Stiki – Email disclaimer

Vinsamlegast athugið að allar upplýsingarnar sem fram koma í þessum tölvupósti og viðhengi hans eru eingöngu ætlaðar þeim sem tölvupósturinn er stílaður á og gætu innihaldið upplýsingar sem eru trúnaðarmál og kunna að falla undir ákvæði um þagnarskyldu. Öllum öðrum er óheimill aðgangur að þessum tölvupósti. Ef þú ert ekki sá aðili sem tölvupósturinn er ætlaður og hafir þú fyrir tilviljun, mistök eða án sérstakrar heimildar tekið við tölvupósti þessum og viðhengjum hans, þá biðjum við þig að fara eftir 5. mgr. 47. gr. laga um fjarskipti nr. 81/2003 og gæta fyllsta trúnaðar, hvorki lesa efnið né skrá gögnin hjá þér né notfæra þér þau á nokkurn hátt og tilkynna Stika  samstundis að þau hafi ranglega borist þér. Brot gegn þessu geta varðað við lög.  - Takk fyrir aðstoðina.

****

Please notice that all information in this e-mail and its attachments are solely intended for the addressee and may contain confidential and privileged information and/or copyright material. Everyone else is unauthorized to access this e-mail. If you are not the intended recipient and you have received this e-mail by mistake, any disclosure, copying, distribution or any action taken or omitted to be taken in reliance on it, is prohibited and may be unlawful. Any unauthorized use may be unlawful. If you receive this e-mail by mistake, please advise the sender immediately by using the reply facility in your e-mail software. - Thank you for your cooperation.

Ný persónuverndarlöggjöf verndar neytendur betur en áður

Svana Helen Björnsdóttir, framkvæmdastjóri Stika skrifar:

Ný reglugerð um persónuvernd í upplýsingakerfum sem nefnd er GDPR (General Data Protection Regulation) tekur gildi á Evrópska efnahagssvæðinu 25. maí nk. Markmið reglugerðarinnar er að vernda neytendur betur en áður gegn misnotkun persónuupplýsinga og draga úr söfnun þeirra og útbreiðslu. Stjórnendur fyrirtækja og stofnana sem vinna með persónuupplýsingar þurfa að kunna góð skil á nýju reglunum enda eru ströng viðurlög við brotum á henni. Hér er fjallað um nokkur atriði nýju reglnanna og áhrifin sem þær geta haft á rekstur fyrirtækja og stofnana.

Margar af vinsælustu og útbreiddustu tæknilausnum síðustu ára byggja á söfnun og vinnslu upplýsinga. Þegar eru í boði tæknilausnir sem byggja á gríðargagnafræðum (e. Big Data). Þá er gögnum safnað í gagnasöfn og upplýsingar af ýmsu tagi búnar til í rauntíma, allt eftir óskum notenda. Sem dæmi má nefna Google translate og Google maps, sem t.d. getur sýnt umferðarmagn á einstökum leiðum. Einnig er hægt að nýta gríðargögn til að spá um útbreiðslu farsótta. Hægt er að veita þjónustu á borð við þessa ef tekst að safna nægilega miklu af gögnum um t.d. ferðir almennings. Fólk samþykkir gjarnan hugsunarlítið skilmála til þess að fá tiltekna þjónustu, en í þeim felast oft leyfi til þess að viðkomandi fyrirtæki geti fylgst með ferðum fólks eða skoðað neytendahegðun um t.d. kaup á vöru og þjónustu. Hingað til hefur víða nægt að samþykki væri ætlað, ef viðskiptavinur hefur ekki hakað í box þar sem hann hafnar samþykki. Með nýju reglunum verður samþykki að vera ótvírætt. Hér verður fjallað um áhrif nýju reglnanna í sjö liðum.

Samþykki

Upplýst samþykki er ein af meginkröfum nýju reglnanna. Þögn, óvirkni og þannig ætlað samþykki, er ekki lengur hægt að túlka sem samþykki. Samþykki tiltekins gagnaefnis verður að fela í sér frjálsa og skýra staðfestingu. Á sama tíma verður ákvörðun einstaklings um samþykki að byggja á nákvæmum og ótvíræðum upplýsingum.

Tilkynning um brot

Tæknin getur brugðist og tölvur bilað. Öryggisbrestur getur valdið leka eða stuldi á persónuupplýsingum. Í slíku tilviki skal fyrirtæki eða stofnun tilkynna um brot innan 72 klst. og samstundis ef um alvarlegan öryggisbrest er að ræða. Þetta mun tæplega minnka skaða notenda en upplýstir eru þeir betur komnir.

Réttur til að hafa aðgang að upplýsingum

Það fyrirtæki eða stofnun sem geymir persónuupplýsingar um viðskiptavin er skylt að veita þeim viðskiptavini upplýsingar, honum að kostnaðarlausu. Hann á rétt að vita hvaða upplýsingar eru geymdar um hann, hvar og hvernig unnið er með þær og í hvaða tilgangi. Sem stendur geta fyrirtæki og stofnanir farið fram á gjald fyrir að veita þessar upplýsingar. Þetta breytist með nýju reglunum.

Vistun upplýsinga í tölvuský eykst hratt. Eigendur upplýsinganna hafa litla vitneskju um hvar þær eru raunverulega geymdar. Hér eftir skiptir máli hvort upplýsingar eru geymdar á Evrópska efnahagssvæðinu þar sem þær njóta verndar reglnanna eða í Bandaríkjunum þar sem þarlend stjórnvöld hafa í raun óskertan aðgang að þeim.

Réttur til að gleymast

Ef fyrirtæki og stofnanir hafa ekki gilda ástæðu til að halda áfram að geyma eða vinna úr upplýsingum um einstakling, getur viðkomandi einstaklingur farið fram á að þeim upplýsingum verði eytt af öllum geymslumiðlum sem upplýsingar finnast á. Þetta ákvæði veldur vinnsluaðilum nokkrum áhyggjum, enda oft erfitt að finna öll gögn um tiltekinn einstakling. Hér má hugsanlega beita aðferðum dulkóðunar strax við skráningu upplýsinganna. Þá þarf að gæta þess að skrá aðeins upplýsingar sem máli skipta fyrir tilgang vinnslu. Sem dæmi má nefna að fatahreinsun þarf að skrá nafn og símanúmer en kennitala skiptir ekki máli og ætti því ekki að vera skráð.

Hönnun m.t.t. persónuverndar

Sjálfgefin persónuvernd við hönnun upplýsingakerfa felur í sér að fyrirtæki geri allar viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja gagnavernd fyrirfram. Þessi krafa þýðir að fyrirtæki og stofnanir skuli taki tillit til og þróa verklag til verndar upplýsingum áður en þeim er safnað. Hér gagnast ráðstafanir sem tilgreindar eru í öryggisstaðlinum ISO 27001, s.s. aðgangsstýring, dulkóðun gagna og nákvæm aðgerðaskráning sem tryggir rekjanleika í meðferð upplýsinga.

Persónuverndarfulltrúar

Fyrirtæki og stofnanir sem fara með persónuupplýsingar af einhverju tagi og eru með 250 starfsmenn eða fleiri skulu hafa svonefnda persónuverndarfulltrúa (e. Data Protection Officer). Slíkt starf krefst traustrar þekkingar á  gagnavernd og lagaramma sem um hana gildir. Gert er ráð fyrir að persónuverndarfulltrúar starfi líkt og regluverðir fjármálafyrirtækja og heyri beint undir æðstu stjórnendur fyrirtækjanna. Ekkert virðist því til fyrirstöðu að slíkum störfum sé útvistað eða að þeim verkefnum sé bætt við störf regluvarða eða öryggisstjóra í fyrirtækjum.

Viðkvæmar persónuupplýsingar

Hluti persónuupplýsinga er flokkaður sem sérlega viðkvæmar persónuupplýsingar. Vinnsluaðilar þurfa að meðhöndla slíkar upplýsingar með mikilli aðgát sem sérstakan undirflokk persónuupplýsinga. Aðeins má taka við og vinna með slíkar upplýsingar ef um það er sérstaklega beðið og að vinnslunni sé ætlað að tryggja mikilvæga hagsmuni notenda. Aðeins er leyfilegt að krefjast slíkra upplýsinga ef lög kveða svo á. Til þessa dags hefur flokkun viðkvæmra persónuupplýsinga m.a. náð til upplýsinga um heilsufar, aðild að stéttarfélögum, trú, kynþátt, þjóðerni, stjórnmálaskoðanir og kynhneigð. Með nýju reglunum bætast erfðaupplýsingar og lífkenni (t.d. fingraför og augnskönn) við þennan flokk.

Lokaorð

Ný persónuverndarlöggjöf breytir allri nálgun til upplýsinga um fólk. Þær verða ekki lengur ótakmörkuð auðlind fyrir fyrirtæki sem hægt er að ganga frjálst í. Bent hefur verið á að „Netið sé skrifað með bleki en ekki blýanti“ og það er löngu tímabært að fara með  upplýsingar um fólk með gát. Mörg fyrirtæki hafa þegar gert áætlanir vegna gildistöku reglugerðarinnar. Önnur eru komin skemmra á veg og veðja jafnvel á að frestir verði veittir. Slíkt er væntanlega tálsýn. Nú verða upplýsingar takmörkuð auðlind. Við höfum færst hratt fram á við í allri tækniþróun. Að mæta auknum kröfum um persónuvernd má líkja við vaxtarverki. Upplýsingatæknin mun áfram þróast hratt en það góða er að hún mun hér eftir taka meira mið af hagsmunum einstaklinga en áður.

Grein þessi birtist fyrst í Morgunblaðinu 3. febrúar 2018

PROGRAM FOR THE 5th EUROPEAN STAMP/STPA WORKSHOP AND CONFERENCE – ESW 2017

Reykjavík downtown summer

Image by Roman Gerasymenko

Stiki is happy to present a very interesting program for the ESW 2017 in Reykjavík, Iceland on 13-15 September. Please take a look:

https://en.ru.is/stamp/program/

Registration is still possible, but space and time are limited. Register now to be certain you have a spot:

https://en.ru.is/stamp/registration-and-information/

Detailed information regarding ESW 2017 can be found on the web-site:

http://esw2017.com

About STAMP and STPA:

STAMP (Systems-Theoretic Accident Model and Processes) is an accident causality model based on systems theory and systems thinking that was originally developed by Prof. Dr. Nancy Leveson at MIT. STAMP integrates into engineering analysis causal factors such as software, human decision-making, human safety culture, social and organizational design, and new technology, because of the multiplying threats in our increasingly complex systems.

STPA (Systems-Theoretic Process Analysis) is a powerful hazard analysis technique based on STAMP, while CAST (Causal Analysis based on STAMP) is the equivalent for accident and incident analysis. The use of these tools is becoming more common across diverse industry sectors. Application areas include: aviation, air traffic control, space, defense, the automotive industry, railways, chemicals, oil and gas, medical devices, health-care, and workplace safety. A growing interest extends into new areas such as the pharmaceutical industry and the finance and insurance sectors. Ongoing developments are aimed at extending the application of STPA to include information and cyber security.

Traditional system safety approaches are being challenged and exposed by the introduction of new technologies and the complexity of the technological systems we are building. STAMP is a new systems thinking approach to engineering safer systems as described in Nancy Leveson's book “Engineering a Safer World” (MIT Press, January 2012). While relatively new, STAMP and STPA are already being utilized to meet the needs of the aviation, space, medical, defense, nuclear, and automotive industries.

Help us spread the word by sharing this message across your network.

Thank you.

Upplýsingaöryggi – Netöryggi

Það ber sífellt meira á því að hugtökin "Upplýsingaöryggi" og "Netöryggi" sé lögð af jöfnu. Fjölmiðlar og stjórnmálamenn eru að skrumskæla heim upplýsingaöryggis, sérstaklega að því að vernda upplýsingar í öllum miðlum og framsetningu. Það virðist gerast nánast daglega að stærri fréttamiðlar séu að skýra frá net árásum af öllum tegundum. Samskiptamiðar eru logandi af fréttum um árásir á stór og þekkt fyrirtæki eða þá að síðasti listi af illa fegnum tölvupóstslistum sé til umræðu.

En hvað er "Upplýsingaöryggi" (Information Security) og "Netöryggi" (Cybersecurity) eiginlega ?

Til þess að skilja betur hugtökin þá er best að skoða hvað þessi hugtök þýða í dag og hvernig þau urðu hluti af orðaforða nútímans.

Sjá grein eftir Chris Brown, ráðgjafa hjá Stika hér