Leksjon 6: Lover og ansvar Flashcards
(24 cards)
Hvorfor er jus viktig i digital sikkerhet?
Fordi teknologisk utvikling skjer raskere enn lovverk. Jus gir rammer for sikkerhetskrav og verdibeskyttelse.
Hva er konskvensen av overordnede krav i lovgivning?
Virksomheten får mer ansvar for riskovurdering, tiltak og internkontroll.
Hva er formålet med rettslig reguleing?
Å beskytte verdier som individets og samfunnets sikkerhet, samt inforrmasjonens konfidensialitet, integritet og tilgjengelighet.
Nevn to sektovergripende lover for digital sikkerhet.
Personopplysningsloven (med GDPR) og sikkerhetsloven
Hva er eksempler på sektorregelverk?
Helseregisterloven, pasientjournalloven, politiregisterloven og kraftberedskapsforskriften.
Hva er personopplysning?
Enhver opplysning om identifiserbar fysisk person.
Hva er sensitive kategorier av personopplysninger?
Sensitive data som helseopplysninger, politisk ståsted eller genetisk informasjon.
Hvem er behandlingsansvarlig og databehandler?
Behandlingsansvarlig bestemmer formålet med behandlingeen. Databehandler behandler data på deres vegne (f.eks en skytjeneste)
Hva er informasjonssikkerhet?
Vern mot uautorisert tilgang, endringer eller tap- sikrer konfedesialitet, integritet og tilgjengelighet.
Hva er personopplysningsvern?
Beskyttelse av individets rettigheter og integritet ved behandling av persondata.
De 7 personvernprinsippene i GDPR
🧭 1. Lovlighet, rettferdighet og åpenhet
Lovlighet: Behandling av personopplysninger må ha et rettslig grunnlag (samtykke, kontrakt, lovkrav, m.m.).
Rettferdighet: Behandlingen skal ikke overraske eller utnytte den registrerte – den må være rimelig og balansert.
Åpenhet: Den registrerte skal få klar og forståelig informasjon om hva som samles inn, hvorfor, hvordan det brukes og hvem som får tilgang.
👉 Eksempel: Når du oppretter en konto på en nettside, må du få tydelig info om hva dataene dine skal brukes til.
🎯 2. Formålsbegrensning
Personopplysninger skal kun samles inn for klart angitte, eksplisitte og legitime formål.
Opplysningene skal ikke brukes til andre formål enn det de ble samlet inn for, med mindre det nye formålet er forenlig.
👉 Eksempel: Hvis en nettbutikk samler e-post for kjøpsbekreftelse, kan de ikke bruke den til å sende reklame uten nytt samtykke.
🔎 3. Dataminimering
Det skal bare samles inn data som er nødvendig for det aktuelle formålet.
Ikke samle mer data “for sikkerhets skyld”.
👉 Eksempel: Et skjema for å melde seg på et nyhetsbrev trenger ikke informasjon om fødselsdato eller adresse.
✔️ 4. Riktighet
Personopplysninger skal være korrekte og oppdaterte.
Uriktige eller utdaterte opplysninger skal slettest eller rettes uten opphold.
👉 Eksempel: Hvis noen har endret adresse eller navn, må dette oppdateres i databasen for å unngå feilutsendelser eller sikkerhetsbrudd.
🗂️ 5. Lagringsbegrensning
Opplysninger skal ikke lagres lenger enn nødvendig for det formålet de ble samlet inn for.
Når formålet er nådd, skal data slettes eller anonymiseres.
👉 Eksempel: CV-er i et rekrutteringssystem bør slettes etter en viss tid hvis søkeren ikke får stillingen – ikke lagres “i tilfelle”.
🔐 6. Integritet og fortrolighet (sikkerhet)
Data skal behandles på en måte som sikrer beskyttelse mot uautorisert tilgang, endring, tap eller ødeleggelse.
Dette innebærer både tekniske og organisatoriske sikkerhetstiltak.
👉 Eksempel: Bruk av kryptering, tilgangskontroller og opplæring av ansatte for å hindre datalekkasje.
🧑💼 7. Ansvarlighet
Den behandlingsansvarlige må dokumentere og kunne vise at de overholder de seks andre prinsippene.
Handler om aktivt ansvar og internkontroll.
👉 Eksempel: Virksomheter må ha personvernerklæringer, databehandleravtaler og kunne dokumentere vurderinger og tiltak.
Hva er hensikten med sikkerhetsloven?
Å beskytte Norges sikkerhetsinteresser og sikre at tiltak følger dedmokratiske prinsipper.
Hvem gjelddedr sikkerhetsloven for?
Statlige og private virksomheter som behandler gradert info, har kritisk infrastruktur eller viktige funksjoner.
Hva er en grunnleggende nasjonal funksjon?
En funksjon som støtter nasjonale interesser og som vil skade nasjonen ved bortfall.
Hva er skjermingsverdiig nformasjon ogg objekter?
Informasjon, systemer eller fysiske/digitale objekter som truer sikkerheten hvis kompromittert.
Hvem har snavaret for datasikkerhet i virksomheter?
Toppledelsen. Ansvaret kan delegeres, men skal alltid hvile på toppen.
Hva kan skje ved manglende datasikkerhet?
Økonomiske bøter, omdømmelseskader og erstatningsansvar
Hva er dokumentert sikkerhtsstyring?
Systematisk sikkerhetsarbeid som dokumenteres, for å sikre kontinuitet, revisjon og lovetterlevelse.
Hva innebærer riskostyring?
Beskytte verdier basert på trusler og sårbarheter. Inkluderer forebyggende, oppdagende og reaktive tiltak.
Hva er avvikshåndtering?
Rapportering og oppfølging av sikkerhetsbrudd. Nødvendig for å oppdage og redusere risiko.
Hva er personvernkosekvensvurderingen (DPIA)
En vurdering av riskoer en behandling kan utgjøre for individets rettigheter og friheter.
De 4 trinnene i personvernkosekvensvurderingen:
- Beskriv behandlingen
Ansiktsgjenkjenning brukes for å gi adgang til eksamenslokaler. Systemet sammenligner studentens ansikt med lagrede bilder. - Vurder nødvendighet og proporsjonalitet
Alternativer finnes (f.eks. ID-kort). Biometrisk data er sensitivt – tiltaket er lite proporsjonalt med risikoen. - Vurder risiko for individet
Høy risiko for feilidentifisering, misbruk, tap av kontroll og datalekkasje av unike biometriske data. - Foreslå tiltak
Kryptering og begrenset tilgang
Frivillig bruk og alternativ metode
Lokal lagring og sletting etter eksamen
Tydelig informasjon til studentene
Hva er innebgyd personvern?
Personhensyn skal være integrett i design, utvikling og standardinstliinger i systemer og løsninger.
Prinsippene for innegygd personvern
- Forebygg
- Standardinnstillinger
- Deesign-integrasjon
- Full funskjanlitet
- Informajsonsikkrhet
- Åpenhet
7.Respekt for bruker
