• Velkommen til blogg.brr.no!

    foto.brr.no

    - En ventil for mine (sterke) meninger, protester, engasjement og interesser
    !

    Noen av temaene til denne bloggen er "protest kristendom" (kritisk kristen), IKT, foto og litt politikk. Overflatisk gladblogging finner du lite av her!

    Bilder er tilgjengelig i mitt fotogalleri på adressen foto.brr.no.

    Takk for at du avlegger bloggen og eventuelt bildegalleriet et besøk!

    Bjørn Roger Rasmussen, Flatraket 23.06.2017.


Personvern, informasjonssikkerhet og internkontroll på bedriftsnivå

(Artikkel sist oppdatert: 30.05.2017).
Personvern

Personvern

Dagens seriøse tema er personvern, informasjonssikkerhet og internkontroll. Et tungt og kjedelig tema vil nok noen si, men jeg synes både det er interessant og relevant. Mange tar alt for lett på denne viktige tematikken, og kunnskapsnivået kan nok være ganske sviktende både blant privatpersoner og bedrifter.

Min videre vinkling i denne artikkelen er preget av at jeg er offentlig ansatt i kommunal virksomhet. Samtidig er jeg opptatt av og interessert i IKT og teknologiens muligheter.

Å ha en del noe rigide regler og lover for personopplysninger og personvern kan til tider virke noe byråkratisk. Hensikten er imidlertid å unngå krenkelser av personvernet og å oppnå tilfredsstillende informasjonssikkerhet. Det er innimellom oppslag i media der rutinene har sviktet og personopplysninger har kommet uvedkommende i hende, noe som kan være veldig krenkende og ødeleggende for den som blir rammet. Datatilsynet er «vaktbikkja» som passer på at reglene blir fulgt og som blant annet kan utstede bøter ved lovbrudd.

Å samle på mange personopplysninger som ikke trenges bare pga. det er «kjekt å ha» dem er ikke lovlig. Det er også viktig å sikre tilfredsstillende informasjonssikkerhet slik at personopplysninger ikke kommer uvedkommende i hende, blir endret/slettet av uautorisert personell eller at opplysningene ikke er tilgjengelige for dem som virkelig trenger dem.

Informasjonssikkerhet og personvern. Kilde: Pixabay.

Informasjonssikkerhet og personvern. Kilde: Pixabay.

Regelverk

For en bedrift er det (heldigvis) ikke rett fram å igangsette utstrakt behandling av personopplysninger. Ofte foreligger det meldeplikt til Datatilsynet og i enkelte tilfeller også konsesjonsplikt. En del grunnkrav må være oppfylt før behandling av personopplysninger igangsettes: Behandlingsgrunnlag må foreligge, personopplysninger kan bare brukes til et uttrykkelig angitt og saklig formål (f. eks. lovpålagte oppgaver), tilstrekkelige og kun relevante opplysninger for formålet kan behandles, kun korrekte og oppdaterte opplysninger må benyttes og opplysningene slettes når det ikke lengre er bruk for dem. Å samle på mange personopplysninger som ikke trenges bare pga. det er «kjekt å ha» dem er altså ikke lovlig.

Spesielt er reglene strenge rundt behandling av sensitive personopplysninger. Sensitive personopplysninger er informasjon om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, strafferettslige forhold, helseforhold, seksuelle forhold og medlemskap i fagforeninger.

Informasjonssikkerhet: Å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger. Informasjonssikkerhet skal ivareta tre hensyn:

  • Sikre personopplysningene konfidensialitet (hindre tilgang for uvedkommende)
  • Sikre personopplysningene integritet (hindre endring/sletting fra uautoriserte personer)
  • Sikre personopplysningene tilgjengelighet (sikre tilgjengelighet til enhver tid for dem som har rett til/behov for opplysningene).

Forkortelsen for disse tre hensynene er enkelt og greit KIT.

Regelverket på området er personopplysningsloven og personopplysningsforskriften. En del plikter (for virksomhetene) og rettigheter (for den registrerte) følger av reglene. Ledelsen har et spesielt ansvar for at reglene blir etterfulgt og at nødvendige rutiner m. m. utarbeides.

Internkontroll

Personopplysningsloven stiller krav til internkontroll i form av planlagte/systematiske tiltak, rutiner og dokumentasjon som skal sikre etterleving av regelverket. For å få på plass lovpålagt internkontroll innenfor informasjonssikkerhet i egen virksomhet har Datatilsynet laget en omfattende malsamling som etter utfylling tilfredsstiller lovverket. Malene består av følgende hoveddeler:

  • Styringsdokument internkontroll med oversikt over personopplysninger som blir behandlet.
  • Ledelsens gjennomgang
  • Sikkerhetsmål- og strategi
  • Sikkerhetsorganisasjon
  • Rutiner for håndtering av personopplysninger
  • Risikovurdering (jf. ROS-analyser)
  • Sikkerhetsinstruks brukere
  • Informasjonshåndtering
  • Sjekkliste for nyansatte og ansatte som slutter
  • Taushetserlæring
  • Sikkerhetsinstruks leder
  • Sikkerhetsinstruks sikkerhetsansvarlig
  • Beskrivelse av informasjonssystemet
  • Driftsrutiner
  • Overordnet IT-beredskapsplan
  • Fysisk sikkerhet
  • Avvikshåndtering og egenkontroll
  • Avviksskjema
  • Egenkontrollsskjema
  • Rapport fra avvikshåndtering og egenkontroll med forslag til tiltak

Kilde: Datatilsynet, maler for internkontroll og informasjonssikkerhet.

Dokumentasjonen er oppdelt i styringsdokumenter, gjennomføringsdokumenter og kontrolldokumenter.

Det finnes masse begreper og definisjoner i dokumentasjonen fra Datatilsynet og i lovverket. Blant annet kan man lese om de ulike rollene m. m.: Behandlingsansvarlig, sikkerhetsansvarlig, systemeier/dataeier, databehandleravtaler etc. Mer informasjon om disse temaene er tilgjengelig via Datatilsynets nettsider.

Å få på plass gode rutiner rundt internkontroll er ganske arbeidskrevende med masse dokumentasjon, rutiner m. m. som skal utarbeides, men det er likevel viktig å prioritere dette ikke minst for å få økt bevissthet rundt håndtering av personopplysninger og hvordan man kan hindre misbruk av dem. Brudd på tilliten og tap av omdømme pga. bedriften gjør seg skyldig i krenkelser av personvernet vil neppe de fleste bedrifter ønske å oppleve.

Overføring av personopplysninger til utlandet i disse outsouching-tider (utkontraktering) er ikke nødvendigvis helt rett fram hvis ting skal gjøres lovlig. Stort sett går det greit å overføre til andre EU/EØS-land eller land som Europakommisjonen har godkjent. Tidligere gikk det også greit å overføre til USA via «Safe Harbor»-beslutningen, men nå er denne kjent ugyldig av EU-domstolen. EUs standardkontrakt kan visstnok benyttes i stedet og Datatilsynet skal varsles. I etterkant har «Privacy Shield»-avtalen (avtale mellom EU og USA om overføring av personopplysninger fra Europa og USA) erstattet den ikke-gyldige «Safe Harbor»-avtalen.

Våren 2017 har det vært en del snakk om gamlingen med helseopplysningene til Helse Sør-Øst (HSØ). I forbindelse med utkontraktering (utflagging av IKT-driften) har ca. 110 utenlandske IT-arbeidere uten tjenstlig behov hatt full tilgang på sensitive personopplysninger (helseopplysninger). Enkelte betegner dette som en total katastrofe for personvernet.

Et godt utgangspunkt innenfor informasjonssikkerhet er å stille spørsmålet: Hva er du redd for?

Det er viktig å ha oversikt over hvilke personopplysninger som behandles av virksomheten. Ut fra denne oversikten kan det foretas risikovurderinger. Steder med store risikoer og med stor sannsynlighet for avvik kan tiltak utarbeides og igangsettes.

Normen, Feide, bøter, arkivloven og KiNS

Til hjelp i arbeidet med å få på plass internkontroll eller styringssystem for informasjonssikkerhet kan «Normen» være til god hjelp. Fra nettsiden til Normen har jeg «sakset» følgende: «Hva er Normen? Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren (Normen) er et omforent sett av krav til informasjonssikkerhet, basert på lovverket, og er utarbeidet av representanter for sektoren. Alle aktører i sektoren som er tilknyttet Norsk Helsenett, er avtalerettslig forpliktet til å følge Normen.»

Kilde: www.normen.no

Selv om hovedfokuset til Normen er helse- og omsorgssektoren har det blitt gjort masse bra arbeid der som også andre sektorer kan ha nytte av. I tillegg til å ha foretatt tolkninger og konkretisering av lovverket på helse- og omsorgsområdet tilfredsstiller Normen de krav som stilles i personopplysningsloven og personopplysningsforskriften i forbindelse med personvern og informasjonssikkerhet.

Parallelt med «Normen» som er opptatt av informasjonssikkerhet i helse-, omsorgs- og sosialsektoren finnes det noe liknende innenfor utdanningssektoren. Der finnes Feide, som en er forkortelse for Felles Elektronisk IDEntitet. Feide er et system for sikker identifisering i utdanningssektoren. For å kunne ta i bruk og «koble seg på» Feide kreves det inngåelse av en kontrakt. Vertsorganisasjonen må tilfredsstille en del krav (behandling av personopplysninger, IKT-reglement, teknisk løsning, førstelinjesupport) for å kunne ta i bruk Feide. Det har blitt tenkt på sikkerhet i Feide-løsningen.

Jeg har fått med meg at min tidligere arbeidsplass, Eigersund kommune, fikk besøk og kontroll av Datatilsynet våren 2014. De ble vel mer eller mindre «tatt på senga». En god del avvik ble avdekket (manglende internkontroll, manglende dokumentasjon, manglende risikovurdering etc.) og et overtredelsegebyr på kroner 150 000 har blitt utstedt (opprinnelig sum på bot var kroner 250 000, som senere ble redusert med kr 100 000 til kr 150 000). Det kan fort bli små-dyrt å slurve på området internkontroll!

Arkivloven med forskrift som gjelder for offentlige virksomheter vil sannsynligvis bli endret (myket opp) til å tillate lagring av digitalt arkivmateriale i utlandet. Det er vel ikke tvil om at det kan være behov for å modernisere arkivlovgivningen. Imidlertid reiser selvsagt skylagring/skyarkiv i utlandet en del sikkerhetsmessige spørsmål. Kjedelig hvis den offentlige «indrefileten» i form av lagrede arkivdata, inkludert sensitive data, skulle komme helt på avveie.

Jeg var 25. oktober 2016 deltaker på KiNS-sikkerhetsseminar på Sandane. Dette var et interessant og matnyttig seminar der mange av temaene i denne bloggartikkelen ble «touchet» innom. For ansatte i kommunal virksomhet som er opptatt av informasjonssikkerhet anbefales medlemskap i KiNS (Foreningen Kommunal Informasjonssikkerhet).

Nye personvernregler fra 2018

Nye personvernregler fra 2018

Nye personvernregler fra 2018

EU har våren 2016 vedtatt ny personvernforordning som vil bli iverksatt mai 2018. Den nye personvernlovgivningen vil også gjelde for Norge som et «assosiert» medlem av med EU gjennom EØS-avtalen. EU har sett behovet for et bedre personvern og et modernisert regelverk, slik at det ikke blir rett fram for vilkårlig og planløs behandling av personopplysninger.

Noen sentrale momenter rundt de nye reglene fra 2018:

  • Godt utgangspunkt hvis personvern og internkontroll er «på stell» etter dagens regler.
  • Innebygd personvern som utgangspunkt for nye løsninger (den mest personvernvennlige innstilling som standard).
  • Borgerne/innbyggerne får også nye rettigheter, f. eks. dataportabilitet. Retten til innsyn, retting av mangelfulle personopplysninger og retten til å bli glemt (sletting) blir videreført/innført/utvidet.
  • Krav om personvernombud i mange virksomheter (blant annet i alle kommuner).
  • Vurdere personvernkonsekvenser og risiko før igangsetting av tiltak.
  • Strengere krav til avvikshåndtering.
  • Nye plikter til virksomheter og databehandlere.
  • Forståelig personvernerklæring blir et krav.
  • Fortsatt blir det behov for å inngå Databehandleravtaler med eksterne leverandører som behandler personopplysninger på vegne av en virksomhet.
  • Bøtene/gebyrene som kan skrives ut for manglende personvern blir mye større enn dagens.
  • Sikkerhetsavvik må varsles til Datatilsynet innen 72 timer. Brukerne som blir rammet må også varsles.

Ellers er det «viktig» å bruke tre og fire bokstavers forkortelser på det meste:

  • DPO (Data Protection Officer): Enkelt og greit personvernombud.
  • GDPR (General Data Protection Regulation): Den nye Personvernforordningen.

I stedet for paragrafer i forordningen snakkes det om artikler i stedet.

Også under de nye reglene blir det viktig med oversikt over hvilke personopplysninger som behandles, forta risikovurderinger med utgangspunkt i lista fra forrige punkt og å ha etablert nødvendige rutiner for behandling av personopplysninger.

Norsk Informasjonssikkerhetsforum (ISF) har ifølge Digi.no gjennomført en undersøkelse om sikkerhet. Et bra og beskrivende sitat fra denne undersøkelsen er:

  • Roten til god sikkerhet ligger ofte mellom ørene på de ansatte.

Den menneskelige faktor, sikkerhet og trender

Den menneskelige faktor i form av ansatte er sentral for å oppnå god informasjonssikkerhet. Aktuelle tiltak kan være opplæring, bevisstgjøring, etablering av prosesser/rutiner og risikovurderinger. Ansattes sikkerhetskultur og sikkerhetstankegang må opparbeides i form av blant annet økt kompetanse og bevisstgjøring. Informasjonssikkerhetskultur og god netthygiene må opparbeides. Gode holdninger, kunnskaper og rutiner er sentralt.

Ansatte må få opplæring og bevisstgjøring rundt dette som har med informasjonssikkerhet og personvern å gjøre. Det må foreligge både gode rutiner og ikke minst holdninger på sikkerhetsområdet. En kritisk suksessfaktor for sikkerhetsarbeid kan ofte være dette at sikkerhetsarbeidet har forankring i ledelsen. Personvern og informasjonssikkerhet blir aldri bedre enn det svakeste leddet.

Det kan hevdes at Norge er Europamestere i naivitet. Vi har et tillitsbasert samfunn. Datakriminelle har store muligheter til å kunne lure oss når vi står der med nisselua godt dratt ned over ørene. Ofte spiller de kriminelle på følelser, fristelser, frykt og tillit, noe som gjør av vi i vår naivitet går på deres limpinne.

Informasjonssikkerhet og personvern består selvsagt av en teknisk faktor også. Det er sentralt med gode brannmurer og å holde programvare og andre IKT-systemer oppdaterte (patchet). Eventuell soneinndeling av nettet og kun tjenstlige tildelte rettigheter/rettighetskontroll må det være orden på.

Cybersikkerhet har jeg skrevet noen ord om i min andre artikkel om personvern. Å lage til gode systemer for cybersikkerhet for å beskytte seg mot cybertrusler kan gå på kompromiss med personvernet. All teknologi (infrastruktur, utstyr m. m.) vi omgir oss med og som er knyttet opp mot nettet gjør oss ekstremt sårbare for trusler og angrep. For å beskytte oss innføres overvåkning og loggføring, som igjen i verste tilfelle kan true personvernet.

En utfordring på bedriftsnivå er bruken av skygge-IT/IKT i bedrifter. Med skygge-IT/IKT tenkes det på IKT-løsninger som har blitt tatt i bruk uten tillatelse fra IKT-avdelingen. Typisk har det heller ikke blitt utført skikkelige risikovurderinger før slike systemer tas i bruk. F. eks. finnes det masse kjekke skytjenester, hvor mange av dem også er gratis i bruk (reklamefinansierte). Ukritisk bruk av skygge-IKT kan utsette virksomheten for sårbarhet og angrep utenfra. Bedriftssensitive data kan komme på avveie, og bruken kan kompromittere virksomhetens IKT-systemer. I verste tilfelle kan bruken av skygge-IKT medføre tap av tid, penger, omdømmetap og alvorlige datatap. Gode retningslinjer som følges kan motvirke at skygge-IKT blir et problem.

Teknologien har gjort oss fremmedgjort. Det er mange ledd og verdikjeder der vi kun har delvis oversikt over hva som skjer. Den digitale sårbarheten er allerede stor, og den blir ikke mindre i tiden framover. Personvernet er under et enormt teknologisk press.

Noen trender i årene framover vil være: Digitalisering, «Big data», «Internet of Things» (IoT) / Tingenes Internett, kunstig intelligens/ «Artificial Intelligenc» (AI), roboter og kryptering. All denne nye teknologien vil ha personvernmessige sider samt sårbarhet og informasjonssikkerhet knyttet opp mot seg. Ellers vil økt bruk av skytjenester og trenden med BYOD også medføre at det er masse å gripe tak i på sikkerhetsområdet. Utfordringene blir ikke akkurat mindre i tiden som kommer.

I forbindelse med bedrifters offshoring og/eller outsourcing (utkontraktering) av IKT-drift kan det oppstå noen ekstra utfordringer rundt personvern og informasjonssikkerhet. Det blir vanskelig å ha full oversikt over verdikjeden, og det kan finnes utro tjenere eller dårlige (og ukjente) ledd i kjeden. Enkelte land har dessuten et slappere forhold til personvern enn f. eks. det Norge har.

Det er vel grunn til å tro at store datasenter er mer utsatt for forsøk på datainnbrudd enn det enkeltbedrifter normalt sett er. Store senter blir mer fristende mål for hackere. På den annen side kan man håpe og tro at store datasentre tilbyr proff drift, overvåkning og sikkerhet.

Opprettelse av flere CERT-grupper vurderes her i landet. Slike «blålys-grupper» kan være et viktig bidrag i kampen mot datakriminalitet. CERT er ifølge Wikipedia en forkortelse for «Computer emergency response teams» og er ekspertgrupper som håndterer større IKT sikkerhetshendelser.

I en kronikk om IT-sikkerhet publisert på Digi.no tar Maria Bartnes og Erlend Andreas Gjære, SINTEF, tak i noen sentrale problemstillinger. Tittelen på kronikken er «Unyttig å gi de ansatte skylden for dårlig IT-sikkerhet». Noe av innholdet fritt gjengitt er dette:

Dårlige brukeropplevelser tvinger IT-brukere til å ta risikable valg. Man omgår sikkerhetsreglene pga. reglene er vanskelige å etterleve og gir dårlig brukeropplevelse. Velmente sikkerhetstiltak kan komplisere IKT-bruken såpass mye at brukerne finner veier rundt tiltakene og rutinene, som igjen går på kompromiss med sikkerheten. Føyer til for egen regning: Altså det evige dilemmaet mellom brukervennlighet/enkelhet kontra sikkerhet.

Det er viktig å forstå brukerne og at sikkerhetstenkningen kan være et hinder i hverdagen. Gode funksjonelle systemer gir positivt innstilte brukere som dermed også blir mer mottakelig for opplæring rundt IKT og sikkerhet.

Det nevnes også viktigheten for samspill mellom mennesker, organisasjon og teknologi. Eller som jeg lærte under studietiden: PSO-utvikling (personutvikling, systemutvikling og organisasjonsutvikling).

Avslutning

Dette var bare en liten touch borti et svært og omfattende tema. Temaet kan oppleves som noe tungt og kjedelig, men egentlig burde det være av interesse for flere. Konsekvensene som kan oppstå ved krenkelser av personvernet og dårlig informasjonsikkerhet er såpass store og uønskede at man bør ta tak i problematikken. Økt bevissthet kan medføre at man kan forhindre enkelte av sikkerhetstruslene fra å inntreffe. Dokumentasjon og rutiner i form av internkontroll er første skritt på veien for å sikre forsvarlig behandling av personopplysninger. Neste skritt er etterlevelse av rutiner og at alle ansatte virkelig følger dem (ikke selvsagt), samt avvikshåndtering.

Mer: Kortversjon/oppsummering – Personvern, informasjonssikkerhet og internkontroll (PDF, 0,7 MB).

Lenker:

Utskrift

Om Bjørn Roger Rasmussen

Ta en titt på undersiden "Om bloggen" for mer informasjon om bloggforfatter. Les ellers mer om meg, Bjørn Roger Rasmussen (BRR), på min personlige nettside: http://www.brr.no/
Tagged , , , , , , , , , , , , , , , , .Bokmerk permalink.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *