Tittel skrives her tittel skrives her

VIRKE
12. mars 2015
Agenda
•
•
•
•
•
•
Internkontroll etter personopplysningsloven
Typiske utfordringer i reiselivsbransjen
Informasjonssikkerhet – et ledelsesansvar
Dokumentasjonskravet
Kartlegge behandlingene
Plikter og rutiner
•
•
•
•
Informasjonssikkerhet
•
•
•
•
•
Konsesjonsplikt
Meldeplikt
Rutiner
Organisering
Risikovurderinger
Avviksbehandlinger
Databehandlere og databehandleravtaler
Personvernombudsordningen
13.03.2015
Side 2
Hva er internkontroll og informasjonssikkerhet?
• rutiner for oppfyllelse av virksomhetens plikter og de
registrertes rettigheter
• rutiner og tekniske tiltak for informasjonssikkerhet
13.03.2015
Side 3
Typiske funn
Hvor trykker skoen?
•
•
•
•
Manglende oversikt over egne behandlinger
Hull i kunnskapen om innsyn og informasjon
Manglende eller for dårlige risikovurdering
Databehandleravtaler
Hva er gjennomgående bra?
•
•
•
Organisering og delegasjonsfullmakter
Avviksbehandling – internt
Man har kunnskap, men ikke nedfelte rutiner
13.03.2015
Side 4
Andre observasjoner
Er det forskjell på store og små?
•
Ja, her er det store forskjeller
•
13.03.2015
Alle lever under samme regelverk – uansett størrelse, men kunnskapen om regelverket er
så som så
Side 5
Internkontroll (etter personopplysningsloven)
Denne består av tre hovedelementer:
• Styrende elementer, som i hovedsak retter seg mot
ledelsen, herunder hvilke beslutninger og føringer de legger
for internkontroll.
• Gjennomførende elementer, som i hovedsak retter seg
mot ansatte. Her finner man beskrivelse av rutiner som er
tilpasset den enkeltes arbeidssituasjon.
• Kontrollerende elementer, som bidrar til å fange opp
avvik fra systemet og til at det gjennomføres periodiske
gjennomganger.
13.03.2015
Side 6
Informasjonssikkerhet – et ledelsesansvar
•
•
•
Opplysninger som kan knyttes til individet, skal behandles i
samsvar med personopplysningsloven.
Grunnlag for behandling er basert på lovhjemmel eller
samtykke fra den registrerte
Uavhengig av grunnlaget har virksomheten plikt til å
informere den registrerte om hvordan den har tenkt å
behandle opplysningene
•
•
13.03.2015
Det må informeres om formål, rettigheter og lagringstid for
opplysningene
Ingen kan ta seg til rette og gjøre hva man vil med opplysningene
man forvalter
Side 7
Informasjonssikkerhet – et ledelsesansvar
•
•
Det forventes ikke alltid at øverste leder har inngående
kunnskap om informasjonssikkerhet
Derimot forventes det at personopplysninger er sikret på en
forsvarlig måte, og at øverste leder kan garantere at dette
blir gjort
• I praksis betyr det å sørge for at virksomheten har oversikt over;
– hvilke plikter som gjelder
– hvordan opplysninger behandles og sikres
– at alle rutiner knyttet til dette er godkjent og blir fulgt opp av alle
ansatte
13.03.2015
Side 8
Prosessen for å etablere internkontroll og
informasjonssikkerhet
Utarbeide håndteringsrutiner
For håndtering av
personopplysninger generelt i
virksomheten.
Oppfølging
Innledende oppgaver
Behandlingsansvarlig
For ivaretakelse av de registrertes
rettigheter.
Kartlegge formål med
behandlinger og
behandlingsgrunnlag.
Iverksette styringssystem for
informasjonssikkerhet
Utarbeide rutiner for avvikshåndtering
og egenkontroll.
Utarbeide rutiner for rapportering og
forslag til tiltak.
Utarbeide sikkerhetsmål, strategi
og akseptkriterier.
Etablere sikkerhetsorganisasjon.
Gjennomføre risikovurdering.
Gjennomføre sikkerhetsrevisjon
13.03.2015
Side 9
Hva er personopplysninger?
Personopplysninger
Opplysninger og vurderinger som kan knyttes til en enkeltperson
(personopplysningsloven § 2 – 1)
•
Personopplysninger er alle opplysninger og vurderinger
som kan knyttes til en enkeltperson,
•
•
•
•
•
•
•
•
13.03.2015
navn
adresse
lønn
referanseuttalelser
oppgavebesvarelser
klientopplysninger
skyldneropplysninger
kundeopplysninger
Side 10
Hva er sensitive personopplysninger?
Sensitive personopplysninger
Personopplysninger om (personopplysningsloven § 2 – 8):
Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning
At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling
Helseforhold
Seksuelle forhold
Medlemskap i fagforeninger
•
•
Sensitive personopplysninger er for eksempel informasjon om
hvilke sykdommer en person har hatt, medisiner vedkommende
bruker, straffedommer, tidligere og pågående rusmisbruk og
seksuell legning.
Det knytter seg et særlig behov for vern rundt sensitive
personopplysninger, regelverket stiller derfor strengere krav til
behandling av denne typen opplysninger.
13.03.2015
Side 11
Dokumentasjon av internkontrollsystemet
• Det er et lovpålagt krav at internkontrollsystemet skal
være dokumentert.
• Dokumentasjonen er delt i tre emner:
1. Styrende dokumentasjon som ledelsen er ansvarlig for å
utarbeide.
2. Gjennomførende dokumentasjon med rutiner og tiltak for
daglig drift.
3. Kontrollerende dokumentasjon med rutiner for oppfølging,
korrigering og forbedring av internkontroll og
informasjonssikkerhet.
13.03.2015
Side 12
Virksomhetens leder er behandlingsansvarlig
• Behandlingsansvarlig er den som bestemmer formålet
med behandlingen av personopplysninger og hvilke
virkemidler som skal brukes
(personopplysningsloven § 2 nr 4).
• Behandlingsansvarlig er ansvarlig for etablering og
vedlikehold av planlagte og systematiske tiltak som er
nødvendige for å oppfylle kravene i eller i medhold av
personopplysningsloven, herunder sikre
personopplysningenes kvalitet.
(personopplysningsloven § 14)
13.03.2015
Side 13
Kartlegge virksomhetens behandlinger
•
Virksomheten skal ha en oversikt over hvilke behandlinger av
personopplysninger som foretas, og hvilke opplysninger som inngår i
disse. Oversikten er nødvendig for at virksomheten skal kunne ivareta
pliktene sine. Oversikten danner også grunnlag for utarbeidelse av
virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag
ved risikovurderinger.
Informasjon
Behand-lingsgrunnlag
Melding/
Konsesjon
Klassifikasjon
Person-opplysnings-loven,
§ 8f
Unntatt i
forskriftens
§ 7-16
Personopplysninger
Ca. 130
ansatte
Barnevernloven, § 3-1
Meldt
Sensitive
personopplysninger
Sensitive
personopplyninger
Personopplyninger
Ca. 68 barn
og foresatte
Personopplyninger
Arkivlogg,n
ettverkslogg og
serverlogg,
PC-logger
Formål
Lønn og personal:
lønns- opplysninger
personalopplysninger
Barnevern:
vurdering og tiltak
Helse- opplysninger:
pasientjournal
Elevadministrasjon
Helsepersonel-loven
§ 39
Opp-læringsloven § 13-5
14.01.2009
Meldt
14.01.2009
Sikkerhetsti
ltak
Lagring og
kommunikasjon
Opplysningenes
omfang
Avdeling
Databehandler
Ca. 413
pasienter
Ca. 219
søkere
elever / foresatte
lærere
Hendelsesregister:
13.03.2015
logg over brudd
Person-opplysnings-loven,
§ 13
Unntatt i
forskriftens
§ 7-11
Side 14
Plikter for den behandlingsansvarlige
• Meldeplikt
• Konsesjonsplikt
• Rutiner man plikter å ha
• Rutiner for kvalitetssikring av personopplysninger
• Rutiner for sletting av personopplysninger
• Rutiner for utlevering av personopplysninger til andre
13.03.2015
Side 15
Meldeplikt
•
All behandling av personopplysninger er i utgangspunktet
meldepliktig, jf. personopplysningsloven § 31. En del
behandlinger er imidlertid unntatt i
personopplysningsforskriften. Dette gjelder blant annet
utdanningssektorens personregistre og personalregistre.
Krav til rutiner og sikkerhetstiltak gjelder selv om
behandlingen er unntatt meldeplikt.
(Personopplysningsforskriften kapittel 7)
13.03.2015
Side 16
Den registrertes rettigheter
• Den behandlingsansvarlige er pålagt å informere den
registrerte om behandlingen som igangsettes. Der
personopplysningene innhentes fra den registrerte selv
skal informasjonen gis før behandlingen tar til.
Informasjon skal gis uoppfordret, uten at den
registrerte krever det, og uten kostnader for den
registrerte.
• Plikt til å informere når det samles inn opplysninger fra den
registrerte er beskrevet i personopplysningsloven § 19.
• Plikt til å informere når det samles inn opplysninger fra andre
enn den registrerte, er beskrevet i personopplysningsloven §
20.
13.03.2015
Side 17
Rutiner for innsyn, retting og supplering
•
Innsyn i virksomhetens generelle behandlinger
•
•
Innsyn i egne opplysninger
•
•
Virksomheten skal ha rutine for behandling av forespørsel om retting og
supplering for en registrert
Ivaretakelse av eventuell reservasjonsrett mot automatiserte
avgjørelser
•
•
Virksomheten skal ha rutine for behandling av forespørsel om innsyn fra mulig
registrerte
Retting og supplering
•
•
Virksomheten skal ha rutine for behandling av forespørsel om innsyn i
virksomhetens generelle behandlinger
Den behandlingsansvarlige skal ha rutiner for manuell behandling, til bruk når
noen reserverer seg mot automatiserte avgjørelser
Innsyn i privat e-post og private filområder
•
13.03.2015
Datatilsynet anbefaler at virksomheten utarbeider utfyllende rutiner for når
innsyn i e-post kan bli aktuelt og hvordan innsyn skal gjennomføres
Side 18
Hva er informasjonssikkerhet?
• Informasjonssikkerhet dreier seg om å håndtere risiko
relatert til virksomhetens informasjonsverdier og
behandling av personopplysninger
• Informasjonssikkerhet omfatter beskyttelse av:
• konfidensialitet - uvedkommende får ikke tilgang på
opplysningene
• integritet - opplysningene endres ikke uautorisert eller
utilsiktet
• tilgjengelighet - opplysningene er tilgjengelige når tilgang er
nødvendig
13.03.2015
Side 19
Sikkerhetsmål og sikkerhetsstrategi
•
•
Sikkerhetsmålene omfatter ledelsens beslutninger om hva
informasjonsteknologien skal brukes til i virksomheten og
hvordan den skal benyttes for å nå virksomhetens øvrige
mål. Sikkerhetsmål vil således utgjøre en del av
virksomhetens beskrivelse av sin totale målsetting.
Sikkerhetsstrategien skal omfatte grunnleggende
beslutninger om organisering og gjennomføring av
sikkerhetsarbeidet. Dette går på fordeling av
arbeidsoppgaver mellom ledelse og driftspersonell, og
beslutning om eventuelt å ta i bruk eksterne leverandører i
sikkerhetsarbeidet. Forholdet mellom ledelse,
driftspersonell, sikkerhetspersonell og den enkelte bruker
må avklares her.
13.03.2015
Side 20
Sikkerhetsorganisasjon
•
•
Det må nedsettes en sikkerhetsorganisasjon, og at denne
skal dokumenteres. Det skal etableres klare ansvars- og
myndighetsforhold med utgangspunkt i beslutninger tatt av
virksomhetens ledelse (sikkerhetsstrategien).
Ansvar og myndighet relatert til drift av
informasjonssystemet (driftsledelse) og for oppfølging av
sikkerhetsarbeidet (sikkerhetsledelse) må klarlegges.
•
•
13.03.2015
I mindre organisasjoner kan det være samme person som ivaretar
disse oppgavene.
For større organisasjoner må det fremlegges organisasjonskart som
viser de nevnte funksjonene og deres plassering i forhold til ledelsen
og virksomheten for øvrig.
Side 21
Gjennomføre risikovurdering
•
•
•
•
Formålet med risikovurdering er å sikre at den risiko som
avdekkes ved behandling av personopplysninger er innenfor de
akseptkriterier virksomheten har fastlagt
Risiko betegner forholdet mellom sannsynligheten for at en
uønsket hendelse vil inntreffe og konsekvenser av en slik
hendelse.
Virksomheten skal gjennomføre risikovurdering ved endringer i
forhold som kan påvirke informasjonssikkerheten, for eksempel
endringer i informasjonssystemet eller endringer i trusselbildet.
Virksomheten skal minst en gang årlig gjennomføre risikovurdering bl.a. i forbindelse med vurdering av endringer i
trusselbildet og/eller planlagte endringer i informasjonssystemet.
13.03.2015
Side 22
Eksempel på tabell over akseptabel risiko
Konsekvens:
Liten
Moderat
Stor
Katastrofal
Sensitive opplysninger om en
ansatt på avveier. Uautorisert
endring av opplysninger om en
ansatt
Sensitive opplysninger om alle
ansatte på avveier.
Styreinformasjon på avveier.
Konkurransesensitiv
informasjon på avveier.
Sannsynlighet:
Lav
Moderat
Utilgjengelighet av
personalsystem i 24 timer
Budsjettinformasjon på
avveier.
Høy
Informasjon med lavt
beskyttelsesbehov på avveier.
En dags bortfall av
sikkerhetskopiering.
Ukjente mennesker i
kontorlokalene
Svært høy
13.03.2015
Side 23
Valg av –og gjennomføring av sikkerhetstiltak
•
•
•
Lage en beskrivelse av hvilke sikkerhetstiltak som er
nødvendige for å motstå identifiserte trusler og avverge
identifiserte uønskede hendelser
Lage en aktivitetsplan for å ivareta informasjonssikkerhet
for behandling av personopplysninger, som er i
overensstemmelse med resultater av risikovurdering
Lage en dokumentert budsjettplan som inkluderer en tidsog aktivitetsplan
13.03.2015
Side 24
Behandling av avvik
•
Dersom personopplysninger håndteres i strid med fastlagte
rutiner, eller det er mistanke om eller dokumentert brudd
på informasjonssikkerhet, skal virksomheten iverksette
avviksbehandling
•
•
Formålet med avviksbehandling er å lukke avviket så raskt som
mulig, gjenopprette normal tilstand og hindre gjentagelse
Avviksbehandling består av:
•
•
•
•
•
13.03.2015
Å oppdage avviket
Avviket rapporteres i henhold til intern organisering (på eget skjema)
Iverksettelse av strakstiltak, blant annet med det formål å avgrense
eventuelle følgeskader
Iverksettelse av korrigerende tiltak for permanent å gjenopprette
normal tilstand
Vurdering av hvorvidt korrigerende tiltak fungerer etter sin hensikt
Side 25
Oppsummering internkontroll og informasjonssikkerhet
•
•
•
•
•
•
•
Et ledelsesansvar
Dokumentasjonskrav
Lag oversikt over behandlinger
Gjennomfør jevnlige risikovurderinger
Ha en tydelig ansvarsmatrise
Ha en ryddig, tydelig og godt kjent avviksbehandling
Informer alle ansatte om hvordan internkontroll og
informasjonssikkerhet er implementert og jobbes med i
organisasjonen.
13.03.2015
Side 26
Databehandleravtaler
•
•
•
•
•
Det skal inngås databehandleravtale med alle som
behandler data på vegne av virksomheten
Det skal utarbeides oversikt over tilganger til
informasjonssystemet og adgang til fysiske områder
Det skal undertegnes taushetserklæringer for alle
leverandørers personell med tilganger eller fysisk adgang?
Alle leverandører skal ha en dokumentert og tilfredsstillende
sikkerhetsløsning
Alle eventuelle underleverandører skal være kjent og
godkjent av virksomheten
13.03.2015
Side 27
Minimumskrav til databehandleravtaler
1. Angi formålet med behandlingen
•
Det skal klart framgå av avtalen hva som er formålet med behandlingen av
personopplysningene.
2. Beskriv hvordan personopplysningene skal behandles
•
•
•
•
Det skal tydelig fremgå av avtalen hva databehandler skal gjøre med
personopplysningene.
Databehandler har ikke råderett over personopplysningene, og kan dermed
heller ikke behandle disse til egne formål.
Databehandler skal kun forholde seg til avtalen. Hvis han skal utlevere
personopplysninger til andre eksterne parter må dette framgå klart av
databehandleravtalen.
Avtalen må inneholde bestemmelser om hvem som skal kunne få
personopplysninger utlevert, og vilkår i tilknytning til dette.
3. Bruk av underleverandør skal reguleres i avtalen
•
13.03.2015
Hvis databehandler gjør bruk av underleverandører av tjenester, skal dette
klart framgå av avtalen mellom databehandler og behandlingsansvarlig.
Side 28
Minimumskrav til databehandleravtaler
4. Ivareta den registreres rettigheter
•
Avtalen kan inneholde en arbeidsfordeling mellom behandlingsansvarlige og
databehandler, for eksempel hvem som skal håndtere og behandle
henvendelser fra de registrerte.
5. Avtalen må pålegge databehandleren å ha tilfredsstillende
informasjonssikkerhet
•
Avtalen må klargjøre hva databehandler skal ha på plass av sikringstiltak for å
ivareta konfidensialitet, integritet og tilgjengelighet
6. Avtalens varighet må avtales
•
13.03.2015
Avtalen må inneholde opplysninger om avtalens varighet hva som skal skje
med opplysningene etter at avtalen er opphørt
Side 29
Personvernombud
•
Den viktigste oppgaven til et personvernombud er å være en
ressursperson, både for den behandlingsansvarlige og for de som
er registrert.
•
•
•
•
•
•
13.03.2015
Personvernombudet bør være en som kjenner virksomheten, hvilke formål
som ligger til grunn for behandlingen, hvilke fremgangsmetoder som benyttes
og hvilke behandlingssystem som er innført.
Personvernombudet skal føre oversikt over hvilke behandlinger av
personopplysninger som gjøres i virksomheten.
Personvernombudet skal bistå i opplæring internt i virksomheten og i
behandling av klager fra både virksomhetens egne ansatte og eksterne
aktører relatert til bruk av personopplysninger.
Et personvernombud må godkjennes av Datatilsynet og deltar på opplæring og
seminarer i regi av tilsynet.
Virksomheter med personvernombud er fritatt fra den lovpålagte meldeplikten
til Datatilsynet.
Virksomhetens leder kan ikke være personvernombud.
Side 30
Hvorfor en egen norm?
1. En felles forståelse av personvernet
2. Felles holdninger
3. Nedfelt i et felles omforent regelsett
13.03.2015
Side 31
Normen
Alle krav som må oppfylles iht lovverket
Bindende for alle virksomheter i sektoren
Forvaltes av sektoren
Lovverkets krav - ferdig tolket og tygd
Ingen begrensninger utover lovverkets krav, dvs det er
lovverket som setter begrensningene
• I tillegg:
•
•
•
•
•
• Forslag til praktiske løsninger
13.03.2015
Side 32
Hvordan ivareta kravene i Normen?
• Etablere eller revidere styringssystem for
informasjonssikkerhet
• Gjennomføre risikovurdering av all behandling av
helseopplysninger
• Lære opp medarbeidere i informasjonssikkerhet
• Gjennomføre nødvendige tiltak iht Normen og resultat
fra risikovurdering
• Sørge for løpende oppfølging og bruk av
styringssystemet
13.03.2015
Side 33
Bruk av ”private hjelpere”
Bruk av informasjonssikkerhetsløsnings leverandører
To store som stort sett deler kommune markedet
• Digital kvalitet
• Kvalitetslosen
Datatilsynet har gjennomført møter med begge og påpekt
• Hva vi opplever som bra med løsningene
• Hvor vi ser at de har forbedringspotensiale
13.03.2015
Side 34
Maler og hjelpemidler
•
www.datatilsynet.no
•
•
Her finnes det mye til bruk i etablering av tilfredsstillende
internkontroll og informasjonssikkerhet.
http://www.helsedirektoratet.no/lover-regler/norm-forinformasjonssikkerhet/Sider/default.aspx
13.03.2015
Side 35