Personvern, informasjonssikkerhet, internkontroll

(Sist oppdatert 14.03.2024 @ 19:00 av Bjørn Roger Rasmussen.)

Personvern

Dagens seriøse tema er personvern, informasjonssikkerhet og internkontroll på (primært) bedriftsnivå. Et tungt og kjedelig tema vil nok noen si, men jeg synes både det er interessant og relevant. Mange tar alt for lett på denne viktige tematikken, og kunnskapsnivået kan nok være ganske sviktende både blant privatpersoner og bedrifter.

Min videre vinkling i denne artikkelen er preget av at jeg er offentlig ansatt i kommunal virksomhet. Samtidig er jeg opptatt av og interessert i IKT og teknologiens muligheter. I jobben har jeg visstnok også en viss rolle innenfor temaet, i og med at jeg er utpekt til å være personvernrådgiver.

Å ha en del noe rigide regler og lover for personopplysninger og personvern kan til tider virke noe byråkratisk. Hensikten er imidlertid å unngå krenkelser av personvernet og å oppnå tilfredsstillende informasjonssikkerhet. Det er innimellom oppslag i media der rutinene har sviktet og personopplysninger har kommet uvedkommende i hende, noe som kan være veldig krenkende og ødeleggende for den som blir rammet. Datatilsynet er “vaktbikkja” som passer på at reglene blir fulgt og som blant annet kan utstede bøter ved lovbrudd.

Å samle på mange personopplysninger som ikke trenges bare pga. det er “kjekt å ha” dem er ikke lovlig. Det er også viktig å sikre tilfredsstillende informasjonssikkerhet slik at personopplysninger ikke kommer uvedkommende i hende, blir endret/slettet av uautorisert personell eller at opplysningene ikke er tilgjengelige for dem som virkelig trenger dem.

Informasjonssikkerhet og personvern. Kilde: Pixabay.

Hva er personvern?

For enkelte er muligens personvern et tvetydig eller nesten uforståelig begrep. Personvern har lite eller ingenting med fysisk vern av personer å gjøre. Det personvern omhandler er vern og beskyttelse av våre personopplysninger, hvor personopplysninger er opplysninger eller vurderinger som kan knyttes til identifiserbare enkeltpersoner.

Engelskspråklige har det noe lettere med et bra og beskrivende begrep for personvern. Der brukes begrepet “privacy” som i stor grad via selve ordet forteller hva det er snakk om. Muligens skulle vi ha hatt et klarere og tydeligere begrep enn personvern på norsk? Generelt er mange av diskusjonene innenfor personvern preget av mangel på klart språk. Det blir ofte mye “stammespråk” for spesielt innvidde.

Personvern går i grove trekk ut på å verne privatlivets fred, ha kontroll over våre egne personopplysninger og beskyttelse mot uønsket innsyn/misbruk. Alle virksomheter bør ha et bevisst forhold til sin omgang med personopplysninger for å kunne beskytte sine kunders eller tjenestemottakeres interesser innenfor personvern.

Ifølge Datatilsynet om hva er personvern: “Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger.” I tillegg kunne beskyttelse mot bruk av metadata ha blitt føyet til i tillegg.

Figuren nedenfor gir en liten pekepinn (ikke utfyllende eller komplett liste!) på hva som kan være personopplysninger som kan trenge et vern:

Personopplysninger og personvern: Alle opplysninger og vurderinger som kan knyttes til en (identifiserbar) enkeltperson trenger større eller mindre grad av vern / personvern.

 

En enda mer omfattende figur over et utvalg av aktuelle personopplysninger som kan bli behandlet:

Ulike former for personopplysninger (tjenesten Wordclouds.com benyttet til framstillingen av figur).

 

Regelverk

For en bedrift er det (heldigvis) ikke rett fram å igangsette utstrakt behandling av personopplysninger. Ofte foreligger det meldeplikt til Datatilsynet og i enkelte tilfeller også konsesjonsplikt. En del grunnkrav må være oppfylt før behandling av personopplysninger igangsettes: Behandlingsgrunnlag må foreligge, personopplysninger kan bare brukes til et uttrykkelig angitt og saklig formål (f. eks. lovpålagte oppgaver), tilstrekkelige og kun relevante opplysninger for formålet kan behandles, kun korrekte og oppdaterte opplysninger må benyttes og opplysningene slettes når det ikke lengre er bruk for dem. Å samle på mange personopplysninger som ikke trenges bare pga. det er “kjekt å ha” dem er altså ikke lovlig. Annen bruk av innsamlede personopplysninger (til annet formål) enn den tiltenkte er er normalt sett ikke lov.

Spesielt er reglene strenge rundt behandling av sensitive personopplysninger. Sensitive personopplysninger er informasjon om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, strafferettslige forhold, helseforhold, seksuelle forhold og medlemskap i fagforeninger.

Informasjonssikkerhet: Å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger. Informasjonssikkerhet skal ivareta noen hensyn:

  • Sikre personopplysningene konfidensialitet (hindre tilgang for uvedkommende)
  • Sikre personopplysningene integritet (hindre endring/sletting fra uautoriserte personer)
  • Sikre personopplysningene tilgjengelighet (sikre tilgjengelighet til enhver tid for dem som har rett til/behov for opplysningene).
  • Robusthet (virksomheters / organisasjoners og systemers evne til å gjenopprette normaltilstand).
  • I tillegg kan et punkt som heter overholdelse føyes til. Informasjonsbehandlingen (innsamling, behandling, bruk, formidling, lagring og/eller sletting) må skje i henhold til gjeldende lover og regler + forskrifter.

Forkortelsen for disse tre hensynene (de tre første) er enkelt og greit KIT.

Før GDPR: Regelverket på området var personopplysningsloven og personopplysningsforskriften.

En del plikter (for virksomhetene) og rettigheter (for den registrerte) følger av reglene. Ledelsen har et spesielt ansvar for at reglene blir etterfulgt og at nødvendige rutiner m. m. utarbeides. Mye av tankegodset fra tidligere regler er videreført og noe videreforedlet under GDPR.

PS! Ny “Lov om behandling av personopplysninger (personopplysningsloven)” har erstatte den gamle loven sommeren 2018. Samme dokument inneholder også forordningen på norsk:

  • “EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [GDPR]”

Det er også en egen “Forskrift om behandling av personopplysninger”.

GDPR som begrep “utgår” vel mer eller mindre på norsk. En mer passende betegnelse er: POLF. POLF = Personopplysningsloven med forordning.

Internkontroll

Personopplysningsloven stiller krav til internkontroll i form av planlagte/systematiske tiltak, rutiner og dokumentasjon som skal sikre etterleving av regelverket. For å få på plass lovpålagt internkontroll innenfor informasjonssikkerhet i egen virksomhet har Datatilsynet laget en omfattende malsamling som etter utfylling tilfredsstiller lovverket. Malene består av følgende hoveddeler:

  • Styringsdokument internkontroll med oversikt over personopplysninger som blir behandlet.
  • Ledelsens gjennomgang
  • Sikkerhetsmål- og strategi
  • Sikkerhetsorganisasjon
  • Rutiner for håndtering av personopplysninger
  • Risikovurdering (jf. ROS-analyser)
  • Sikkerhetsinstruks brukere
  • Informasjonshåndtering
  • Sjekkliste for nyansatte og ansatte som slutter
  • Taushetserklæring
  • Sikkerhetsinstruks leder
  • Sikkerhetsinstruks sikkerhetsansvarlig
  • Beskrivelse av informasjonssystemet
  • Driftsrutiner
  • Overordnet IT-beredskapsplan
  • Fysisk sikkerhet
  • Avvikshåndtering og egenkontroll
  • Avviksskjema
  • Egenkontrollsskjema
  • Rapport fra avvikshåndtering og egenkontroll med forslag til tiltak

Kilde: Datatilsynet, maler for internkontroll og informasjonssikkerhet (lenke fjernet da den var “død”). Ser ut for at GDPR-innføringen gjør denne veilederen overflødig/utdatert.

Å ha gode rutiner for internkontroll på personvernområdet er selvsagt også viktig under GDPR. Imidlertid er det mindre detaljerte formkrav til hvordan ting skal gjøres i praksis under det nye regimet. Datatilsynet har utarbeidet en ny veiledning rundt internkontroll og informasjonssikkerhet tilpasset GDPR, og her er det også et utvalg med maler og støtteverktøy.

Dokumentasjonen er oppdelt i styringsdokumenter, gjennomføringsdokumenter og kontrolldokumenter.

Det finnes masse begreper og definisjoner i dokumentasjonen fra Datatilsynet og i lovverket. Blant annet kan man lese om de ulike rollene m. m.: Behandlingsansvarlig, sikkerhetsansvarlig, systemeier/dataeier, databehandleravtaler etc. Mer informasjon om disse temaene er tilgjengelig via Datatilsynets nettsider.

Å få på plass gode rutiner rundt informasjonssikkerhet og internkontroll er ganske arbeidskrevende med masse dokumentasjon, rutiner m. m. som skal utarbeides, men det er likevel viktig å prioritere dette ikke minst for å få økt bevissthet rundt håndtering av personopplysninger og hvordan man kan hindre misbruk av dem. Brudd på tilliten og tap av omdømme pga. bedriften gjør seg skyldig i krenkelser av personvernet vil neppe de fleste bedrifter ønske å oppleve.

Overføring av personopplysninger til utlandet i disse outsouching-tider (utkontraktering) er ikke nødvendigvis helt rett fram hvis ting skal gjøres lovlig. Stort sett går det greit å overføre til andre EU/EØS-land eller land som Europakommisjonen har godkjent. Tidligere gikk det også greit å overføre til USA via “Safe Harbor”-beslutningen, men nå er denne kjent ugyldig av EU-domstolen. EUs standardkontrakt kan visstnok benyttes i stedet og Datatilsynet skal varsles. I etterkant har Privacy Shield”-avtalen (avtale mellom EU og USA om overføring av personopplysninger fra Europa og USA) erstattet den ikke-gyldige “Safe Harbor”-avtalen. Imidlertid har Privacy Shield-avtalen også blitt erklært ugyldig av EU-domstolen sommeren 2020.

USA sin lov CLOUD Act (Clarifying Lawful Overseas Use of Data Act) fra 2018 er en utfordring for personvernet for oss i Norge og Europa. Loven innebærer at amerikanske myndigheter får full tilgang til alle data som lagres i skytjenester eid av amerikanske selskaper, også her i Europa. Med en gang det er snakk om noe som muligens kanskje kan innebære ulovligheter kan amerikanske myndigheter igangsette etterforskning, overvåkning og gå gjennom våre data. F. eks. rammer dette tjenester slik om OneDrive, Azure og sosiale medier (SoMe) med amerikansk opphav/eierskap. Loven ignorerer og hopper helt bukk over GDPR.

Amerikanske selskaper med europeiske servere kan altså komme i sterk “skvis” mellom amerikansk lovgivning i form av “Cloud act” og europeisk lovgivning i form av GDPR. Myndighetene i USA kan kreve at amerikanske tilbydere (selskaper) av skytjenester må utlevere data, uavhengig av hvor i verden dataene er lagret og selv om dataene omhandler europeiske og ikke amerikanske statsborgere.

Dette kan f. eks. ramme nordmenn hvis de av amerikanske myndigheter blir mistenkt for å ha gjort noe i strid med amerikansk lovgivning, hvor data blir krevd utlevert til amerikanske myndigheter fra sky-maskinene i et europeisk land. Utlevering av data til USA vil være påkrevd i henhold til Cloud act, men i strid med GDPR. Et amerikansk selskap vil selvsagt adlyde sine myndigheter i USA mer enn myndighetene i EU.

Ifølge Apple-topp Tim Cook mangler USA noe tilsvarende som Europa og EU sin GDPR (General Data Protection Regulation, ny personopplysningslov / personvernforordning). Personopplysninger brukes som en lukrativ handelsvare, og som våpen mot oss med militær presisjon og effektivitet. Overvåkning finner sted med profitt som mål.

Våren 2017 har det vært en del snakk om gamlingen med helseopplysningene til Helse Sør-Øst (HSØ). I forbindelse med utkontraktering (utflagging av IKT-driften) har ca. 110 utenlandske IT-arbeidere uten tjenstlig behov hatt full tilgang på sensitive personopplysninger (helseopplysninger). Sensitive personopplysninger i form av pasientjournaler tilhørende 2,8 millioner nordmenn har vært tilgjengelige for IT-arbeider i blant annet India, Bulgaria og Malaysia. Enkelte betegner dette som en total katastrofe for personvernet.

Datatilsynet har funnet alvorlige lovbrudd og utstedt millionbøter etter Helse Sør-Øst sin outsourcing-skandale. Det meste har gått galt i prosessen, og alt tyder på at informasjonssikkerhet og personvern har vært sterkt nedprioritert underveis. Det stilles kritikk blant annet rundt manglende risikovurderinger, manglende sikkerhetsledelse, pulverisert ansvar og en ikke-forankret utkontraktering.

Et godt utgangspunkt innenfor informasjonssikkerhet er å stille spørsmålet: Hva er du redd for?

Det er viktig å ha oversikt over hvilke personopplysninger som behandles av virksomheten. Ut fra denne oversikten kan det foretas risikovurderinger. Steder med store risikoer og med stor sannsynlighet for avvik kan tiltak utarbeides og igangsettes.

Normen, Feide, bøter, arkivloven og KiNS

Til hjelp i arbeidet med å få på plass internkontroll eller styringssystem for informasjonssikkerhet kan “Normen” være til god hjelp. Fra nettsiden til Normen har jeg “sakset” følgende: “Hva er Normen? Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren (Normen) er et omforent sett av krav til informasjonssikkerhet, basert på lovverket, og er utarbeidet av representanter for sektoren. Alle aktører i sektoren som er tilknyttet Norsk Helsenett, er avtalerettslig forpliktet til å følge Normen.”

Kilde: www.normen.no

Selv om hovedfokuset til Normen er helse- og omsorgssektoren har det blitt gjort masse bra arbeid der som også andre sektorer kan ha nytte av. I tillegg til å ha foretatt tolkninger og konkretisering av lovverket på helse- og omsorgsområdet tilfredsstiller Normen de krav som stilles i personopplysningsloven og personopplysningsforskriften i forbindelse med personvern og informasjonssikkerhet.

Parallelt med “Normen” som er opptatt av informasjonssikkerhet i helse-, omsorgs- og sosialsektoren finnes det noe liknende innenfor utdanningssektoren. Der finnes Feide, som en er forkortelse for Felles Elektronisk IDEntitet. Feide er et system for sikker identifisering i utdanningssektoren. For å kunne ta i bruk og “koble seg på” Feide kreves det inngåelse av en kontrakt. Vertsorganisasjonen må tilfredsstille en del krav (behandling av personopplysninger, IKT-reglement, teknisk løsning, førstelinjesupport) for å kunne ta i bruk Feide. Det har blitt tenkt på sikkerhet i Feide-løsningen.

Jeg har fått med meg at min tidligere arbeidsplass, Eigersund kommune, fikk besøk og kontroll av Datatilsynet våren 2014. De ble vel mer eller mindre “tatt på senga”. En god del avvik ble avdekket (manglende internkontroll, manglende dokumentasjon, manglende risikovurdering etc.) og et overtredelsegebyr på kroner 150 000 har blitt utstedt (opprinnelig sum på bot var kroner 250 000, som senere ble redusert med kr 100 000 til kr 150 000). Det kan fort bli små-dyrt å slurve på området internkontroll!

Arkivloven med forskrift som gjelder for offentlige virksomheter vil sannsynligvis bli endret (myket opp) til å tillate lagring av digitalt arkivmateriale i utlandet. Det er vel ikke tvil om at det kan være behov for å modernisere arkivlovgivningen. Imidlertid reiser selvsagt skylagring/skyarkiv i utlandet en del sikkerhetsmessige spørsmål. Kjedelig hvis den offentlige “indrefileten” i form av lagrede arkivdata, inkludert sensitive data, skulle komme helt på avveie.

Jeg var 25. oktober 2016 deltaker på KiNS-sikkerhetsseminar på Sandane. Dette var et interessant og matnyttig seminar der mange av temaene i denne bloggartikkelen ble “touchet” innom. For ansatte i kommunal virksomhet som er opptatt av informasjonssikkerhet anbefales medlemskap i KiNS (Foreningen Kommunal Informasjonssikkerhet).

KiNS har også utarbeidet et styringssystem for informasjonssikkerhet. Masse nyttige maler relatert til dette har blitt gjort tilgjengelig for bruk av medlemskommuner. KS er også på ballen relatert til informasjonssikkerhet og personvern i kommunene. Digi Vestland sin “Faggruppe for informasjonstryggleik og personvern” må heller ikke bli glemt.

Nye personvernregler fra 2018

Nye personvernregler fra 2018

EU har våren 2016 vedtatt ny personvernforordning som ble iverksatt i Norge 20.07.2018. Den nye personvernlovgivningen gjelder altså også for Norge som et “assosiert” medlem av EU gjennom EØS-avtalen. EU har sett behovet for et bedre personvern og et modernisert regelverk, slik at det ikke blir rett fram for vilkårlig og planløs behandling av personopplysninger.

En “bivirkning” av EUs nye personvernregler er at EU kan få makt over Norge i personvernsaker. Det er opprettet et europeisk personvernråd som kan fatte bindende vedtak som angår Norge (EØS), og hvis Datatilsynet ønsker å klage på vedtakene er det EU-domstolen som blir ankeinstans.

Etter litt usikkerheter og forsinkelser trådte den nye personopplysningsloven og EUs personvernforordning i kraft 20. juli 2018 her i Norge. To hovedelementer:

  • EUs personvernforordning (GDPR) har blitt gjort til norsk lov.
  • En rekke bestemmelser (særnorske regler osv.) som supplerer reglene i forordningen.

Se eventuelt Datatilsynet sin nettside for mer informasjon.

Som tidligere blir det fortsatt sentralt å kartlegge personopplysninger som samles inn og benyttes av virksomheten. Hvilke personopplysninger benyttes og til hvilket formål er sentrale spørsmål. Andre relevante problemstillinger: Hvor (avdeling) benyttes opplysningene, i hvilke systemer, rettslig grunnlag/hjemmel/samtykke, informasjonsflyt, deling og er aktuelle prosedyrer på plass (f. eks. for sletting av personopplysninger, retten til å bli glemt). Fortsatt blir risikovurderinger, dokumentasjon og rutiner/prosedyrer viktige steg etter kartleggingen av bruken av personopplysninger.

Personopplysninger kan ikke samles inn og behandles bare pga. det er “kjekt å ha”. Det må foreligge grunnlag for behandling av personopplysninger, i form av samtykke eller lovhjemmel. En systematisk tilnærming til håndtering av personopplysninger må innarbeides i det enkelte firma.

Noen sentrale momenter rundt de nye reglene fra 2018:

  • Godt utgangspunkt hvis personvern og internkontroll er “på stell” etter dagens regler. Ifølge Datatilsynet kan vi pr. nå gjøre følgende:
    • Ha oversikt over hvilke personopplysninger som behandles, oppfylle dagens lovkrav, sette oss inn i det nye regelverket og etter påbegynne jobben med å lage rutiner for å følge de nye reglene.
  • Innebygd personvern som utgangspunkt for nye løsninger (den mest personvernvennlige innstilling som standard).
  • Borgerne/innbyggerne får også nye rettigheter, f. eks. dataportabilitet. Retten til innsyn, retting av mangelfulle personopplysninger og retten til å bli glemt (sletting) blir videreført/innført/utvidet.
  • Krav om personvernombud i mange virksomheter (blant annet i alle kommuner).
  • Vurdere personvernkonsekvenser og risiko før igangsetting av tiltak, med eventuelle forhåndsdrøftelser med Datatilsynet.
  • Strengere krav til avvikshåndtering.
  • Nye plikter til virksomheter og databehandlere.
  • Forståelig personvernerklæring (eller tilsvarende) blir et krav.
  • Fortsatt blir det behov for å inngå Databehandleravtaler med eksterne leverandører som behandler personopplysninger på vegne av en virksomhet.
  • Bøtene/gebyrene som kan skrives ut for manglende personvern blir mye større enn dagens.
  • Sikkerhetsavvik må varsles til Datatilsynet innen 72 timer. Brukerne som blir rammet må også varsles.
  • Reglene kan også gjelde for virksomheter utenfor Europa.
  • Alle bør samarbeide i egne nettverk og følge bransjenormer (godkjennes av Datatilsynet).
  • Fra kontroll til ansvarlighet,

Ellers er det “viktig” å bruke tre og fire bokstavers forkortelser på det meste:

  • DPO (Data Protection Officer): Enkelt og greit personvernombud.
  • GDPR (General Data Protection Regulation): Den nye Personvernforordningen.

I stedet for paragrafer i forordningen snakkes det om artikler i stedet.

Også under de nye reglene blir det viktig med oversikt over hvilke personopplysninger som behandles, forta risikovurderinger med utgangspunkt i lista fra forrige punkt og å ha etablert nødvendige rutiner for behandling av personopplysninger. Kanskje så mye som 90 % av GDPR er ikke noe spesielt nytt, da mye av reglene er kjente og en videreføring fra dagens lovverk.

Virksomhetens ansvar etter nytt regelverk

  • Fra kontroll til ansvarlighet: Nytt regelverk vektlegger virksomheters ansvarlighet og internkontroll, i stedet for forhåndskontroll (meldeplikt, konsesjonsplikt osv.) fra Datatilsynet som har vært praksis fram til nå. Melde- og konsesjonspliktene forsvinner.
  • Strengere sanksjoner enn i dag hvis etterkontroll viser at man ikke har orden.
  • Viktig prinsipp i det nye regelverket: Virksomheten som bruker personopplysningene har ansvaret for av personvernprinsippene overholdes (prinsippene om ansvar, integritet og konfidensialitet).
  • Fokus på den behandlingsansvarliges ansvar i stedet for krav om internkontroll.
  • Likevel: Internkontroll nødvendig for å kjenne virksomheten og for å gi oversikt over personopplysninger, som igjen er basis for risikovurdering.
  • Noe av behandlingsansvarliges ansvar:
    • Sørge for tilstrekkelig og forholdsmessig sikkerhet.
    • Må sørge for at personopplysningene er sikret mot uautoriserte eller ulovlig behandling, utilsiktede tap, ødeleggelse eller skade.
  • Viktig å sikre at personopplysninger behandles i samsvar med regelverket. Valgte tiltak for sikring skal eventuelt endres og oppdateres.
  • Fortsatt behov for internkontroll, rutiner og oversikt. Risikoer må vurderes.
  • Nytt krav om å ha oversikt over behandlingsaktiviteter (behandlingsansvarlig / databehandler). Skriftlig/elektronisk, tilgjengelig for Datatilsynet hvis de krever tilgang.
  • Krav om rutiner for å ivareta de registrertes rettigheter.
  • Den behandlingsansvarlige skal ha oversikt over en hel rekke med ting, og likeså må databehandler ha oversikt over en god del forhold. Se egne lister hos Datatilsynet.
  • Kravene til avviksbehandling, varsling og kontinuerlig arbeid med informasjonssikkerhet skjerpes:
    • Informasjonssikkerhet er en kontinuerlig prosess. Nye trusler dukker opp, ny teknologi, bransjenormer osv. Nye regler har mer konkrete beskrivelser av aktuelle tiltak og aktiviteter for å oppnå et tilfredsstillende sikkerhetsnivå.
    • Nye krav til avvikshåndtering og informasjon til de berørte foreligger.
    • Det blir strengere krav til varsling av sikkerhetsbrudd/avvik til Datatilsynet (72 timer).
    • Varsling av de berørte er det også nye regler for.
  • Protokoll over behandlingsaktiviteter skal utarbeides for alle virksomheter som behandler personopplysninger.

Kilde: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/virksomhetens-ansvar-etter-nytt-regelverk/

Vurdering av personvernkonsekvenser (DPIA, Data Protection Impact Assessment) etter nytt regelverk

Vurdering personvernkonsekvenser er kun obligatorisk dersom behandlingen sannsynligvis vil medføre en høy risiko for fysiske personers rettigheter og friheter. Risiko- og risikovurdering skal i så tilfelle gjøres sett med den registrertes perspektiv. Noen momenter:

  • Vurdering av personvernkonsekvenser: Blir en plikt i en del tilfeller ved innføring av nye systemer/ny teknologi tas i bruk.
  • Ansvarlig: Behandlingsansvarlig. Selve Oppgaven kan delegeres. Personvernombud (hvis slikt finnes) skal involveres (rådgivning), og likeså databehandler (hvis aktuelt).
  • Konsekvensvurdering skal gjøres før behandling av personopplysninger starter.
  • Behov eller ikke behov for konsekvensvurdering: Se Datatilsynet og deres kriterieliste.
    • Spesielt aktuelt/påkrevd ved automatiserte avgjørelser, systematisk overvåkning i stort omfang, sensitive personopplysninger er involvert, storskala behandling av personopplysninger, sammenstilling av datasett, overføring av data til land utenfor EU/EØS osv.
  • Vurderingenes innhold (personvernkonsekvenser) stilles det også noen konkrete krav til. Se Datatilsynet.
  • I enkelte tilfeller med høy risiko behov for forhåndsdrøftelse med Datatilsynet.
  • Risikovurdering versus vurdering av personvernkonsekvenser:
  • Risikovurdering av informasjonssikkerheten:
    • Risikoen for en virksomhet og dens behandlinger som adresseres.
    • Det gjøres en vurdering av risiko ved brudd på sikring av konfidensialitet/fortrolighet, integritet og tilgjengelighet + robusthet.
    • Fokus: Virksomheten og dens behandlinger.
  • Vurdering av personvernkonsekvenser:
    • Håndtere risiko for de registrertes rettigheter og friheter.
    • Den registrerte i fokus, konsekvenser for vedkommende.
    • Den registrertes perspektiv: Konfidensialitet/fortrolighet, integritet, tilgjengelighet. I tillegg: Åpenhet, mulighet til å gripe inn, kan ikke kobles.

Kilde: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/vurdering-av-personvernkonsekvenser/

Veileder om behandlingsgrunnlag

Behandlingsgrunnlag, det er her alt starter. For å være lovlig må behandling av personopplysninger ha et behandlingsgrunnlag, det være seg et samtykke, lovparagraf (hjemmel) eller nødvendig ut fra opplistede lovlige grunner. Spesielt strengt er dette for sensitive personopplysninger. Kjekt å ha-forhold til personopplysninger er ikke et lovlig behandlingsgrunnlag.

Kilde, hvor det står mer om lovlige/gyldige behandlingsgrunnlag: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/veileder-om-behandlingsgrunnlag

Det finnes også en veileder rundt hvordan lage bransjenorm (atferdsnorm) etter nytt regelverk. Nyhet mai 2018 er at veilederen til databehandleravtale er klar.

Hele pakken eller lista med veiledere som det norske Datatilsynet har laget til: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/

Verdt å sjekke ut: Se punktliste / forenklet oversikt med tittelen: “Nye personvernregler fra 2018. Hva betyr det for din virksomhet?” Lenke:

I juli 2017 ble ny lov om behandling av personopplysninger sendt ut på høring, med høringsfrist 16. oktober 2017. Uoffisiell norsk oversettelse av personvernforordningen følger med i bunken, samt høringsnotat inkludert utkast til lov om behandling av personopplysninger (personopplysningsloven) tilpasset forordningen.

I utsendelsen fokuseres det blant annet på (sitat):

I dag sender Justis- og beredskapsdepartementet ut forslag til ny lov om behandling av personopplysninger på høring.

Forslaget bygger på EUs nye personvernforordning og vil føre til et mer enhetlig regelverk i Europa. Det vil dermed bli enklere både for personer og bedrifter å forholde seg til lovgivning i, og til å få gjort sine rettigheter gjeldende i, hele EU/EØS. Regelverket er også bedre tilpasset den teknologiske utviklingen.

Lovforslaget og forordningen viderefører hovedprinsippene i gjeldende lov. Det er likevel enkelte endringer, blant annet:

  • Den registrertes rettigheter er styrket på flere punkter. Blant annet innføres en ny rettighet for registrerte til å motta personopplysninger om seg selv og overføre disse fra en tjenestetilbyder til en annen (dataportabilitet).
  • Det innføres plikt til å ha personvernrådgiver for offentlige myndigheter og for visse private behandlingsansvarlige.
  • Dagens melde- og konsesjonsplikt for behandling av personopplysninger bortfaller. Den erstattes med en plikt for den behandlingsansvarlige til selv å utrede personvernkonsekvenser og rådføre seg med Datatilsynet dersom konsekvensutredningen viser at behandlingen medfører høy risiko for personvernet.
  • Datatilsynet får mulighet til å ilegge vesentlig høyere overtredelsesgebyr og departementet foreslår derfor at overtredelser av loven ikke lenger skal være straffbare.
  • Det innføres en mer effektiv tilsynsordning på europeisk nivå, ved at behandlingsansvarlige med virksomhet i flere stater bare skal forholde seg til én tilsynsmyndighet i EU/EØS.

Kilde: Regjeringen.no: Ny lov om behandling av personopplysninger på høring – pressemelding

 

Et irritasjonsmoment knyttet opp mot GDPR-innføringen er alle dem som ønsker å gjøre god business (butikk) på innføringen. Mange firmaer og konsulenter står klare med sine tips og råd til blodpriser. De kjører på med skremselspropaganda og skor seg virkelig på innføringen gjennom å drive oversalg av sine “fantastiske” tjenester og kompetanse. Det høres ut for at alt vil gå skeis hvis ikke dyre konsulenter, konsulenttjenester, jurister og IKT-revisorer leies inn.

Direktoratet for e-helse har en del nyttig informasjon om EUs personvernforordning (GDPR), inkludert verktøy for implementering. Diverse maler for kartlegging og analyse er tilgjengelig. Se også Normen for mange nyttige tips.

Mange bruker tiden til GDPR feil

Henrik Dagestad i BDO hevder at mange bruker den knappen tiden til innføring av GDPR feil. Hans korte og greie liste om hva man bør fokusere på fram til den nye personopplysningsloven trer i kraft:

  1. Skaff deg oversikt over hva som faktisk klassifiseres som personopplysninger, og kartlegg hva dere reelt sett behandler av personopplysninger i virksomheten.
  2. Finn ut hvilken rett dere har til å behandle personopplysningene. Ikke fokuser utelukkende på samtykke, men vurder også andre rettslige grunnlag virksomheten kan ha til å behandle personopplysninger.
  3. Gjennomfør en risikovurdering. Vurder verst tenkelige tilfeller, og ta en ærlig gjennomgang av hvilke mulige konsekvenser det kan få for personvernet til den enkelte hvis personopplysningene kommer på avveie, plutselig ikke er tilgjengelige eller ikke er oppdaterte.
  4. Ta en vårrengjøring. Lag gode rutiner, og kvitt deg med alle data som inneholder personopplysninger du ikke kan eller bør lagre.

Kilde: “Computerworld: Mange bruker tiden til GDPR feil” og “BDO blogg (Henrik Dagestad): 100 dager igjen: Slik bør du jobbe med GDPR-innspurten”.

 

Alt som har å gjøre med GDPR, personvernforordningen og personvernet generelt er omfattende greier! Sannelig ikke lett å vite hvor man skal starte og slutte, og det er mye jus-stoff inni bildet. Prosessen kan også være svært tidkrevende. Det mest sentrale er vel å tenke på slike forhold:

  • Kartlegge hvilke behandlinger av personopplysninger som gjøres, og utarbeide behandlingsprotokoller
  • Utarbeide og publisere personvernerklæringer
  • Utarbeide og gjøre kjent personverninstrukser (intern opplæring)
  • Gjøre kjent og ha rutiner for innsyn og andre rettigheter (eksterne, den registrerte)
  • Få orden på databehandleravtaler og systemoversikt
  • Teknisk og organisatorisk sikkerhet
  • Foreta DPIA (vurdering av personvernkonsekvenser for den registrerte) + risikovurderinger
  • Få nødvendige samtykker på plass
  • Ta seg av og dokumentere personvernbrudd

Lista ovenfor er inspirert av en opplæringsvideo fra Sureway. Jeg skal ikke drive direkte reklame her i dette innlegget, men jeg tror nevnte leverandør ikke tar for store ord i sin munn når de hevder å ha den komplette personvernløsningen. De har utviklet en samling med nesten-ferdige maler og andre hjelpeverktøyer (alt web-basert, med tegning av abonnement) for å få personvernet (GDPR) på stell i bedriftsammenheng. Ifølge dem er behandlingsprotokoller selve hjertet i personvernet.

Personvernerklæring

I forbindelse med nettsider og andre løsninger og systemer for behandling av personopplysninger kommer begrepet personvernerklæring inn som et sentralt begrep. Personvernerklæring blir også enda viktigere etter den nye personvernforordningen trer i kraft. Første skritt er å skaffe seg oversikt over hvilke behandlinger (behandlingsprotokoller) av personopplysninger som blir foretatt.

Ifølge Datatilsynet bør en personvernerklæring inneholde opplysninger av følgende type:

  1. Hvem er behandlingsansvarlig?
  2. Hva er formålet med behandlingen av personopplysninger?
  3. Hva er det rettslige grunnlaget?
  4. Hvilke personopplysninger behandles?
  5. Hvor hentes opplysningene fra?
  6. Er det frivillig å gi fra seg opplysningene?
  7. Utleveres opplysningene til tredjeparter?
  8. Hvordan slettes og arkiveres opplysningene?
  9. Hvilke rettigheter har den registrerte og hvilket lands lovverk gjelder?
  10. Hvordan sikres opplysningene?
  11. Kontaktinformasjon.

Kilde: “Datatilsynet: Hva skal personvernerklæringen inneholde?” (side har blitt fjernet).

I stedet for den nå fjernede informasjonen fra Datatilsynets nettside om personvernerklæring kan veilederen “Informasjon og åpenhet” være av interesse. Der står det blant annet ramset opp hva virksomheten skal gi informasjon om:

  • Om virksomheten (kontaktdetaljer/kontaktinformasjon m. m.)
  • Om behandlingen (personopplysninger som behandles, formål, behandlingsgrunnlag osv.)
  • Om forholdet til andre virksomheter (eksterne mottakere av personopplysninger osv.)
  • Om den enkeltes rettigheter (innsyn, sletting, begrensning, dataportabilitet og å protestere. Samtykke, klagemuligheter osv.)
  • Om automatiserte individuelle avgjørelser
  • Om nye formål
  • Om konsekvenser (spesielt viktig hvis det foreligger en særskilt risiko for den enkeltes rettigheter og friheter)
  • Om endringer (varsling m. m.)

Det er ikke noen helt spesifikke formkrav av typen hvordan ting skal gjøres i detalj for å få distribuert informasjonen. Personvernerklæring kan være en måte.

I jobbsammenheng pr. desember 2021 (Kinn kommune) har vi så vidt kommet i gang med å få gjort klar behandlingsprotokoller og personverkerklæringer i et fastlagt format, hvor personvernerklæringene – nærmere 200 stk. – på sikt også vil bli liggende offentlig tilgjengelig. Samsvar personvern (Sikri) er til god hjelp i vårt arbeid. Diverse IT-systemer har også internt blitt risikovurdert (ROS), og personvernkonsekvenser (DPIA) har blitt vurdert der det har vært behov for slikt.

Denne bloggen er en privat/personlig blogg og er ikke pålagt å ha en personvernerklæring eller tilsvarende. Likevel har jeg laget meg en noe forenklet personvernerklæring.

Undersøkelse om sikkerhet

Norsk Informasjonssikkerhetsforum (ISF) har ifølge Digi.no gjennomført en undersøkelse om sikkerhet. Et bra og beskrivende sitat fra denne undersøkelsen er:

  • Roten til god sikkerhet ligger ofte mellom ørene på de ansatte.

Den menneskelige faktor, sikkerhet og trender

Den menneskelige faktor i form av ansatte er sentral for å oppnå god informasjonssikkerhet. Aktuelle tiltak kan være opplæring, bevisstgjøring, etablering av prosesser/rutiner og risikovurderinger. Ansattes sikkerhetskultur og sikkerhetstankegang må opparbeides i form av blant annet økt kompetanse og bevisstgjøring. Informasjonssikkerhetskultur og god netthygiene må opparbeides. Gode holdninger, kunnskaper og rutiner er sentralt.

Ansatte må få opplæring og bevisstgjøring rundt dette som har med informasjonssikkerhet og personvern å gjøre. Det må foreligge både gode rutiner og ikke minst holdninger på sikkerhetsområdet. En kritisk suksessfaktor for sikkerhetsarbeid kan ofte være dette at sikkerhetsarbeidet har forankring i ledelsen. Personvern og informasjonssikkerhet blir aldri bedre enn det svakeste leddet.

Det kan hevdes at Norge er Europamestere i naivitet. Vi har et tillitsbasert samfunn. Datakriminelle har store muligheter til å kunne lure oss når vi står der med nisselua godt dratt ned over ørene. Ofte spiller de kriminelle på følelser, fristelser, frykt og tillit, noe som gjør av vi i vår naivitet går på deres limpinne.

Informasjonssikkerhet og personvern består selvsagt av en teknisk faktor også. Det er sentralt med gode brannmurer og å holde programvare og andre IKT-systemer oppdaterte (patchet). Eventuell soneinndeling av nettet og kun tjenstlige tildelte rettigheter/rettighetskontroll må det være orden på.

Cybersikkerhet har jeg skrevet noen ord om i min andre artikkel om personvern. Å lage til gode systemer for cybersikkerhet for å beskytte seg mot cybertrusler kan gå på kompromiss med personvernet. All teknologi (infrastruktur, utstyr m. m.) vi omgir oss med og som er knyttet opp mot nettet gjør oss ekstremt sårbare for trusler og angrep. For å beskytte oss innføres overvåkning og loggføring, som igjen i verste tilfelle kan true personvernet.

En utfordring på bedriftsnivå er bruken av skygge-IT/IKT i bedrifter. Med skygge-IT/IKT tenkes det på IKT-løsninger som har blitt tatt i bruk uten tillatelse fra IKT-avdelingen. Typisk har det heller ikke blitt utført skikkelige risikovurderinger før slike systemer tas i bruk. F. eks. finnes det masse kjekke skytjenester, hvor mange av dem også er gratis i bruk (reklamefinansierte). Ukritisk bruk av skygge-IKT kan utsette virksomheten for sårbarhet og angrep utenfra. Bedriftssensitive data kan komme på avveie, og bruken kan kompromittere virksomhetens IKT-systemer. I verste tilfelle kan bruken av skygge-IKT medføre tap av tid, penger, omdømmetap og alvorlige datatap. Gode retningslinjer som følges kan motvirke at skygge-IKT blir et problem.

Teknologien har gjort oss fremmedgjort. Det er mange ledd og verdikjeder der vi kun har delvis oversikt over hva som skjer. Den digitale sårbarheten er allerede stor, og den blir ikke mindre i tiden framover. Personvernet er under et enormt teknologisk press.

Noen trender i årene framover vil være: Digitalisering, “Big data”, “Internet of Things” (IoT) / Tingenes Internett, kunstig intelligens/ “Artificial Intelligenc” (AI), roboter og kryptering. All denne nye teknologien vil ha personvernmessige sider samt sårbarhet og informasjonssikkerhet knyttet opp mot seg. Ellers vil økt bruk av skytjenester og trenden med BYOD også medføre at det er masse å gripe tak i på sikkerhetsområdet. Utfordringene blir ikke akkurat mindre i tiden som kommer.

I forbindelse med bedrifters offshoring og/eller outsourcing (utkontraktering) av IKT-drift kan det oppstå noen ekstra utfordringer rundt personvern og informasjonssikkerhet. Det blir vanskelig å ha full oversikt over verdikjeden, og det kan finnes utro tjenere eller dårlige (og ukjente) ledd i kjeden. Enkelte land har dessuten et slappere forhold til personvern enn f. eks. det Norge har.

Det er vel grunn til å tro at store datasenter er mer utsatt for forsøk på datainnbrudd enn det enkeltbedrifter normalt sett er. Store senter blir mer fristende mål for hackere. På den annen side kan man håpe og tro at store datasentre tilbyr proff drift, overvåkning og sikkerhet.

Opprettelse av flere CERT-grupper vurderes her i landet. Slike “blålys-grupper” kan være et viktig bidrag i kampen mot datakriminalitet. CERT er ifølge Wikipedia en forkortelse for “Computer emergency response teams” og er ekspertgrupper som håndterer større IKT sikkerhetshendelser.

I en kronikk om IT-sikkerhet publisert på Digi.no tar Maria Bartnes og Erlend Andreas Gjære, SINTEF, tak i noen sentrale problemstillinger. Tittelen på kronikken er “Unyttig å gi de ansatte skylden for dårlig IT-sikkerhet”. Noe av innholdet fritt gjengitt er dette:

Dårlige brukeropplevelser tvinger IT-brukere til å ta risikable valg. Man omgår sikkerhetsreglene pga. reglene er vanskelige å etterleve og gir dårlig brukeropplevelse. Velmente sikkerhetstiltak kan komplisere IKT-bruken såpass mye at brukerne finner veier rundt tiltakene og rutinene, som igjen går på kompromiss med sikkerheten. Føyer til for egen regning: Altså det evige dilemmaet mellom brukervennlighet/enkelhet kontra sikkerhet.

Det er viktig å forstå brukerne og at sikkerhetstenkningen kan være et hinder i hverdagen. Gode funksjonelle systemer gir positivt innstilte brukere som dermed også blir mer mottakelig for opplæring rundt IKT og sikkerhet.

Det nevnes også viktigheten for samspill mellom mennesker, organisasjon og teknologi. Eller som jeg lærte under studietiden: PSO-utvikling (personutvikling, systemutvikling og organisasjonsutvikling).

Korona / COVID-19

I forbindelse med denne spesielle situasjonen våren 2020 har det i en del tilfeller blitt lempet litt (midlertidig) på reglene rundt personvern. Likevel er det bekymringsfullt å se hvor fort offentlige virksomheter, næringslivet og enkeltpersoner hopper på nye og ukjente systemer, uten at det i det hele tatt tenkes på databehandleravtaler, risiko- og sårbarhetsanalyser (ROS-analyse) og vurdering av personvernkonsekvenser (DPIA). Krisen eller pandemien medfører at man finner kjappe og nye digitale løsninger uten å foreta grundige vurderinger relatert til informasjonssikkerhet og personvern.

Bruken av Google Analytics

Selv nyttiggjør jeg meg av Google Analytics, men i hvert fall for virksomheter kan bruk av denne tjenesten for analyser og besøksstatistikk være ulovlig:

I lenken står det å lese: «Bruk av Google Analytics kan være ulovlig | Cookie-løsningen sender persondata til USA, konkluderer ferske vedtak. – Det er vanskelig å se hvordan bruk av Google Analytics kan være lovlig, sier Datatilsynet og anbefaler norske virksomheter å se etter alternativer.»

Ifølge artikkel i Dagens Næringsliv 18.01.2022: “Kroken på døren for Google Analytics i Europa? | Ip-adresser, nettleserparametere og pseudonymisert cookie-informasjon til analyseformål er personopplysninger, konkluderte det østerrikske datatilsynet før helgen.”

Ny status sommeren 2023:

TikTok- og Telegram

Det stormer rundt bruken av TikTok- og Telegram våren 2023, og da spesielt innenfor jobbsammenheng.

Mange har fått panikk relatert til informasjonssikkerheten og personvernet knyttet opp mot de sosiale mediene TikTok (kinesisk opprinnelse) og Telegram (russisk opprinnelse) våren 2023. Et relativt stort antall organisasjoner og myndighetsorganer i Norge totalforbyr bruken av de to tjenestene for sine ansatte.

Hva er bekymringsfullt eller farlig med TikTok:

  • De registrerer enorme mengder med persondata (mer enn de fleste andre tjenester!), og dette er noe man samtykker til når man tar tjenesten i bruk.
  • Kinesisk opprinnelse, noe som også medfører berettiget frykt for at informasjonen deles med de kinesiske myndighetene. Overvåkning, etterretning og spionasje er jo Kina og kinesiske myndigheter “flinke” på i utgangspunktet!
  • Kinesiske firma er normalt sett forpliktet til å rapportere og å ha tette bånd overfor kinesiske myndigheter (kommunistledelsen). Det er berettiget grunn til å frykte at masse personopplysninger fra Vesten kommer myndighetene “for øret”.

Hvis man ønsker å bli litt “mørkredd” relatert til informasjonssikkerheten forbundet med de to tjenestene kan denne dokumentaren på det sterkeste anbefales:

Verdt å lese:

Enkelte arbeidsgivere tar virkelig grep:

Ifølge fylkeskommunen ønsker de ikke sameksistens mellom TikTok og interne IKT-systemer på de samme mobiltelefonene. Enten må TikTok fjernes, eller så må tilgangen på interne systemer (e-post, Teams m. m.) fjernes fra private enheter.

Telegram har jeg liten kjennskap til, men bekymringen der er primært knyttet opp mot at tjenesten har russisk opprinnelse. Russland med sin invasjon av Ukraina er ikke akkurat godvenner med Vesten for tiden, og russerne har vist at de i liten grad bryr seg om internasjonale avtaler, samtidig med at de kjører på med ekstrem grad av etterretning, overvåkning og spionasje. Putin & Co. utviser også stor grad av et autoritært og egenrådig styresett.

Min mening: I jobbsammenheng – via virksomhetens IKT-utstyr og/eller virksomhetens nettverk – bør tjenestene nok forbys totalt pga. all usikkerhet knyttet opp mot personvernet og informasjonssikkerheten. Som privatpersoner med eget privat-personlig utstyr bør man tenke seg godt om før man tar slike “invaderende” tjenester i bruk.

Vi velger å gå til “krig” mot sosiale medier (SoMe) med opprinnelse i Kina og Russland. De amerikanske (og eventuelt europeiske) lar vi (stort sett) være i fred! Det har vel mye å gjøre med venn- og fiende-bildet. Vi ser på russerne (Telegram) og kineserne (TikTok) som “fiender” av Vesten, og dermed forbyr vi teknologi og løsninger fra dem. Imidlertid er det ingen tvil om at både “big tech”-firmaene Google, Facebook, Apple og Microsoft samler inn uhorvelige mengder med informasjon og personopplysninger. Det er vel også mye mer “krevende” (les: tilnærmet umulig, pga. vår store avhengighet) å koble seg fra amerikansk teknologi og USA-baserte løsninger.

NSM (Nasjonal sikkerhetsmyndighet) på sin side uttrykker en viss skepsis også mot de sosiale mediene, ifølge Digi.no:

  • “Sikkerhetsmyndigheten går faktisk så langt at de anbefaler at man ikke bør ha noen sosiale medier installert på tjenesteenheten, dersom det ikke er reelt behov for det. Trenger man sosiale medie-apper, skal man ha en egen enhet for det.”

Dette står å lese i denne artikkelen fra Digi.no:

Andre lover

Straffeloven er selvsagt også av interesse når det gjelder personvern og eventuelle datainnbrudd hvor gjerningsmann blir tatt eller tilsvarende. Lov om opphavsrett til åndsverk mv. (åndsverkloven) kan også komme til anvendelse i enkelte tilfeller, og likeså diverse særlover.

Innenfor det offentlige er man vant til å forholde seg til § 13 i offentlighetsloven og i forvaltningsloven. Disse paragrafene omhandler taushetsplikt (nynorsk: teieplikt). Lenker til paragrafene:

Ny sikkerhetslov

Ny sikkerhetslov med forskrifter skal etter planene ikraftsettes fra 1.1.2019. Denne loven vil i høyeste grad ha innvirkning på bedrifters tenkning rundt informasjonssikkerhet og tilgjengelighet, noe som er nært beslektet med personvern som denne artikkelen omhandler. Hensikten med loven er å ivareta nasjonale sikkerhetsinteresser, inkludert sikring av all digital infrastruktur innenfor samfunnskritiske områder.

Loven vil trolig omfatte tjenester der tilgjengeligheten er viktig for grunnleggende nasjonale samfunnsfunksjoner og samfunnsviktige tjenester, f. eks. strøm, vannforsyning, helse, olje, gass, betalingsformidling, samferdsel, forsvar m. m. I tillegg videreføres beskyttelsen av gradert informasjon fra dagens lov. Loven vil blant annet gjelde for offentlig virksomhet (stat, fylke, kommune), og også private aktører vil i en del tilfeller bli underlagt lovverket.

Det er viktig med sikring av digital infrastruktur, og ikke bare fysiske enheter (bygg og infrastruktur). Den nye loven er bedre tilpasset dagens digitale virkelighet og sårbarheten pga. IKT enn den gamle loven. Det er mer konkrete krav til sikringen enn i tidligere lov.

En utfordring med den nye loven er at den legger opp til en ikke-samordnet beslutningsstruktur. Det gis rom for at de enkelte departementene selv kan vurdere hva som er sikkert nok innenfor sitt område. Dette kan potensielt medføre ulikheter mellom de ulike sektorene og departementene.

Noen lenker om sikkerhetsloven:

Avslutning

Dette var bare en liten touch borti et svært og omfattende tema. Temaet kan oppleves som noe tungt og kjedelig, men egentlig burde det være av interesse for flere. Konsekvensene som kan oppstå ved krenkelser av personvernet og dårlig informasjonsikkerhet er såpass store og uønskede at man bør ta tak i problematikken. Økt bevissthet kan medføre at man kan forhindre enkelte av sikkerhetstruslene fra å inntreffe. Dokumentasjon og rutiner i form av internkontroll er første skritt på veien for å sikre forsvarlig behandling av personopplysninger. Neste skritt er etterlevelse av rutiner og at alle ansatte virkelig følger dem (ikke selvsagt), samt avvikshåndtering.

Mer: Kortversjon/oppsummering – Personvern, informasjonssikkerhet og internkontroll, ikke tilpasset GDPR (PDF, 0,7 MB).

Lenker:

image_printUtskriftsvennlig versjon
Del dette:
Tagged , , , , , , , , , , , , , , , , , , , , .Bokmerk permalink.

Om Bjørn Roger Rasmussen

Ta en titt på undersiden "Om bloggen" for mer informasjon om bloggforfatter. Les ellers mer om meg, Bjørn Roger Rasmussen (BRR), på min personlige nettside: https://www.brr.no/

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

  • Spamkommentarer blokkert