personvern, risikovurderinger og databehandleravtaler
TRANSCRIPT
Personvern, risikovurderinger og databehandleravtaler
Samling for tjenesteleverandører i Feide 29 april 2015
Tommy Tranvik Senter for IKT i utdanningen
Personvern
Den som opplysningene gjelder skal ha kontroll med og innBlytelse over andres behandling av dem
Gjelder i hele behandlingskjeden
• vertsorganisasjon • tjenesteleverandør • underleverandører
Rettslig regulering
Personopplysningsloven med forskrift
Reglene gjelder for
• elektronisk behandling • personregistre
Behandling • registrering, lagring, sammenstilling, publisering, overføring, sletting, osv.
Personopplysninger
Alle opplysninger eller vurderinger som kan knyttes til en bestemt enkeltperson
• tekst, lyd, bilder og video
Skiller mellom alminnelige og sensitive personopplysninger
Sentrale roller i lovgivningen
Elever, studenter og ansatte = de registrerte • kontroll og innBlytelse
Vertsorganisasjon = behandlingsansvarlig • rettslig hovedansvarlig
Tjenesteleverandør = databehandler • «jobber» på vegne av skoleeier
Tilsynsmyndighet = Datatilsynet
Databehandlernes betydning
Personvern
• viktige for at elever, studenter og ansatte skal ha kontroll med og innBlytelse over egne opplysninger
Regeletterlevelse
• viktig for at vertsorganisasjoner skal kunne overholde sine rettslige plikter
Regler for databehandlere
Selvstendig ansvar for informasjonssikkerheten i egne tjenester
Skal behandle opplysninger om elever, studenter og ansatte etter skriftlige instrukser fra skoleeier (databehandleravtaler)
Risikovurderinger
Reglene om informasjonssikkerhet i personopplysningsloven med forskrift gjelder for tjenesteleverandører
Informasjonssikkerheten i tjenesten skal være «tilfredsstillende»
Vurdere risikoen for tre typer uønskede hendelser
• uvedkommende får tilgang til opplysningene • uautorisert endring, redigering eller sletting av opplysningene • opplysningene er utilgjengelige for rette vedkommende
Risikovurderinger skal skje før tjenesten «går online» og ved behov
Risikovurderinger skal inkludere sikkerheten hos eventuelle underleverandører
Uønskede hendelser – eksempler
Passordproblematikk – ID-‐tyveri
Ustabil internettilgang Uautorisert overføring av opplysninger til annen leverandør
Uautorisert tilgang til opplysninger under overføring
Manglende sletting av opplysninger når elever avslutter skolegangen
Manglende tilbakeføring av opplysninger ved avsluttet bruk
Risikohåndtering
Uønskede hendelser med stor sannsynlighet og skadevirkning (høy risiko) skal håndteres
Iverksette tiltak som reduserer risikoen for at «noe galt» kan skje
Vertsorganisasjonen
Vertsorganisasjoner skal risikovurdere tjenesten («utredningsplikt»)
• før den tas i bruk • før databehandleravtale inngås med leverandøren
Kan ikke lovlig bruke tjenesten dersom informasjonssikkerheten ikke er «tilfredsstillende» eller uten gyldig databehandleravtale
Trenger informasjon om tjenestens oppbygging og virkemåte for å foreta risikovurderinger og undertegne databehandleravtale
Databehandleravtaler
1. Avtalen skal etablere klare ansvars-‐ og myndighetsforhold overfor leverandøren
2. Leverandøren kan ikke overføre opplysninger om elever, studenter og ansatte til andre uten at dette fremgår av avtalen
3. Avtalen skal forplikte leverandøren til å følge reglene om sikring av personopplysninger i personopplysningsloven med forskrift
Viktige momenter
Hensikt Formål og formålsbegrensning De registrertes rettigheter Bruk av underleverandører Sikkerhet Sikkerhetsrevisjoner Varighet Sletting av data ved avslutning Lovvalg og verneting
Underleverandører
Underleverandører kan inngå i behandlingskjeden
• hvem, hva, hvor • avtale mellom leverandør og underleverandør
Utenlandske underleverandører
Innenfor EØS-‐området • «norske» regler
Land godkjent av EU • «norske» regler
Amerikanske Safe Harbor-‐bedrifter • «norske» regler
Alle andre land og bedrifter • vanlig med særskilt databehandleravtale (laget av EU)
Sikkerhetsrevisjoner
Vertsorganisasjoner har et oppfølgingsansvar overfor tjenesteleverandøren
• forsikre seg om at informasjonssikkerheten fortsatt er «tilfredsstillende»
• forsikre seg om at avtalevilkår overholdes
Tilgang til rapporter fra sikkerhetsrevisjoner av tjenesten
• omfatte oppfølging av avtalevilkår
Relevante produkter
Veileder i risikovurderinger av informasjonssikkerhet
Mal for databehandleravtaler
Generell informasjon om personopplysningslovgivningen