• No results found

Da Datatilsynet kom : En skrekkhistorie?

N/A
N/A
Info
Nedlasting
Protected

Academic year: 2022

Share "Da Datatilsynet kom : En skrekkhistorie?"

Copied!
20
0
0

Laster.... (Se fulltekst nå)

Last ned nå ( 20 sider )

Fulltekst

(1)

Da Datatilsynet kom

En skrekkhistorie?

UNINETT 2006, Ålesund 21.06.06

Jan Erik Frantsvåg, Universitetet i Tromsø – janerik.frantsvag@adm.uit.no

(2)

Brevet

Våren 2004 fikk UiTø varsel om stedlig tilsyn fra Datatilsynet (DT)

DT foreslo dato og ba om raske motforestillinger

DT ba om spesifikk informasjon innen

en gitt frist

(3)

Hvor stod vi?

Som ADB-leder hadde jeg gjort den

erkjennelse at vi hadde en del arbeid ugjort

Regimeendringen fra konsesjon til melding hadde vi ikke tatt inn over oss

En liten arbeidsgruppe hadde begynt å arbeide med nye retningslinjer og

dokumentasjoner

Vi trodde vi var på rett vei …

(4)

Hva gjorde vi?

Sendte det vi hadde

Forklarte litt om hvor vi stod

Erkjente for oss selv at dette neppe kom til å bli en festforestilling

Men regnet med at vi kunne lære noe

og få en fornuftig dialog …

(5)

Hva var det stedlige tilsynet

DT ville ha samtaler med institusjonsledelsen

De ville ha samtaler med de

prosjektansvarlige for spesifiserte prosjekter

De ville ha samtaler med de ansvarlige for datasikkerheten

De ville se dokumentasjoner

(6)

Hva lærte vi?

Vi tenkte etter den gamle

konsesjonsmodellen – Den digitale festning

Innestenging ved bruk av teknologi

DT ser ut til å tenke mer Den digitale løken

Flere lag med ulike type sikkerhet, som ikke hver for seg er vanntett men som sammen skaper

vansker

Dokumenterte vurderinger av hva som egentlig er trusler, hva som er konsekvenser og hva man

finner er et forsvarlig sikkerhetsnivå

(7)

Hva lærte vi mer?

Datasikkerhet blir ofte et ansvar for den sentrale IT-funksjonen

Det bør den ikke være

Vi er flinke på teknologi

Men er det der truslene er?

Vi trodde alt som hadde med forskning å gjøre, var ivaretatt i og med at NSD var personvernombud

Det var det ikke …

(8)

Hva er viktig mht sikkerhet?

Sikring mot uautorisert tilgang

Her er teknologi viktig

Men også organisasjon

Passordsikkerhet kan skape sikkerhetshull

Låsing av dører og PCer viktig, ikke bare brannmurer

Oppmerksomhet rundt problemstillingene

(9)

… mer sikkerhet

Sikring av tilgang ved behov

Dersom man har persondata, er det for å ivareta behov

Da må de som har reelle og legitime behov, faktisk ha tilgang

Back-up, nødstrøm, fornuftige tilgangsrettigheter

(10)

… mer sikkerhet

Korrekte data et krav!

Feilaktige data kan gi konsekvenser

Krever oppdateringsrutiner

Krever opplærte og oppegående brukere

Unødvendige eller ukorrekte data skal slettes

Slike data har man ikke hjemmel til å ha

(11)

Forskjellig perspektiv

Vi tenkte teknologisk sikring og administrative data

DT tenkte organisatoriske tiltak og forskningsdata

Det viste seg at de hadde et ”prosjekt” mht forskningsdata i 2004

De startet med å be om informasjon om gitte prosjekter, så det var ingen

overraskelse

(12)

Forskningsdata

Vi trodde alt var ivaretatt i og med at NSD var personvernombud

Det viste seg at dette kun gjaldt en del saksbehandling

Resten av sikkerhetsarbeidet skulle vi gjøre selv

(13)

Hva opplevde vi

Én forsker hadde avidentifiserte data på en bærbar datamaskin

og identifiseringsnøklene i en annen fil – på samme bærbare maskin

Hvem som er ansvarlig kan være uklart

Gamle samtykker var kanskje ikke lengre holdbare

Kunne bety gravlegging av forskningsprosjekter som hadde vart lenge

(14)

Samtykke og praktisering

Viktig at samtykket samsvarer med det man faktisk foretar seg

Sier man at data skal slettes/anonymiseres innen en dato, skal dette skje

Man må altså allerede i samtykket ta høyde for forsinkelser – eks. svangerskap, sykdom,

permisjoner

Man kan ikke ombestemme seg – men man kan be respondentene om utvidet frist

(15)

Studenter

Studenter kan til tider foreta intervjuer eller på andre måter få

personopplysninger

De gjør det som studenter ved vår institusjon

Ansvaret er vårt

Vi har ingen sanksjonsmuligheter

Veileder må ta faktisk fysisk kontroll over dataene

(16)

Konklusjoner

Ansvaret må legges utenfor og over IT- direktøren

Organisasjon like viktig som teknologi

Begge deler må være på plass

Bedre med litt dokumentasjon som

avspeiler virkeligheten enn masse

dokumentasjon som ikke brukes

(17)

Sikkerhet generelt

Det er mange krav til sikkerhet

Datatilsynet

Riksrevisjonen

Utdanningsdepartementet

Riksarkivaren

NOKUT

osv. osv. direktorater instanser departementer tilsyn

Bruk personopplysningsloven som

utgangspunkt for å lage én totalpakke som tilfredsstiller alle krav

(18)

Råd om du får DT på besøk

Vær åpen

Vær ydmyk – DT kan dette, og det er de som har rett

Benytt sjansen til å ruste opp sikkerheten din

Får du kritikk, legg deg flat og

samarbeid

(19)

Avslutning

Ja, vi ble ”slaktet”

Veldig lærerikt

Nyttig dialog med DT – de er en ressurs

Slikt skaper ledelsesfokus – prosesser settes i gang

Nei, det ble ikke da og ikke senere påvist at personopplysninger hadde nådd noen de ikke skulle nå

Men vi kan ikke basere oss på å berges av flaks og tilfeldigheter – vi må planlegge og tenke fremover.

(20)

Lesestoff

Rapporten fra DT om datasikkerhet i forskningsprosjekter:

http://www.datatilsynet.no/upload/Dokumenter/saker/2004/helserapporten_04.pdf

Referanser

Last ned nå ( PDF - 20 sider - 81.15 KB )

RELATERTE DOKUMENTER

Vi kan kanskje ikke redde verden, men det er lov å prøve

Slik kan barn også bli hjulpet til å finne andre voksne å kny e seg til dersom egne foreldre er døde eller for traumatisert selv til å ta seg av barnet.. Mange barn kommer ut av

Hvorfor kan vi ikke bare bruke oljepengene?

Dette innebæ- rer at Norge som nasjon får en skranke på hva vi kan kjøpe for oljen – akku- rat som Robinson opplever dersom Fredag ikke mestrer å bygge hytta slik Robinson

Det vi ikke snakker om

Det er heller ikke så lett å forklare hvorfor vi har valgt å la dårlig syn og tannhelse behandles særskilt: I svært mange land, inkludert både Frankrike og Argentina

«Vi vet at kritikerne er der ute. Men vi har ikke gjort dette for å irritere

Man starter vel ikke på toppidre sgymnas uten å ha det, men jeg nådde ikke opp til landslagsnivå.. Da fant jeg ut at det var større sjanse for å lykkes på skolebenken,

NSAID – da det viktigste var ikke å være kortison 842

Det som så skjedde sier mye om hvordan medisinskfaglige begrep kan oppstå i skjæ- ringspunktet mellom det vitenskapelige og det mellommenneskelige: Det uttrykket Whitehouse

13-02078

“Hvis jeg hadde fått lov til å gjøre noen endringer, eller snakke, eller fått lov til å ha noen styring på det med kvinner i Forsvaret, så ville jeg sagt til alle sammen som

Politisitat : ”Å nei, ikke de igjen!” : en teoretisk oppgave

forebyggende effekt. Dette med hensikt å forhindre at politiet gjentatte ganger må rykke ut til samme adresse eller de samme involverte. Vi har derfor sett nytten av å ta i

Det ble ikke påvist 1, 3-butadien i noen av de 3 bedriftene. Dette industri.

Det ble ikke påvist 1, 3-butadien hverken i kullrØrsprøvene eller i Carbotrap-prøvene, noe som indikerer at konsentrasjonen av butadien er lavere enn 0.01 ppm.. På kullrØrene