VIRKE 12. mars 2015 Agenda • • • • • • Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet – et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter og rutiner • • • • Informasjonssikkerhet • • • • • Konsesjonsplikt Meldeplikt Rutiner Organisering Risikovurderinger Avviksbehandlinger Databehandlere og databehandleravtaler Personvernombudsordningen 13.03.2015 Side 2 Hva er internkontroll og informasjonssikkerhet? • rutiner for oppfyllelse av virksomhetens plikter og de registrertes rettigheter • rutiner og tekniske tiltak for informasjonssikkerhet 13.03.2015 Side 3 Typiske funn Hvor trykker skoen? • • • • Manglende oversikt over egne behandlinger Hull i kunnskapen om innsyn og informasjon Manglende eller for dårlige risikovurdering Databehandleravtaler Hva er gjennomgående bra? • • • Organisering og delegasjonsfullmakter Avviksbehandling – internt Man har kunnskap, men ikke nedfelte rutiner 13.03.2015 Side 4 Andre observasjoner Er det forskjell på store og små? • Ja, her er det store forskjeller • 13.03.2015 Alle lever under samme regelverk – uansett størrelse, men kunnskapen om regelverket er så som så Side 5 Internkontroll (etter personopplysningsloven) Denne består av tre hovedelementer: • Styrende elementer, som i hovedsak retter seg mot ledelsen, herunder hvilke beslutninger og føringer de legger for internkontroll. • Gjennomførende elementer, som i hovedsak retter seg mot ansatte. Her finner man beskrivelse av rutiner som er tilpasset den enkeltes arbeidssituasjon. • Kontrollerende elementer, som bidrar til å fange opp avvik fra systemet og til at det gjennomføres periodiske gjennomganger. 13.03.2015 Side 6 Informasjonssikkerhet – et ledelsesansvar • • • Opplysninger som kan knyttes til individet, skal behandles i samsvar med personopplysningsloven. Grunnlag for behandling er basert på lovhjemmel eller samtykke fra den registrerte Uavhengig av grunnlaget har virksomheten plikt til å informere den registrerte om hvordan den har tenkt å behandle opplysningene • • 13.03.2015 Det må informeres om formål, rettigheter og lagringstid for opplysningene Ingen kan ta seg til rette og gjøre hva man vil med opplysningene man forvalter Side 7 Informasjonssikkerhet – et ledelsesansvar • • Det forventes ikke alltid at øverste leder har inngående kunnskap om informasjonssikkerhet Derimot forventes det at personopplysninger er sikret på en forsvarlig måte, og at øverste leder kan garantere at dette blir gjort • I praksis betyr det å sørge for at virksomheten har oversikt over; – hvilke plikter som gjelder – hvordan opplysninger behandles og sikres – at alle rutiner knyttet til dette er godkjent og blir fulgt opp av alle ansatte 13.03.2015 Side 8 Prosessen for å etablere internkontroll og informasjonssikkerhet Utarbeide håndteringsrutiner For håndtering av personopplysninger generelt i virksomheten. Oppfølging Innledende oppgaver Behandlingsansvarlig For ivaretakelse av de registrertes rettigheter. Kartlegge formål med behandlinger og behandlingsgrunnlag. Iverksette styringssystem for informasjonssikkerhet Utarbeide rutiner for avvikshåndtering og egenkontroll. Utarbeide rutiner for rapportering og forslag til tiltak. Utarbeide sikkerhetsmål, strategi og akseptkriterier. Etablere sikkerhetsorganisasjon. Gjennomføre risikovurdering. Gjennomføre sikkerhetsrevisjon 13.03.2015 Side 9 Hva er personopplysninger? Personopplysninger Opplysninger og vurderinger som kan knyttes til en enkeltperson (personopplysningsloven § 2 – 1) • Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson, • • • • • • • • 13.03.2015 navn adresse lønn referanseuttalelser oppgavebesvarelser klientopplysninger skyldneropplysninger kundeopplysninger Side 10 Hva er sensitive personopplysninger? Sensitive personopplysninger Personopplysninger om (personopplysningsloven § 2 – 8): Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling Helseforhold Seksuelle forhold Medlemskap i fagforeninger • • Sensitive personopplysninger er for eksempel informasjon om hvilke sykdommer en person har hatt, medisiner vedkommende bruker, straffedommer, tidligere og pågående rusmisbruk og seksuell legning. Det knytter seg et særlig behov for vern rundt sensitive personopplysninger, regelverket stiller derfor strengere krav til behandling av denne typen opplysninger. 13.03.2015 Side 11 Dokumentasjon av internkontrollsystemet • Det er et lovpålagt krav at internkontrollsystemet skal være dokumentert. • Dokumentasjonen er delt i tre emner: 1. Styrende dokumentasjon som ledelsen er ansvarlig for å utarbeide. 2. Gjennomførende dokumentasjon med rutiner og tiltak for daglig drift. 3. Kontrollerende dokumentasjon med rutiner for oppfølging, korrigering og forbedring av internkontroll og informasjonssikkerhet. 13.03.2015 Side 12 Virksomhetens leder er behandlingsansvarlig • Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemidler som skal brukes (personopplysningsloven § 2 nr 4). • Behandlingsansvarlig er ansvarlig for etablering og vedlikehold av planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven, herunder sikre personopplysningenes kvalitet. (personopplysningsloven § 14) 13.03.2015 Side 13 Kartlegge virksomhetens behandlinger • Virksomheten skal ha en oversikt over hvilke behandlinger av personopplysninger som foretas, og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for at virksomheten skal kunne ivareta pliktene sine. Oversikten danner også grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved risikovurderinger. Informasjon Behand-lingsgrunnlag Melding/ Konsesjon Klassifikasjon Person-opplysnings-loven, § 8f Unntatt i forskriftens § 7-16 Personopplysninger Ca. 130 ansatte Barnevernloven, § 3-1 Meldt Sensitive personopplysninger Sensitive personopplyninger Personopplyninger Ca. 68 barn og foresatte Personopplyninger Arkivlogg,n ettverkslogg og serverlogg, PC-logger Formål Lønn og personal: lønns- opplysninger personalopplysninger Barnevern: vurdering og tiltak Helse- opplysninger: pasientjournal Elevadministrasjon Helsepersonel-loven § 39 Opp-læringsloven § 13-5 14.01.2009 Meldt 14.01.2009 Sikkerhetsti ltak Lagring og kommunikasjon Opplysningenes omfang Avdeling Databehandler Ca. 413 pasienter Ca. 219 søkere elever / foresatte lærere Hendelsesregister: 13.03.2015 logg over brudd Person-opplysnings-loven, § 13 Unntatt i forskriftens § 7-11 Side 14 Plikter for den behandlingsansvarlige • Meldeplikt • Konsesjonsplikt • Rutiner man plikter å ha • Rutiner for kvalitetssikring av personopplysninger • Rutiner for sletting av personopplysninger • Rutiner for utlevering av personopplysninger til andre 13.03.2015 Side 15 Meldeplikt • All behandling av personopplysninger er i utgangspunktet meldepliktig, jf. personopplysningsloven § 31. En del behandlinger er imidlertid unntatt i personopplysningsforskriften. Dette gjelder blant annet utdanningssektorens personregistre og personalregistre. Krav til rutiner og sikkerhetstiltak gjelder selv om behandlingen er unntatt meldeplikt. (Personopplysningsforskriften kapittel 7) 13.03.2015 Side 16 Den registrertes rettigheter • Den behandlingsansvarlige er pålagt å informere den registrerte om behandlingen som igangsettes. Der personopplysningene innhentes fra den registrerte selv skal informasjonen gis før behandlingen tar til. Informasjon skal gis uoppfordret, uten at den registrerte krever det, og uten kostnader for den registrerte. • Plikt til å informere når det samles inn opplysninger fra den registrerte er beskrevet i personopplysningsloven § 19. • Plikt til å informere når det samles inn opplysninger fra andre enn den registrerte, er beskrevet i personopplysningsloven § 20. 13.03.2015 Side 17 Rutiner for innsyn, retting og supplering • Innsyn i virksomhetens generelle behandlinger • • Innsyn i egne opplysninger • • Virksomheten skal ha rutine for behandling av forespørsel om retting og supplering for en registrert Ivaretakelse av eventuell reservasjonsrett mot automatiserte avgjørelser • • Virksomheten skal ha rutine for behandling av forespørsel om innsyn fra mulig registrerte Retting og supplering • • Virksomheten skal ha rutine for behandling av forespørsel om innsyn i virksomhetens generelle behandlinger Den behandlingsansvarlige skal ha rutiner for manuell behandling, til bruk når noen reserverer seg mot automatiserte avgjørelser Innsyn i privat e-post og private filområder • 13.03.2015 Datatilsynet anbefaler at virksomheten utarbeider utfyllende rutiner for når innsyn i e-post kan bli aktuelt og hvordan innsyn skal gjennomføres Side 18 Hva er informasjonssikkerhet? • Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger • Informasjonssikkerhet omfatter beskyttelse av: • konfidensialitet - uvedkommende får ikke tilgang på opplysningene • integritet - opplysningene endres ikke uautorisert eller utilsiktet • tilgjengelighet - opplysningene er tilgjengelige når tilgang er nødvendig 13.03.2015 Side 19 Sikkerhetsmål og sikkerhetsstrategi • • Sikkerhetsmålene omfatter ledelsens beslutninger om hva informasjonsteknologien skal brukes til i virksomheten og hvordan den skal benyttes for å nå virksomhetens øvrige mål. Sikkerhetsmål vil således utgjøre en del av virksomhetens beskrivelse av sin totale målsetting. Sikkerhetsstrategien skal omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet. Dette går på fordeling av arbeidsoppgaver mellom ledelse og driftspersonell, og beslutning om eventuelt å ta i bruk eksterne leverandører i sikkerhetsarbeidet. Forholdet mellom ledelse, driftspersonell, sikkerhetspersonell og den enkelte bruker må avklares her. 13.03.2015 Side 20 Sikkerhetsorganisasjon • • Det må nedsettes en sikkerhetsorganisasjon, og at denne skal dokumenteres. Det skal etableres klare ansvars- og myndighetsforhold med utgangspunkt i beslutninger tatt av virksomhetens ledelse (sikkerhetsstrategien). Ansvar og myndighet relatert til drift av informasjonssystemet (driftsledelse) og for oppfølging av sikkerhetsarbeidet (sikkerhetsledelse) må klarlegges. • • 13.03.2015 I mindre organisasjoner kan det være samme person som ivaretar disse oppgavene. For større organisasjoner må det fremlegges organisasjonskart som viser de nevnte funksjonene og deres plassering i forhold til ledelsen og virksomheten for øvrig. Side 21 Gjennomføre risikovurdering • • • • Formålet med risikovurdering er å sikre at den risiko som avdekkes ved behandling av personopplysninger er innenfor de akseptkriterier virksomheten har fastlagt Risiko betegner forholdet mellom sannsynligheten for at en uønsket hendelse vil inntreffe og konsekvenser av en slik hendelse. Virksomheten skal gjennomføre risikovurdering ved endringer i forhold som kan påvirke informasjonssikkerheten, for eksempel endringer i informasjonssystemet eller endringer i trusselbildet. Virksomheten skal minst en gang årlig gjennomføre risikovurdering bl.a. i forbindelse med vurdering av endringer i trusselbildet og/eller planlagte endringer i informasjonssystemet. 13.03.2015 Side 22 Eksempel på tabell over akseptabel risiko Konsekvens: Liten Moderat Stor Katastrofal Sensitive opplysninger om en ansatt på avveier. Uautorisert endring av opplysninger om en ansatt Sensitive opplysninger om alle ansatte på avveier. Styreinformasjon på avveier. Konkurransesensitiv informasjon på avveier. Sannsynlighet: Lav Moderat Utilgjengelighet av personalsystem i 24 timer Budsjettinformasjon på avveier. Høy Informasjon med lavt beskyttelsesbehov på avveier. En dags bortfall av sikkerhetskopiering. Ukjente mennesker i kontorlokalene Svært høy 13.03.2015 Side 23 Valg av –og gjennomføring av sikkerhetstiltak • • • Lage en beskrivelse av hvilke sikkerhetstiltak som er nødvendige for å motstå identifiserte trusler og avverge identifiserte uønskede hendelser Lage en aktivitetsplan for å ivareta informasjonssikkerhet for behandling av personopplysninger, som er i overensstemmelse med resultater av risikovurdering Lage en dokumentert budsjettplan som inkluderer en tidsog aktivitetsplan 13.03.2015 Side 24 Behandling av avvik • Dersom personopplysninger håndteres i strid med fastlagte rutiner, eller det er mistanke om eller dokumentert brudd på informasjonssikkerhet, skal virksomheten iverksette avviksbehandling • • Formålet med avviksbehandling er å lukke avviket så raskt som mulig, gjenopprette normal tilstand og hindre gjentagelse Avviksbehandling består av: • • • • • 13.03.2015 Å oppdage avviket Avviket rapporteres i henhold til intern organisering (på eget skjema) Iverksettelse av strakstiltak, blant annet med det formål å avgrense eventuelle følgeskader Iverksettelse av korrigerende tiltak for permanent å gjenopprette normal tilstand Vurdering av hvorvidt korrigerende tiltak fungerer etter sin hensikt Side 25 Oppsummering internkontroll og informasjonssikkerhet • • • • • • • Et ledelsesansvar Dokumentasjonskrav Lag oversikt over behandlinger Gjennomfør jevnlige risikovurderinger Ha en tydelig ansvarsmatrise Ha en ryddig, tydelig og godt kjent avviksbehandling Informer alle ansatte om hvordan internkontroll og informasjonssikkerhet er implementert og jobbes med i organisasjonen. 13.03.2015 Side 26 Databehandleravtaler • • • • • Det skal inngås databehandleravtale med alle som behandler data på vegne av virksomheten Det skal utarbeides oversikt over tilganger til informasjonssystemet og adgang til fysiske områder Det skal undertegnes taushetserklæringer for alle leverandørers personell med tilganger eller fysisk adgang? Alle leverandører skal ha en dokumentert og tilfredsstillende sikkerhetsløsning Alle eventuelle underleverandører skal være kjent og godkjent av virksomheten 13.03.2015 Side 27 Minimumskrav til databehandleravtaler 1. Angi formålet med behandlingen • Det skal klart framgå av avtalen hva som er formålet med behandlingen av personopplysningene. 2. Beskriv hvordan personopplysningene skal behandles • • • • Det skal tydelig fremgå av avtalen hva databehandler skal gjøre med personopplysningene. Databehandler har ikke råderett over personopplysningene, og kan dermed heller ikke behandle disse til egne formål. Databehandler skal kun forholde seg til avtalen. Hvis han skal utlevere personopplysninger til andre eksterne parter må dette framgå klart av databehandleravtalen. Avtalen må inneholde bestemmelser om hvem som skal kunne få personopplysninger utlevert, og vilkår i tilknytning til dette. 3. Bruk av underleverandør skal reguleres i avtalen • 13.03.2015 Hvis databehandler gjør bruk av underleverandører av tjenester, skal dette klart framgå av avtalen mellom databehandler og behandlingsansvarlig. Side 28 Minimumskrav til databehandleravtaler 4. Ivareta den registreres rettigheter • Avtalen kan inneholde en arbeidsfordeling mellom behandlingsansvarlige og databehandler, for eksempel hvem som skal håndtere og behandle henvendelser fra de registrerte. 5. Avtalen må pålegge databehandleren å ha tilfredsstillende informasjonssikkerhet • Avtalen må klargjøre hva databehandler skal ha på plass av sikringstiltak for å ivareta konfidensialitet, integritet og tilgjengelighet 6. Avtalens varighet må avtales • 13.03.2015 Avtalen må inneholde opplysninger om avtalens varighet hva som skal skje med opplysningene etter at avtalen er opphørt Side 29 Personvernombud • Den viktigste oppgaven til et personvernombud er å være en ressursperson, både for den behandlingsansvarlige og for de som er registrert. • • • • • • 13.03.2015 Personvernombudet bør være en som kjenner virksomheten, hvilke formål som ligger til grunn for behandlingen, hvilke fremgangsmetoder som benyttes og hvilke behandlingssystem som er innført. Personvernombudet skal føre oversikt over hvilke behandlinger av personopplysninger som gjøres i virksomheten. Personvernombudet skal bistå i opplæring internt i virksomheten og i behandling av klager fra både virksomhetens egne ansatte og eksterne aktører relatert til bruk av personopplysninger. Et personvernombud må godkjennes av Datatilsynet og deltar på opplæring og seminarer i regi av tilsynet. Virksomheter med personvernombud er fritatt fra den lovpålagte meldeplikten til Datatilsynet. Virksomhetens leder kan ikke være personvernombud. Side 30 Hvorfor en egen norm? 1. En felles forståelse av personvernet 2. Felles holdninger 3. Nedfelt i et felles omforent regelsett 13.03.2015 Side 31 Normen Alle krav som må oppfylles iht lovverket Bindende for alle virksomheter i sektoren Forvaltes av sektoren Lovverkets krav - ferdig tolket og tygd Ingen begrensninger utover lovverkets krav, dvs det er lovverket som setter begrensningene • I tillegg: • • • • • • Forslag til praktiske løsninger 13.03.2015 Side 32 Hvordan ivareta kravene i Normen? • Etablere eller revidere styringssystem for informasjonssikkerhet • Gjennomføre risikovurdering av all behandling av helseopplysninger • Lære opp medarbeidere i informasjonssikkerhet • Gjennomføre nødvendige tiltak iht Normen og resultat fra risikovurdering • Sørge for løpende oppfølging og bruk av styringssystemet 13.03.2015 Side 33 Bruk av ”private hjelpere” Bruk av informasjonssikkerhetsløsnings leverandører To store som stort sett deler kommune markedet • Digital kvalitet • Kvalitetslosen Datatilsynet har gjennomført møter med begge og påpekt • Hva vi opplever som bra med løsningene • Hvor vi ser at de har forbedringspotensiale 13.03.2015 Side 34 Maler og hjelpemidler • www.datatilsynet.no • • Her finnes det mye til bruk i etablering av tilfredsstillende internkontroll og informasjonssikkerhet. http://www.helsedirektoratet.no/lover-regler/norm-forinformasjonssikkerhet/Sider/default.aspx 13.03.2015 Side 35
© Copyright 2024