Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Eva Jarbekk
Foredrag for etatsledere i Oslo kommune om ledelsesansvar og informasjonssikkerhet, personvern, nettsky (cloud) og råd for IKT-anskaffelser i offentlig sektor, teknologijuss
Norwegian presentation on "the Internet of Things", held by Lawyers Leif Eirik Thrane and Kari Gimmingsrud at Haavind seminar June 11th.
For more details, please visit http://haavind.no/internetofthings
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Eva Jarbekk
Foredrag for etatsledere i Oslo kommune om ledelsesansvar og informasjonssikkerhet, personvern, nettsky (cloud) og råd for IKT-anskaffelser i offentlig sektor, teknologijuss
Norwegian presentation on "the Internet of Things", held by Lawyers Leif Eirik Thrane and Kari Gimmingsrud at Haavind seminar June 11th.
For more details, please visit http://haavind.no/internetofthings
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.IKT-Norge
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA. Nettskyen er per definisjon grenseløs, men det er som kjent ikke jussen. Arve Føyen vil snakke litt om noen rammebetingelser som må tas hensyn til ved bruk av tjenester i nettskyen.
Noen av de viktigste spørsmålene du må stille deg selv er:
1. Har du oversikt over hvilke personopplysninger dere behandler? Vet du hva dere bruker opplysningene til?
2. Vet folk at dere har personopplysningene deres og forstår de hvordan dere bruker dem?
3. Behandler dere bare de personopplysningene dere trenger?
4. Oppbevarer dere personopplysningene bare så lenge det er nødvendig?
5. Sørger dere for personopplysningene er nøyaktige og oppdaterte?
6. Har dere god informasjons- og datasikkerhet?
7. Kan de registrerte utøve sine rettigheter?
8. Kjenner både du og deres ansatte til hvilket ansvar dere har?
Similar to Personvern, risikovurderinger og databehandleravtaler (20)
Personvern, risikovurderinger og databehandleravtaler
1. Personvern,
risikovurderinger
og
databehandleravtaler
Samling
for
tjenesteleverandører
i
Feide
29
april
2015
Tommy
Tranvik
Senter
for
IKT
i
utdanningen
2. Personvern
Den
som
opplysningene
gjelder
skal
ha
kontroll
med
og
innBlytelse
over
andres
behandling
av
dem
Gjelder
i
hele
behandlingskjeden
• vertsorganisasjon
• tjenesteleverandør
• underleverandører
4. Personopplysninger
Alle
opplysninger
eller
vurderinger
som
kan
knyttes
til
en
bestemt
enkeltperson
• tekst,
lyd,
bilder
og
video
Skiller
mellom
alminnelige
og
sensitive
personopplysninger
5. Sentrale
roller
i
lovgivningen
Elever,
studenter
og
ansatte
=
de
registrerte
• kontroll
og
innBlytelse
Vertsorganisasjon
=
behandlingsansvarlig
• rettslig
hovedansvarlig
Tjenesteleverandør
=
databehandler
• «jobber»
på
vegne
av
skoleeier
Tilsynsmyndighet
=
Datatilsynet
6. Databehandlernes
betydning
Personvern
• viktige
for
at
elever,
studenter
og
ansatte
skal
ha
kontroll
med
og
innBlytelse
over
egne
opplysninger
Regeletterlevelse
• viktig
for
at
vertsorganisasjoner
skal
kunne
overholde
sine
rettslige
plikter
7. Regler
for
databehandlere
Selvstendig
ansvar
for
informasjonssikkerheten
i
egne
tjenester
Skal
behandle
opplysninger
om
elever,
studenter
og
ansatte
etter
skriftlige
instrukser
fra
skoleeier
(databehandleravtaler)
8. Risikovurderinger
Reglene
om
informasjonssikkerhet
i
personopplysningsloven
med
forskrift
gjelder
for
tjenesteleverandører
Informasjonssikkerheten
i
tjenesten
skal
være
«tilfredsstillende»
Vurdere
risikoen
for
tre
typer
uønskede
hendelser
• uvedkommende
får
tilgang
til
opplysningene
• uautorisert
endring,
redigering
eller
sletting
av
opplysningene
• opplysningene
er
utilgjengelige
for
rette
vedkommende
Risikovurderinger
skal
skje
før
tjenesten
«går
online»
og
ved
behov
Risikovurderinger
skal
inkludere
sikkerheten
hos
eventuelle
underleverandører
9. Uønskede
hendelser
–
eksempler
Passordproblematikk
–
ID-‐tyveri
Ustabil
internettilgang
Uautorisert
overføring
av
opplysninger
til
annen
leverandør
Uautorisert
tilgang
til
opplysninger
under
overføring
Manglende
sletting
av
opplysninger
når
elever
avslutter
skolegangen
Manglende
tilbakeføring
av
opplysninger
ved
avsluttet
bruk
10. Risikohåndtering
Uønskede
hendelser
med
stor
sannsynlighet
og
skadevirkning
(høy
risiko)
skal
håndteres
Iverksette
tiltak
som
reduserer
risikoen
for
at
«noe
galt»
kan
skje
11. Vertsorganisasjonen
Vertsorganisasjoner
skal
risikovurdere
tjenesten
(«utredningsplikt»)
• før
den
tas
i
bruk
• før
databehandleravtale
inngås
med
leverandøren
Kan
ikke
lovlig
bruke
tjenesten
dersom
informasjonssikkerheten
ikke
er
«tilfredsstillende»
eller
uten
gyldig
databehandleravtale
Trenger
informasjon
om
tjenestens
oppbygging
og
virkemåte
for
å
foreta
risikovurderinger
og
undertegne
databehandleravtale
12. Databehandleravtaler
1. Avtalen
skal
etablere
klare
ansvars-‐
og
myndighetsforhold
overfor
leverandøren
2. Leverandøren
kan
ikke
overføre
opplysninger
om
elever,
studenter
og
ansatte
til
andre
uten
at
dette
fremgår
av
avtalen
3. Avtalen
skal
forplikte
leverandøren
til
å
følge
reglene
om
sikring
av
personopplysninger
i
personopplysningsloven
med
forskrift
13. Viktige
momenter
Hensikt
Formål
og
formålsbegrensning
De
registrertes
rettigheter
Bruk
av
underleverandører
Sikkerhet
Sikkerhetsrevisjoner
Varighet
Sletting
av
data
ved
avslutning
Lovvalg
og
verneting
15. Utenlandske
underleverandører
Innenfor
EØS-‐området
• «norske»
regler
Land
godkjent
av
EU
• «norske»
regler
Amerikanske
Safe
Harbor-‐bedrifter
• «norske»
regler
Alle
andre
land
og
bedrifter
• vanlig
med
særskilt
databehandleravtale
(laget
av
EU)
16. Sikkerhetsrevisjoner
Vertsorganisasjoner
har
et
oppfølgingsansvar
overfor
tjenesteleverandøren
• forsikre
seg
om
at
informasjonssikkerheten
fortsatt
er
«tilfredsstillende»
• forsikre
seg
om
at
avtalevilkår
overholdes
Tilgang
til
rapporter
fra
sikkerhetsrevisjoner
av
tjenesten
• omfatte
oppfølging
av
avtalevilkår
17. Relevante
produkter
Veileder
i
risikovurderinger
av
informasjonssikkerhet
Mal
for
databehandleravtaler
Generell
informasjon
om
personopplysningslovgivningen