WEBVTT

00:00:00.300 --> 00:00:10.700
Velkommen til 3. forelesning i emne IN5080 sikkerhets- og risikostyring denne f?rste delen DEL 3A

00:00:10.700 --> 00:00:21.400
fokuserer p? personopplysningsloven og innebygd personvern neste del 3B fokuserer p? vurdering av

00:00:21.400 --> 00:00:31.700
personvernkonsekvenser ogs? kalt dpia data protection Impact assessment generelt kan man si at

00:00:31.700 --> 00:00:40.400
personvern er noe mer enn bare beskyttelse av informasjon i grunnlovens paragraf 102 st?r det at

00:00:40.400 --> 00:00:47.200
enhver har rett til respekt for sitt privatliv og familieliv sitt hjem og sin kommunikasjon via

00:00:47.200 --> 00:00:58.000
personvern Mens personopplysningsvern er noe mere spesifikt Den skal beskytte aspekter ved

00:00:58.000 --> 00:01:00.200
informasjon som kan
NOTE

00:01:00.300 --> 00:01:06.300
relateres til fysiske personer Dette kalles ogs? personinformasjon for eksempel forhindre

00:01:06.300 --> 00:01:13.100
urettmessige innsamling og oppbevaring av personinformasjon forhindre urettmessig bruk av denne

00:01:13.100 --> 00:01:22.400
informasjon s?rge for at ogs? informasjon er korrekt s?rge for at de registrerte har innsyn Det vil

00:01:22.400 --> 00:01:32.100
si det kan vi skal vite hvilke opplysninger som lagres og behandles og det er viktig at det er god

00:01:32.100 --> 00:01:39.400
informasjon sikkerhet rundt lagring og behandling av personifikasjon og det er krav om klare roller

00:01:39.400 --> 00:01:47.600
rundt behandling av personinformasjon Dette er bare websiden fra lovdata som viser nettopp

00:01:47.600 --> 00:01:59.200
personopplysningsloven eller en kalles offisielt lov om behandling av personopplysninger det er

00:01:59.200 --> 00:02:00.000
alts? basert p? 
NOTE
Treffsikkerhet: 90% (H?Y)

00:02:00.300 --> 00:02:09.600
gdpr General data protection regulation s? p? norsk heter personvern forordning personvern

00:02:09.600 --> 00:02:17.300
forordningen og fordi det er en forordning s? man kan bare oversettes direkte til norsk fra

00:02:17.300 --> 00:02:28.700
opprinnelige spr?k engelsk i EU trotte personvern forordningen i kraften 25 mai i 2018 mens i Norge og

00:02:28.700 --> 00:02:43.600
resten av E?S i kraft et par m?dneder senere 20.jul 2018 Den sier at brudd p? gdpr personopplysningsloven kan medf?re b?ter p? opptil

00:02:43.600 --> 00:02:54.500
20 millioner euro eller 4% av omsetningen til det foretaket og for store foretak som Facebook eller

00:02:54.500 --> 00:02:59.500
Google s? er 4% prosent av omsetningen betydelig mer enn bare 20 millioner
NOTE
Treffsikkerhet: 89% (H?Y)

00:03:00.200 --> 00:03:09.700
Euro s? strafferammen eller sanksjonsrammen er drakonisk jeg ekstremt h?ye b?ter potensielt

00:03:09.700 --> 00:03:22.800
hvert land har direktiv som i Norge heter datatilsynet jeg nevnte at loven er basert p? gdpr som er

00:03:22.800 --> 00:03:31.500
oversatt til norsk og Den inneholder 99 artikler i denne forelesningen Skal vi spesifikt se p?

00:03:31.500 --> 00:03:37.600
artikkel 5 prinsipper for behandling av personopplysninger artikkel 25 om innebygd personvern

00:03:37.600 --> 00:03:45.600
artikkel 32 om sikkerhet ved behandlingen og artikkel 35 som fokuserer p? vurdering av

00:03:45.600 --> 00:03:48.600
personvernkonsekvenser ogs? kalt DPIA
NOTE
Treffsikkerhet: 89% (H?Y)

00:03:50.000 --> 00:04:00.800
s? sier loven at man kan ha den behandlingsansvarlige kan oppnevne personvernombud og ved betydelig

00:04:00.800 --> 00:04:05.100
behandling av personopplysninger som m? de oppnevne personvernombud
NOTE
Treffsikkerhet: 90% (H?Y)

00:04:08.300 --> 00:04:15.800
s? kan sp?rre seg Hva er det personopplysningsloven egentlig skal beskytte og mange tenker kun at det

00:04:15.800 --> 00:04:23.500
er sikkerheten rundt selve informasjon men det er alts? ikke bare En krenkelse av personvern kan

00:04:23.500 --> 00:04:29.700
skje selv om selve sikkerheten og s? konfidensialitet integritet og tilgjengelighet er godt

00:04:29.700 --> 00:04:43.700
ivaretatt hvis for eksempel informasjon om personer er feil og hvis man ikke har f?tt samtykke Den

00:04:43.700 --> 00:04:49.200
som behandler personopplysninger ikke har innhentet samtykke fra de registrerte s? alts?

00:04:49.200 --> 00:05:02.700
personopplysningsvern er mye mer enn bare informasjonsikkerhet. Og s?nn risikopolitisk

00:05:02.700 --> 00:05:07.600
risiko politikk som vi snakket med i forrige forelesning 
NOTE
Treffsikkerhet: 91% (H?Y)

00:05:08.300 --> 00:05:18.400
s? er det en grunn til at man har personopplysningsloven fordi brudd p? personvern Det kan medf?re

00:05:18.400 --> 00:05:24.700
personlig belastning u?nsket oppmerksomhet forskjellsbehandling og diskriminering identitetstyveri

00:05:24.700 --> 00:05:34.100
og bedrageri rett og slett ?konomisk tap skade p? ditt omd?mme tape fortrolighet for konfidensiell

00:05:34.100 --> 00:05:45.400
informasjon og uautorisert oppheving av pseudonymisering eller anonymiserte data eller andre

00:05:45.400 --> 00:05:53.100
?konomiske og sosiale ulemper S? dette er viktig der en politisk grunn for ? ha

00:05:53.100 --> 00:05:54.900
personopplysningsloven 
NOTE
Treffsikkerhet: 91% (H?Y)

00:05:56.000 --> 00:06:03.900
Hva er alts? en personopplysning Det er veldig mange ting Det kan v?re relatert til din fysiske

00:06:03.900 --> 00:06:12.700
eller din offisielle identitetsnummer sivil status osv kontakt informasjon som adresse epost og s?

00:06:12.700 --> 00:06:20.600
videre finans informasjon inntektsskatt og gjelde og kontoutskrifter aktivitet det Hva du driver med

00:06:20.600 --> 00:06:32.500
hobbyer studier hva du handler hva du s?ker p? og pseudonymiserte opplysninger som eksempel kvinne

00:06:32.500 --> 00:06:40.400
43 ?r liker ? strikke har Sibirkatt og jobber i offentlig etat har to barn hvis dette er for eksempel i En

00:06:40.400 --> 00:06:50.000
liten kommune som vil kanskje de fleste kunne gjette med en gang Hvem Dette er s? pseudonymisert

00:06:50.000 --> 00:06:54.600
opplysninger kan gj?res til identifiserbare opplysninger 
NOTE
Treffsikkerhet: 91% (H?Y)

00:06:56.000 --> 00:07:09.000
det skal man v?re klar over kommunikasjonsteknologi personvern adresse ip-adresse SMS s? videre Det

00:07:09.000 --> 00:07:17.700
er personopplysninger og til slutt s?rlige kategorier helseopplysninger fagforeningsmedlemskap hva

00:07:17.700 --> 00:07:26.400
man mener politisk Hvilken religion man har seksuell orientering osv Det er s?rskilte kategorier som

00:07:26.400 --> 00:07:40.700
har spesiell behandling i gdpr over til artikkel 5 og den er en god oversikt over hva dette dreier

00:07:40.700 --> 00:07:46.600
seg om det sier bare at personopplysninger skal behandles med lovelighet rettferdighet og ?penhet

00:07:46.600 --> 00:07:55.800
noks? vagt men likevel punkt B form?lsbegrensning Det er veldig konkret og det sier 
NOTE
Treffsikkerhet: 92% (H?Y)

00:07:56.000 --> 00:08:07.200
at man skal kunne samle inn ? behandle personopplysninger for spesifikke form?l og ikke mer Og da g?r man inn p? punkt

00:08:07.200 --> 00:08:14.200
C skal alts? minimere innsamling og behandling av data til form?let til det som er n?dvendig for

00:08:14.200 --> 00:08:22.000
form?let det man samler inn og behandler og naturligvis v?re riktig Man skal ikke lagre

00:08:22.000 --> 00:08:29.800
personopplysninger lengre enn n?dvendig for form?let og til slutt F s? m? personopplysninger

00:08:29.800 --> 00:08:37.100
lagres og behandles med informasjonssikkerhet for ? sikre konfidensialitet og det er den behandlingsansvarlige som har

00:08:37.100 --> 00:08:47.000
ansvaret for alle disse ting n? over til artikkel 25 som fokuserer p? s?kalt innebygd personvern

00:08:47.000 --> 00:08:55.800
og personvern som standard innstilling s? begrepet innebygd personvern kan v?re virke litt vagt 
NOTE
Treffsikkerhet: 92% (H?Y)

00:08:55.900 --> 00:09:11.200
men det betyr generelt at man skal ta hensyn til prinsippene fra artikkel 5 alts? hovedprinsippene i gdpr for all

00:09:11.200 --> 00:09:22.100
planlegging design implementering forvaltning drift av Systemer som behandler personopplysninger da

00:09:22.100 --> 00:09:31.500
er det innebygd og standard innstilling det betyr at hvis det er frihet til ? konfigurere systemer

00:09:31.500 --> 00:09:38.700
s? skal standardkonfigurasjonen i utgangspunktet v?re s? konservativ som mulig DVS den skal samle

00:09:38.700 --> 00:09:49.000
inn minst mulig informasjon for n?dvendig form?l men det kan da endres ved samtykke av de registrerte for

00:09:49.000 --> 00:09:55.900
eksempel men standardinnstillingen skal v?re s? begrenset og konservativ som mulig over til
NOTE
Treffsikkerhet: 91% (H?Y)

00:09:55.900 --> 00:10:04.500
til 32 sikkerhet ved behandlingen Det er det vi tenker p? ved informasjonsikkerhet  der st?r det for at det skal

00:10:04.500 --> 00:10:12.400
gjennomf?res egnede tekniske og organisatoriske tiltak for ? oppn? et sikkerhetsniv? som er egnet i

00:10:12.400 --> 00:10:23.300
forhold til risiko Dette er helt klart en tradisjonell risikobasert informasjonsikkerhet og da kan man si man

00:10:23.300 --> 00:10:28.900
skal for eksempel pseudonymiserte kryptere person opplysninger han skal s?rge for vedvarende

00:10:28.900 --> 00:10:34.400
fortrolighet det er da konfidensialitet integritet og tilgjengelighet og robusthet i

00:10:34.400 --> 00:10:43.100
behandlingssystemet og tjenestene og evne til ? gjenopprette hvis det skjer noe feil og man skal

00:10:43.100 --> 00:10:52.300
teste ? analysere hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er s? man

00:10:52.300 --> 00:10:55.800
skal vurdere risikoen og egnetheten av sikkerhetstiltak
NOTE
Treffsikkerhet: 91% (H?Y)

00:10:55.900 --> 00:11:05.600
Dette er tradisjonell informasjon sikkert S? over til artikkel 35 som fokuserer p? vurdering av

00:11:05.600 --> 00:11:13.800
personvernkonsekvenser eller p? engelsk data protection Impact assessment s? da sier de i

00:11:13.800 --> 00:11:22.300
tilfelle behandlingen vil medf?re s?kalt h?y risiko for fysiske personers personvernsrettigheter og

00:11:22.300 --> 00:11:31.000
friheter da skal den behandlingsansvarlige foreta en vurdering av Hvilke konsekvenser den planlagte

00:11:31.000 --> 00:11:39.700
behandlingen vil ha for personopplysningsvernet dette betyr ? foreta en DPIA  s? den

00:11:39.700 --> 00:11:47.700
behandlingsansvarlige skal r?df?re seg med personvern ombudet er som jo er ansatt i foretaket til

00:11:47.700 --> 00:11:54.800
som er den behandlingsansvarlige for gjennomf?ring av DPIA og 
NOTE
Treffsikkerhet: 93% (H?Y)

00:11:55.900 --> 00:12:03.700
er ikke alltid Man m? gjennomf?re en dpia det er kun hvis man ser det er en betydelig risiko men

00:12:03.700 --> 00:12:09.800
det er spesielle tilfeller hvor man m? gjennomf?re DPIA og det er hvis det er en systematisk og

00:12:09.800 --> 00:12:16.700
omfattende behandling av persondata hvis det behandles s?rlige kategorier det var de kategoriene jeg nevnte

00:12:16.700 --> 00:12:25.700
s?rlige kategorier spesielt sensitive kategorier  eller punkt C Hvis det er systematisk overv?kning i

00:12:25.700 --> 00:12:35.300
stor skala av et offentlig omr?de alts? kamera da Skal gjennomf?res DPIA det er mange roller i

00:12:35.300 --> 00:12:50.600
forbindelse med gdpr og her er hovedrollene alts? Den registrerte Det er personvern, deg og meg personpopplysninger om oss

00:12:50.600 --> 00:12:55.200
blir alts? samlet inn av den behandlingsansvarlige 
NOTE
Treffsikkerhet: 90% (H?Y)

00:12:55.900 --> 00:13:07.700
som heter data controller p? engelsk men den behandlingsansvarlige kan alts? outsorce handlingen selve

00:13:07.700 --> 00:13:16.900
behandlingen til en underleverand?r som da heter databehandlere engelsk data processor for at det

00:13:16.900 --> 00:13:26.700
skal kunne skje s? m? den behandlingsansvarlige og databehandleren sette opp en databehandleravtale som

00:13:26.700 --> 00:13:33.300
setter rammer og ansvar og forpliktelser for utvekslingen og behandlingen av personopplysningene og

00:13:33.300 --> 00:13:46.300
det kan v?re et personvernombud som er ansatt hos den behandlingsansvarlige men som ogs? kan v?re

00:13:46.300 --> 00:13:54.700
ansatt hos databehandleren Personvernombudet skal gi r?d om behandlingen av personopplysninger 
NOTE
Treffsikkerhet: 91% (H?Y)

00:13:55.900 --> 00:14:06.300
enten det er til den behandlingsansvarlige eller r?d til databehandler ?verst i dette diagrammet s? st?r

00:14:06.300 --> 00:14:13.700
datatilsynet som er det norske data protection authority deres rolle er ? foreta tilsyn hos

00:14:13.700 --> 00:14:24.800
behandlingsansvarlige eller databehandlerorganisasjoner og hvis de finner klare brudd p?

00:14:24.800 --> 00:14:38.300
personopplysningsloven s? kan de gi b?ter dette er alts? hovedrollene i gdpr tilbake til personvernombudet

00:14:38.300 --> 00:14:46.300
gir r?d til den behandlingsansvarlige eller til databehandleren om forpliktelser som

00:14:46.300 --> 00:14:55.700
virksomheten har etter personvernloven  s? alle virksomheter kan ha personvernombud man skal ha person 
NOTE
Treffsikkerhet: 89% (H?Y)

00:14:55.900 --> 00:15:04.400
vernombud n?r behandlingen utf?res av en offentlig myndighet s? kommuner og stat som behandler persondata  skal

00:15:04.400 --> 00:15:13.200
ha personvernombud hvis databehandlingen har en art eller omfang eller form?l som krever regelmessig og

00:15:13.200 --> 00:15:29.200
systematisk monitorering i stor skala eller hvis foretaket som behandler informasjon deres

00:15:29.200 --> 00:15:40.600
hovedvirksomhet faktisk er ? behandle personinformasjon i stor skala av s?rlige kategorier i henhold til denne

00:15:40.600 --> 00:15:47.400
artikkel om sensitive opplysninger eller opplysninger knyttet til straffedommer da skal de ha

00:15:47.400 --> 00:15:55.800
personvernombud S? over til det med innebygd personvern og som han kaller deg inn 
NOTE
Treffsikkerhet: 89% (H?Y)

00:15:55.800 --> 00:16:14.700
bygd informasjonsikkerhet som Da er paragraf paragraf 25 i gdpr eller personopplysningsloven og der

00:16:14.700 --> 00:16:27.600
har datatilsynet gitt ut en veileder for hva det betyr ? s?rge for innebygd personvern som de kaller

00:16:27.600 --> 00:16:40.200
det programvareutvikling med innebygd personvern som har da 7 elementer i seg som  vi raskt skal gjennomg?

00:16:40.200 --> 00:16:49.300
Det er det viktig at de ansatte har kompetanse s? hvis n?dvendig s? m? man s?rge for oppl?ring i

00:16:49.300 --> 00:16:51.300
personvern og informasjonssikkerhet 
NOTE
Treffsikkerhet: 91% (H?Y)

00:16:52.500 --> 00:16:59.600
s? m?let er alts? at de ber?rte ansatte som jobber med dette De skal ha basiskunnskap forst?else for

00:16:59.600 --> 00:17:11.200
personvern informasjonssikkerhet og risikoen for dette S? man m? vite hvorfor personvern og informasjonssikkerhet av viktig og at man

00:17:11.200 --> 00:17:24.200
har kriterier for personvern og hvordan man skal implementere  innebygd personvern og kriterier

00:17:24.200 --> 00:17:35.400
for hva som er n?dvendig kompetanse s? neste punkt n?r man spesifiserer nye l?sninger s? skal man sette

00:17:35.400 --> 00:17:43.200
krav til systemet og til behandlingen da m? man klart definere Hvilke personopplysninger som skal samles inn

00:17:43.200 --> 00:17:50.300
og behandles Hva skal man bruke det til DVS Hvilke slutninger som skal man trekke om individer for

00:17:50.300 --> 00:17:50.700
eksempel 
NOTE
Treffsikkerhet: 89% (H?Y)

00:17:52.500 --> 00:18:00.700
Hvem er brukere og eiere av personliginformasjon alts? det er databehandleren som fors?vidt

00:18:00.700 --> 00:18:10.800
eier informasjon for de samler inn i men den personinformasjonen er ogs? om de registrerte s? og hvem

00:18:10.800 --> 00:18:18.700
skal bruke informasjonen det kan v?re databehandleren eller det kan v?re ogs? tredjeparter hvis man f?r samtykke

00:18:18.700 --> 00:18:26.800
s? kan man ogs? sende personopplysninger videre til tredjepart man m? klart definere hvem som

00:18:26.800 --> 00:18:35.800
er den behandlingsansvarlige og databehandler og disse to rollene kan faktisk blandes og En

00:18:35.800 --> 00:18:42.300
skyleverand?r som i utgangspunktet skal v?re en databehandler kan defineres ogs? som en

00:18:42.300 --> 00:18:51.800
behandlingsansvarlig hvis de har sine egne form?l for behandlingen av informasjonen Da skal de

00:18:51.800 --> 00:18:52.400
definere klart
NOTE
Treffsikkerhet: 89% (H?Y)

00:18:52.500 --> 00:19:00.500
hvem som er tredjeparts mottakere av personlig informasjon Man skal definere Hvilke opplysninger som

00:19:00.500 --> 00:19:08.100
har skal samle inn Hvor mye og hvor lenge det skal lagres og hvem som skal ha tilgang Man skal s?rge for

00:19:08.100 --> 00:19:16.800
?pnet til de registrerte og man skal s?rge for ? implementere adekvat informasjonsikkerhet

00:19:16.800 --> 00:19:28.000
adekvat sikkerhetstiltak for beskyttelse av personopplysninger s? n?r man designer informasjonssikkerheten s?

00:19:28.000 --> 00:19:35.900
m? man s?rge for ? bygge systemet slik at man samler inn minde opplysninger enn n?dvendig eller s? lite som

00:19:35.900 --> 00:19:46.700
n?dvendig mente jeg  for eksempel hvis man leger en webside hvor brukere skal registrere seg s? er det ikke Fritt

00:19:46.700 --> 00:19:51.500
Fram ? bare samling men s? mye som mulig da Skal man tenke gjennom Hva trenger vi 
NOTE
Treffsikkerhet: 91% (H?Y)

00:19:52.400 --> 00:20:01.700
virkelig og be om av opplysninger og n?r informasjonen skal produseres s? kan man bygge applikasjoner og

00:20:01.700 --> 00:20:14.300
programmoduler som henter inn fra lagret personopplysninger alt som kanskje lagret selv om

00:20:14.300 --> 00:20:21.300
det Kanskje prosesseringen kun trenger en liten del av dette og det vil v?re feil s? m? s?rge for ?

00:20:21.300 --> 00:20:31.400
minimere av innhenting av personopplysninger for selve prosesseringen og om mulig s? skal man s?rge

00:20:31.400 --> 00:20:38.500
for at de forskjellige prosessene kun ser et utvalg av personopplysningene s? separere behandlingen

00:20:38.500 --> 00:20:46.300
slik at ikke all behandlingen behandler alle formasjon samtidig og personvern som standard

00:20:46.300 --> 00:20:50.100
innstilling DVS konfigureringen skal v?re konservativ som standard 
NOTE
Treffsikkerhet: 92% (H?Y)

00:20:52.800 --> 00:21:08.100
S? dette er designkrav og videre n?r man designer systemet, dette er tradisjonell informasjonssikkerhet s? skal man se p? angrepsflaten og se p? mulige trussler og gj?re en

00:21:08.100 --> 00:21:18.100
trusselmodelleringvurdere trusselscenario Og s?rge for ? implementere adekvate sikkerhetstiltak i

00:21:18.100 --> 00:21:27.300
henhold til de truslene og den risiko og man ser alts? sikkerhetsrisiko dette er tradisjonell design

00:21:27.300 --> 00:21:43.900
sikker design og implementering av systemer og n?r man koder systemet s? er det Ogs? prinsipper for sikker koding hva skal man n?r man

00:21:43.900 --> 00:21:52.800
implementere biblioteker og s? videre s? skal man vurdere trussel trusler og s?rbarheter for 
NOTE
Treffsikkerhet: 89% (H?Y)

00:21:52.800 --> 00:22:01.400
nettopp bibliotekene og de modellene som henter inn og bruker og implementere og vurdere s?rbarheter og

00:22:01.400 --> 00:22:17.500
angrepsflater I selve programmet du lager Og der er det applikasjonsikkerhet som gjelder alts? sikkerhet p? applikasjonsniv? det betyr alts? for ? hundre SQL injections og

00:22:17.500 --> 00:22:25.800
cross side scripting alle disse tingene og s?rge for at typiske s?rbarheter er fjernet eller redusert i

00:22:25.800 --> 00:22:37.200
tilstrekkelig grad ogs? er det testing av systemene man har implementert s? skal man teste om man har virkelig

00:22:37.200 --> 00:22:52.000
tatt hensyn til mulige trusler og fjernet s?rbarheter S? dette er da for eksempel ? (inadible) testing gjennomgang av mulige trusselscenarioer og se om det g?r ann ? gjennomf?re et trusselscenario
NOT
Treffsikkerhet: 89% (H?Y)

00:22:56.300 --> 00:23:04.000
Ja dette var litt av det jeg nevnte nettopp verifisere at de trusselscenarioene som han beskrev i

00:23:04.000 --> 00:23:12.800
designfasen virkelig er h?ndtert og n?r man koder s? kan det hende man har innf?rt nye s?rbarheter Og

00:23:12.800 --> 00:23:23.400
da kan du v?re en ny trusselscenarioer og man m? revurdere mulige nye trusselscenarioer og om de er tilstrekkelig

00:23:23.400 --> 00:23:36.100
forhindret med sikkerhetstiltak og n?r systemet er ferdig konstruert som en del av testingen s? kan man revurdere om disse prinsippene for

00:23:36.100 --> 00:23:48.000
begrenset innsamling og begrenset behandling og begrenset lagring Fremdeles er ivaretatt og s? til

00:23:48.000 --> 00:23:55.200
slutt N?r systemet er ferdig testet da kan det settes i produksjon Det vil alltid skje 
NOTE
Treffsikkerhet: 92% (H?Y)

00:23:56.300 --> 00:24:08.700
hendelser s? man m? ha plan for h?ndtering av hendelser som kan oppst? det betyr at man m? ha noen som er

00:24:08.700 --> 00:24:19.900
?remerket til ? h?ndtere hendelser man m? ha kontaktpunkter for n?r noen oppdager en hendelse og man m?

00:24:19.900 --> 00:24:29.500
ha rutiner for ? h?ndtere hendelser patching og evaluering av alvorligheten av hendelser og eventuelt plan

00:24:29.500 --> 00:24:36.600
for varsling i tilfelle det er alvorlige hendelser og varsling til datatilsynet og varsling til presse

00:24:36.600 --> 00:24:56.100
man m? ha planer for alt Og f?r selve produksjonssetningen skjer s? skal man gjennomg? alle trusler
NOTE
Treffsikkerhet: 92% (H?Y)

00:24:56.200 --> 00:25:13.500
og risiko som man har vurdert og vurdere om at har satt p? plass adekvat h?ndtering av hendelser og alt det der og til slutt s? vil systemet da blir

00:25:13.500 --> 00:25:20.600
godkjent av p? fra ledelsesniv? for produksjonssetting ogs? Det m? v?re dokumentert at systemet er

00:25:20.600 --> 00:25:26.800
godkjent og at det kan settes i produksjon og all dokumentasjonen fra av risikovurderingen

00:25:26.800 --> 00:25:37.000
trusselvurderingen og analysen og vurdering av personvernkonsekvenser skal arkiveres hvis det blir

00:25:37.000 --> 00:25:50.000
tilsyn eller man f?r et bes?k av datatilsynet eller fra revisor s? er dokumentasjonen kjempe viktig

00:25:50.000 --> 00:25:55.600
og n?dvendig ? ha s? n?r 
NOTE
Treffsikkerhet: 93% (H?Y)

00:25:56.200 --> 00:26:11.300
systemet er i drift og det skjer hendelser S? m? man da kunne ha god hendelsesh?ndtering etter planen respons skal fungere p? en god

00:26:11.300 --> 00:26:19.400
m?te og skal kunne h?ndtere vanlige situasjoner og hvis det skjer i alvorlige situasjoner s? ska? man kunne

00:26:19.400 --> 00:26:29.900
skalere og eventuelt f? st?tte fra eksterne akt?rer eller sikkerhetskonsulenter Og dette gj?r seg

00:26:29.900 --> 00:26:37.000
ikke selv for at dette virkelig skal fungere godt n?r hendelsen skjer s? m? man ?ve

00:26:37.000 --> 00:26:50.000
s? ?velse er viktig for ? s?rge for god h?ndtering av sikkerhet og programvaren det m? jo

00:26:50.000 --> 00:26:54.500
vedlikeholdes som all programvare man m? patche
NOTE
Treffsikkerhet: 75% (MEDIUM)

00:26:56.200 --> 00:27:00.400
opprette og oppdatere nye versjoner 
NOTE
Treffsikkerhet: 90% (H?Y)

00:27:02.000 --> 00:27:08.900
for at man skal kunne ivareta og sikkerhet og personvern hele tiden for det vil alltid ? oppdages nye

00:27:08.900 --> 00:27:18.300
s?rbarheter hele tiden og dette er jo egentlig en del av ? ha et styringssystem for informasjonssikkerhet og

00:27:18.300 --> 00:27:29.000
styringssystem for personvern som gjerne kalles internkontroll som er det store bildet for styring

00:27:29.000 --> 00:27:38.300
av informasjonssikkerhet og styring av personvern i bedrifter og foretak s? dette var alt jeg hadde

00:27:38.300 --> 00:27:47.300
? si i denne forelesningen og lemker til veilederen fra datatilsynet er her