HGSKOLEN I AGDER Agder University College Datalovgivning og

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Lover og forskrifter for personopplysninger Krav til informasjonssikkerhet, taushetsplikt Håndtering av copyright ved publisering Etiske normer og holdninger Læreboka: Kap 4 IT, samfunnet og lovverket © Ask & Fensli, Hi. A, 2004 1

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet OECD retningslinjer for sikkerhet i informasjonssystemer og nettverk OECD 1037, 25. juli 2002 Alle aktører som bruker nettverk og datasystemer må: 1. Bevisstgjøres på behovet for å sikre informasjonssystemer og nettverk og hva de kan gjøre for å forbedre sikkerheten 2. Være ansvarlige for sikkerheten til infosystemer og nettverk 3. Reagere raskt på en samarbeidsrettet måte for å forebygge, oppdage og reagere på sikkerhetshendelser 4. Respektere andre aktørers rettmessige interesser 5. Ivareta sikkerheten til informasjonssystemer innenfor grunnleggende verdier i et demokratisk samfunn 6. Gjennomføre risikovurderinger 7. Gjøre sikkerheten til en integrert del av infosystemer og nettverk 8. Innføre en helhetlig tilnærming til sikkerhetsadministrasjon 9. Løpende gjennomgå og vurdere sikkerheten og iverksette tiltak © Ask & Fensli, Hi. A, 2004 2

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Lovverket er viktig • Det er viktig å kjenne til hva som er gjeldende lover og regler innenfor IKT-området • Vi skal spesielt se på: • • Personopplysningsloven og Datatilsynet Regler for informasjons lagring og formidling Sikkerhetsbegreper og sikkerhetsansvar Ansvar for virksomheten og for den enkelte medarbeider Taushetsplikt og ”None disclousure agreements” Åndsverkloven og forholdene rundt copyright Redaktørplakaten og web-hosting Holdninger til datasikkerhet © Ask & Fensli, Hi. A, 2004 3

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Tilgang til informasjon • Det kan oppnås mange gevinster ved tilgang til informasjon der du trenger den og når du trenger den • Vi må sørge for tilfredsstillende sikkerhet i løsningene slik at gjeldende lover og forskrifter følges • Det må foreligge en sikkerhetsdokumentasjon • Det må være pålitelige og stabile tjenester • Det må være enkelt å finne riktig informasjon • Brukene må oppleve dette som effektive verktøy • Sikkerhetstiltak kan bli sett på som et ”nødvendig onde” som det er nødvendig for brukeren å forholde seg til © Ask & Fensli, Hi. A, 2004 4

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Personopplysningsloven (Lov om behandling av personopplysninger av 14. 04 -2000 nr 31) • Formålet er å beskytte den enkelte mot at personvernet blir krenket ved behandling av personopplysninger • Loven gjelder for virksomheter som behandler opplysninger om fysiske personer • Loven tar hensyn til den enkeltes rett til å bestemme over opplysninger som gjelder ham eller henne (Individfilosofi) • Loven er basert på EU-direktiv om felles regler for å sikre betryggende fri informasjonsflyt • Loven vektlegger systemer og rutiner dvs generelle opplegg for behandling av personopplysninger © Ask & Fensli, Hi. A, 2004 5

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Personvern - begreper • Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson • Behandling av personopplysninger: enhver bruk av personopplysninger, som f. eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter • Personregister: registre, fortegnelser mv. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen • Behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes • Databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige • Sensitive personopplysninger: opplysninger om a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger. © Ask & Fensli, Hi. A, 2004 6

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Personopplysningsforskriften (av 15. 12 -2000) Sikkerhetsbestemmelsene i forskriften gir mange overordnede føringer for hvordan sikkerheten med hensyn til konfidensialitet, integritet og tilgjengelighet i elektroniske journaler skal tilfredsstilles: § 2 -1. Forholdsmessige krav om sikring av personopplysninger • Reglene i dette kapittelet gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet er nødvendig å sikre konfidensialitet, tilgjengelighet og integritet for opplysningene. • Der slik fare er til stede skal de planlagte og systematiske tiltakene som treffes i medhold av forskriften, stå i forhold til sannsynligheten for og konsekvens av sikkerhetsbrudd. § 2 -2. Pålegg fra Datatilsynet • Datatilsynet kan gi pålegg om sikring av personopplysninger og herunder fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. § 2 -3. Sikkerhetsledelse • Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene i dette kapittelet følges. © Ask & Fensli, Hi. A, 2004 7

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Sikkerhetsansvar • Behandlingsansvarlige, internt ansvar: • Tilfredsstillende informasjonssikkerhet • Planlagte og systematiske tiltak (må være dokumentert) • Det skal gjøres en risikovurdering, og ansvar og rutiner skal være beskrevet i sikkerhetsdokumentasjonen • Behandlingsansvarlige, ansvar overfor andre virksomheter / samarbeidspartnere: • At partene tilfredsstiller sikkerhetsbestemmelsene • Skal avtalefeste ansvar og oppgaver for sikkerhet • Elektronisk overføring kun til parter som oppfyller sikkerhetsforskriftene • Behandlingsansvarlige har ansvar overfor Datatilsynet © Ask & Fensli, Hi. A, 2004 8

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Datatilsynet • Datatilsynet ble etablert 1. januar 1980. • Datatilsynet er et uavhengig forvaltningsorgan administrativ underlagt Kongen og departementet. • Datatilsynet skal føre en offentlig liste over alle behandlinger som er meldt eller som har konsesjon. • Vidare skal tilsynet behandle konsesjoner og vurdere å gi pålegg. • Datatilsynet skal informere og gi råd i forhold til personvernet generelt og farer for personvernet spesielt, hjelpe bransjene med å utarbeide egne normer for atferd samt gi råd om sikring av personopplysninger. • Se nærmere på web-sidene: www. datatilsynet. no © Ask & Fensli, Hi. A, 2004 9

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Melde- og konsesjonsplikt • Hovedregelen er at behandling av personopplysninger er meldepliktig til Datatilsynet etter personopplysningsloven • Personopplysninger: opplysninger og vurderinger som kan knyttes til en enkeltperson • Behandling av personopplysninger: enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av disse • Meldeplikt: Den behandlingsansvarliges meldeplikt er regulert i personopplysningsloven § 31 • Behandling av sensitive opplysninger er imidlertid gjort konsesjonspliktig. • Sensitive personopplysninger: Blant annet opplysninger om helse, rase, tro, politisk tilhørighet, straffbare handlinger, seksuelle forhold. • Konsesjonsplikt: Den behandlingsansvarliges konsesjonsplikt er regulert i personopplysningsloven § 33. © Ask & Fensli, Hi. A, 2004 10

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Datatilsynet og sikkerhetsgodkjenning • Datatilsynet har ikke ansvar for sikkerhetsgodkjenning, men det skal søkes om konsesjon • Sikkerhetsansvarlige skal sende melding til Datatilsynet der det dokumenteres at sikkerhetstiltak er iverksatt • Sikkerhetsdokumentasjonen blir gjennomgått ved konsesjonssøknader (del av konsesjonen) • Datatilsynet skal ut i fra opplysninger innsamlet fra meldinger, konsesjoner og annet kontrollere at: • Virksomheten har oppgitt at forskriftene etterleves • Brudd medfører at ledelsen stilles til ansvar • Unntak fra konsesjonsplikten er offentlig myndighet hjemlet i særlover © Ask & Fensli, Hi. A, 2004 11

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Sikkerhetsdefinisjon • Det må iverksettes tiltak for å etablere en tilfredsstillende informasjonssikkerhet for å: • • Motvirke fare for tap av liv og helse Beskytte i forhold til personlig integritet Beholde anseelse (ikke miste tillit) Begrense økonomiske tap • Ved slik fare skal planlagte og systematiske tiltak stå i forhold til risiko, og en må ivareta hensynet til: • Konfidensialitet • Integritet • Tilgjengelighet • Tiltakene består av styringssystem (kvalitetssystem) og sikkerhetstiltak (teknisk utstyr) som er dokumentert © Ask & Fensli, Hi. A, 2004 12

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Risikovurdering • Trinn 1: Opplysningene må kartlegges • • Behandlingsopplysninger (feks. formål) Hjemmelsgrunnlag (feks. Lover som stiller krav) Type opplysninger (feks. sensitive opplysninger) Antall (størrelse på registeret) • Personkonsekvensen må klassifiseres • Det må angis hvor viktig sikkerheten er, og konsekvens ved brudd på sikkerhet • Trinn 2: Fastlegge akseptabel risiko • Virksomheten må vurdere dette og bestemme ”hvor lista skal legges”, og Datatilsynet kan ved behov delta i dette • Trinn 3: Gjennomføre risikovurdering for de operasjoner som utføres (sannsynlighet x konsekvens) • Dette sees i sammenheng med forhold til liv/helse, økonomi, anseelse/integritet, opprettelige skader osv. • Trinn 4: Sammenligne resultatene og iverksette tiltak for å komme innenfor akseptabel risiko • Dette må vurderes for hver enkelt operasjon/aktivitet © Ask & Fensli, Hi. A, 2004 Kilde: Datatilsynet 13

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Sikkerhetstiltak (i henhold til Personopplysningsforskriften) Avhengig av hvor sikkerhetsnivået defineres skal det iverksettes sikkerhetstiltak for å: • • • Tilfredsstille risikovurderingen § 2 -4 Sikkerhetsrevisjon skal gjennomføres jevnlig § 2 -5 Oppdage avvik, og uautorisert bruk § 2 -6 Tilfredsstille konfigurasjonen § 2 -7 Autorisasjons mekanismer for personell § 2 -8 Fysiske tiltak mot uautoriserte § 2 -10 Konfidensialitet inkludert kryptering, sletting mv. § 2 -11 Tilgjengelighet inkludert backup og alternativ drift § 2 -12 Integritet inkludert ødeleggende programvare § 2 -13 Tiltak som det ikke er mulig å omgå § 2 -14 Parters og leverandørers tiltak § 2 -15 © Ask & Fensli, Hi. A, 2004 14

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Styringssystemet (i henhold til Personopplysningsforskriften) • Det skal utarbeides styrende dokumenter som • • Gjennomførende dokumenter fastlegger: • • • Autorisere kompetent personell med nødvendig kunnskap § 2 -8 Medarbeidere pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig dette skal også omfatte annen informasjon med betydning for informasjonssikkerheten Kontrollerende dokumenter: • • • Angir ansvar, mål, strategi § 2 -3 Etablerer klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører § 2 -15 Det skal etableres klare ansvars- og myndighetsforhold som ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder § 2 -7 Ledelsens gjennomgang § 2 -3 Sikkerhetsrevisjon gjøres jevnlig § 2 -5 Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse. Avviksbrudd meldes til Datatilsynet § 2 -6 Risikovurderinger gjennomføres ved endringer av betydning for informasjonssikkerheten § 2 -4 Dokumentasjon • • Dokumentasjon skal lagres i minst 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder (dette gjelder også logger fra brannmurer og innbruddsovervåkning) © Ask & Fensli, Hi. A, 2004 15

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Ledelsens ansvar • At de personopplysninger virksomheten behandler er tilfredsstillende sikret • At det utarbeides sikkerhets mål • Utarbeide en strategi for å oppnå sikkerhetsmålene • Utarbeide oversikt over de personopplysninger virksomheten behandler – dette skal beskrive: • Innhold, angivelse av omfang, hvor opplysningene befinner seg i informasjonssystemet og klassifisering • Det skal gjennomføres risikoanalyser med vurdering av trusler: • Som trussel skal også regnes muligheter for temperaturpåvirkning, vanninntrenging, mekanisk påvirkning og elektromagnetisk påvirkning – sammen med menneskelige feil, feil ved utstyr eller programvare mv. © Ask & Fensli, Hi. A, 2004 16

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Egenkontroll • Det skal gjennomføres årlig egenkontroll av virksomhetens informasjonssystem og arbeidet med informasjonssikkerhet for å kontrollere at besluttet sikkerhetsstrategi etterleves • Ved slik revisjon skal virksomheten selv kontrollere at: • Beskrevne ansvars- og myndighetsforhold er i samsvar med de virkelige forhold • Beskrevne arbeidsoppgaver er i samsvar med de oppgaver som utføres i praksis • Rutiner benyttes og fungerer etter sin hensikt • Planlagte sikkerhetstiltak er iverksatt og fungerer etter sin hensikt © Ask & Fensli, Hi. A, 2004 17

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Konfigurasjonskontroll • Informasjonssystemet skal konfigureres slik at tilfredsstillende sikkerhet oppnås • Det skal utarbeides oversikt over konfigurasjon i form av kart som angir: • Koblinger mellom utstyr og program • Kommunikasjonspunkt for ekstern overføring • Det skal utarbeides beskrivelse av utstyr / program: • Utstyrets eller programmets navn eller modellbetegnelse, og serienummer eller versjonsnummer • Opplysninger om oppsett og innstillinger av utstyr/program • Historikk om når utstyret/programmet ble tatt i bruk • Opplysninger om vedlikehold, skade, funksjonsfeil, reparasjoner © Ask & Fensli, Hi. A, 2004 18

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Tekniske rutiner • Arbeidet med informasjonssystemet og bruk, drift og vedlikehold av det enkelte utstyr eller program, skal utføres i henhold til fastlagte rutiner • Rutinene skal angi ansvar og myndighet for utførelse av en oppgave, og være detaljert nok til at oppgaven utføres likt hver gang den repeteres • Forøvrig skal detaljeringsgraden være tilpasset virksomhetens behov • Alt servicepersonell skal informeres om vilkårene for informasjonssikkerhet og underskrive taushetserklæring. Det skal informeres om taushetspliktens omfang og varighet, og om konsekvenser dersom den brytes © Ask & Fensli, Hi. A, 2004 19

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Avviksbehandling • Avvik, som for eksempel brudd på informasjonssikkerheten, oppgaver utført i strid med rutiner eller skade på utstyr eller program, skal behandles i henhold til rutine for avviksbehandling som minst omfatter: • • Retningslinjer for beskrivelse og rapportering av avvik Retningslinjer for iverksetting av strakstiltak og korrigerende tiltak Krav om evaluering av de korrigerende tiltakenes effekt Beskrivelse av ansvar og myndighet • Ved brudd på informasjonssikkerheten som har medført uautorisert utlevering av sensitive person opplysninger, eller ved mistanke om slik utlevering, skal avviket meddeles Datatilsynet © Ask & Fensli, Hi. A, 2004 20

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Personellsikkerhet • Kompetansekrav: • Alle medarbeidere som bruker, administrerer, vedlikeholder eller utvikler informasjonssystemene eller på annen måte påvirker informasjonssikkerheten, skal ha nødvendig kompetanse til å utføre pålagte oppgaver • Kompetanse skal vedlikeholdes og utvikles gjennom planmessig etterutdanning • Medarbeidere skal kunne dokumentere nødvendig kompetanse relevant for den teknologi som benyttes • Autorisasjon: • Adgang til områder og utstyr og tilgang til soner, data og program skal autoriseres i henhold til autorisasjonsrutine • Det skal bare gis adgang eller tilgang i den grad det er nødvendig for å utføre pålagte oppgaver © Ask & Fensli, Hi. A, 2004 21

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Krav til delte edb-system • Et edb-system regnes som ”delt”, hvis det inneholder personopplysninger, og edb-systemet kan være tilgjengelig for uvedkommende • Eksempel: Helsevesenet • I sykehus/helseinstitusjoner/kommunale helse- og sosialavdelinger, lagres det personopplysninger • Medisinsk personell kan ha tilgang til denne informasjonen, men det er forutsatt ”need-to-know”-prinsippet • Administrativt og teknisk personell kan benytte det samme edbsystemet – men disse skal ikke gis tilgang til slik info • Dette forutsetter at det iverksettes sikkerhets tiltak og brannmurs -løsninger for å forhindre tilgang til informasjon • ”Uvedkommende skal ikke kunne få tilgang til, eller kunne endre den sensitive informasjonen” © Ask & Fensli, Hi. A, 2004 22

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Hvem er uvedkommende ? • Som uvedkommende regnes enhver som ikke har lovlig tilgang til personopplysningene i henhold til gjeldende taushetsplikt regler • Eksempel: Helsevesenet • Medisinsk taushetsplikt er definert i Legeloven • Den nødvendige informasjon kan gis til legens medhjelper (andre leger, sykepleiere, medisinsk personell) • Dette er således selektert info (ikke all informasjon som er tilgjengelig om pasienten) – ivaretas av den enkelte • Alle opplysninger som registreres skal signeres • Opplysninger skal ikke kunne endres eller slettes (det er bare tillatt med tilføyelser som retter opp feilaktig info) © Ask & Fensli, Hi. A, 2004 23

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Taushetserklæringer • Det er ikke bare innen helsevesenet at det er viktig med taushetsplikt, også innenfor bedrifter og ved deltagelse i utviklingsprosjekter stilles det slike krav • Non-disclosure Agreement: • En taushetserklæring som alle medarbeidere i et prosjekt må undertegne. Stadfester at alle opplysninger om prosjektet skal hemmeligholdes, dette omfatter ideer, løsninger, knowhow, datakode, produktplaner, finansielle planer, strategier, navn på personer/partnere i prosjektet mv • Hemmeligholdelsen har ingen tidsbegrensning, og gjelder også etter at prosjektet er avsluttet • Taushetserklæringer må også undertegnes av driftspersonell som får tilgang til bedrifts sensitiv informasjon, og eller skal arbeide med sikkerhet i datanett og sensitive personopplysninger © Ask & Fensli, Hi. A, 2004 24

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Åndsverkloven • Det er fastsatt klare regler for åndsverk som bla skriftlige publikasjoner (bøker, læremateriell, artikler), kunstverk, fotografier, musikk komposisjon og fremføring, video og filmproduksjon, kartdata mm. • Copyright regler innebærer at det må inngås en kontrakt med rettighetshaver om bruk/gjengivelse • Det er forbundet med et straffeansvar og erstatningsansvar dersom disse regler brytes • Reglene har betydning også innen digitale medier: • • CD-ROM produksjoner WEB-presentasjoner Interaktive systemer Annen spredning i digital form © Ask & Fensli, Hi. A, 2004 25

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Håndtering av copyright • Dersom du har behov for å benytte materiale som er forbundet med copyright, forutsettes det at du inngår avtale med rettighetshaver (TONO, LINO mfl. ) • Du må betale for den aktuelle bruken, og oppgi aktuelt lisensnummer • Vær derfor spesielt oppmerksom dersom du: • Skal lage en web-side og ønsker å bruke et bilde, animasjon, videosnutt, musikk-klipp ol på din web-side • Skal lage en CD-ROM med et tilsvarende innhold • Drøft problemstillingen med din oppdragsgiver, og drøft hvilke økonomiske rammer som er aktuelle for kjøp av nødvendige rettigheter • Husk at såvel produsent som utgiver kan rammes ved overtredelse og brudd på eventuell copyright © Ask & Fensli, Hi. A, 2004 26

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Redaktørplakaten • Enhver utgivelse av publikasjon som avis, tidsskrift, radio, nyhetsformidling, web-sider/web-portal mv forutsetter en ansvarlig redaktør som utgiver • Redaktørenes ”vær-varsom-plakat” fastsetter visse etiske regler og retningslinjer som en plikter å følge • Disse omfatter bla hensynet til personvernet, kilde-vern, saklighet, ikke utilbørlig uthenging av enkeltpersoner, unngå kobling av redaksjonell frihet og økonomiske avtaler/reklame, krav til å opptre i henhold til lover og forskrifter • En web-master kan anses som redaktør, og kan rammes ved brudd på slike etiske regler © Ask & Fensli, Hi. A, 2004 27

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Web-hosting • Internet Service Providere som hoster web-sider, er også pålagt at gjeldende lover og forskrifter følges • Dersom en kunde publiserer ulovlig materiell som feks barneporno, kan en få pålegg om å fjerne web-sidene som tilhører kunden • Web-hosting vil normalt innebære en skriftlig avtale mellom provider og kunde, der slike forhold er regulert, og hvor det stilles krav til kundens forpliktelser • Et web-byrå som utvikler web-sider for en kunde, kan også stilles til ansvar dersom det publiseres ulovlig materiell eller personvernet brytes © Ask & Fensli, Hi. A, 2004 28

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Digital vannmerking • Dersom du ønsker å beskytte dine elektroniske bilder og tegninger, kan du sørge for en digital merking av åndsverkene • Digimarc er et system som lager et ”kodemønster” som overlagres billedinformasjonen • Denne signaturen kan gjenkjennes også etter at bildet er trykket, og scannet, og finnes selv i en liten del av bildet • I et bildebehandlings program kan du se at et bilde er elektronisk merket, via web ser du hvem som har copyright • Sørg da for lisensiering av bruken www. digimarc. com © Ask & Fensli, Hi. A, 2004 29

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Nå kan sjefen overvåke deg • Nye dataprogram gjør sjefen i stand til å kontrollere alt du gjør på Internett og alt du skriver på e-post. Programmene snuser gjennom e-posten din og rapporterer til sjefen • Programmene I-Gear og Mail-Gear har til oppgave å stanse unødig nettsurfing, hindre at bedriftshemmeligheter røpes eller laste ned pornografi • Programmet kan lett stilles inn for systematisk overvåking av hva de ansatte i bedriften bruker PC-en til Såvel bedriftsleder som systemansvarlig må sette grenser for hvordan slike systemer skal benyttes i bedriften Det kan være er en vanskelig balanse i forhold til behov/ønsker og lovligheten © Ask & Fensli, Hi. A, 2004 30

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Personvern • Det er klare lover og regler som setter krav til personvern i forhold til datasystemer • Systemansvarlige må også forholde seg til personvern i forhold til medarbeidere • Du kan ikke drive ”overvåkning” • Personlig informasjon skal være beskyttet, også det som lastes ned fra Internett • E-mail er personlig, dette innebærer at ”Kari. Nordmann@jobben. no” er privat Hva kan da gjøres dersom ulovlige ting oppdages? © Ask & Fensli, Hi. A, 2004 31

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet IKT-tekniske sikkerhetsområder • Datasikkerhet må være et sentral tema innenfor mange IKT-faglige områder: • • Programvareutvikling – lage robuste bugfri program, digitalt signert Datanettverk – pålitelige systemer med sikker tilgang til nettverk Datakommunikasjon – sikker og pålitelig overføring av data Web-tjenester – virusfri, hackingsikre, lovlig informasjon E-mail – virusfri, sikker overføring av informasjon med kryptering E-handel – sikre og pålitelige betalingstjenester Mobilitet – sikre integrasjon og tilgang til systemer, men på en sikkerhetsmessig betryggende måte • IKT-systemer – brukervennlige men samtidig sikre mot angrep © Ask & Fensli, Hi. A, 2004 32

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Regelverk må følges • Sørg for at du følger gjeldende lover og forskrifter • Vær oppmerksom på Personopplysningsloven og registrering av personopplysninger og sensitive data • Ivareta personsikkerheten • Ivareta copyright og andre rettigheter • Ikke publiser sjikanerende informasjon • Personovervåkning er ikke tilatt • Ha klare interne regler og prosedyrer • Følg gjeldende taushetserklæringer • Hold deg oppdatert om informasjon fra Datatilsynet © Ask & Fensli, Hi. A, 2004 33

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Holdninger • Datautstyr og informasjon kan ikke sikres mot alle former for misbruk • Nødvendige sikkerhetstiltak og rutiner forutsettes iverksatt • Alle involverte personer må følge innarbeidede normer og rutiner så langt de er beskrevet • Sikkerhetstenkning må alltid være forankret ”i blodet” på den enkelte ansatte – se konsekvenser av handling • Sunn fornuft og rutiner må danne grunnlag for den enkeltes holdninger - være ansvarlige medarbeidere • Sikkerhetsbrudd representerer et tillitsbrudd Har du klare tanker og holdninger til dette ? ? © Ask & Fensli, Hi. A, 2004 34

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet PERSONVERN PERSONDATA er opplysninger som direkte eller indirekte kan føres tilbake til identifiserbare enkeltpersoner. © Ask & Fensli, Hi. A, 2004 35

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet PERSONVERN DATATEKNOLOGIEN FØRTE TIL • rask lagring og gjenfinning av datamengder • økonomisk overkommelig å bygge opp store personregistre • mulig å knytte sammen opplysninger fra registre • mulig å koble registre via datanett © Ask & Fensli, Hi. A, 2004 36

HØGSKOLEN I AGDER Agder University College Personvern Datalovgivning og datasikkerhet PERSONREGISTER: Samling av personopplysninger lagret systematisk. Kan inneholde: • identifikasjonsopplysninger • personalia, adresse, tlf. siv. stand etc. • øk. oppl. : formue, inntekt, skatt etc. • utdanning og yrkesbakgrunn • helse -rase - religion - kriminelle handlinger © Ask & Fensli, Hi. A, 2004 37

HØGSKOLEN I AGDER Agder University College Personvern Datalovgivning og datasikkerhet SENSITIV INFORMASJON: Info som de fleste av oss misliker at andre får/har kjennskap til Litt avhengig av: • hvem opplysningene blir gitt til • mengden av opplysninger • opplysningenes alder • tilbakeføringsmuligheter © Ask & Fensli, Hi. A, 2004 38

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Bruk og misbruk av personregistre: • svindling og forveksling • • tilbud på varer og tjenester (pos/neg) personopplysninger på avveie kopling av registre (pos/neg) storebror ser deg (pos/neg) © Ask & Fensli, Hi. A, 2004 39

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet EFFEKTIVITET OG PERSONVERN • strafferegistre kan oppklare saker hurtig • avsløring av skattesvindel • forenkle offentlig arbeid - forenklet ligning • gir mulighet for en rekke servicetiltak Men en avveiing mellom effektivitet og personvern er nødvendig. © Ask & Fensli, Hi. A, 2004 40

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet LOV OM PERSONREGISTRE 1. 1. 80 • Utgangspunkt var frykt for overdreven offentlig kontroll og styring • Spesielt ved den norske loven er at : personvernloven er teknologi-uavhengig personer oppfattes både som individer og som‘juridiske’ personer (selskaper, firmaer) begrenset til å gjelde innenfor privat og offentlig næringsvirksomhet og foreninger og lag. Personlig bruk kommer ikke inn under loven. © Ask & Fensli, Hi. A, 2004 41

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet KONSESJONSPLIKT Hovedregel: • Må ha konsesjon for å opprette personregistre som gjør bruk av elektroniske hjelpemidler • Manuelle registre som inneholder følsomme opplysninger må også ha konsesjon © Ask & Fensli, Hi. A, 2004 42

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet FØLSOMME OPPLYSNINGER: • • • rase, politisk eller religiøs oppfatning mistenkt, tiltalt eller dømt i straffesak helseforhold - misbruk av rusmidler seksuelle forhold familieforhold som slektskap, familiestatus, forumuesordning mellom ektefeller og forsørgelsesbyrde © Ask & Fensli, Hi. A, 2004 43

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Gir retningslinjer om: • hvilke typer oppl. registeret kan inneholde • bruk av registeret • begrensning av de mulige ulemper opprettelse og bruk av registeret kan medføre • hvem som har ansvaret for at reglene blir fulgt © Ask & Fensli, Hi. A, 2004 44

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet KONSESJONSPLIKT Unntak: • foreningers medlemsregistre • kunde- og leverandør registre • advokatarkiver/registre • manuelle registre hos leger/ tannleger, psykologer osv. • personell-, lønnstakerregistre • forlagenes personregistre • dags- ukepressens personreg. . • bibliotekvesenets registre © Ask & Fensli, Hi. A, 2004 45

HØGSKOLEN I AGDER Agder University College INNSYNSRETT Datalovgivning og datasikkerhet Enhver registrert person har krav på å få se alle opplysninger som er lagret om seg selv. Retten gjelder: • alle registre, offentlige og private som er datamaskinbaserte. (Unntak: opplysninger som må anses utilrådelig at vedkommende får kjennskap til av hensyn til helse eller forhold til nære personer) • offentlige manuelle registre • ansatte i private foretak - rett til å se personalreg. som også føres manuelt © Ask & Fensli, Hi. A, 2004 46

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet gjelder ikke: • visse registre til politiets bruk • rikets sikkerhet • registre som brukes utelukkende til: statistikk forskning planleggingsforhold © Ask & Fensli, Hi. A, 2004 47

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet • Adresserings- og distribusjons-virksomhet har konsesjonsplikt (driver salg av adresser for utsending av reklame etc) • Registrene skal ‘vaskes’ en gang for året. (likevel hender det at døde personer får postreklame) © Ask & Fensli, Hi. A, 2004 48

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Datatilsynes oppgaver • Behandle og avgjøre søknader om konsesjon • Kontrollere at lover, forskrifter og regler for personregistre og bruk av personoppl. overholdes • gi hjelp i saker som gjelder personvern • være høringsorgan for saker som gjelder personoppl. © Ask & Fensli, Hi. A, 2004 49

HØGSKOLEN I AGDER Agder University College Datalovgivning og datasikkerhet Datatilsynets aktivitet: Vurdere personregisterloven med tanke på om den er dekkende for bl. a. : • bruk av interaktive system over datanett: - varebestilling, betaling, avtaler, adgangskontroll etc. • forskning innenfor genteknologi -lagring av en persons gen-egenskaper • nye områder som dukker opp © Ask & Fensli, Hi. A, 2004 50