WEBVTT Kind: captions; language: nb-no NOTE Treffsikkerhet: 90% (H?Y) 00:00:00.000 --> 00:00:10.700 Velkommen til 3. forelesning hjemme igjen 58 sikkerhets og risikostyring denne f?rste delen l3 av 00:00:10.700 --> 00:00:21.400 ser p? personopplysning slaven og innebygd personvern neste del B fokuserer p? vurdering av 00:00:21.400 --> 00:00:31.700 personvernkonsekvenser ogs? kalt dpi Ja data protection Impact assessment generelt kan man si at 00:00:31.700 --> 00:00:40.400 personvernet er noe mer enn bare skikkelig av informasjon i grunnlovens paragraf 110 st?r det at 00:00:40.400 --> 00:00:47.300 enhver har rett til respekt for sitt privatliv og familieliv sitt hjem og sin kommunikasjon med er 00:00:47.300 --> 00:00:58.000 personvern mens personopplysning Svein er noe mere spesifikt Jeg skal beskytte aspekter ved 00:00:58.000 --> 00:01:00.250 informasjon som kan drella NOTE Treffsikkerhet: 91% (H?Y) 00:01:00.250 --> 00:01:06.900 deres til fysiske personer Dette kalles ogs? personinformasjon for eksempel forhindre urettmessig 00:01:06.900 --> 00:01:14.700 innsamling og oppbevaring av personinformasjon forhindre urettmessig bruk av denne inflasjon s?rge 00:01:14.700 --> 00:01:23.300 for at personen i pensjon er korrekt s?rge for at de registrerte har innsiden Det vil si det kan vi 00:01:23.300 --> 00:01:32.100 skal vite hvilke opplysninger som lagres og behandles og det er viktig at det er god 00:01:32.100 --> 00:01:38.800 informasjonssikkerhet rundt lagring og behandling av personlig formasjon og det er krav om klare 00:01:38.800 --> 00:01:47.600 roller rundt behandling av personinformasjon dette er bare websiden fra lovdata som viser nettopp 00:01:47.600 --> 00:01:59.200 personopplysningsloven eller en kalles offisielt lov om behandling av personopplysninger det er 00:01:59.200 --> 00:02:00.150 alts? basert p? NOTE Treffsikkerhet: 92% (H?Y) 00:02:00.150 --> 00:02:07.400 gdpr General data protection regulation s? p? norsk heter personvernforordning 00:02:07.400 --> 00:02:16.300 personvernforordningen og fordi det er en forordning som man kan bare oversettes direkte til norsk 00:02:16.300 --> 00:02:29.000 fra opprinnelig spr?k engelsk eu28 personvernforordningen i kraft 1 25 i 2018 mens i Norge og resten 00:02:29.000 --> 00:02:45.000 av E?S i kraft Den sier at brudd p? gdpr personopplysning slaven kan medf?re b?ter p? opptil 20 00:02:45.000 --> 00:02:54.000 millioner euro eller 4 prosent av omsetningen til det foretaket og for store foretak som Facebook 00:02:54.000 --> 00:02:59.850 eller Google s? er 20 prosent av omsetningen betydelig mer enn bare 20 NOTE Treffsikkerhet: 89% (H?Y) 00:02:59.850 --> 00:03:09.700 Euro s? strafferammen ved eller funksjonshemmet er drakonisk jeg ekstremt h?ye b?ter potensielt 00:03:09.700 --> 00:03:22.800 hvert land har et viktig som i Norge heter datatilsynet enn antatt Loven er basert p? gdpr som er 00:03:22.800 --> 00:03:31.500 oversatt til norsk og Den inneholder 79 artikler i denne forelesningen Skal vi spesifikt se p? 00:03:31.500 --> 00:03:37.600 artikkel 5 prinsipper for behandling av personopplysninger artikkel 25 og innebygd personvern 00:03:37.600 --> 00:03:45.600 artikkel 32 om sikkerhet ved behandlingen og artikkel 35 som fokuserer p? vurdering av 00:03:45.600 --> 00:03:49.300 personvernkonsekvenser ogs? kalt det Pia NOTE Treffsikkerhet: 86% (H?Y) 00:03:49.300 --> 00:04:00.800 s? sier loven at man kan ha den behandlingsansvarlige kan oppn? personvernombud og ved betydelig 00:04:00.800 --> 00:04:06.600 behandling av personopplysninger som m? de oppgavene personvernombud NOTE Treffsikkerhet: 89% (H?Y) 00:04:07.300 --> 00:04:15.800 S? kan sp?rre seg Hva er det personopplysning Sl? den egentlig skal sitte og mange tenker kun at det 00:04:15.800 --> 00:04:23.500 er sikkerheten rundt selve informasjonen men det er alts? ikke bare en krenkelse av personvern kan 00:04:23.500 --> 00:04:29.700 skje selv om selve sikkerheten og s? konfidensialitet integritet og tilgjengelighet er godt 00:04:29.700 --> 00:04:43.700 ivaretatt hvis for eksempel informasjonen om personer er feil og hvis man ikke har f?tt samtykke men 00:04:43.700 --> 00:04:50.300 som behandler personopplysning med i Karina kan samtykke fra de registrerte s? s? personopplysning 00:04:50.300 --> 00:05:06.000 s?ren er i mer enn bare informasjonssikkerhet og sikkerhetspolitikk og politisk risiko politikk som 00:05:06.000 --> 00:05:07.950 vi snakket med i fare forelesning NOTE Treffsikkerhet: 91% (H?Y) 00:05:07.950 --> 00:05:18.400 s? er det en grunn til at man har personopplysning loven fordi brudd p? personvern Det kan medf?re 00:05:18.400 --> 00:05:24.700 personlig belastning u?nsket oppmerksomhet forskjellsbehandling og diskriminering identitetstyveri 00:05:24.700 --> 00:05:34.100 og bedrageri rett og slett ?konomisk tap skade p? ditt omd?mme tapet fortrolighet for konfidensiell 00:05:34.100 --> 00:05:45.400 informasjon og autorisert opp heving av pseudonymisering eller anonymiserte data eller andre 00:05:45.400 --> 00:05:54.500 ?konomiske og sosiale ulemper S? dette er viktig Det er en politisk grunn for ? ha personopplysning 00:05:54.500 --> 00:05:55.450 sl?en NOTE Treffsikkerhet: 92% (H?Y) 00:05:55.450 --> 00:06:03.900 Hva er alts? en personopplysning Det er veldig mange ting Det kan v?re relatert til din fysiske 00:06:03.900 --> 00:06:12.900 Eller de offisielle identitetsnummer sivil status osv kontaktinformasjon som adresse e-post osv 00:06:12.900 --> 00:06:22.100 finans informasjon inntektsskatt og jeg la kontoutskrifter aktivitet det Hva du driver med hobbyer 00:06:22.100 --> 00:06:33.200 studier hva du handler hva du s?ker p? og pseudonymiserte opplysninger som eksempel kvinne 43 ?r 00:06:33.200 --> 00:06:40.800 liker ? strikke har Sibirkatt og jobber i offentlig etat har to barn hvis det for eksempel En liten 00:06:40.800 --> 00:06:50.700 kommune som vil kanskje de fleste kunne gjette en gang Hvem Dette er s? pseudonymisert opplysninger 00:06:50.700 --> 00:06:55.300 kan gj?res til identifiserbare opplysninger NOTE Treffsikkerhet: 91% (H?Y) 00:06:55.300 --> 00:07:07.100 det skal man v?re klar over kommunikasjonsteknologi inflasjon mac-adresse ip-adresse SMS s? videre 00:07:07.100 --> 00:07:15.000 Det er personopplysninger og til slutt s?rlige kategorier helseopplysninger fagforeningsmedlemskap 00:07:15.000 --> 00:07:26.200 hva man mener politisk Hvilken religion man har seksuell orientering osv Det er s?rskilte kategorier 00:07:26.200 --> 00:07:40.200 som har spesiell behandling i gdpr over til artikkel 5 og den er en god oversikt over hva dette 00:07:40.200 --> 00:07:46.000 dreier seg om det sier bare at personopplysninger skal behandles med leilighet rettferdighet og 00:07:46.000 --> 00:07:55.900 ?penhet Og s? var men likevel punkt B form?lsbegrensning Det er veldig konkret og det er NOTE Treffsikkerhet: 90% (H?Y) 00:07:55.900 --> 00:08:07.200 at man skal kunne samle inn ? behandle for spesifikke form?l og ikke mer Og da g?r man inn p? punkt 00:08:07.200 --> 00:08:13.700 Se n? skal alts? ? minimere innsamling og behandling av data til form?let til det som er n?dvendig 00:08:13.700 --> 00:08:22.000 for form?let det man samler inn og behandler og naturligvis v?re riktig Emma skal ikke lagre 00:08:22.000 --> 00:08:29.800 personopplysning lengre enn n?dvendig for form?let og til slutt punktum Og s?nn opplysninger m? 00:08:29.800 --> 00:08:37.100 lagres og behandles med i for ? sikre konfidensialitet og det er den behandlingsansvarlige som har 00:08:37.100 --> 00:08:48.700 ansvaret for alle disse ting n? over til artikkel 25 som fokuserer p? s?kalt innebygd personvern der 00:08:48.700 --> 00:08:55.849 som standard innstilling s? grepet innebygd personvern kan v?re virke litt rart NOTE Treffsikkerhet: 92% (H?Y) 00:08:55.849 --> 00:09:11.200 men det betyr generelt at man skal ta hensyn til prinsippene fra artikkel 15 er gdpr for all 00:09:11.200 --> 00:09:23.000 planlegging design implementering forvaltning drift av Systemer personopplysning da er det innebygd 00:09:23.000 --> 00:09:32.500 og standard innstilling Det betyr at hvis det er frihet til ? konfigurere Systemer s? skal 00:09:32.500 --> 00:09:39.700 standardkonfigurasjonen i utgangspunktet v?re s? konservativ som mulig DVS den skal samle inn minst 00:09:39.700 --> 00:09:49.300 mulig informasjon for n?dvendig form?l men det kan da endre samtykke av de registrerte for eksempel 00:09:49.300 --> 00:09:55.900 men standardinnstillingen skal v?re s? begrenset og konservativ som mulig og returrett NOTE Treffsikkerhet: 91% (H?Y) 00:09:55.900 --> 00:10:04.200 til 32 sikkerhet ved behandlingen Det er det vi tenker p? ved informasjonssikkerhet s? st?r det at 00:10:04.200 --> 00:10:10.600 det skal gjennomf?res egnede tekniske og organisatoriske tiltak for ? oppn? et sikkerhetsniv? som er 00:10:10.600 --> 00:10:23.000 egnet i forhold til risiko Dette er helt klart en risikobasert informasjonssikkerhet og da kan man 00:10:23.000 --> 00:10:28.900 si man skal for eksempel pseudonymiserte kryptere personopplysninger han skal s?rge for vedvarende 00:10:28.900 --> 00:10:34.400 fortrolighet det er da konfidensialitet integritet og tilgjengelighet og robusthet i 00:10:34.400 --> 00:10:43.100 behandlingssystemet og tjenestene og evne til ? gjenopprette hvis det skjer noe feil og man skal 00:10:43.100 --> 00:10:52.300 teste ? analysere hvor effektive behandlingen tekniske og organisatoriske sikkerhetstiltak er s? man 00:10:52.300 --> 00:10:55.849 skal vurdere risikoen og egnetheten av si NOTE Treffsikkerhet: 92% (H?Y) 00:10:55.849 --> 00:11:05.600 Dette er tradisjonell informasjonssikkerhet S? over til artikkel 35 som fokuserer p? vurdering av 00:11:05.600 --> 00:11:13.800 personvernkonsekvenser eller p? engelsk dette er protection Impact assessment s? da sier de i 00:11:13.800 --> 00:11:22.300 tilfelle behandlingen vil medf?re s?kalt h?y risiko for fysiske personer personvern rettigheter og 00:11:22.300 --> 00:11:31.000 friheter da skal den behandlingsansvarlige foreta en vurdering av Hvilke konsekvenser og planlagte 00:11:31.000 --> 00:11:39.700 behandlingen vil ha for personopplysning svarene dette betyr ? foreta ogs? mvpi ja s? den 00:11:39.700 --> 00:11:47.700 behandlingsansvarlige skal r?df?re seg med personvernombudet ved som jo er ansatt i foretaket til 00:11:47.700 --> 00:11:55.349 som er den Alex ansvarlig for gjennomf?ring av dette I am og NOTE Treffsikkerhet: 93% (H?Y) 00:11:55.349 --> 00:12:03.700 er ikke alltid Man m? gjennomf?re en dpi Ja det er kun hvis man ser det er en betydelig risiko men 00:12:03.700 --> 00:12:09.800 det er spesielle tilfeller hvor man m? gjennomf?re dette Ja og det er visst en systematisk og 00:12:09.800 --> 00:12:16.700 omfattende behandling av Trond data hvis det behandles s?rlige kategori det var de kategoriene 00:12:16.700 --> 00:12:25.700 etappe s?rlige kategorier specific spesielt sensitive punktum Hvis det er systematisk overv?kning i 00:12:25.700 --> 00:12:35.300 stor skala av et offentlig omr?de avsatt kamera da Skal gjennomf?res en del av det er mange roller i 00:12:35.300 --> 00:12:51.100 forbindelse med gdpr og her er hovedrollen ogs? Den registrerte Det er personopplysning Ramos blir 00:12:51.100 --> 00:12:55.550 alts? samlet inn av den behandlingsansvarlige NOTE Treffsikkerhet: 90% (H?Y) 00:12:55.550 --> 00:13:07.700 som heter beta controller p? engelsk men den behandlingsansvarlige kan alts? se hva handlingen selve 00:13:07.700 --> 00:13:16.900 behandlingen til en underleverand?r som da heter databehandlere engelsk data processor for at det 00:13:16.900 --> 00:13:26.700 skal kunne skje s? den behandlingsansvarlige og databehandleren sette opp en databehandleravtale som 00:13:26.700 --> 00:13:33.300 setter rammer og ansvar og forpliktelser for utviklingen og behandlingen av personopplysningene og 00:13:33.300 --> 00:13:46.300 det kan v?re en personvernombud som er ansatt hos den behandlingsansvarlige men som ogs? kan v?re 00:13:46.300 --> 00:13:55.300 ansatt hos databehandleren er noe du skal gi r?d om behandlingen av personopplysninger NOTE Treffsikkerhet: 91% (H?Y) 00:13:55.300 --> 00:14:06.300 til den behandlingsansvarlige eller r?d til databehandler ?verst i dette diagrammet s? st?r 00:14:06.300 --> 00:14:13.700 datatilsynet som er det norske data protection authority deres rolle er ? foreta tilsyn hos 00:14:13.700 --> 00:14:24.800 meldingsansvarlig eller databehandler organisasjoner og hvis du finner klare brudd p? 00:14:24.800 --> 00:14:37.600 personopplysningsloven s? kan de gi b?ter dette er alts? hovedrollene i gdpr tilbake til 00:14:37.600 --> 00:14:45.600 personvernombudet gir r?d til den behandlingsansvarlige eller til databehandleren om forpliktelser 00:14:45.600 --> 00:14:55.300 som virksomheten har etter personvernloven s? alle virksomheter kan ha personvernombud man skal ha 00:14:55.300 --> 00:14:55.800 pass NOTE Treffsikkerhet: 91% (H?Y) 00:14:55.800 --> 00:15:03.400 verneombud for behandlingen utf?res av en offentlig myndighet for kommuner og stat behandle data 00:15:03.400 --> 00:15:12.300 skal ha personvern hvis databehandlingen har en art til og omfang eller form?l som krever 00:15:12.300 --> 00:15:27.800 regelmessig og systematisk manipulering i stor skala eller hvis foretaket som behandler informasjon 00:15:27.800 --> 00:15:37.600 deres hovedvirksomhet faktisk er ? behandle personinformasjon i stor skala av s?rlige kategorier i 00:15:37.600 --> 00:15:46.600 henhold til en artikkel om sensitive opplysninger eller opplysninger knyttet til straffedommer da 00:15:46.600 --> 00:15:55.800 skal vi ha personvernombud s? over til det med innebygd personvern og som han kaller deg inn NOTE Treffsikkerhet: 90% (H?Y) 00:15:55.800 --> 00:16:12.300 bygde informasjonssikkerhet som Da er paragraf paragraf 25 i gdpr eller personopplysningsloven og 00:16:12.300 --> 00:16:27.400 der har datatilsynet gitt ut en veileder for hva det betyr ? s?rge for innebygd personvern som de 00:16:27.400 --> 00:16:39.700 kaller det programvareutvikling med innebygd personvern som har hatt 7 elementer i seg som skal 00:16:39.700 --> 00:16:48.900 gjennomg? er det viktig at de ansatte har kompetanse s? hvis n?dvendig s? m? man s?rge for oppl?ring 00:16:48.900 --> 00:16:51.900 i personvern og informasjonssikkerhet NOTE Treffsikkerhet: 92% (H?Y) 00:16:51.900 --> 00:16:59.600 s? m?let er alts? at de ber?rte ansatte som jobber med dette De skal ha basiskunnskap forst?else for 00:16:59.600 --> 00:17:11.200 personvern og risikoen for dette m? vite n?r personen og informasjonssikkerhet er viktig og at man 00:17:11.200 --> 00:17:24.200 har kriterier for personvern og hvordan man skriver imitere person innebygd personvern og kriterier 00:17:24.200 --> 00:17:35.400 for hva som er n?dvendig kompetanse s? bestemt n?r man spesifiserer nye l?sninger s? skal man sette 00:17:35.400 --> 00:17:43.200 krav til systemet og tilbake da m? han klart definere Hvilke personopplysninger som skal samles inn 00:17:43.200 --> 00:17:50.300 og behandles Hva skal man bruke det til DVS Hvilke slutninger som skal man trekke om individer for 00:17:50.300 --> 00:17:51.600 eksempel NOTE Treffsikkerhet: 88% (H?Y) 00:17:51.600 --> 00:18:00.900 Hvem er brukere p? eiere av personinformasjon ogs? det er liksom det databehandleren som s? vidt 00:18:00.900 --> 00:18:10.400 eier informasjonen for de samler inn i men den personinformasjon er ogs? om de registrerte s? og 00:18:10.400 --> 00:18:18.700 hvem skal bruke Dersom det kan v?re databehandleren eller man det kan v?re ogs? hvis man f?r sagt 00:18:18.700 --> 00:18:27.000 ikke s? kan man ogs? sende personopplysning er videre til tredjepart var klart definere hvem som er 00:18:27.000 --> 00:18:35.800 den behandlingsansvarlige databehandler og sett hvor alle kan faktisk blandes og En ensom 00:18:35.800 --> 00:18:42.300 skyleverand?r som i utgangspunktet skal v?re en databehandler kan defineres ogs? som en 00:18:42.300 --> 00:18:51.800 behandlingsansvarlig hvis de har sine egne form?l for behandlingen av invasjon Hva skal dere 00:18:51.800 --> 00:18:52.450 definerer NOTE Treffsikkerhet: 88% (H?Y) 00:18:52.450 --> 00:19:00.600 hvem som er tredjeparts mottakere personinformasjon Hva skal definere Hvilke opplysninger som har 00:19:00.600 --> 00:19:08.200 skal samling Hvor mye og hvor lenge det skal lagres og hvem som skal ha tilgang Hva skal selge f?r 00:19:08.200 --> 00:19:19.600 ?pnet til de registrerte og man skal s?rge for ? implementere adekvat sikkerhetstiltak for 00:19:19.600 --> 00:19:30.200 beskyttelse av personopplysninger sonnemann designer i personsikkerheten som han s?rge for ? bygge 00:19:30.200 --> 00:19:40.400 systemet slik at man samler inn opplysninger eller s? lite som n?dvendig hvis man lager en webside 00:19:40.400 --> 00:19:48.200 hvor bruker jeg skal skrive jeg registrere seg s? er det ikke Fritt Fram ? bare samling men s? mye 00:19:48.200 --> 00:19:51.950 som mulig da Skal man tenke gjennom Hva trenger vi NOTE Treffsikkerhet: 90% (H?Y) 00:19:51.950 --> 00:20:01.700 og be om av opplysninger og n?r De forsvunne skal produseres s? kan man bygge applikasjoner og 00:20:01.700 --> 00:20:14.400 programmet moduler som henter inn av fra lagret personopplysning alt som kanskje lagret selv om det 00:20:14.400 --> 00:20:21.300 Kanskje prosesseringen kun trenger en liten del av dette og Bob vil v?re feil s? m? s?rge for ? 00:20:21.300 --> 00:20:31.400 minimere NAV innhenting av personopplysninger for selve prosesseringen om mulighet s? skal man s?rge 00:20:31.400 --> 00:20:38.500 for at de forskjellige prosessene kun ser et utvalg av personopplysning var s? separere behandlingen 00:20:38.500 --> 00:20:46.800 slik at ikke all behandlingen behandler alle formasjon samtidig og personer som standard innstilling 00:20:46.800 --> 00:20:51.100 DVS konfigureringen skal v?re konservativ som standard NOTE Treffsikkerhet: 92% (H?Y) 00:20:51.800 --> 00:21:08.100 S? dette er design krav og videresender systematisere p? trussel mulighet til ? Vera 00:21:08.100 --> 00:21:18.100 trusselmodellering for dere trusselscenario Og s?rge for ? implementere adekvate sikkerhetstiltak i 00:21:18.100 --> 00:21:27.300 henhold til de truslene av en risiko og man ser s? sikkerhetsrisiko dette er tradisjonell design 00:21:27.300 --> 00:21:43.900 sikrer design og implementering av systemet og n?r man kodesystemet s? er det Ogs? hva skal man 00:21:43.900 --> 00:21:52.800 implementere biblioteker og s? videre s? skal man vurdere trussel trusler og s?rbarheter for NOTE Treffsikkerhet: 89% (H?Y) 00:21:52.800 --> 00:22:01.400 vid bibliotek og de modellene som henter inn og bruker ? implementere og vurdere s?rbarheter og 00:22:01.400 --> 00:22:17.500 plater I selve programmet du lager er det applikasjon sikkerhet som gjelder sikkerhet for oss at 00:22:17.500 --> 00:22:25.800 Skretting alle disse tingene og s?rge for at typiske s?rbarheter er fjernet eller redusert i 00:22:25.800 --> 00:22:37.200 tilstrekkelig grad testing av systemene man har implementert s? skal man teste om man har virkelig 00:22:37.200 --> 00:22:53.000 tatt hensyn til mulige trusler og fjernet s?rbarheter S? dette er eksempel ? gjennomf?re NOTE Treffsikkerhet: 89% (H?Y) 00:22:55.300 --> 00:23:04.000 Ja dette var litt av det jeg mente nettopp vi ser at de Trysil scenariene som han beskrev i 00:23:04.000 --> 00:23:12.800 designfasen virkelig er og nordmann koder s? kan jeg hente maten man har innf?rt nye s?rbarheter Og 00:23:12.800 --> 00:23:23.400 da kan du v?re en ny trussel snarer og mamma revurdere mulige nye trusler og det er tilstrekkelig p? 00:23:23.400 --> 00:23:36.100 hindret med sikkerhetstiltak og n?r systemet er ferdig konstruert revurdere om disse prinsippene for 00:23:36.100 --> 00:23:48.000 begrenset innsamling og begrenset behandling og begrenset lagring Fremdeles er ivaretatt ogs? til 00:23:48.000 --> 00:23:55.750 slutt N?r systemet er ferdig testet da kan det settes i produksjon Jeg vil alltid skje NOTE Treffsikkerhet: 92% (H?Y) 00:23:55.750 --> 00:24:08.700 helse som har plan for h?ndtering av hendelser som kan oppst? det betyr at man m? ha noen som er 00:24:08.700 --> 00:24:19.900 ?remerket til ? h?ndtere renser man m? ha kontaktpunkter for n?r noen oppdager en hendelse og m? man 00:24:19.900 --> 00:24:29.500 ha rutiner for ? h?ndtere hendelser patching og evaluering av alvorligheten av hensyn og teltplasser 00:24:29.500 --> 00:24:36.600 forvarsling i tilfelle er alvorlige hendelser og varsling til datatilsynet og varsling til presset 00:24:36.600 --> 00:24:56.150 om ? ha planer for alt Og f?r selve produksjonen setningen skjer s? skal man gjennomg? alle trusler NOTE Treffsikkerhet: 92% (H?Y) 00:24:56.150 --> 00:25:13.500 vurdere om at har satt p? plass av hendelser og alt det der og til slutt s? vil systemet da blir 00:25:13.500 --> 00:25:20.600 godkjent av p? fra ledelsesniv? for produksjonssetting ogs? Det m? v?re dokumentert at systemet er 00:25:20.600 --> 00:25:26.800 godkjent at det kan settes i produksjon av dokumentasjonen fra av risikovurderingen 00:25:26.800 --> 00:25:37.000 trusselvurderingen og analyse og vurdering av personvernkonsekvenser skal arkiveres hvis det blir 00:25:37.000 --> 00:25:50.000 tilsyn eller man f?r en bes?k av datatilsynet eller fra revisor s? i dokumentasjonen kjempe viktig 00:25:50.000 --> 00:25:55.900 og n?dvendig ? ha s?nn n?r NOTE Treffsikkerhet: 93% (H?Y) 00:25:55.900 --> 00:26:11.300 systemet er i drift og det skjer heller S? da kunne ha etter planen respons skal fungere p? en god 00:26:11.300 --> 00:26:19.400 m?te og skal kunne h?ndtere vanlige situasjoner og hvis det skjer i situasjoner som om han kunne 00:26:19.400 --> 00:26:29.900 skalering og eventuelt f? st?tte fra eksterne akt?rer eller sikkerhetskonsulent Og dette gj?r seg 00:26:29.900 --> 00:26:37.000 ikke selv for at dette virkelig fungerer godt n?r du heller eller n?r helsen skjer s? m? man pr?ve 00:26:37.000 --> 00:26:50.000 s? ?velse er viktig for ? ha sykkel for god h?ndtering av sikkerhet og programvaren det m? jo 00:26:50.000 --> 00:26:55.350 vedlikeholdes som alltid jobbe NOTE Treffsikkerhet: 75% (MEDIUM) 00:26:55.350 --> 00:27:01.200 opprette og oppdatere nye versjoner NOTE Treffsikkerhet: 90% (H?Y) 00:27:01.200 --> 00:27:08.500 for at man skal kunne ivareta og god sikkerhet og personvern hele tiden for de vil alltid ? oppdage 00:27:08.500 --> 00:27:17.300 nye s?rbarheter og dette er jo egentlig en del av ? ha et styringssystem for informasjonssikkerhet 00:27:17.300 --> 00:27:28.300 og styringssystem for personvern som gjerne kalles internkontroll som er det store bildet for 00:27:28.300 --> 00:27:38.100 styring av informasjonssikkerhet og styring av personvern i bedrifter og foretak s? dette var alt 00:27:38.100 --> 00:27:48.300 jeg hadde ? si i denne forretningen og lekker til veilederen fra datatilsynet er her