HTTPS tatt i bruk for *.brr.no

Blogging

De av nettsidene mine som ligger lagret på webhotellet til Domeneshop OG nettsidene som kjøres fra min PC har blitt lagt om til å benytte seg av HTTPS. Dette inkluderer også denne bloggen. Sertifikat-løsninger: ZeroSSL UnoSSL FreeSSL PunchSalad Free SSL Certificate Generator (Let’s Encrypt SSL-sertifikater) for web.brr.no + Let’s Encrypt for www.brr.no, hvor sistnevnte ifølge Domeneshop er en en gratis, automatisert og åpen sertifikatleverandør som utsteder enkle SSL-sertifikater.

I “gamle dager” ville jeg ha sagt at å besøke mine nettsider nå er trygt som banken. Beklageligvis viste det seg at bankene likevel ikke var så trygge, og det kan godt tenkes at det samme gjelder for HTTPS. Støtt og stadig oppdages det ulik sikkerhetshull.

Uansett: Jeg har i hvert fall gjort et forsøk på å øke sikkerheten på kommunikasjonen mot mine nettsider.

Nettsidene på web-hotellet starter nå på https, slik at min hovedside etter omleggingen lyder adressen https://www.brr.no/ Denne bloggen kan nås direkte på adressen https://blogg.brr.no/ eller https://www.brr.no/wordpressbrr/ Det nye er altså s-en etter http i adressen.

https://www.brr.no/

I etterkant har Google i sin Chrome-nettleser tatt bort den grønne hengelåsen og teksten “Sikker”, og gjort det noe mer “grått og kjedelig” (grå hengelås, og ikke noen tekstforklaring):

Ny utgave: https://www.brr.no/

 

Når man besøker ikke-sikre nettsteder (http, og ikke https) “liker” i hvert fall ikke Chrome-nettleseren dette noe særlig godt:

Ikke sikkert nettsted (tilhører ikke meg).

 

I nyere versjoner av Chrome nettleser har det blitt noe vel nedtonet dette med sikker tilkobling:

Chrome nettleser, sikker tilkobling.

 

Ingen hengelås synlig før man har trykket på symbolet til venstre for adressefeltet. Imidlertid vises det noe tydeligere – og i klartekst – når oppkoblingen ikke er sikret i det hele tatt:

Chrome ikke sikker.

 

Hva er HTTPS da? Ifølge Wikipedia:

  • Hypertext Transfer Protocol Secure (HTTPS) er en sikrere utgave av HTTP, som er kommunikasjonsprotokollen til World Wide Web.

Kilde: https://no.wikipedia.org/wiki/HTTPS

TLS/SSL: Transport Layer Security (TLS) og dens forgjenger Secure Sockets Layer (SSL) er kryptografiske protokoller som tilbyr sikker kommunikasjon på Internett for nettlesing, e-post, lynmeldinger og andre dataoverføringer. Det er små forskjeller mellom SSL og TLS, men de er hovedsakelig like.

Kilde: https://no.wikipedia.org/wiki/Transport_Layer_Security

HTTPS (SSL) er sikrere enn vanlig HTTP i og med at alt innholdet som blir sendt og mottatt mellom server og sluttbrukers utstyr er kryptert (kryptert forbindelse). Omleggingen skal bidra til å gjøre det vanskeligere med avlytting, noe som høyner sikkerheten i kommunikasjonen. Problemene med “tyvlytting”, forkludring og meldingsforfalskning blir forhåpentligvis eliminert bort. Ellers er vel bruk av HTTPS en rangeringsfaktor (gir høyere score) hos Google sin søkemotor.

SSL og HTTPS

Nå er det jo ikke fullt av sensitive data, persondata eller datautveksling relatert til min blogg. Dermed har det ikke vært ekstremt viktig eller høyprioritert å få den sikret. Likevel kan det være greit nå endelig å ha på plass en sikrere løsning enn den jeg har hatt fram til nå.

I etterkant har jeg også fått aktivert HTTPS på mine testsider som ligger lagret på min private PC. Ny hovedadresse til disse sidene er https://web.brr.no/

Kryptering (SSL/TLS), sertifikat og https, via Android og Chrome nettleser pr. 05.02.2021 – web.brr.no.

 

Let’s Encrypt “på direkten” passer ikke så bra sammen med web.brr.no, i og med at jeg kjører på en Windows-host (Windows 10 klientmaskin) i eget hjem og ikke på en Linux-server. Det lar seg ikke sånt uten videre lett å skripte med automatisert fornyelser av sertifikat (Shell-aksess) osv. Direkte kobling og oppsett mot Let’s Encrypt har altså ikke blitt valgt her, og løsningen sees også på som ganske så uaktuell. (Men UnoSSL som jeg snart kommer til bruker deres sertifikater!)

For å få ordnet det praktiske rundt utstedelse av sertifikatfiler har jeg benyttet meg av ZeroSSL og deres “Create Free SSL Certificate”, en løsning som lett lar seg kombinere med XAMPP. Som gratisbruker må jeg manuelt fornye sertifikatet hver 90. dag. Tidligere nyttiggjorde ZeroSSL seg av sertifikater fra Let’s Encrypt, men nå har de visstnok begynt med å utstede sine egne sertifikater (ZeroSSL RSA Domain Secure Site CA).

Kryptering, sertifikat og https, via Firefox nettleser (Windows) pr. 05.02.2021 – web.brr.no.

 

Oppdatering pr. 04.02.2021: “Oppholdet” hos ZeroSSL ble ikke langvarig. Når de nå “truer” med en årlig regning på over kroner 800,- for sertifikatet er det lite aktuelt å fortsette hos dem. Web-sidene under web.brr.no er ikke-kommersielle hobbyprosjekter som ikke gir meg noen som helst inntekter, og å få “masse” utgifter på sertifikat frister ikke! Nå tester jeg ut bruken av gratis-tjenesten UnoSSL i stedet.

UnoSSL-tjenesten sin logo.

 

Oppdatering pr. august 2023: I en periode har UnoSSL vært utilgjengelig for bruk, noe som gjorde meg litt desperate i og med jeg hadde sertifikat som var i ferd med å løpe ut (for web.brr.no). FreeSSL ble redningen min i nøden, men jeg slet med å få sertifikat-kjeden riktig satt opp. I tillegg til FreeSSL måtte jeg ha litt hjelp fra tjenesten “What’s My Chain Cert?”. Kom i mål med fungerende løsning for sertifikat helt gratis, men om 90 dager er det på-an igjen! UnoSSL er forresten helt borte fra nettet – og nedlagt – pr. oktober 2023.

Ny oppdatering pr. oktober 2023: Jeg fikk tilsendt pr. ultimo oktober 2023 en e-post som informerte meg om at FreeSSL-sertifikatet lett kunne fornyes. Eksisterende 90-dagers-sertifikat var i ferd med å utløpe, men det kunne fornyes automatisk med en ett-klikk-valg. Men den gang ei, da beskrevet framgangsmåte for fornyelse endte med: “Renewal resource does not exist”.

Jeg prøvde å opprette nytt sertifikat fra starten av, men KOM IKKE I MÅL med dette heller! Klarte ikke å få verifisert domenenavnet, verken via e-post, DNS eller http filopplasting. Gav rett og slett opp denne tjenesten i denne omgang!

Redningen ble denne nettsiden, med lenke videre til nettside for gratis generering av “Let’s Encrypt SSL”-sertifikater:

Bingo! Førte fram til et fungerende resultat på første forsøk, og helt uten kluss med sertifikatskjeden!

UnoSSL, når det fungerte: Sertifikatene er av typen R3 – altså Let’s Encrypt sine. (Skiftet har ikke påvirket resultatene i SSL-testene. Fortsatt oppnås grad A og A+.)

Sertifikatinformasjon (SSL) for web.brr.no pr. 05.02.2021.

 

Her er et eksempel på bruk av sertifikat som har blitt utstedt via tjenesten FreeSSL:

Sertifikat utstedt via FreeSSL sin tjeneste.

 

Og “Let’s Encrypt”-sertifikat, generert via “PunchSalad: Free SSL Certificate Generator“:

Sertifikat av typen “Let’s Encrypt” pr. oktober 2023, visning via Mozilla Firefox nettleser.

 

Man kommer vanskelig utenom Let’s Encrypt sine tjenester – direkte eller indirekte – så lenge som det er snakk om gratis TLS/SSL-sertifikater:

Let’s Encrypt-logo.

 

Test av SSL-oppsett kan gjennomføres via nettsiden: Qualys SSL Labs: SSL Server Test.

SSL-rapport for web.brr.no pr. 07.09.2020.

 

Grad A pr. 05.02.2021 (både for www.brr.no og web.brr.no), som vel må være bra nok (maksimalt resultat som kan oppnås er A+)! En periode var jeg nede i graden B begge steder, pga. støtten for TLSv1 og TLSv1.1. Domeneshop har nå slått dette av, og likeså har jeg gjort. (Hvordan slå av støtten for de avdankede og usikre protokollene i XAMPP: \apache\conf\extra\httpd-ssl.conf, og SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 samt SSLProxyProtocol all -SSLv3 -TLSv1 -TLSv1.1 .)

Komplette tester av SSL pr. 05.02.2021:

Det er en stund siden nevnte dato i 2021, men også pr. september 2022 oppnår jeg samme testresultat (karakteren A) ved kjøring av SSL-rapport via nevnte tjeneste. Også likt resultat pr. medio april 2023. August 2023 – med bruk av sertifikat utstedt av FreeSSL – fikk jeg også samme resultat (A-grad). Likeså skjedde i oktober 2023 til tross for bytting av løsning nok en gang, hvor samme grad som tidligere ble oppnådd.

En annen test-tjeneste, som gir ca. samme resultater er ImmuniWeb: Web Server SSL Test. Resultat pr. 11.09.2020 for web.brr.no på A+ og likeså for www.brr.no. Det er masse slike testtjenester der ute på nettet, og tillegg til de to allerede nevnte føyer jeg til “Wormly: Test an SSL Web Server | Free SSL Web Server Tester“. Flere kunne sikkert ha vært føyet til, men det må da holde med tre slike i denne omgang.

Sikker tilkobling (Chrome nettleser, Windows), https, sertifikat og informasjonskapsler i bruk – blogg.brr.no.

 

Det var forresten omleggingen til HTTPS som var starten på bloggens “lille” havari. Hvis jeg på nytt skulle ha gjort omleggingen hadde jeg nok fulgt tipsene fra dette blogginnlegget:

Web-hotellet hos Domeneshop – www.brr.no – kan nås både via IPv4 og IPv6. Når det gjelder web.brr.no har jeg ikke åpnet opp for bruken av IPv6, så denne installasjonen svarer kun på IPv4-trafikk. Domenet brr.no har jeg vært i besittelse av siden sommeren 2001.

Sikker surfing!

(Les gjerne også bloggens personvernerklæring samt om bloggen. Muligens også av interesse: “Blogging generelt og litt teknisk om min blogg” og “Tekniske løsninger nettsider + Internett-linje“.)

Lenker:




Personvern, informasjonssikkerhet, internkontroll

Personvern

Dagens seriøse tema er personvern, informasjonssikkerhet og internkontroll på (primært) bedriftsnivå. Et tungt og kjedelig tema vil nok noen si, men jeg synes både det er interessant og relevant. Mange tar alt for lett på denne viktige tematikken, og kunnskapsnivået kan nok være ganske sviktende både blant privatpersoner og bedrifter.

Min videre vinkling i denne artikkelen er preget av at jeg er offentlig ansatt i kommunal virksomhet. Samtidig er jeg opptatt av og interessert i IKT og teknologiens muligheter. I jobben har jeg visstnok også en viss rolle innenfor temaet, i og med at jeg er utpekt til å være personvernrådgiver.

Å ha en del noe rigide regler og lover for personopplysninger og personvern kan til tider virke noe byråkratisk. Hensikten er imidlertid å unngå krenkelser av personvernet og å oppnå tilfredsstillende informasjonssikkerhet. Det er innimellom oppslag i media der rutinene har sviktet og personopplysninger har kommet uvedkommende i hende, noe som kan være veldig krenkende og ødeleggende for den som blir rammet. Datatilsynet er “vaktbikkja” som passer på at reglene blir fulgt og som blant annet kan utstede bøter ved lovbrudd.

Å samle på mange personopplysninger som ikke trenges bare pga. det er “kjekt å ha” dem er ikke lovlig. Det er også viktig å sikre tilfredsstillende informasjonssikkerhet slik at personopplysninger ikke kommer uvedkommende i hende, blir endret/slettet av uautorisert personell eller at opplysningene ikke er tilgjengelige for dem som virkelig trenger dem.

Informasjonssikkerhet og personvern. Kilde: Pixabay.

Hva er personvern?

For enkelte er muligens personvern et tvetydig eller nesten uforståelig begrep. Personvern har lite eller ingenting med fysisk vern av personer å gjøre. Det personvern omhandler er vern og beskyttelse av våre personopplysninger, hvor personopplysninger er opplysninger eller vurderinger som kan knyttes til identifiserbare enkeltpersoner.

Engelskspråklige har det noe lettere med et bra og beskrivende begrep for personvern. Der brukes begrepet “privacy” som i stor grad via selve ordet forteller hva det er snakk om. Muligens skulle vi ha hatt et klarere og tydeligere begrep enn personvern på norsk? Generelt er mange av diskusjonene innenfor personvern preget av mangel på klart språk. Det blir ofte mye “stammespråk” for spesielt innvidde.

Personvern går i grove trekk ut på å verne privatlivets fred, ha kontroll over våre egne personopplysninger og beskyttelse mot uønsket innsyn/misbruk. Alle virksomheter bør ha et bevisst forhold til sin omgang med personopplysninger for å kunne beskytte sine kunders eller tjenestemottakeres interesser innenfor personvern.

Ifølge Datatilsynet om hva er personvern: “Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger.” I tillegg kunne beskyttelse mot bruk av metadata ha blitt føyet til i tillegg.

Figuren nedenfor gir en liten pekepinn (ikke utfyllende eller komplett liste!) på hva som kan være personopplysninger som kan trenge et vern:

Personopplysninger og personvern: Alle opplysninger og vurderinger som kan knyttes til en (identifiserbar) enkeltperson trenger større eller mindre grad av vern / personvern.

 

En enda mer omfattende figur over et utvalg av aktuelle personopplysninger som kan bli behandlet:

Ulike former for personopplysninger (tjenesten Wordclouds.com benyttet til framstillingen av figur).

 

Regelverk

For en bedrift er det (heldigvis) ikke rett fram å igangsette utstrakt behandling av personopplysninger. Ofte foreligger det meldeplikt til Datatilsynet og i enkelte tilfeller også konsesjonsplikt. En del grunnkrav må være oppfylt før behandling av personopplysninger igangsettes: Behandlingsgrunnlag må foreligge, personopplysninger kan bare brukes til et uttrykkelig angitt og saklig formål (f. eks. lovpålagte oppgaver), tilstrekkelige og kun relevante opplysninger for formålet kan behandles, kun korrekte og oppdaterte opplysninger må benyttes og opplysningene slettes når det ikke lengre er bruk for dem. Å samle på mange personopplysninger som ikke trenges bare pga. det er “kjekt å ha” dem er altså ikke lovlig. Annen bruk av innsamlede personopplysninger (til annet formål) enn den tiltenkte er er normalt sett ikke lov.

Spesielt er reglene strenge rundt behandling av sensitive personopplysninger. Sensitive personopplysninger er informasjon om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, strafferettslige forhold, helseforhold, seksuelle forhold og medlemskap i fagforeninger.

Informasjonssikkerhet: Å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger. Informasjonssikkerhet skal ivareta noen hensyn:

  • Sikre personopplysningene konfidensialitet (hindre tilgang for uvedkommende)
  • Sikre personopplysningene integritet (hindre endring/sletting fra uautoriserte personer)
  • Sikre personopplysningene tilgjengelighet (sikre tilgjengelighet til enhver tid for dem som har rett til/behov for opplysningene).
  • Robusthet (virksomheters / organisasjoners og systemers evne til å gjenopprette normaltilstand).
  • I tillegg kan et punkt som heter overholdelse føyes til. Informasjonsbehandlingen (innsamling, behandling, bruk, formidling, lagring og/eller sletting) må skje i henhold til gjeldende lover og regler + forskrifter.

Forkortelsen for disse tre hensynene (de tre første) er enkelt og greit KIT.

Før GDPR: Regelverket på området var personopplysningsloven og personopplysningsforskriften.

En del plikter (for virksomhetene) og rettigheter (for den registrerte) følger av reglene. Ledelsen har et spesielt ansvar for at reglene blir etterfulgt og at nødvendige rutiner m. m. utarbeides. Mye av tankegodset fra tidligere regler er videreført og noe videreforedlet under GDPR.

PS! Ny “Lov om behandling av personopplysninger (personopplysningsloven)” har erstatte den gamle loven sommeren 2018. Samme dokument inneholder også forordningen på norsk:

  • “EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [GDPR]”

Det er også en egen “Forskrift om behandling av personopplysninger”.

GDPR som begrep “utgår” vel mer eller mindre på norsk. En mer passende betegnelse er: POLF. POLF = Personopplysningsloven med forordning.

Internkontroll

Personopplysningsloven stiller krav til internkontroll i form av planlagte/systematiske tiltak, rutiner og dokumentasjon som skal sikre etterleving av regelverket. For å få på plass lovpålagt internkontroll innenfor informasjonssikkerhet i egen virksomhet har Datatilsynet laget en omfattende malsamling som etter utfylling tilfredsstiller lovverket. Malene består av følgende hoveddeler:

  • Styringsdokument internkontroll med oversikt over personopplysninger som blir behandlet.
  • Ledelsens gjennomgang
  • Sikkerhetsmål- og strategi
  • Sikkerhetsorganisasjon
  • Rutiner for håndtering av personopplysninger
  • Risikovurdering (jf. ROS-analyser)
  • Sikkerhetsinstruks brukere
  • Informasjonshåndtering
  • Sjekkliste for nyansatte og ansatte som slutter
  • Taushetserklæring
  • Sikkerhetsinstruks leder
  • Sikkerhetsinstruks sikkerhetsansvarlig
  • Beskrivelse av informasjonssystemet
  • Driftsrutiner
  • Overordnet IT-beredskapsplan
  • Fysisk sikkerhet
  • Avvikshåndtering og egenkontroll
  • Avviksskjema
  • Egenkontrollsskjema
  • Rapport fra avvikshåndtering og egenkontroll med forslag til tiltak

Kilde: Datatilsynet, maler for internkontroll og informasjonssikkerhet (lenke fjernet da den var “død”). Ser ut for at GDPR-innføringen gjør denne veilederen overflødig/utdatert.

Å ha gode rutiner for internkontroll på personvernområdet er selvsagt også viktig under GDPR. Imidlertid er det mindre detaljerte formkrav til hvordan ting skal gjøres i praksis under det nye regimet. Datatilsynet har utarbeidet en ny veiledning rundt internkontroll og informasjonssikkerhet tilpasset GDPR, og her er det også et utvalg med maler og støtteverktøy.

Dokumentasjonen er oppdelt i styringsdokumenter, gjennomføringsdokumenter og kontrolldokumenter.

Det finnes masse begreper og definisjoner i dokumentasjonen fra Datatilsynet og i lovverket. Blant annet kan man lese om de ulike rollene m. m.: Behandlingsansvarlig, sikkerhetsansvarlig, systemeier/dataeier, databehandleravtaler etc. Mer informasjon om disse temaene er tilgjengelig via Datatilsynets nettsider.

Å få på plass gode rutiner rundt informasjonssikkerhet og internkontroll er ganske arbeidskrevende med masse dokumentasjon, rutiner m. m. som skal utarbeides, men det er likevel viktig å prioritere dette ikke minst for å få økt bevissthet rundt håndtering av personopplysninger og hvordan man kan hindre misbruk av dem. Brudd på tilliten og tap av omdømme pga. bedriften gjør seg skyldig i krenkelser av personvernet vil neppe de fleste bedrifter ønske å oppleve.

Overføring av personopplysninger til utlandet i disse outsouching-tider (utkontraktering) er ikke nødvendigvis helt rett fram hvis ting skal gjøres lovlig. Stort sett går det greit å overføre til andre EU/EØS-land eller land som Europakommisjonen har godkjent. Tidligere gikk det også greit å overføre til USA via “Safe Harbor”-beslutningen, men nå er denne kjent ugyldig av EU-domstolen. EUs standardkontrakt kan visstnok benyttes i stedet og Datatilsynet skal varsles. I etterkant har Privacy Shield”-avtalen (avtale mellom EU og USA om overføring av personopplysninger fra Europa og USA) erstattet den ikke-gyldige “Safe Harbor”-avtalen. Imidlertid har Privacy Shield-avtalen også blitt erklært ugyldig av EU-domstolen sommeren 2020.

USA sin lov CLOUD Act (Clarifying Lawful Overseas Use of Data Act) fra 2018 er en utfordring for personvernet for oss i Norge og Europa. Loven innebærer at amerikanske myndigheter får full tilgang til alle data som lagres i skytjenester eid av amerikanske selskaper, også her i Europa. Med en gang det er snakk om noe som muligens kanskje kan innebære ulovligheter kan amerikanske myndigheter igangsette etterforskning, overvåkning og gå gjennom våre data. F. eks. rammer dette tjenester slik om OneDrive, Azure og sosiale medier (SoMe) med amerikansk opphav/eierskap. Loven ignorerer og hopper helt bukk over GDPR.

Amerikanske selskaper med europeiske servere kan altså komme i sterk “skvis” mellom amerikansk lovgivning i form av “Cloud act” og europeisk lovgivning i form av GDPR. Myndighetene i USA kan kreve at amerikanske tilbydere (selskaper) av skytjenester må utlevere data, uavhengig av hvor i verden dataene er lagret og selv om dataene omhandler europeiske og ikke amerikanske statsborgere.

Dette kan f. eks. ramme nordmenn hvis de av amerikanske myndigheter blir mistenkt for å ha gjort noe i strid med amerikansk lovgivning, hvor data blir krevd utlevert til amerikanske myndigheter fra sky-maskinene i et europeisk land. Utlevering av data til USA vil være påkrevd i henhold til Cloud act, men i strid med GDPR. Et amerikansk selskap vil selvsagt adlyde sine myndigheter i USA mer enn myndighetene i EU.

Ifølge Apple-topp Tim Cook mangler USA noe tilsvarende som Europa og EU sin GDPR (General Data Protection Regulation, ny personopplysningslov / personvernforordning). Personopplysninger brukes som en lukrativ handelsvare, og som våpen mot oss med militær presisjon og effektivitet. Overvåkning finner sted med profitt som mål.

Våren 2017 har det vært en del snakk om gamlingen med helseopplysningene til Helse Sør-Øst (HSØ). I forbindelse med utkontraktering (utflagging av IKT-driften) har ca. 110 utenlandske IT-arbeidere uten tjenstlig behov hatt full tilgang på sensitive personopplysninger (helseopplysninger). Sensitive personopplysninger i form av pasientjournaler tilhørende 2,8 millioner nordmenn har vært tilgjengelige for IT-arbeider i blant annet India, Bulgaria og Malaysia. Enkelte betegner dette som en total katastrofe for personvernet.

Datatilsynet har funnet alvorlige lovbrudd og utstedt millionbøter etter Helse Sør-Øst sin outsourcing-skandale. Det meste har gått galt i prosessen, og alt tyder på at informasjonssikkerhet og personvern har vært sterkt nedprioritert underveis. Det stilles kritikk blant annet rundt manglende risikovurderinger, manglende sikkerhetsledelse, pulverisert ansvar og en ikke-forankret utkontraktering.

Et godt utgangspunkt innenfor informasjonssikkerhet er å stille spørsmålet: Hva er du redd for?

Det er viktig å ha oversikt over hvilke personopplysninger som behandles av virksomheten. Ut fra denne oversikten kan det foretas risikovurderinger. Steder med store risikoer og med stor sannsynlighet for avvik kan tiltak utarbeides og igangsettes.

Normen, Feide, bøter, arkivloven og KiNS

Til hjelp i arbeidet med å få på plass internkontroll eller styringssystem for informasjonssikkerhet kan “Normen” være til god hjelp. Fra nettsiden til Normen har jeg “sakset” følgende: “Hva er Normen? Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren (Normen) er et omforent sett av krav til informasjonssikkerhet, basert på lovverket, og er utarbeidet av representanter for sektoren. Alle aktører i sektoren som er tilknyttet Norsk Helsenett, er avtalerettslig forpliktet til å følge Normen.”

Kilde: www.normen.no

Selv om hovedfokuset til Normen er helse- og omsorgssektoren har det blitt gjort masse bra arbeid der som også andre sektorer kan ha nytte av. I tillegg til å ha foretatt tolkninger og konkretisering av lovverket på helse- og omsorgsområdet tilfredsstiller Normen de krav som stilles i personopplysningsloven og personopplysningsforskriften i forbindelse med personvern og informasjonssikkerhet.

Parallelt med “Normen” som er opptatt av informasjonssikkerhet i helse-, omsorgs- og sosialsektoren finnes det noe liknende innenfor utdanningssektoren. Der finnes Feide, som en er forkortelse for Felles Elektronisk IDEntitet. Feide er et system for sikker identifisering i utdanningssektoren. For å kunne ta i bruk og “koble seg på” Feide kreves det inngåelse av en kontrakt. Vertsorganisasjonen må tilfredsstille en del krav (behandling av personopplysninger, IKT-reglement, teknisk løsning, førstelinjesupport) for å kunne ta i bruk Feide. Det har blitt tenkt på sikkerhet i Feide-løsningen.

Jeg har fått med meg at min tidligere arbeidsplass, Eigersund kommune, fikk besøk og kontroll av Datatilsynet våren 2014. De ble vel mer eller mindre “tatt på senga”. En god del avvik ble avdekket (manglende internkontroll, manglende dokumentasjon, manglende risikovurdering etc.) og et overtredelsegebyr på kroner 150 000 har blitt utstedt (opprinnelig sum på bot var kroner 250 000, som senere ble redusert med kr 100 000 til kr 150 000). Det kan fort bli små-dyrt å slurve på området internkontroll!

Arkivloven med forskrift som gjelder for offentlige virksomheter vil sannsynligvis bli endret (myket opp) til å tillate lagring av digitalt arkivmateriale i utlandet. Det er vel ikke tvil om at det kan være behov for å modernisere arkivlovgivningen. Imidlertid reiser selvsagt skylagring/skyarkiv i utlandet en del sikkerhetsmessige spørsmål. Kjedelig hvis den offentlige “indrefileten” i form av lagrede arkivdata, inkludert sensitive data, skulle komme helt på avveie.

Jeg var 25. oktober 2016 deltaker på KiNS-sikkerhetsseminar på Sandane. Dette var et interessant og matnyttig seminar der mange av temaene i denne bloggartikkelen ble “touchet” innom. For ansatte i kommunal virksomhet som er opptatt av informasjonssikkerhet anbefales medlemskap i KiNS (Foreningen Kommunal Informasjonssikkerhet).

KiNS har også utarbeidet et styringssystem for informasjonssikkerhet. Masse nyttige maler relatert til dette har blitt gjort tilgjengelig for bruk av medlemskommuner. KS er også på ballen relatert til informasjonssikkerhet og personvern i kommunene. Digi Vestland sin “Faggruppe for informasjonstryggleik og personvern” må heller ikke bli glemt.

Nye personvernregler fra 2018

Nye personvernregler fra 2018

EU har våren 2016 vedtatt ny personvernforordning som ble iverksatt i Norge 20.07.2018. Den nye personvernlovgivningen gjelder altså også for Norge som et “assosiert” medlem av EU gjennom EØS-avtalen. EU har sett behovet for et bedre personvern og et modernisert regelverk, slik at det ikke blir rett fram for vilkårlig og planløs behandling av personopplysninger.

En “bivirkning” av EUs nye personvernregler er at EU kan få makt over Norge i personvernsaker. Det er opprettet et europeisk personvernråd som kan fatte bindende vedtak som angår Norge (EØS), og hvis Datatilsynet ønsker å klage på vedtakene er det EU-domstolen som blir ankeinstans.

Etter litt usikkerheter og forsinkelser trådte den nye personopplysningsloven og EUs personvernforordning i kraft 20. juli 2018 her i Norge. To hovedelementer:

  • EUs personvernforordning (GDPR) har blitt gjort til norsk lov.
  • En rekke bestemmelser (særnorske regler osv.) som supplerer reglene i forordningen.

Se eventuelt Datatilsynet sin nettside for mer informasjon.

Som tidligere blir det fortsatt sentralt å kartlegge personopplysninger som samles inn og benyttes av virksomheten. Hvilke personopplysninger benyttes og til hvilket formål er sentrale spørsmål. Andre relevante problemstillinger: Hvor (avdeling) benyttes opplysningene, i hvilke systemer, rettslig grunnlag/hjemmel/samtykke, informasjonsflyt, deling og er aktuelle prosedyrer på plass (f. eks. for sletting av personopplysninger, retten til å bli glemt). Fortsatt blir risikovurderinger, dokumentasjon og rutiner/prosedyrer viktige steg etter kartleggingen av bruken av personopplysninger.

Personopplysninger kan ikke samles inn og behandles bare pga. det er “kjekt å ha”. Det må foreligge grunnlag for behandling av personopplysninger, i form av samtykke eller lovhjemmel. En systematisk tilnærming til håndtering av personopplysninger må innarbeides i det enkelte firma.

Noen sentrale momenter rundt de nye reglene fra 2018:

  • Godt utgangspunkt hvis personvern og internkontroll er “på stell” etter dagens regler. Ifølge Datatilsynet kan vi pr. nå gjøre følgende:
    • Ha oversikt over hvilke personopplysninger som behandles, oppfylle dagens lovkrav, sette oss inn i det nye regelverket og etter påbegynne jobben med å lage rutiner for å følge de nye reglene.
  • Innebygd personvern som utgangspunkt for nye løsninger (den mest personvernvennlige innstilling som standard).
  • Borgerne/innbyggerne får også nye rettigheter, f. eks. dataportabilitet. Retten til innsyn, retting av mangelfulle personopplysninger og retten til å bli glemt (sletting) blir videreført/innført/utvidet.
  • Krav om personvernombud i mange virksomheter (blant annet i alle kommuner).
  • Vurdere personvernkonsekvenser og risiko før igangsetting av tiltak, med eventuelle forhåndsdrøftelser med Datatilsynet.
  • Strengere krav til avvikshåndtering.
  • Nye plikter til virksomheter og databehandlere.
  • Forståelig personvernerklæring (eller tilsvarende) blir et krav.
  • Fortsatt blir det behov for å inngå Databehandleravtaler med eksterne leverandører som behandler personopplysninger på vegne av en virksomhet.
  • Bøtene/gebyrene som kan skrives ut for manglende personvern blir mye større enn dagens.
  • Sikkerhetsavvik må varsles til Datatilsynet innen 72 timer. Brukerne som blir rammet må også varsles.
  • Reglene kan også gjelde for virksomheter utenfor Europa.
  • Alle bør samarbeide i egne nettverk og følge bransjenormer (godkjennes av Datatilsynet).
  • Fra kontroll til ansvarlighet,

Ellers er det “viktig” å bruke tre og fire bokstavers forkortelser på det meste:

  • DPO (Data Protection Officer): Enkelt og greit personvernombud.
  • GDPR (General Data Protection Regulation): Den nye Personvernforordningen.

I stedet for paragrafer i forordningen snakkes det om artikler i stedet.

Også under de nye reglene blir det viktig med oversikt over hvilke personopplysninger som behandles, forta risikovurderinger med utgangspunkt i lista fra forrige punkt og å ha etablert nødvendige rutiner for behandling av personopplysninger. Kanskje så mye som 90 % av GDPR er ikke noe spesielt nytt, da mye av reglene er kjente og en videreføring fra dagens lovverk.

Virksomhetens ansvar etter nytt regelverk

  • Fra kontroll til ansvarlighet: Nytt regelverk vektlegger virksomheters ansvarlighet og internkontroll, i stedet for forhåndskontroll (meldeplikt, konsesjonsplikt osv.) fra Datatilsynet som har vært praksis fram til nå. Melde- og konsesjonspliktene forsvinner.
  • Strengere sanksjoner enn i dag hvis etterkontroll viser at man ikke har orden.
  • Viktig prinsipp i det nye regelverket: Virksomheten som bruker personopplysningene har ansvaret for av personvernprinsippene overholdes (prinsippene om ansvar, integritet og konfidensialitet).
  • Fokus på den behandlingsansvarliges ansvar i stedet for krav om internkontroll.
  • Likevel: Internkontroll nødvendig for å kjenne virksomheten og for å gi oversikt over personopplysninger, som igjen er basis for risikovurdering.
  • Noe av behandlingsansvarliges ansvar:
    • Sørge for tilstrekkelig og forholdsmessig sikkerhet.
    • Må sørge for at personopplysningene er sikret mot uautoriserte eller ulovlig behandling, utilsiktede tap, ødeleggelse eller skade.
  • Viktig å sikre at personopplysninger behandles i samsvar med regelverket. Valgte tiltak for sikring skal eventuelt endres og oppdateres.
  • Fortsatt behov for internkontroll, rutiner og oversikt. Risikoer må vurderes.
  • Nytt krav om å ha oversikt over behandlingsaktiviteter (behandlingsansvarlig / databehandler). Skriftlig/elektronisk, tilgjengelig for Datatilsynet hvis de krever tilgang.
  • Krav om rutiner for å ivareta de registrertes rettigheter.
  • Den behandlingsansvarlige skal ha oversikt over en hel rekke med ting, og likeså må databehandler ha oversikt over en god del forhold. Se egne lister hos Datatilsynet.
  • Kravene til avviksbehandling, varsling og kontinuerlig arbeid med informasjonssikkerhet skjerpes:
    • Informasjonssikkerhet er en kontinuerlig prosess. Nye trusler dukker opp, ny teknologi, bransjenormer osv. Nye regler har mer konkrete beskrivelser av aktuelle tiltak og aktiviteter for å oppnå et tilfredsstillende sikkerhetsnivå.
    • Nye krav til avvikshåndtering og informasjon til de berørte foreligger.
    • Det blir strengere krav til varsling av sikkerhetsbrudd/avvik til Datatilsynet (72 timer).
    • Varsling av de berørte er det også nye regler for.
  • Protokoll over behandlingsaktiviteter skal utarbeides for alle virksomheter som behandler personopplysninger.

Kilde: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/virksomhetens-ansvar-etter-nytt-regelverk/

Vurdering av personvernkonsekvenser (DPIA, Data Protection Impact Assessment) etter nytt regelverk

Vurdering personvernkonsekvenser er kun obligatorisk dersom behandlingen sannsynligvis vil medføre en høy risiko for fysiske personers rettigheter og friheter. Risiko- og risikovurdering skal i så tilfelle gjøres sett med den registrertes perspektiv. Noen momenter:

  • Vurdering av personvernkonsekvenser: Blir en plikt i en del tilfeller ved innføring av nye systemer/ny teknologi tas i bruk.
  • Ansvarlig: Behandlingsansvarlig. Selve Oppgaven kan delegeres. Personvernombud (hvis slikt finnes) skal involveres (rådgivning), og likeså databehandler (hvis aktuelt).
  • Konsekvensvurdering skal gjøres før behandling av personopplysninger starter.
  • Behov eller ikke behov for konsekvensvurdering: Se Datatilsynet og deres kriterieliste.
    • Spesielt aktuelt/påkrevd ved automatiserte avgjørelser, systematisk overvåkning i stort omfang, sensitive personopplysninger er involvert, storskala behandling av personopplysninger, sammenstilling av datasett, overføring av data til land utenfor EU/EØS osv.
  • Vurderingenes innhold (personvernkonsekvenser) stilles det også noen konkrete krav til. Se Datatilsynet.
  • I enkelte tilfeller med høy risiko behov for forhåndsdrøftelse med Datatilsynet.
  • Risikovurdering versus vurdering av personvernkonsekvenser:
  • Risikovurdering av informasjonssikkerheten:
    • Risikoen for en virksomhet og dens behandlinger som adresseres.
    • Det gjøres en vurdering av risiko ved brudd på sikring av konfidensialitet/fortrolighet, integritet og tilgjengelighet + robusthet.
    • Fokus: Virksomheten og dens behandlinger.
  • Vurdering av personvernkonsekvenser:
    • Håndtere risiko for de registrertes rettigheter og friheter.
    • Den registrerte i fokus, konsekvenser for vedkommende.
    • Den registrertes perspektiv: Konfidensialitet/fortrolighet, integritet, tilgjengelighet. I tillegg: Åpenhet, mulighet til å gripe inn, kan ikke kobles.

Kilde: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/vurdering-av-personvernkonsekvenser/

Veileder om behandlingsgrunnlag

Behandlingsgrunnlag, det er her alt starter. For å være lovlig må behandling av personopplysninger ha et behandlingsgrunnlag, det være seg et samtykke, lovparagraf (hjemmel) eller nødvendig ut fra opplistede lovlige grunner. Spesielt strengt er dette for sensitive personopplysninger. Kjekt å ha-forhold til personopplysninger er ikke et lovlig behandlingsgrunnlag.

Kilde, hvor det står mer om lovlige/gyldige behandlingsgrunnlag: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/veileder-om-behandlingsgrunnlag

Det finnes også en veileder rundt hvordan lage bransjenorm (atferdsnorm) etter nytt regelverk. Nyhet mai 2018 er at veilederen til databehandleravtale er klar.

Hele pakken eller lista med veiledere som det norske Datatilsynet har laget til: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/

Verdt å sjekke ut: Se punktliste / forenklet oversikt med tittelen: “Nye personvernregler fra 2018. Hva betyr det for din virksomhet?” Lenke:

I juli 2017 ble ny lov om behandling av personopplysninger sendt ut på høring, med høringsfrist 16. oktober 2017. Uoffisiell norsk oversettelse av personvernforordningen følger med i bunken, samt høringsnotat inkludert utkast til lov om behandling av personopplysninger (personopplysningsloven) tilpasset forordningen.

I utsendelsen fokuseres det blant annet på (sitat):

I dag sender Justis- og beredskapsdepartementet ut forslag til ny lov om behandling av personopplysninger på høring.

Forslaget bygger på EUs nye personvernforordning og vil føre til et mer enhetlig regelverk i Europa. Det vil dermed bli enklere både for personer og bedrifter å forholde seg til lovgivning i, og til å få gjort sine rettigheter gjeldende i, hele EU/EØS. Regelverket er også bedre tilpasset den teknologiske utviklingen.

Lovforslaget og forordningen viderefører hovedprinsippene i gjeldende lov. Det er likevel enkelte endringer, blant annet:

  • Den registrertes rettigheter er styrket på flere punkter. Blant annet innføres en ny rettighet for registrerte til å motta personopplysninger om seg selv og overføre disse fra en tjenestetilbyder til en annen (dataportabilitet).
  • Det innføres plikt til å ha personvernrådgiver for offentlige myndigheter og for visse private behandlingsansvarlige.
  • Dagens melde- og konsesjonsplikt for behandling av personopplysninger bortfaller. Den erstattes med en plikt for den behandlingsansvarlige til selv å utrede personvernkonsekvenser og rådføre seg med Datatilsynet dersom konsekvensutredningen viser at behandlingen medfører høy risiko for personvernet.
  • Datatilsynet får mulighet til å ilegge vesentlig høyere overtredelsesgebyr og departementet foreslår derfor at overtredelser av loven ikke lenger skal være straffbare.
  • Det innføres en mer effektiv tilsynsordning på europeisk nivå, ved at behandlingsansvarlige med virksomhet i flere stater bare skal forholde seg til én tilsynsmyndighet i EU/EØS.

Kilde: Regjeringen.no: Ny lov om behandling av personopplysninger på høring – pressemelding

 

Et irritasjonsmoment knyttet opp mot GDPR-innføringen er alle dem som ønsker å gjøre god business (butikk) på innføringen. Mange firmaer og konsulenter står klare med sine tips og råd til blodpriser. De kjører på med skremselspropaganda og skor seg virkelig på innføringen gjennom å drive oversalg av sine “fantastiske” tjenester og kompetanse. Det høres ut for at alt vil gå skeis hvis ikke dyre konsulenter, konsulenttjenester, jurister og IKT-revisorer leies inn.

Direktoratet for e-helse har en del nyttig informasjon om EUs personvernforordning (GDPR), inkludert verktøy for implementering. Diverse maler for kartlegging og analyse er tilgjengelig. Se også Normen for mange nyttige tips.

Mange bruker tiden til GDPR feil

Henrik Dagestad i BDO hevder at mange bruker den knappen tiden til innføring av GDPR feil. Hans korte og greie liste om hva man bør fokusere på fram til den nye personopplysningsloven trer i kraft:

  1. Skaff deg oversikt over hva som faktisk klassifiseres som personopplysninger, og kartlegg hva dere reelt sett behandler av personopplysninger i virksomheten.
  2. Finn ut hvilken rett dere har til å behandle personopplysningene. Ikke fokuser utelukkende på samtykke, men vurder også andre rettslige grunnlag virksomheten kan ha til å behandle personopplysninger.
  3. Gjennomfør en risikovurdering. Vurder verst tenkelige tilfeller, og ta en ærlig gjennomgang av hvilke mulige konsekvenser det kan få for personvernet til den enkelte hvis personopplysningene kommer på avveie, plutselig ikke er tilgjengelige eller ikke er oppdaterte.
  4. Ta en vårrengjøring. Lag gode rutiner, og kvitt deg med alle data som inneholder personopplysninger du ikke kan eller bør lagre.

Kilde: “Computerworld: Mange bruker tiden til GDPR feil” og “BDO blogg (Henrik Dagestad): 100 dager igjen: Slik bør du jobbe med GDPR-innspurten”.

 

Alt som har å gjøre med GDPR, personvernforordningen og personvernet generelt er omfattende greier! Sannelig ikke lett å vite hvor man skal starte og slutte, og det er mye jus-stoff inni bildet. Prosessen kan også være svært tidkrevende. Det mest sentrale er vel å tenke på slike forhold:

  • Kartlegge hvilke behandlinger av personopplysninger som gjøres, og utarbeide behandlingsprotokoller
  • Utarbeide og publisere personvernerklæringer
  • Utarbeide og gjøre kjent personverninstrukser (intern opplæring)
  • Gjøre kjent og ha rutiner for innsyn og andre rettigheter (eksterne, den registrerte)
  • Få orden på databehandleravtaler og systemoversikt
  • Teknisk og organisatorisk sikkerhet
  • Foreta DPIA (vurdering av personvernkonsekvenser for den registrerte) + risikovurderinger
  • Få nødvendige samtykker på plass
  • Ta seg av og dokumentere personvernbrudd

Lista ovenfor er inspirert av en opplæringsvideo fra Sureway. Jeg skal ikke drive direkte reklame her i dette innlegget, men jeg tror nevnte leverandør ikke tar for store ord i sin munn når de hevder å ha den komplette personvernløsningen. De har utviklet en samling med nesten-ferdige maler og andre hjelpeverktøyer (alt web-basert, med tegning av abonnement) for å få personvernet (GDPR) på stell i bedriftsammenheng. Ifølge dem er behandlingsprotokoller selve hjertet i personvernet.

Personvernerklæring

I forbindelse med nettsider og andre løsninger og systemer for behandling av personopplysninger kommer begrepet personvernerklæring inn som et sentralt begrep. Personvernerklæring blir også enda viktigere etter den nye personvernforordningen trer i kraft. Første skritt er å skaffe seg oversikt over hvilke behandlinger (behandlingsprotokoller) av personopplysninger som blir foretatt.

Ifølge Datatilsynet bør en personvernerklæring inneholde opplysninger av følgende type:

  1. Hvem er behandlingsansvarlig?
  2. Hva er formålet med behandlingen av personopplysninger?
  3. Hva er det rettslige grunnlaget?
  4. Hvilke personopplysninger behandles?
  5. Hvor hentes opplysningene fra?
  6. Er det frivillig å gi fra seg opplysningene?
  7. Utleveres opplysningene til tredjeparter?
  8. Hvordan slettes og arkiveres opplysningene?
  9. Hvilke rettigheter har den registrerte og hvilket lands lovverk gjelder?
  10. Hvordan sikres opplysningene?
  11. Kontaktinformasjon.

Kilde: “Datatilsynet: Hva skal personvernerklæringen inneholde?” (side har blitt fjernet).

I stedet for den nå fjernede informasjonen fra Datatilsynets nettside om personvernerklæring kan veilederen “Informasjon og åpenhet” være av interesse. Der står det blant annet ramset opp hva virksomheten skal gi informasjon om:

  • Om virksomheten (kontaktdetaljer/kontaktinformasjon m. m.)
  • Om behandlingen (personopplysninger som behandles, formål, behandlingsgrunnlag osv.)
  • Om forholdet til andre virksomheter (eksterne mottakere av personopplysninger osv.)
  • Om den enkeltes rettigheter (innsyn, sletting, begrensning, dataportabilitet og å protestere. Samtykke, klagemuligheter osv.)
  • Om automatiserte individuelle avgjørelser
  • Om nye formål
  • Om konsekvenser (spesielt viktig hvis det foreligger en særskilt risiko for den enkeltes rettigheter og friheter)
  • Om endringer (varsling m. m.)

Det er ikke noen helt spesifikke formkrav av typen hvordan ting skal gjøres i detalj for å få distribuert informasjonen. Personvernerklæring kan være en måte.

I jobbsammenheng pr. desember 2021 (Kinn kommune) har vi så vidt kommet i gang med å få gjort klar behandlingsprotokoller og personverkerklæringer i et fastlagt format, hvor personvernerklæringene – nærmere 200 stk. – på sikt også vil bli liggende offentlig tilgjengelig. Samsvar personvern (Sikri) er til god hjelp i vårt arbeid. Diverse IT-systemer har også internt blitt risikovurdert (ROS), og personvernkonsekvenser (DPIA) har blitt vurdert der det har vært behov for slikt.

Denne bloggen er en privat/personlig blogg og er ikke pålagt å ha en personvernerklæring eller tilsvarende. Likevel har jeg laget meg en noe forenklet personvernerklæring.

Undersøkelse om sikkerhet

Norsk Informasjonssikkerhetsforum (ISF) har ifølge Digi.no gjennomført en undersøkelse om sikkerhet. Et bra og beskrivende sitat fra denne undersøkelsen er:

  • Roten til god sikkerhet ligger ofte mellom ørene på de ansatte.

Den menneskelige faktor, sikkerhet og trender

Den menneskelige faktor i form av ansatte er sentral for å oppnå god informasjonssikkerhet. Aktuelle tiltak kan være opplæring, bevisstgjøring, etablering av prosesser/rutiner og risikovurderinger. Ansattes sikkerhetskultur og sikkerhetstankegang må opparbeides i form av blant annet økt kompetanse og bevisstgjøring. Informasjonssikkerhetskultur og god netthygiene må opparbeides. Gode holdninger, kunnskaper og rutiner er sentralt.

Ansatte må få opplæring og bevisstgjøring rundt dette som har med informasjonssikkerhet og personvern å gjøre. Det må foreligge både gode rutiner og ikke minst holdninger på sikkerhetsområdet. En kritisk suksessfaktor for sikkerhetsarbeid kan ofte være dette at sikkerhetsarbeidet har forankring i ledelsen. Personvern og informasjonssikkerhet blir aldri bedre enn det svakeste leddet.

Det kan hevdes at Norge er Europamestere i naivitet. Vi har et tillitsbasert samfunn. Datakriminelle har store muligheter til å kunne lure oss når vi står der med nisselua godt dratt ned over ørene. Ofte spiller de kriminelle på følelser, fristelser, frykt og tillit, noe som gjør av vi i vår naivitet går på deres limpinne.

Informasjonssikkerhet og personvern består selvsagt av en teknisk faktor også. Det er sentralt med gode brannmurer og å holde programvare og andre IKT-systemer oppdaterte (patchet). Eventuell soneinndeling av nettet og kun tjenstlige tildelte rettigheter/rettighetskontroll må det være orden på.

Cybersikkerhet har jeg skrevet noen ord om i min andre artikkel om personvern. Å lage til gode systemer for cybersikkerhet for å beskytte seg mot cybertrusler kan gå på kompromiss med personvernet. All teknologi (infrastruktur, utstyr m. m.) vi omgir oss med og som er knyttet opp mot nettet gjør oss ekstremt sårbare for trusler og angrep. For å beskytte oss innføres overvåkning og loggføring, som igjen i verste tilfelle kan true personvernet.

En utfordring på bedriftsnivå er bruken av skygge-IT/IKT i bedrifter. Med skygge-IT/IKT tenkes det på IKT-løsninger som har blitt tatt i bruk uten tillatelse fra IKT-avdelingen. Typisk har det heller ikke blitt utført skikkelige risikovurderinger før slike systemer tas i bruk. F. eks. finnes det masse kjekke skytjenester, hvor mange av dem også er gratis i bruk (reklamefinansierte). Ukritisk bruk av skygge-IKT kan utsette virksomheten for sårbarhet og angrep utenfra. Bedriftssensitive data kan komme på avveie, og bruken kan kompromittere virksomhetens IKT-systemer. I verste tilfelle kan bruken av skygge-IKT medføre tap av tid, penger, omdømmetap og alvorlige datatap. Gode retningslinjer som følges kan motvirke at skygge-IKT blir et problem.

Teknologien har gjort oss fremmedgjort. Det er mange ledd og verdikjeder der vi kun har delvis oversikt over hva som skjer. Den digitale sårbarheten er allerede stor, og den blir ikke mindre i tiden framover. Personvernet er under et enormt teknologisk press.

Noen trender i årene framover vil være: Digitalisering, “Big data”, “Internet of Things” (IoT) / Tingenes Internett, kunstig intelligens/ “Artificial Intelligenc” (AI), roboter og kryptering. All denne nye teknologien vil ha personvernmessige sider samt sårbarhet og informasjonssikkerhet knyttet opp mot seg. Ellers vil økt bruk av skytjenester og trenden med BYOD også medføre at det er masse å gripe tak i på sikkerhetsområdet. Utfordringene blir ikke akkurat mindre i tiden som kommer.

I forbindelse med bedrifters offshoring og/eller outsourcing (utkontraktering) av IKT-drift kan det oppstå noen ekstra utfordringer rundt personvern og informasjonssikkerhet. Det blir vanskelig å ha full oversikt over verdikjeden, og det kan finnes utro tjenere eller dårlige (og ukjente) ledd i kjeden. Enkelte land har dessuten et slappere forhold til personvern enn f. eks. det Norge har.

Det er vel grunn til å tro at store datasenter er mer utsatt for forsøk på datainnbrudd enn det enkeltbedrifter normalt sett er. Store senter blir mer fristende mål for hackere. På den annen side kan man håpe og tro at store datasentre tilbyr proff drift, overvåkning og sikkerhet.

Opprettelse av flere CERT-grupper vurderes her i landet. Slike “blålys-grupper” kan være et viktig bidrag i kampen mot datakriminalitet. CERT er ifølge Wikipedia en forkortelse for “Computer emergency response teams” og er ekspertgrupper som håndterer større IKT sikkerhetshendelser.

I en kronikk om IT-sikkerhet publisert på Digi.no tar Maria Bartnes og Erlend Andreas Gjære, SINTEF, tak i noen sentrale problemstillinger. Tittelen på kronikken er “Unyttig å gi de ansatte skylden for dårlig IT-sikkerhet”. Noe av innholdet fritt gjengitt er dette:

Dårlige brukeropplevelser tvinger IT-brukere til å ta risikable valg. Man omgår sikkerhetsreglene pga. reglene er vanskelige å etterleve og gir dårlig brukeropplevelse. Velmente sikkerhetstiltak kan komplisere IKT-bruken såpass mye at brukerne finner veier rundt tiltakene og rutinene, som igjen går på kompromiss med sikkerheten. Føyer til for egen regning: Altså det evige dilemmaet mellom brukervennlighet/enkelhet kontra sikkerhet.

Det er viktig å forstå brukerne og at sikkerhetstenkningen kan være et hinder i hverdagen. Gode funksjonelle systemer gir positivt innstilte brukere som dermed også blir mer mottakelig for opplæring rundt IKT og sikkerhet.

Det nevnes også viktigheten for samspill mellom mennesker, organisasjon og teknologi. Eller som jeg lærte under studietiden: PSO-utvikling (personutvikling, systemutvikling og organisasjonsutvikling).

Korona / COVID-19

I forbindelse med denne spesielle situasjonen våren 2020 har det i en del tilfeller blitt lempet litt (midlertidig) på reglene rundt personvern. Likevel er det bekymringsfullt å se hvor fort offentlige virksomheter, næringslivet og enkeltpersoner hopper på nye og ukjente systemer, uten at det i det hele tatt tenkes på databehandleravtaler, risiko- og sårbarhetsanalyser (ROS-analyse) og vurdering av personvernkonsekvenser (DPIA). Krisen eller pandemien medfører at man finner kjappe og nye digitale løsninger uten å foreta grundige vurderinger relatert til informasjonssikkerhet og personvern.

Bruken av Google Analytics

Selv nyttiggjør jeg meg av Google Analytics, men i hvert fall for virksomheter kan bruk av denne tjenesten for analyser og besøksstatistikk være ulovlig:

I lenken står det å lese: «Bruk av Google Analytics kan være ulovlig | Cookie-løsningen sender persondata til USA, konkluderer ferske vedtak. – Det er vanskelig å se hvordan bruk av Google Analytics kan være lovlig, sier Datatilsynet og anbefaler norske virksomheter å se etter alternativer.»

Ifølge artikkel i Dagens Næringsliv 18.01.2022: “Kroken på døren for Google Analytics i Europa? | Ip-adresser, nettleserparametere og pseudonymisert cookie-informasjon til analyseformål er personopplysninger, konkluderte det østerrikske datatilsynet før helgen.”

Ny status sommeren 2023:

TikTok- og Telegram

Det stormer rundt bruken av TikTok- og Telegram våren 2023, og da spesielt innenfor jobbsammenheng.

Mange har fått panikk relatert til informasjonssikkerheten og personvernet knyttet opp mot de sosiale mediene TikTok (kinesisk opprinnelse) og Telegram (russisk opprinnelse) våren 2023. Et relativt stort antall organisasjoner og myndighetsorganer i Norge totalforbyr bruken av de to tjenestene for sine ansatte.

Hva er bekymringsfullt eller farlig med TikTok:

  • De registrerer enorme mengder med persondata (mer enn de fleste andre tjenester!), og dette er noe man samtykker til når man tar tjenesten i bruk.
  • Kinesisk opprinnelse, noe som også medfører berettiget frykt for at informasjonen deles med de kinesiske myndighetene. Overvåkning, etterretning og spionasje er jo Kina og kinesiske myndigheter “flinke” på i utgangspunktet!
  • Kinesiske firma er normalt sett forpliktet til å rapportere og å ha tette bånd overfor kinesiske myndigheter (kommunistledelsen). Det er berettiget grunn til å frykte at masse personopplysninger fra Vesten kommer myndighetene “for øret”.

Hvis man ønsker å bli litt “mørkredd” relatert til informasjonssikkerheten forbundet med de to tjenestene kan denne dokumentaren på det sterkeste anbefales:

Verdt å lese:

Enkelte arbeidsgivere tar virkelig grep:

Ifølge fylkeskommunen ønsker de ikke sameksistens mellom TikTok og interne IKT-systemer på de samme mobiltelefonene. Enten må TikTok fjernes, eller så må tilgangen på interne systemer (e-post, Teams m. m.) fjernes fra private enheter.

Telegram har jeg liten kjennskap til, men bekymringen der er primært knyttet opp mot at tjenesten har russisk opprinnelse. Russland med sin invasjon av Ukraina er ikke akkurat godvenner med Vesten for tiden, og russerne har vist at de i liten grad bryr seg om internasjonale avtaler, samtidig med at de kjører på med ekstrem grad av etterretning, overvåkning og spionasje. Putin & Co. utviser også stor grad av et autoritært og egenrådig styresett.

Min mening: I jobbsammenheng – via virksomhetens IKT-utstyr og/eller virksomhetens nettverk – bør tjenestene nok forbys totalt pga. all usikkerhet knyttet opp mot personvernet og informasjonssikkerheten. Som privatpersoner med eget privat-personlig utstyr bør man tenke seg godt om før man tar slike “invaderende” tjenester i bruk.

Vi velger å gå til “krig” mot sosiale medier (SoMe) med opprinnelse i Kina og Russland. De amerikanske (og eventuelt europeiske) lar vi (stort sett) være i fred! Det har vel mye å gjøre med venn- og fiende-bildet. Vi ser på russerne (Telegram) og kineserne (TikTok) som “fiender” av Vesten, og dermed forbyr vi teknologi og løsninger fra dem. Imidlertid er det ingen tvil om at både “big tech”-firmaene Google, Facebook, Apple og Microsoft samler inn uhorvelige mengder med informasjon og personopplysninger. Det er vel også mye mer “krevende” (les: tilnærmet umulig, pga. vår store avhengighet) å koble seg fra amerikansk teknologi og USA-baserte løsninger.

NSM (Nasjonal sikkerhetsmyndighet) på sin side uttrykker en viss skepsis også mot de sosiale mediene, ifølge Digi.no:

  • “Sikkerhetsmyndigheten går faktisk så langt at de anbefaler at man ikke bør ha noen sosiale medier installert på tjenesteenheten, dersom det ikke er reelt behov for det. Trenger man sosiale medie-apper, skal man ha en egen enhet for det.”

Dette står å lese i denne artikkelen fra Digi.no:

Andre lover

Straffeloven er selvsagt også av interesse når det gjelder personvern og eventuelle datainnbrudd hvor gjerningsmann blir tatt eller tilsvarende. Lov om opphavsrett til åndsverk mv. (åndsverkloven) kan også komme til anvendelse i enkelte tilfeller, og likeså diverse særlover.

Innenfor det offentlige er man vant til å forholde seg til § 13 i offentlighetsloven og i forvaltningsloven. Disse paragrafene omhandler taushetsplikt (nynorsk: teieplikt). Lenker til paragrafene:

Ny sikkerhetslov

Ny sikkerhetslov med forskrifter skal etter planene ikraftsettes fra 1.1.2019. Denne loven vil i høyeste grad ha innvirkning på bedrifters tenkning rundt informasjonssikkerhet og tilgjengelighet, noe som er nært beslektet med personvern som denne artikkelen omhandler. Hensikten med loven er å ivareta nasjonale sikkerhetsinteresser, inkludert sikring av all digital infrastruktur innenfor samfunnskritiske områder.

Loven vil trolig omfatte tjenester der tilgjengeligheten er viktig for grunnleggende nasjonale samfunnsfunksjoner og samfunnsviktige tjenester, f. eks. strøm, vannforsyning, helse, olje, gass, betalingsformidling, samferdsel, forsvar m. m. I tillegg videreføres beskyttelsen av gradert informasjon fra dagens lov. Loven vil blant annet gjelde for offentlig virksomhet (stat, fylke, kommune), og også private aktører vil i en del tilfeller bli underlagt lovverket.

Det er viktig med sikring av digital infrastruktur, og ikke bare fysiske enheter (bygg og infrastruktur). Den nye loven er bedre tilpasset dagens digitale virkelighet og sårbarheten pga. IKT enn den gamle loven. Det er mer konkrete krav til sikringen enn i tidligere lov.

En utfordring med den nye loven er at den legger opp til en ikke-samordnet beslutningsstruktur. Det gis rom for at de enkelte departementene selv kan vurdere hva som er sikkert nok innenfor sitt område. Dette kan potensielt medføre ulikheter mellom de ulike sektorene og departementene.

Noen lenker om sikkerhetsloven:

Avslutning

Dette var bare en liten touch borti et svært og omfattende tema. Temaet kan oppleves som noe tungt og kjedelig, men egentlig burde det være av interesse for flere. Konsekvensene som kan oppstå ved krenkelser av personvernet og dårlig informasjonsikkerhet er såpass store og uønskede at man bør ta tak i problematikken. Økt bevissthet kan medføre at man kan forhindre enkelte av sikkerhetstruslene fra å inntreffe. Dokumentasjon og rutiner i form av internkontroll er første skritt på veien for å sikre forsvarlig behandling av personopplysninger. Neste skritt er etterlevelse av rutiner og at alle ansatte virkelig følger dem (ikke selvsagt), samt avvikshåndtering.

Mer: Kortversjon/oppsummering – Personvern, informasjonssikkerhet og internkontroll, ikke tilpasset GDPR (PDF, 0,7 MB).

Lenker: