Presentasjon GDPR-

prosjektet

Jan Ketil Petersen - prosjektleder ITA stab

Personalforum 23.03.2018

Vi bryter loven i dag:

• Organisatorisk «gjeld»

• Teknisk «gjeld»

• Dokumentråte

• Manglende internkontroll

• Mangler mange RoS-analyser

• Testing på ekte produksjonsdata

• Sårbare for integritetsbrudd

• Logging er mangelfull

• Slettepliktrutiner er mangelfulle

• Kun 7 dager sikkerhetskopi i enkelte systemer med virksomhetskritiske data

• Brukernavn og passord på avveie brukes til snoking i interne systemer

• Mangler 2-faktor sikkerhet

Bøtenivået øker kraftig

• What are the penalties for non-compliance?

Organizations can be fined up to 4% of annual global turnover for

breaching GDPR or €20 Million. This is the maximum fine that can be

imposed for the most serious infringements e.g. not having sufficient

customer consent to process data or violating the core of Privacy by

Design concepts.

• 'clouds' will not be exempt from GDPR enforcement.

• Vi antar at bøtenivået vil legges opp mot ca. 10 millioner når

tilsynsmyndigheten går opp lovpraksisen i Norge.

GDPR-prosjektets arbeidsgrupper

• Kartlegge behandlinger av personopplysninger – Aase Tveito

• Revidering av Styringssystemet for informasjonssikkerhet og revidering av interne instrukser, reglementer, retningslinjer mv – Ingvild Stock-Jørgensen

• Risiko- og sårbarhetsvurderinger (RoS) – Bjørn Torsteinsen

• Avvikshåndtering/avvikssystemet – Bjørn Torsteinsen

• Personvernrådgiver (personvernombud) – Sølvi B. Anderssen

• Opplæring av ansatte og studenter (generell opplæring) – prosjektleder

• Kompetanseheving av ansatte som har særlige funksjoner – prosjektleder m/prosjektgruppen

• Dokumenthåndtering – Annikken Steinbakk

• Personvernerklæringer – må vente til innholdet er avklart

• IT-infrastruktur (eget prosjekt) – Jan Ketil Petersen og ITA-GRU - ferdig

Revidering av interne regelverk og instrukser

• Utføres av de som eier/forvalter retningslinjene (ITA, POA, AFU, UTA)

• Enighet om hva som må lages nytt:

– Rutiner for behandling av personalopplysninger i undervisning (UTA)

• Fristene er godtatt og arbeidet fordelt (brev 2017/5951-17)

– Utg. av feb. for revidering av eksisterende retningslinjer (flere)

– Utg. av mars for utarbeidelse av ny retningslinje (UTA)

• Vurdering av en samlet retningslinje for utlevering av

personopplysninger (internt og eksternt) pågår

Risiko og sårbarhetsvurderinger (RoS)

• Stort arbeid med RoS-analyser av

– Systemer

– Prosesser

– Forskningsprosjekter

• Forskningsprosjekter totalt sett: prosjektet foreslår en forenkletrisikovurdering som føres inn sammen med meldingsskjemaet til NSD, REK eller begge.

– Enkel og integrert del av prosessen inn mot innmelding og godkjenning, med gjenkjennelig språk.

• Øke fokuset på at personvernbrudd primært er skadelig for den/de registrerte som rammes hvis data er på avveie (kulturendring).

Avvikssystemet revideres

• Beskrive og implementere rutine for håndtering av brudd på

personvernet

• Kort frist for varsling til de berørte:

– Uten ugrunnet opphold

– Og senest innen 72 timer.

Personvernombud

• Anbefalingen er at det opprettes en 100 % stilling

• Fortsette samarbeidet med NSD for forskningsprosjekter (uten

helseopplysninger) og være kontaktpunktet til NSD ved UiT

• Ett felles kontaktpunkt for alle personvernrelaterte saker ved UiT

• Beslutningsgrunnlaget ble sendt til ledelsen i uke 7

– Utlyses internt snart

– Konstituere noen inntil ansettelse gjennomføres

– Rett kompetanse

– Uavhengig stilling under universitetsdirektøren

– (Stadig mindre) tid til opplæring frem til 25. mai…

Opplæring og kompetanseheving

• Nettbaserte nano-kurs på plattformen XtraMile

• Obligatorisk?

– Obligatorisk for ansatte – frysing av UiT-konto?

– Ikke samme mulighet for studenter. Oppfordre, være del av ITA-kurs

for nye studenter, fadderordningen etc.

• Kompetanseheving: ikke planlagt ennå, avhengig av andre grupper.

• Vanskelig å finne folk til å drive opplæringen

Dokumenthåndtering

• En del av innholdet kommer fra de andre arbeidsgruppene

• Koordinering med de andre arbeidsgruppene og avdelinger og fakulteter

• Dreier seg om (men er ikke begrenset til):

– Oversikt over virksomhetens organisering

– Styrende dokumenter for internkontroll og informasjonssikkerhet

– Oversikt over personopplysninger som behandles

– Oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjons- eller systemkart

– Risikovurderinger av informasjonssystemet

– Avviksrutiner

– Navn og funksjon på de som deltar under kontrollen (dvs. tilsynet fra DT)

Personvernerklæringer

• Ikke påbegynt, avhengig av de andre leveransene i prosjektet

• Utvetydig informasjon til alle brukere av UiTs ressurser om

– Hva som er formålet med innsamlingen av persondata

– Hva de brukes til

– Hvor de brukes

– Hvor de gjenbrukes

– Hva vi ikke gjør med opplysningene.

– Rettigheter og innsyn

– Kontaktinfo tilsynsmyndighet o.l.

– Hvor regelverkene kan leses i sin helhet.

Fakulteter og avdelinger

• Sikre at de har oversikt over alle behandlinger av personopplysninger

• Bidra til

– arbeidet med å få en hensiktsmessig, løpende innrapportering av

nye/endrede behandlinger

– RoS-vurderinger

– arbeidet med endring og harmonisering av interne regelverk

• Opplæring og kompetanseutvikling

– generelt innhold til alle

– andre kurs vil være fagspesifikke/oppgavespesifikke

Kartlegging av behandlinger

• Stort lerret å bleke.

• Dialog med og bistand fra ASF i innledende oversiktsbygging

• Administrasjonen/nivå 1 har bidratt til å komplettere listen over

behandlinger og er selv inne i første kartleggingsrunde

• Erfaringene fra første runde tas med til fase 2 (linjene)

• De tekniske løsningene vi bruker er ikke ideelle (men gode nok)

– Må løses på bedre måte senere

Utfordringer med kartleggingen

• Hva er en behandling? Hvorfor ikke system?

• Hvem utfører behandlinger på Nivå 2 og 3?

• Tidkrevende

• Vanskelige tema:

– Studenter i praksis

– Studenter med oppgaver som inneholder personopplysninger

– Vi løser problemene «her og nå» uten å se helheten/lovligheten

– Opplæring i reglene: utskifting av saksbehandlere

– Vedlikehold etter 25. mai

Hva må vi vite om hver behandling?

• Hvem er ansvarlig for behandlingen (avdeling og person)

• Formål med behandlingen

• Kategori registrert (student, ansatt, gjest, forskningsobjekt osv)

• Kategori opplysninger (sensitiv, skjermet, offentlig osv)

• Hvem overføres opplysningene til (andre utdanningsinstitusjoner, Lånekassen, osv)

• Overføres data ut av Norge?

– Innenfor EU / EØS? Til «land vi stoler på»?

• Når, og under hvilke betingelser slettes data?

• Arkivering av data (hjemmel og pålegg i arkivloven)

• Er det foretatt ROS-analyse? I tilfelle når?

• System (Kun UiT)

• Hjemmel (Kun UiT)

Opplæring i kartleggingen

• De som skal registrere behandlinger får første runde med opplæring

• Utgjør basis for kommende grunnleggende opplæring for alle

– Bevisstgjøring på hva som er greit og ikke

– Forståelse for hva som kreves

– Oversikt over hvor man finner regler og hvem man skal spørre

• Nøkkelpersoner må få kompetanseheving slik at de kan bidra til å

vedlikeholde og videreutvikle systemer og dokumentasjon i hele

organisasjonen – uavklart.

• Prosjektet har ikke lyktes med å finne noen som driver med

internopplæring ved UiT som har tid til å bistå.

Hvordan gjennomføres kartleggingen?

• Vi starter med Nivå 1, slik at det kan «gå seg til» og vi får greie

definisjoner

• Registrering av behandlinger til protokollen vil legges til linja – dette

arbeidet tar ikke slutt når første versjon er ferdig

• Hvert fakultet må identifisere hvem som behandler personopplysninger,

og på hvilken måte (Det er ikke bare digital behandling som skal

registreres)

• Det må frigjøres tid hos nøkkelpersoner til å bidra med innfylling

Tidsplan kartlegging av behandlinger

• Utarbeide nettskjema og teste det på to-tre behandlinger (16/3)

• Identifisere hvem som skal faktisk fylle inn informasjon, det vil si navn på person som har nødvendig kompetanse og tid (pågående)

• Teste opplæringsmateriellet sammen med Excelskjemaet (23/3)

• Gjennomføre opplæring på alle som skal fylle inn informasjon (uke 14, 3-4/4)

• Lage en oversikt over alle behandlinger i henhold til sjekklisten for behandlinger (Uke 15 og 16, 9-20/4)

• Lage en oversikt over alle systemer og hvilke personopplysninger de behandler i henhold til sjekklisten for systemer (Uke 15 og 16, 9-20/4)

• Vurdere behovet for en fase 2 som går lenger ned i linjene fortløpende

• Samordne informasjon som er kommet inn, kvalitetssikre den og lage protokollen (uke 17 og 18, 23/4 – 4/5)

• Overføre til personvernombud, sammen med dokumentasjon og rutinebeskrivelser for vedlikehold.

Muligheter

• En oversikt over alle behandlinger av personopplysninger vil

(forhåpentligvis) avdekke muligheter for

– Forenkling av praksis

– Innsparing av tid

– Digitalisering gir administrativ gevinst

– Lukking av lovbrudd

– Utløse tydeligere bestillinger der verktøyene mangler/er mangelfulle.

What’s in it for UiT?

• Prosjektets fokus er å overholde lovverket – noe vi gjør i dag med

varierende hell.

• UiT skal behandle personopplysninger lovlig og sikkert – over tid!

• De registrertes data og UiT’s data løftes opp i som den mest verdifulle

ressursen en kunnskapsorganisasjon har.

• Får vi ikke tilsyn i mai, så kan det like gjerne komme i juni, eller i 2019.

What’s in it for me?

• Intern kontroll og oppdaterte rutiner er sunt for organisasjonen

• Reviderte regelverk o.l. må bekjentgjøres - dette er en anledning

• Opplæring og kompetanseheving er et gode

• Økt forståelse for ny personvernlovgivning hindrer nye avvik, og tiden

som brukes på brannslukking minsker

Oppsummert:

Mer info finner du på:

uit.no/om/gdpr

Hovedside for GDPR ved UiT – mer innhold kommer i april.