  Safe  Harbor-­‐bedrifter     •  «norske»  regler   ​ Alle  andre  land  og  bedrifter     •  vanlig  med  særskilt  databehandleravtale  (laget  av  EU)  
Sikkerhetsrevisjoner   ​ Vertsorganisasjoner  har  et  oppfølgingsansvar  overfor   tjenesteleverandøren   •  forsikre  seg  om  at  informasjonssikkerheten  fortsatt  er  «tilfredsstillende»   •  forsikre  seg  om  at  avtalevilkår  overholdes   ​ Tilgang  til  rapporter  fra  sikkerhetsrevisjoner  av  tjenesten   •  omfatte  oppfølging  av  avtalevilkår  
Relevante  produkter   ​ Veileder  i  risikovurderinger  av   informasjonssikkerhet   ​ Mal  for  databehandleravtaler   ​ Generell  informasjon  om   personopplysningslovgivningen  

Recommended

Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 
Regler om personvern og avtaler 13102015
Regler om personvern og avtaler 13102015 Regler om personvern og avtaler 13102015
Regler om personvern og avtaler 13102015
Senter for IKT i utdanningen, redaksjon
 
Kurs i risikovurdering
Kurs i risikovurderingKurs i risikovurdering
Kurs i risikovurdering
Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler
Personvern og databehandleravtaler Personvern og databehandleravtaler
Personvern og databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler feide
Personvern og databehandleravtaler feidePersonvern og databehandleravtaler feide
Personvern og databehandleravtaler feideSenter for IKT i utdanningen, redaksjon
 
Feide fagdag 10.6.15 personvern og sikkerhet
Feide fagdag 10.6.15 personvern og sikkerhetFeide fagdag 10.6.15 personvern og sikkerhet
Feide fagdag 10.6.15 personvern og sikkerhet
Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler Feide
Personvern og databehandleravtaler FeidePersonvern og databehandleravtaler Feide
Personvern og databehandleravtaler Feide
Senter for IKT i utdanningen, redaksjon
 
Databehandleravtaler
DatabehandleravtalerDatabehandleravtaler
Databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 

Recommended

Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 
Regler om personvern og avtaler 13102015
Regler om personvern og avtaler 13102015 Regler om personvern og avtaler 13102015
Regler om personvern og avtaler 13102015
Senter for IKT i utdanningen, redaksjon
 
Kurs i risikovurdering
Kurs i risikovurderingKurs i risikovurdering
Kurs i risikovurdering
Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler
Personvern og databehandleravtaler Personvern og databehandleravtaler
Personvern og databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler feide
Personvern og databehandleravtaler feidePersonvern og databehandleravtaler feide
Personvern og databehandleravtaler feideSenter for IKT i utdanningen, redaksjon
 
Feide fagdag 10.6.15 personvern og sikkerhet
Feide fagdag 10.6.15 personvern og sikkerhetFeide fagdag 10.6.15 personvern og sikkerhet
Feide fagdag 10.6.15 personvern og sikkerhet
Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler Feide
Personvern og databehandleravtaler FeidePersonvern og databehandleravtaler Feide
Personvern og databehandleravtaler Feide
Senter for IKT i utdanningen, redaksjon
 
Databehandleravtaler
DatabehandleravtalerDatabehandleravtaler
Databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 
Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14
Senter for IKT i utdanningen, redaksjon
 
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikSenter for IKT i utdanningen, redaksjon
 
Hva er identitetsforvaltning?
Hva er identitetsforvaltning?Hva er identitetsforvaltning?
Hva er identitetsforvaltning?
Snorre Løvås
 
Feidesøknad og godkjenningsproses 08032016
Feidesøknad og godkjenningsproses 08032016Feidesøknad og godkjenningsproses 08032016
Feidesøknad og godkjenningsproses 08032016
Senter for IKT i utdanningen, redaksjon
 
Kvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget husKvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget hus
Senter for IKT i utdanningen, redaksjon
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Eva Jarbekk
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxEva Jarbekk
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvern
Eva Jarbekk
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCG
Thorbjørn Værp
 
Kurs i risikovurdering
Kurs i risikovurderingKurs i risikovurdering
Kurs i risikovurdering
Senter for IKT i utdanningen, redaksjon
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Eva Jarbekk
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Eva Jarbekk
 
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Eva Jarbekk
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptx
Eva Jarbekk
 
Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0
Geir André Strømsvold
 
Apps og personvern presentasjon
Apps og personvern presentasjonApps og personvern presentasjon
Apps og personvern presentasjonAnniken Andresen
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?
Advokatfirmaet Haavind
 
GDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserGDPR i offentlige anskaffelser
GDPR i offentlige anskaffelser
Kjell Steffner
 
Personvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolPersonvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i Admincontrol
Ole Martin Refvik
 
Skytjenester i skolen
Skytjenester i skolenSkytjenester i skolen
Skytjenester i skolenHarald Torbjørnsen
 

More Related Content

What's hot

Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 
Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14
Senter for IKT i utdanningen, redaksjon
 
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikSenter for IKT i utdanningen, redaksjon
 
Hva er identitetsforvaltning?
Hva er identitetsforvaltning?Hva er identitetsforvaltning?
Hva er identitetsforvaltning?
Snorre Løvås
 
Feidesøknad og godkjenningsproses 08032016
Feidesøknad og godkjenningsproses 08032016Feidesøknad og godkjenningsproses 08032016
Feidesøknad og godkjenningsproses 08032016
Senter for IKT i utdanningen, redaksjon
 
Kvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget husKvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget hus
Senter for IKT i utdanningen, redaksjon
 

What's hot (6)

Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
 
Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14
 
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
 
Hva er identitetsforvaltning?
Hva er identitetsforvaltning?Hva er identitetsforvaltning?
Hva er identitetsforvaltning?
 
Feidesøknad og godkjenningsproses 08032016
Feidesøknad og godkjenningsproses 08032016Feidesøknad og godkjenningsproses 08032016
Feidesøknad og godkjenningsproses 08032016
 
Kvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget husKvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget hus
 

Similar to Personvern, risikovurderinger og databehandleravtaler

Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Eva Jarbekk
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxEva Jarbekk
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvern
Eva Jarbekk
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCG
Thorbjørn Værp
 
Kurs i risikovurdering
Kurs i risikovurderingKurs i risikovurdering
Kurs i risikovurdering
Senter for IKT i utdanningen, redaksjon
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Eva Jarbekk
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Eva Jarbekk
 
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Eva Jarbekk
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptx
Eva Jarbekk
 
Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0
Geir André Strømsvold
 
Apps og personvern presentasjon
Apps og personvern presentasjonApps og personvern presentasjon
Apps og personvern presentasjonAnniken Andresen
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?
Advokatfirmaet Haavind
 
GDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserGDPR i offentlige anskaffelser
GDPR i offentlige anskaffelser
Kjell Steffner
 
Personvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolPersonvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i Admincontrol
Ole Martin Refvik
 
Hva er IdM - for UNINETT
Hva er IdM - for UNINETTHva er IdM - for UNINETT
Hva er IdM - for UNINETTSnorre Løvås
 
GDPR datainnsamling på web
GDPR datainnsamling på webGDPR datainnsamling på web
GDPR datainnsamling på web
Kjell Steffner
 
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
IKT-Norge
 
GDPR-helsesjekk
GDPR-helsesjekkGDPR-helsesjekk
GDPR-helsesjekk
Kjell Steffner
 

Similar to Personvern, risikovurderinger og databehandleravtaler (20)

Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptx
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvern
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCG
 
Kurs i risikovurdering
Kurs i risikovurderingKurs i risikovurdering
Kurs i risikovurdering
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
 
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptx
 
Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0
 
Apps og personvern presentasjon
Apps og personvern presentasjonApps og personvern presentasjon
Apps og personvern presentasjon
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?
 
GDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserGDPR i offentlige anskaffelser
GDPR i offentlige anskaffelser
 
Personvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolPersonvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i Admincontrol
 
Skytjenester i skolen
Skytjenester i skolenSkytjenester i skolen
Skytjenester i skolen
 
Hva er IdM - for UNINETT
Hva er IdM - for UNINETTHva er IdM - for UNINETT
Hva er IdM - for UNINETT
 
GDPR datainnsamling på web
GDPR datainnsamling på webGDPR datainnsamling på web
GDPR datainnsamling på web
 
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
 
GDPR-helsesjekk
GDPR-helsesjekkGDPR-helsesjekk
GDPR-helsesjekk
 

More from Senter for IKT i utdanningen, redaksjon

Monitor skole 2016
Monitor skole 2016Monitor skole 2016
Monitor skole 2016
Senter for IKT i utdanningen, redaksjon
 
Digital dømmekraft - Erik Westrum
Digital dømmekraft - Erik WestrumDigital dømmekraft - Erik Westrum
Digital dømmekraft - Erik Westrum
Senter for IKT i utdanningen, redaksjon
 
Du bestemmer
Du bestemmerDu bestemmer
Du bestemmer
Senter for IKT i utdanningen, redaksjon
 
Digital dømmekraft - hvorfor, hva og hvordan
Digital dømmekraft - hvorfor, hva og hvordanDigital dømmekraft - hvorfor, hva og hvordan
Digital dømmekraft - hvorfor, hva og hvordan
Senter for IKT i utdanningen, redaksjon
 
Feide i bruk, muligheter og gevinster
Feide i bruk, muligheter og gevinsterFeide i bruk, muligheter og gevinster
Feide i bruk, muligheter og gevinster
Senter for IKT i utdanningen, redaksjon
 
Erfaringsdeling fra kristiansand
Erfaringsdeling fra kristiansandErfaringsdeling fra kristiansand
Erfaringsdeling fra kristiansand
Senter for IKT i utdanningen, redaksjon
 
Hvordan bidrar feide til økt sikkerhet
Hvordan bidrar feide til økt sikkerhetHvordan bidrar feide til økt sikkerhet
Hvordan bidrar feide til økt sikkerhet
Senter for IKT i utdanningen, redaksjon
 
Eksempler på god tilrettelegging og bruk
Eksempler på god tilrettelegging og brukEksempler på god tilrettelegging og bruk
Eksempler på god tilrettelegging og bruk
Senter for IKT i utdanningen, redaksjon
 
Nye satsninger i feide-arbeidet, dataporten - google
Nye satsninger i feide-arbeidet, dataporten - googleNye satsninger i feide-arbeidet, dataporten - google
Nye satsninger i feide-arbeidet, dataporten - google
Senter for IKT i utdanningen, redaksjon
 
Hvordan bidrar Feide til økt sikkerhet?
Hvordan bidrar Feide til økt sikkerhet?Hvordan bidrar Feide til økt sikkerhet?
Hvordan bidrar Feide til økt sikkerhet?
Senter for IKT i utdanningen, redaksjon
 
10 råd for å møte sikkerhetskrav i skolen
10 råd for å møte sikkerhetskrav i skolen10 råd for å møte sikkerhetskrav i skolen
10 råd for å møte sikkerhetskrav i skolen
Senter for IKT i utdanningen, redaksjon
 
Bodil Houg: Digitale krenkelser og mobbing 6 april 2016
Bodil Houg: Digitale krenkelser og mobbing 6 april 2016 Bodil Houg: Digitale krenkelser og mobbing 6 april 2016
Bodil Houg: Digitale krenkelser og mobbing 6 april 2016
Senter for IKT i utdanningen, redaksjon
 
Elisabeth Staksrud #digitalmobbing 06042016
Elisabeth Staksrud #digitalmobbing 06042016Elisabeth Staksrud #digitalmobbing 06042016
Elisabeth Staksrud #digitalmobbing 06042016
Senter for IKT i utdanningen, redaksjon
 
Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...
Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...
Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...
Senter for IKT i utdanningen, redaksjon
 
Cyberbullying, #digitalmobbing 06042016 - Mona O´Moore
Cyberbullying, #digitalmobbing 06042016 - Mona O´MooreCyberbullying, #digitalmobbing 06042016 - Mona O´Moore
Cyberbullying, #digitalmobbing 06042016 - Mona O´Moore
Senter for IKT i utdanningen, redaksjon
 
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
Senter for IKT i utdanningen, redaksjon
 
Kors på halsen. #digitalmobbing 06042016
Kors på halsen. #digitalmobbing 06042016Kors på halsen. #digitalmobbing 06042016
Kors på halsen. #digitalmobbing 06042016
Senter for IKT i utdanningen, redaksjon
 
Vurderingsskjema
VurderingsskjemaVurderingsskjema
Vurderingsskjema
Senter for IKT i utdanningen, redaksjon
 
Risikovurdering mal
Risikovurdering malRisikovurdering mal
Risikovurdering mal
Senter for IKT i utdanningen, redaksjon
 
Erfaringsdeling ikt-setesdal
Erfaringsdeling ikt-setesdalErfaringsdeling ikt-setesdal
Erfaringsdeling ikt-setesdal
Senter for IKT i utdanningen, redaksjon
 

More from Senter for IKT i utdanningen, redaksjon (20)

Monitor skole 2016
Monitor skole 2016Monitor skole 2016
Monitor skole 2016
 
Digital dømmekraft - Erik Westrum
Digital dømmekraft - Erik WestrumDigital dømmekraft - Erik Westrum
Digital dømmekraft - Erik Westrum
 
Du bestemmer
Du bestemmerDu bestemmer
Du bestemmer
 
Digital dømmekraft - hvorfor, hva og hvordan
Digital dømmekraft - hvorfor, hva og hvordanDigital dømmekraft - hvorfor, hva og hvordan
Digital dømmekraft - hvorfor, hva og hvordan
 
Feide i bruk, muligheter og gevinster
Feide i bruk, muligheter og gevinsterFeide i bruk, muligheter og gevinster
Feide i bruk, muligheter og gevinster
 
Erfaringsdeling fra kristiansand
Erfaringsdeling fra kristiansandErfaringsdeling fra kristiansand
Erfaringsdeling fra kristiansand
 
Hvordan bidrar feide til økt sikkerhet
Hvordan bidrar feide til økt sikkerhetHvordan bidrar feide til økt sikkerhet
Hvordan bidrar feide til økt sikkerhet
 
Eksempler på god tilrettelegging og bruk
Eksempler på god tilrettelegging og brukEksempler på god tilrettelegging og bruk
Eksempler på god tilrettelegging og bruk
 
Nye satsninger i feide-arbeidet, dataporten - google
Nye satsninger i feide-arbeidet, dataporten - googleNye satsninger i feide-arbeidet, dataporten - google
Nye satsninger i feide-arbeidet, dataporten - google
 
Hvordan bidrar Feide til økt sikkerhet?
Hvordan bidrar Feide til økt sikkerhet?Hvordan bidrar Feide til økt sikkerhet?
Hvordan bidrar Feide til økt sikkerhet?
 
10 råd for å møte sikkerhetskrav i skolen
10 råd for å møte sikkerhetskrav i skolen10 råd for å møte sikkerhetskrav i skolen
10 råd for å møte sikkerhetskrav i skolen
 
Bodil Houg: Digitale krenkelser og mobbing 6 april 2016
Bodil Houg: Digitale krenkelser og mobbing 6 april 2016 Bodil Houg: Digitale krenkelser og mobbing 6 april 2016
Bodil Houg: Digitale krenkelser og mobbing 6 april 2016
 
Elisabeth Staksrud #digitalmobbing 06042016
Elisabeth Staksrud #digitalmobbing 06042016Elisabeth Staksrud #digitalmobbing 06042016
Elisabeth Staksrud #digitalmobbing 06042016
 
Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...
Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...
Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...
 
Cyberbullying, #digitalmobbing 06042016 - Mona O´Moore
Cyberbullying, #digitalmobbing 06042016 - Mona O´MooreCyberbullying, #digitalmobbing 06042016 - Mona O´Moore
Cyberbullying, #digitalmobbing 06042016 - Mona O´Moore
 
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
 
Kors på halsen. #digitalmobbing 06042016
Kors på halsen. #digitalmobbing 06042016Kors på halsen. #digitalmobbing 06042016
Kors på halsen. #digitalmobbing 06042016
 
Vurderingsskjema
VurderingsskjemaVurderingsskjema
Vurderingsskjema
 
Risikovurdering mal
Risikovurdering malRisikovurdering mal
Risikovurdering mal
 
Erfaringsdeling ikt-setesdal
Erfaringsdeling ikt-setesdalErfaringsdeling ikt-setesdal
Erfaringsdeling ikt-setesdal
 

Personvern, risikovurderinger og databehandleravtaler

  • 1. Personvern,  risikovurderinger   og  databehandleravtaler   ​ Samling  for  tjenesteleverandører  i  Feide   ​ 29  april  2015   ​ Tommy  Tranvik   ​ Senter  for  IKT  i  utdanningen  
  • 2. Personvern   ​ Den  som  opplysningene  gjelder  skal  ha  kontroll  med   og  innBlytelse  over  andres  behandling  av  dem   ​ Gjelder  i  hele  behandlingskjeden   •  vertsorganisasjon   •  tjenesteleverandør   •  underleverandører    
  • 3. Rettslig  regulering   ​ Personopplysningsloven  med  forskrift     ​ Reglene  gjelder  for   •  elektronisk  behandling   •  personregistre   ​ Behandling     •  registrering,  lagring,  sammenstilling,  publisering,  overføring,   sletting,  osv.  
  • 4. Personopplysninger     ​ Alle  opplysninger  eller  vurderinger  som  kan   knyttes  til  en  bestemt  enkeltperson   •  tekst,  lyd,  bilder  og  video   ​ Skiller  mellom  alminnelige  og  sensitive   personopplysninger  
  • 5. Sentrale  roller  i  lovgivningen   ​ Elever,  studenter  og  ansatte  =  de  registrerte   •  kontroll  og  innBlytelse   ​ Vertsorganisasjon  =  behandlingsansvarlig   •  rettslig  hovedansvarlig   ​ Tjenesteleverandør  =  databehandler   •  «jobber»  på  vegne  av  skoleeier   ​ Tilsynsmyndighet  =  Datatilsynet  
  • 6. Databehandlernes  betydning   ​ Personvern   •  viktige  for  at  elever,  studenter  og  ansatte  skal  ha  kontroll   med  og  innBlytelse  over  egne  opplysninger   ​ Regeletterlevelse     •  viktig  for  at  vertsorganisasjoner  skal  kunne  overholde  sine   rettslige  plikter  
  • 7. Regler  for  databehandlere   ​ Selvstendig  ansvar  for  informasjonssikkerheten  i   egne  tjenester   ​ Skal  behandle  opplysninger  om  elever,  studenter   og  ansatte  etter  skriftlige  instrukser  fra  skoleeier   (databehandleravtaler)  
  • 8. Risikovurderinger     ​ Reglene  om  informasjonssikkerhet  i  personopplysningsloven  med  forskrift  gjelder  for   tjenesteleverandører   ​ Informasjonssikkerheten  i  tjenesten  skal  være  «tilfredsstillende»   ​ Vurdere  risikoen  for  tre  typer  uønskede  hendelser   •  uvedkommende  får  tilgang  til  opplysningene   •  uautorisert  endring,  redigering  eller  sletting  av  opplysningene   •  opplysningene  er  utilgjengelige  for  rette  vedkommende   ​ Risikovurderinger  skal  skje  før  tjenesten  «går  online»  og  ved  behov   ​ Risikovurderinger  skal  inkludere  sikkerheten  hos  eventuelle  underleverandører  
  • 9. Uønskede  hendelser  –  eksempler     ​ Passordproblematikk  –  ID-­‐tyveri   ​ Ustabil  internettilgang     ​ Uautorisert  overføring  av  opplysninger  til  annen  leverandør   ​ Uautorisert  tilgang  til  opplysninger  under  overføring   ​ Manglende  sletting  av  opplysninger  når  elever  avslutter  skolegangen   ​ Manglende  tilbakeføring  av  opplysninger  ved  avsluttet  bruk  
  • 10. Risikohåndtering   ​ Uønskede  hendelser  med  stor  sannsynlighet   og  skadevirkning  (høy  risiko)  skal  håndteres   ​ Iverksette  tiltak  som  reduserer  risikoen  for  at   «noe  galt»  kan  skje  
  • 11. Vertsorganisasjonen     ​ Vertsorganisasjoner  skal  risikovurdere  tjenesten  («utredningsplikt»)   •  før  den  tas  i  bruk     •  før  databehandleravtale  inngås  med  leverandøren   ​ Kan  ikke  lovlig  bruke  tjenesten  dersom  informasjonssikkerheten  ikke  er   «tilfredsstillende»  eller  uten  gyldig  databehandleravtale   ​ Trenger  informasjon  om  tjenestens  oppbygging  og  virkemåte  for  å  foreta   risikovurderinger  og  undertegne  databehandleravtale   ​     
  • 12. Databehandleravtaler   1.  Avtalen  skal  etablere  klare  ansvars-­‐  og  myndighetsforhold   overfor  leverandøren   2.  Leverandøren  kan  ikke  overføre  opplysninger  om  elever,   studenter  og  ansatte  til  andre  uten  at  dette  fremgår  av   avtalen   3.  Avtalen  skal  forplikte  leverandøren  til  å  følge  reglene  om   sikring  av  personopplysninger  i  personopplysningsloven   med  forskrift  
  • 13. Viktige  momenter   Hensikt   Formål  og  formålsbegrensning   De  registrertes  rettigheter   Bruk  av  underleverandører   Sikkerhet     Sikkerhetsrevisjoner   Varighet   Sletting  av  data  ved  avslutning   Lovvalg  og  verneting  
  • 14. Underleverandører     ​ Underleverandører  kan  inngå  i   behandlingskjeden     •  hvem,  hva,  hvor   •  avtale  mellom  leverandør  og  underleverandør  
  • 15. Utenlandske  underleverandører   ​ Innenfor  EØS-­‐området     •  «norske»  regler     ​ Land  godkjent  av  EU     •  «norske»  regler   ​ Amerikanske  Safe  Harbor-­‐bedrifter     •  «norske»  regler   ​ Alle  andre  land  og  bedrifter     •  vanlig  med  særskilt  databehandleravtale  (laget  av  EU)  
  • 16. Sikkerhetsrevisjoner   ​ Vertsorganisasjoner  har  et  oppfølgingsansvar  overfor   tjenesteleverandøren   •  forsikre  seg  om  at  informasjonssikkerheten  fortsatt  er  «tilfredsstillende»   •  forsikre  seg  om  at  avtalevilkår  overholdes   ​ Tilgang  til  rapporter  fra  sikkerhetsrevisjoner  av  tjenesten   •  omfatte  oppfølging  av  avtalevilkår  
  • 17. Relevante  produkter   ​ Veileder  i  risikovurderinger  av   informasjonssikkerhet   ​ Mal  for  databehandleravtaler   ​ Generell  informasjon  om   personopplysningslovgivningen