En veiledning om internkontroll
og informasjonssikkerhet
DATATILSYNET Gateadresse: Tollbugata 3, Oslo | Postadresse: postboks 8177, dep 0034 Oslo
E-post: postkasse@datatilsynet.no...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




Forord
Informasjonssikkerhet og
internkontroll – et ledelsesansvar
Håndtering ...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




Innholdsfortegnelse

                                                         ...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




                                                        6.2    Rutiner for rap...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




1.	Innledning

1.1	Bakgrunn                                                1.2...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




2.	Bakgrunnskunnskap
BAKGRUNNSKUNNSKAP INNLEDENDE OPPGAVER RUTINER FOR INTERNK...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




kontrollerende elementene. Det må være samsvar mel­          2.3	Hva	er	person...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




2.4	Hva	er	personopplysninger	og	                                      2.5	Dok...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




          Oppgaver	i	prosessen




                                           ...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




3.	Innledende	oppgaver	
for	internkontroll
BAKGRUNNSKUNNSKAP INNLEDENDE OPPGAV...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




Den behandlingsansvarlige kan delegere operativt
ansvar for daglige arbeidsopp...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




Eksempel	på	oversikt	over	personopplysninger	som	behandles	

    Informasjon  ...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




                                                                              ...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




3.6.3 Vurdere om formål er i                                                  ...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




3.8	Identifisere	plikter                                 eksempel ivaretakelse...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




4.	Rutiner	for	internkontroll
BAKGRUNNSKUNNSKAP INNLEDENDE OPPGAVER RUTINER FO...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




EKSEMPEL – RUTINE FOR MELDING OM BEHANDLING                 Bestemmelsen slår ...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




2) PERSONALSJEF ER ANSVARLIG FOR PERSONOPPLYSNINGER             forespurte per...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




EKSEMPEL – INNHENTING AV SAMTYKKE FØR                                       De...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




rutine for behandling av forespørsel om innsyn fra                   • formidl...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




5.	Informasjonssikkerhet
BAKGRUNNSKUNNSKAP INNLEDENDE OPPGAVER RUTINER FOR INT...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




utfyllende eksempler i denne malen. Sikkerhetsmålene                  5.3	Lede...
INTERNKONTROLL OG INFORMASJONSSIKKERHET




          Eksempel	på	rapport	fra	ledelsens	g jennomgang	av	
          informa...
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
Upcoming SlideShare
Loading in …5
×

Internkontroll og informasjonssikkerhet

3,087
-1

Published on

Veileder, Internkontroll og informasjonssikkerhet fra Datatilsynet.
Dette dokumentet skal, på en enkel og oversiktlig
måte, veilede virksomheter gjennom arbeidet med å
innføre internkontroll og informasjonssikkerhet slik
at en oppnår en forsvarlig og sikker behandling av
personopplysninger.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
3,087
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
31
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Internkontroll og informasjonssikkerhet

  1. 1. En veiledning om internkontroll og informasjonssikkerhet
  2. 2. DATATILSYNET Gateadresse: Tollbugata 3, Oslo | Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no | Telefon: 22 39 69 00 | Faks: 22 42 23 50
  3. 3. INTERNKONTROLL OG INFORMASJONSSIKKERHET Forord Informasjonssikkerhet og internkontroll – et ledelsesansvar Håndtering av opplysninger er i økende grad en del av forvaltes enorme mengder opplysninger som ikke er samfunnets verdiskaping. Opplysninger samles inn, egnet for offentlighet. Det understreker behovet for å bearbeides, analyseres og inngår som underlag for å ha klare rammer for hva som skal offentliggjøres og på stadfeste status, rettigheter og plikter. Ulike opplysnin­ hvilken måte det skal skje. I praksis er det dessuten stor ger kan omhandle enkeltpersoner, forretningsproses­ forskjell på aktiv publisering av opplysninger og det å ser, produktutvikling, strategier og metoder. Felles for gi innsyn på begjæring. alle opplysninger, er at det stilles varierende krav til behandling og beskyttelse. Opplysninger som kan knyt­ Private virksomheter har ofte store utfordringer tes til individet, skal behandles i samsvar med person­ når det kommer til ansvarsfordeling og kompliserte opplysningsloven. organisasjonsstrukturer. Dette gjør ofte tilnærmingen til regelverket tilsvarende vanskelig. Personopplysnin­ Personvern kan ikke avgrenses til informasjonssikker­ ger kan ikke flyte fritt på tvers av virksomhetsgrensene, het. Like viktig er det å ha en saklig grunn for å be­ selv om eier er den samme. handle personopplysninger. Grunnlag for behandling er normalt basert på lovhjemmel eller samtykke fra den Datatilsynet forventer ikke alltid at øverste leder har registrerte. Uavhengig av grunnlaget har virksomheten inngående kunnskap om informasjonssikkerhet. Deri­ plikt til å informere den registrerte om hvordan den mot forventes det at personopplysninger er sikret på en har tenkt å behandle opplysningene. Det betyr at det forsvarlig måte, og at øverste leder ser etter at dette blir må informeres om formål, rettigheter og lagringstid for gjort. I praksis betyr det å sørge for at virksomheten opplysningene. På en måte, kan man si at dette inngår har oversikt over hvilke plikter som gjelder, hvordan som en del av samfunnskontrakten. Ingen kan ta seg til opplysninger behandles og sikres, at alle rutiner knyttet rette og gjøre hva man vil med opplysningene man for­ til dette er godkjent og blir fulgt opp av alle ansatte. valter. Tvert imot skal de anvisninger og begrensninger Informasjonssikkerhet er ikke et mål i seg selv, men et som kontrakten har satt opp, følges. middel for å oppnå tilfredsstillende kvalitet på virk­ somhetens tjenester. Tillit er en skjør egenskap som Virksomheter i offentlig sektor behandler ofte opp­ raskt kan bryte sammen. Bare hendelsen rammer noen lysninger som trenger høy grad av beskyttelse. Det kraftig nok skal det lite til for å svekke tilliten. Og pro­ ligger i oppgaven som tjenesteleverandør for blant blemet er at svekket tillit kan ramme hele sektoren og annet vital infrastruktur samt helse og omsorg. Selv om den kan være vanskelig å gjenopprette. det offentlige er underlagt offentlighetsloven, må det vises utstrakt grad av edruelighet i praktiseringen. Det Publisert november 2009 FORORD side 3.
  4. 4. INTERNKONTROLL OG INFORMASJONSSIKKERHET Innholdsfortegnelse 3.4 Støtteverktøy for gjennomføring av 1. Innledning krav i personopplysningsforskriften 12 side 6. 3.5 Kartlegge virksomhetens behandlinger 12 3.6 Undersøke om behandlingene er lovlige 14 1.1 Bakgrunn 06 3.6.1 Identifisere formål 14 1.2 Hensikten med dokumentet 06 3.6.2 Fastsette behandlingsgrunnlaget 14 1.3 Omfang og målgruppe for dokumentet 06 3.6.3 Vurdere om formål er 1.4 Forklaring til teksttyper 06 i samsvar med hjemmel 15 3.7 Beskrive overordnede rammer 15 3.8 Identifisere plikter 16 2. Bakgrunnskunnskap side 7. 2.1 2.2 Krav til internkontroll Hva er internkontroll? 07 07 4. Rutiner for internkontroll side 17. 2.2.1 Ledelsen 07 4.1 Generelt om rutiner for internkontroll 17 2.2.2 Ansatte 08 4.2 Håndtering av samlede personopplysninger 17 2.2.3 Informasjonssikkerhet 08 4.2.1 Rutine for iverksettelse eller 2.3 Hva er personopplysningsloven og­forskriften? 08 opphør av behandling 17 2.4 Hva er personopplysninger og sensitive 4.2.2 Overholdelse av melde­ og personopplysninger? 09 eventuell konsesjonsplikt 17 2.5 Dokumentasjon av internkontrollsystemet 09 4.2.3 Rutiner for sletting av personopplysninger 18 2.6 Oppdatering av internkontrollen 09 4.2.4 Rutiner for utlevering av personopplysninger til andre 19 4.2.5 Rutiner for kvalitetssikring av personopplysninger 19 3. Innledende oppgaver for internkontroll 4.3 Rutiner relatert til person 4.3.1 Innhenting og kontroll av samtykke 19 19 side 11. 4.3.2 Oppfyllelse av plikt til informasjon ved innsamling av personopplysninger 20 3.1 Skaff kunnskap 11 4.3.3 Rutiner for innsyn, retting og supplering 20 3.2 Virksomhetens leder er 4.3.4 Ivaretakelse av eventuell reservasjonsrett behandlingsansvarlig 11 mot automatiserte avgjørelser 21 3.3 Prosjekt for innføring av internkontroll 12 4.3.5 Innsyn i privat e­post og private filområder 21 side 4. INNHOLDSFORTEGNELSE
  5. 5. INTERNKONTROLL OG INFORMASJONSSIKKERHET 6.2 Rutiner for rapportering og forslag til tiltak 37 5. Informasjonssikkerhet side 22 6.2.1 Læring og prosessforbedring 6.2.2 Avvikshåndtering, egenkontroll og forslag til forbedring 37 37 5.1 Hva er informasjonssikkerhet? 22 5.2 Sikkerhetsmål og sikkerhetsstrategi 22 7. 5.2.1 Sikkerhetsmål 22 Brukeropplæring 5.2.2 Sikkerhetsstrategi 23 side 39 5.3 Ledelsens gjennomgang 23 5.4 Sikkerhetsorganisasjon 25 7.1. Opplæring i internkontroll og informasjonssikkerhet 39 5.5 Akseptabelt risikonivå 25 7.2 Taushetserklæring 39 5.6 Gjennomføre risikovurdering 26 7.3 Personvernombud 39 5.6.1 Uønskede hendelser 26 5.6.2 Konsekvenser av uønskede hendelser 28 5.6.3 Overordnet vurdering av beskyttelsesbehov 28 5.6.4 Sannsynlighet for uønskede hendelser 5.7 Akseptabel risiko 28 31 8. Overføring av personopplysninger til utlandet 40 5.8 Rutiner for informasjonssikkerhet 31 5.8.1 Konfigurasjonsstyring 31 9. Kontroll med sikkerhet hos 5.8.2 Brukersikkerhet 31 partner/leverandør 41 5.8.3 Logging 32 5.9 Valg av sikkerhetstiltak 32 5.10 Gjennomføre sikkerhetstiltak 34 Vedlegg side 42 6. Oppfølging Vedlegg 1 Definisjoner 42 side 35 Vedlegg 2 Oversikt over maler 43 Vedlegg 3 Sjekkliste for internkontroll 44 6.1 Avvikshåndtering og egenkontroll 35 6.1.1 Behandling av avvik 35 6.1.2 Egenkontroll av rutiner og tekniske tiltak 37 INNHOLDSFORTEGNELSE side 5.
  6. 6. INTERNKONTROLL OG INFORMASJONSSIKKERHET 1. Innledning 1.1 Bakgrunn 1.2 Hensikten med dokumentet De fleste virksomheter behandler personopplysninger Dette dokumentet skal, på en enkel og oversiktlig i en eller annen form. Dette innebærer at de må følge måte, veilede virksomheter gjennom arbeidet med å personopplysningsloven og ha tilfredsstillende rutiner innføre internkontroll og informasjonssikkerhet slik for både bruk og beskyttelse av disse opplysningene. at en oppnår en forsvarlig og sikker behandling av Denne veilederen hjelper deg som er ansvarlig for personopplysninger. virksomheten med å bygge opp internkontroll slik at personopplysninger blir behandlet lovlig, sikkert og forsvarlig. De tilhørende malene kan du fylle ut 1.3 Omfang og målgruppe og endre slik at de til sammen utgjør virksomhetens for dokumentet internkontroll. Dette dokumentet er utarbeidet for et bredt spekter av Behandling av personopplysninger medfører plikter virksomheter. Det finnes en egen forkortet utgave av for virksomheten og rettigheter for den registrerte. denne veilederen tilpasset mindre virksomheter som Ulike opplysninger og ulike formål medfører at ingen kun håndterer personopplysninger om egne ansatte og virksomhet er lik, og hver virksomhet må derfor kunder, for eksempel opplysninger om kontaktperso­ identifisere plikter og tilpasse internkontroll og infor­ ner ved salg og leveranse av varer. Denne er tilgjenge­ masjonssikkerhetstiltak til sin situasjon. Det samme lig på www.datatilsynet.no. gjelder for vedlikehold av internkontrollen; hver virksomhet må tilpasse kontrollrutinene slik at rutiner Virksomheter som håndterer opplysninger om kunder og tiltak gjenspeiler behovene over tid. hvor opplysningene anses som sensitive, for eksempel helseopplysninger om klienter, kan ikke benytte den Vær oppmerksom på at også andre regelverk kan stille forkortede versjonen. krav om internkontroll for andre formål enn å sikre forsvarlig håndtering av personopplysninger. Mange virksomheter finner det hensiktsmessig å benytte et 1.4 Forklaring til teksttyper felles system for å tilfredsstille ulike internkontroll­ plikter. Andre regelverk kan også gi konkrete regler for Referanser til maldokumenter er skrevet i uthevet hvordan personopplysninger skal behandles. skrifttype, eksempelvis Styringsdokument Internkontroll. I vedlegg 2 finner du en liste over alle malene, og alle Virksomheten plikter etter personopplysningsloven å er tilgjengelige fra Datatilsynets nettside, ha kontroll på sin håndtering av personopplysninger. www.datatilsynet.no. Det er en samfunnsplikt å sørge for at opplysninger om enkeltpersoner håndteres med nødvendig respekt, Sjekkpunktene oppsummerer de viktigste spørs­ noe som også bør være en spore til ryddighet. Å gi et målene som må avklares for å ha tilfredsstillende godt inntrykk rundt håndteringen av personopplys­ internkontroll og informasjonssikkerhet. ninger kan gi virksomheten positiv merverdi, på samme måte som manglende ryddighet kan virke Symbolene som brukes er: negativt på virksomhetens omdømme. Definisjon Sjekkpunkt Lovtekst side 6. INNLEDNING
  7. 7. INTERNKONTROLL OG INFORMASJONSSIKKERHET 2. Bakgrunnskunnskap BAKGRUNNSKUNNSKAP INNLEDENDE OPPGAVER RUTINER FOR INTERNKONTROLL INFORMASJONSSIKKERHET OPPFØLGING 2.1 Krav til internkontroll tilstrekkelig kompetanse eller tid, eller ønsker å gjøre arbeidet mer effektivt. Å involvere flere i utformingen Personopplysningsloven 1) stiller krav til internkontroll av systemene sikrer både tilgang til riktig kompetanse i form av etablering og vedlikehold av planlagte og sys­ og gir eierskap til et system som siden skal brukes i de tematiske tiltak for å oppfylle kravene i eller i medhold ansattes daglige virke. av personopplysningsloven, herunder sikre person­ opplysningenes kvalitet. Dette kan oppsummeres som For å ivareta krav om en systematisk tilnærming opp­ retter virksomhetene en internkontroll. Denne består • rutiner for oppfyllelse av virksomhetens plikter og de gjerne av tre hovedelementer: registrertes rettigheter • rutiner og tekniske tiltak for informasjonssikkerhet • Styrende elementer, som i hovedsak retter seg mot ledelsen, herunder hvilke beslutninger og føringer de legger for internkontroll. 2.2 Hva er internkontroll? • Gjennomførende elementer, som i hovedsak retter seg mot ansatte. Her finner man beskrivelse av ru­ En virksomhet vil omfattes av mange ulike regel­ tiner som er tilpasset den enkeltes arbeidssituasjon. verk. Disse kan for eksempel omhandle helse, miljø, • Kontrollerende elementer, som bidrar til å fange opp sikkerhet, regnskap eller avgifter. Tilsvarende finnes avvik fra systemet og til at det gjennomføres perio­ det regelverk for hvordan personopplysninger skal diske gjennomganger. behandles. De som fastsetter regelverk, forventer at virksomhetene har en systematisk tilnærming i Internkontroll kan gjerne kalles et kvalitetssystem for etterlevelsen. Først og fremst må man sette seg inn i etterlevelse av regelverk. de ulike bestemmelsene for å avgjøre hvilke som er relevante i egen virksomhet. Noen bestemmelser har spesiell relevans for ledelsen i virksomhetene, mens 2.2.1 Ledelsen andre er ment å påvirke hvordan de ansatte kan utføre sitt arbeide. Det kan også være bestemmelser som gir Ledelsen har et spesielt ansvar for å få i stand en andre personer eller grupper rettigheter, som virksom­ systematisk prosess. Hvilke regelverk som er relevante heten har plikt til å oppfylle. for virksomheten må kartlegges, og ledelsen må sette av tilstrekkelig ressurser til at disse håndteres på en Regelverket vil normalt peke på en person som den god måte. En kategorisering av pliktene i forhold til ansvarlige for å etablere internkontroll. Dette vil de tre nevnte hovedelementene kan være en god start. likevel ofte være et «sørge for ansvar». I praksis vil Ledelsen må være sentral i forhold til utvikling av de den som har ansvaret involvere andre i arbeidet. Dette styrende elementer i internkontrollen, samt overvåke er viktig av flere grunner. Den ansvarlige kan mangle prosessen rundt utarbeidelse av de gjennomførende og § 14 Internkontroll Den behandlingsansvarlige skal etablere og holde vedlike Den behandlingsansvarlige skal dokumentere tiltakene. Doku- planlagte og systematiske tiltak som er nødvendige for å oppfylle mentasjonen skal være tilgjengelig for medarbeiderne hos den kravene i eller i medhold av denne loven, herunder sikre person- behandlingsansvarlige og hos databehandleren. Dokumenta- opplysningenes kvalitet. sjonen skal også være tilgjengelig for Datatilsynet og Personvern- nemnda. 1) Personopplysningslovenl § 14 BAKGRUNNSKUNNSKAP side 7.
  8. 8. INTERNKONTROLL OG INFORMASJONSSIKKERHET kontrollerende elementene. Det må være samsvar mel­ 2.3 Hva er personopplysningsloven lom innholdet i de styrende elementene, som ledelsen og -forskriften? har fastlagt, og de gjennomførende og kontrollerende elementene. Ledelsen må videre være bevisst på at in­ Personopplysningsloven har som formål å beskytte ternkontroll er deres redskap for å styre virksomheten den enkelte mot at personvernet blir krenket gjen­ på en forsvarlig og lovlig måte. nom behandling av personopplysninger. Loven sier at personopplysninger skal behandles i samsvar med grunnleggende personvernhensyn, herunder behovet 2.2.2 Ansatte for personlig integritet, privatlivets fred og tilstrek­ kelig kvalitet på personopplysningene. Personopplys­ Internkontroll er utviklet for å bidra til at virksom­ ningsloven forkortes ofte pol. heten driver sitt virke i samsvar med de lover som gjelder. Brudd på rutiner vil ofte føre til at virksom­ Personopplysningsforskriften gir utfyllende og mer heten operer i grenseland og i noen tilfeller på feil side detaljerte krav til behandling av personopplysninger. av loven. Rutiner må derfor følges. Om man likevel Forskriftens kapittel 3 gir utfyllende bestemmelser om oppdager brudd på disse, bør dette varsles som avvik. internkontroll, mens kapittel 2 gir utfyllende bestem­ En avviksmelding kan bidra til å korrigere uønskede melser om informasjonssikkerhet. Personopplysnings­ hendelser i virksomheten, men kan også bidra til å forskriften forkortes ofte pof. utvikle systemet slik at det heller ikke er for stramt. Eksempler på handlinger som normalt vil krenke personvernet: 2.2.3 Informasjonssikkerhet • Personopplysninger behandles skjult. • Flere og mer inngående personopplysninger enn Personopplysningsloven krever at personopplysninger nødvendig samles inn. skal beskyttes tilfredsstillende mot uberettiget innsyn • Personopplysninger blir ikke slettet når det ikke og endringer. Samtidig skal opplysningene være lengre er behov for disse. tilgjengelige for de som trenger opplysningene, når de • Den registrerte får ikke innsyn i opplysninger om har behov for disse 2). seg selv. • Personopplysningene som behandles er feilaktige. Informasjonssikkerhet dreier seg om å håndtere • Personopplysningene tilflyter uvedkommende. risikoen for at personopplysninger og andre informa­ sjonsverdier blir ivaretatt på en tilfredsstillende måte. Dette gjøres ved først å identifisere hvilke personopp­ lysninger virksomheten har. Deretter gjennomføres en PERSONOPPLYSNINGER risikovurdering for å avklare om eksisterende sikker­ Opplysninger og vurderinger som kan knyttes til en enkeltperson. hetstiltak er tilfredsstillende. Dersom risikovurderingen avdekker manglende tiltak må det vurderes om nye tiltak skal iverksettes for å oppnå tilfredsstillende sikkerhetsnivå for personopp­ lysningene. Kontrollrutiner må utarbeides og jevnlig følges, for å kontrollere at tiltakene blir fulgt opp og virker etter hensikten. En slik fremgangsmåte som skissert ovenfor vil sammen med tilhørende rutiner kunne utgjøre virk­ somhetens styringssystem for informasjonssikkerhet. Dette systemet for informasjonssikkerhet vil være en sentral del av virksomhetens internkontroll. Det er utviklet ulike standarder som beskriver hvordan styringssystem for informasjonssikkerhet skal etable­ res. En måte å etablere dette på er nærmere omtalt i kapittel 5 nedenfor. 2) Personopplysningsloven § 13 side 8. BAKGRUNNSKUNNSKAP
  9. 9. INTERNKONTROLL OG INFORMASJONSSIKKERHET 2.4 Hva er personopplysninger og 2.5 Dokumentasjon av intern- sensitive personopplysninger? kontrollsystemet Det er et lovpålagt krav at interkontrollsystemet skal være dokumentert 3). Denne veilederen viser anbe­ SENSITIVE PERSONOPPLYSNINGER falt fremgangsmåte for å iverksette internkontroll, Personopplysninger om herunder å sørge for tilfredsstillende informasjons­ • rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller sikkerhet. Veilederen viser til ett sett av maler som kan religiøs oppfatning benyttes av virksomheten. Dokumentene må tilpasses • at en person har vært mistenkt, siktet, tiltalt eller dømt for en den enkelte virksomhet. Dokumentasjonen bør deles i straffbar handling følgende hoveddeler: • helseforhold 1. Styrende dokumentasjon som ledelsen er ansvarlig • seksuelle forhold for å utarbeide. • medlemskap i fagforeninger 2. Gjennomførende dokumentasjon med rutiner og tiltak for daglig drift. 3. Kontrollerende dokumentasjon med rutiner for Personopplysninger er alle opplysninger og vurderin­ oppfølging, korrigering og forbedring av internkontroll ger som kan knyttes til en enkeltperson, for eksempel og informasjonssikkerhet. navn, adresse, lønn, referanseuttalelser om en per­ son hos et rekrutteringsfirma, oppgavebesvarelser Vedlegg 2 har en oversikt over dokumentene som fra skoleelever, klientopplysninger ved krisesentre, inngår i settet med maler. Bruk denne oversikten som skyldneropplysninger i inkassoselskaper, kundeopp­ referanse gjennom arbeidet med internkontroll og lysninger hos nettbokhandlere og klientopplysninger i informasjonssikkerhet. Malene kan lastes ned fra advokatselskaper. www.datatilsynet.no. Sensitive personopplysninger er for eksempel infor­ masjon om hvilke sykdommer en person har hatt, me­ 2.6 Oppdatering av internkontrollen disiner vedkommende bruker, straffedommer, tidligere og pågående rusmisbruk og seksuell legning. Etter at internkontrollen er etablert og forankret hos behandlingsansvarlig, må man sørge for at den gjøres Det knytter seg et særlig behov for vern rundt sensiti­ kjent og etterleves blant de ansatte i virksomheten. ve personopplysninger. Å bruke denne typen person­ Følgende faktorer kan inngå i årlig revisjon av inter­ opplysninger ses normalt på som mer inngripende og kontrollsystemet: regelverket stiller derfor strengere krav til behandling av denne typen opplysninger. Misbruk eller urettmes­ • Er virksomhetens mål og strategier de samme, og sig spredning av sensitive opplysninger får normalt blir disse nådd? også større konsekvenser for den enkelte. Opplysnin­ • Er det endringer i regelverket eller andre ger om personers økonomiske forhold, samt fødsels­ rammefaktorer? nummer, er ikke ansett som sensitive personopplys­ • Har risikobildet endret seg? ninger. Slike opplysninger oppfattes imidlertid ofte • Er det nye sikkerhetstrusler som må vurderes? som sensitive av de registrerte, og det er derfor grunn • Er rutinene kjent og funksjonelle for de ansatte? til å vise varsomhet også ved behandling av slike. For • Blir rutinene fulgt? bruk av fødselsnummer er det gitt egne bestemmelser i • Har vi endret behandlingen av personopplys­ personopplysningsloven § 12. ningene? 3) Personopplysningsloven § 13 Se tabell neste side → BAKGRUNNSKUNNSKAP side 9.
  10. 10. INTERNKONTROLL OG INFORMASJONSSIKKERHET Oppgaver i prosessen INNLEDENDE OPPGAVER KAPITTEL 3 Behandlingsansvarlig. Kartlegge formål med behandlinger og behandlingsgrunnlag. IVERKSETTE STYRINGSSYSTEM FOR INFORMASJONSSIKKERHET UTARBEIDE HÅNDTERINGSRUTINER KAPITTEL 5 KAPITTEL 4 Utarbeide sikkerhetsmål, strategi og For håndtering av personopplys- akseptkriterier. ninger generelt i virksomheten. Etablere sikkerhetsorganisasjon. For ivaretakelse av de registrertes Gjennomføre risikovurdering. rettigheter. Gjennomføre sikkerhetsrevisjon. OPPFØLGING KAPITTEL 6 Utarbeide rutiner for avvikshånd- tering og egenkontroll. Utarbeide rutiner for rapportering og forslag til tiltak. Figuren beskriver prosessen for å etablere internkontroll Aktivitetene i kapittel 4 kan gjennomføres parallelt med med henvisning til innholdet i denne veilederen. aktivitetene i kapittel 5. Kapittel 3 beskriver aktiviteter som må gjennomføres før Kapittel 5 beskriver etablering av styringssystem for man utarbeider konkrete rutiner, prosedyrer og vurderer informasjonssikkerhet og gir noen eksempler på dette. nødvendige sikkerhetstiltak. Oppgaver i kapittel 3 bør ferdigstilles før man fortsetter med kapittel 4 og 5. Kapittel 6 beskriver etablering av rutiner for oppfølging og etterlevelse av internkontroll og sikkerhetstiltak, og Kapittel 4 beskriver krav til rutiner for håndtering av gir eksempler på prosedyrer som kan tilpasses egen personopplysninger og gir eksempler på noen slike rutiner. virksomhet. side 10. BAKGRUNNSKUNNSKAP
  11. 11. INTERNKONTROLL OG INFORMASJONSSIKKERHET 3. Innledende oppgaver for internkontroll BAKGRUNNSKUNNSKAP INNLEDENDE OPPGAVER RUTINER FOR INTERNKONTROLL INFORMASJONSSIKKERHET OPPFØLGING 3.1 Skaff kunnskap 3.2 Virksomhetens leder er behandlingsansvarlig Virksomheten må selv ha et minimum av kunnskap, og sørge for å ha tilgang til nødvendig kunnskap om per­ sonopplysningsloven og personopplysningsforskriften. Slik kunnskap er nødvendig for å kunne starte arbeidet BEHANDLINGSANSVARLIG med etablering av internkontroll og tilfredsstillende sikkerhetstiltak. Virksomheten må videre identifisere Den som bestemmer formålet med behandlingen av personopp- de lovpålagte pliktene den skal overholde. lysninger og hvilke virkemidler som skal brukes. ANNEN RELEVANT INFORMASJON FRA DATATILSYNET: På Datatilsynets nettsider finner du oppdatert og Den behandlingsansvarlige er ansvarlig for at person­ relevant informasjon som kan benyttes i arbeidet med opplysningsloven og personopplysningsforskriften internkontroll og informasjonssikkerhet. Du finner følges. Normalt er den behandlingsansvarlige repre­ blant annet informasjon om sentert ved virksomhetens daglige leder eller adminis­ • personvernombudsordningen trerende direktør. Eksempelvis vil rådmannen være • bransjenormer i ulike sektorer behandlingsansvarlig i kommunen. Behandlingsansva­ • internkontroll i mindre virksomheter (veileder) ret innebærer blant annet å sørge for at internkontroll • risikovurdering av informasjonssystem (veileder) etableres og etterleves. I personopplysningsloven 5) er • databehandleravtale dette beskrevet slik: REGELVERK TILGJENGELIG HOS LOVDATA4) : «Behandlingsansvarlig er ansvarlig for etablering og • personopplysningsloven vedlikehold av planlagte og systematiske tiltak som er • personopplysningsforskriften nødvendige for å oppfylle kravene i eller i medhold av • helseregisterloven personopplysningsloven, herunder sikre personopp­ lysningenes kvalitet.» Dette innebærer at den behandlingsansvarlige blant KUNNSKAP annet må ❑ Har virksomhetens leder selv et minimum av kunnskap om • bestemme formålet med behandlinger av person­ personopplysningsloven og personopplysningsforskriften? opplysninger ❑ Har lederen eventuelt tilgang på nødvendig kunnskap og • bestemme hvilke virkemidler som skal benyttes kompetanse? • påse at det er utarbeidet rutiner både for oppfyllelse av virksomhetens plikter og de registrertes rettig­ heter • påse at det årlig avsettes tilstrekkelige ressurser, både personalmessige og økonomiske, slik at tilfredsstillende internkontroll opprettholdes Behandlingsansvarlig skal videre sørge for at blant annet følgende er på plass • sikkerhetsmål, sikkerhetsstrategi og akseptkriterier • sikkerhetsorganisasjon • dokumenterte rutiner og tekniske tiltak for opp­ fyllelse av sikkerhetsstrategi og akseptkriterier 4) www.lovdata.no, 5) Personopplysningsloven § 14 INNLEDENDE OPPGAVER side 11.
  12. 12. INTERNKONTROLL OG INFORMASJONSSIKKERHET Den behandlingsansvarlige kan delegere operativt ansvar for daglige arbeidsoppgaver i forbindelse med internkontroll, men kan ikke delegere ansvaret i for­ hold til loven. 3.3 Prosjekt for innføring av internkontroll Mange ulike avdelinger og medarbeidere i virksom­ heten kan bli involvert i innføring av internkontroll. Virksomheten kan velge å organisere innføringen som et prosjekt. Prosjektleder må i så fall utarbeide en prosjektplan for planlegging og innføring, og være ansvarlig for å nå et definert resultat innen et planlagt tidspunkt. Leveransene til prosjektet er beskrevet i sjekkpunkter videre i denne veilederen. Forventet dokumentasjon ser man av oversikten i vedlegg 2. 3.4 Støtteverktøy for g jennom- føring av krav i personopplysnings- forskriften Uavhengig av om man velger å organisere innføringen av internkontroll som et prosjekt eller ikke, kan det være nyttig å bruke et verktøy for å følge opp ansvar­ lige personer og fremdrift for de ulike aktivitetene som skal utføres i virksomheten. Datilsynet tilbyr et verktøy som letter gjennom­ føringen av aktivitetene i kapittel 2 og 3 i person­ opplysningsforskriften, henholdsvis krav til informa side 12. INNLEDENDE OPPGAVER
  13. 13. INTERNKONTROLL OG INFORMASJONSSIKKERHET Eksempel på oversikt over personopplysninger som behandles Informasjon Behandlings- Melding/ Sensitive person- Sikkerhets- Lagring og Opplysningenes Avdeling System-/ Formål grunnlag Konsesjon opplysninger tiltak kommunikasjon omfang dataeier Lønn og Personopplys- Unntatt i Nei Ca. 130 personal: ningsloven, forskriftens ansatte - lønnsopplys- § 8f § 7–16 ninger - personal- opplysninger Barnevern: Barnevern- Meldt Ja Ca. 68 barn - vurdering loven, § 3-1 14.01.2009 og foresatte og tiltak Helseopplys- Helseper- Meldt Ja Ca. 413 ninger: sonelloven § 14.01.2009 pasienter - pasient- 39 flg. journal Elevadminis- Opplærings- Ja Ca. 219 trasjon loven § søkere - elever / 13-5 foresatte - lærere Hendelses- Personopplys- Unntatt i Nei Arkivlogg, register: ningsloven, forskriftens nettverks-logg - logg over § 13 § 7–11 og serverlogg, brudd PC-logger Kunde- Personopplys- Nei Ca. 8000 opplysninger ningsloven, - Salgskontakter §8a - Leveranse- kontakter MER SPESIFIKT SKAL OVERSIKTEN GI EKSEMPEL PÅ FREMGANGSMÅTE FOR KORTFATTET INFORMASJON OM KARTLEGGING AV BEHANDLINGER: • hvilke opplysninger som behandles og formålet med 1. Dersom kartleggingen gjelder en større virksomhet, kan behandlingen sikkerhetsansvarlig eller prosjektleder sende ut forespørsel • hjemmelsgrunnlag for å behandle opplysningene om behandling av personopplysninger til hver avdelings- • klassifikasjon av hvorvidt personopplysningene er leder: Hva behandles, lagres eller overføres? sensitive eller ikke 2. Vurder svarene. Er det behandlinger som mangler for at • teknologiske sikkerhetstiltak med angivelse av sone virksomheten skal fungere? eller nettverk 3. Skap en hensiktsmessig totaloversikt for virksomheten. • hvor opplysningene lagres og om de overføres via eksterne media • personopplysningenes omfang • eventuell avdeling som behandler personopplysningene • systemeier og/eller dataeier INNLEDENDE OPPGAVER side 13.
  14. 14. INTERNKONTROLL OG INFORMASJONSSIKKERHET EKSEMPLER PÅ FORMÅL MED BEHANDLINGER: UTARBEIDELSE AV SKRIFTLIG OVERSIKT OVER ALLE PER- • Akupunktør må ha behandlingshistorikk i klient­ SONOPPLYSNINGER SOM BEHANDLES I VIRKSOMHETEN register for å yte effektiv behandling. • Statlig etat må ha registrert ansatte med opplysnin­ ❑ Er behandling/formål identifisert? ger for utbetaling av lønn. ❑ Er informasjonen kategorisert i personopplysninger og sensi- • Advokat som jobber med erstatningssaker relatert tive personopplysninger? til medisinsk behandling må ha klientregister for ❑ Inkluderer oversikten en beskrivelse av hvilke dataelementer tilgang til saksfakta. som omfattes? • Undervisningsinstitusjon må ha kopi av oppgaver ❑ Er det tydelig hvilken avdeling som utfører behandlingene og eller karakterresultater fra oppgaver for å kunne hvilke ansvarlige som «eier» opplysningene? sette standpunktkarakter og utstede vitnemål. 3.6 Undersøke om 3.6.2 Fastsette behandlingsgrunnlaget behandlingene er lovlige Det er ikke tillatt å behandle personopplysninger uten behandlingsgrunnlag. Personopplysningsloven § 8 gir 3.6.1 Identifisere formål vilkår for å behandle personopplysninger. Kort opp­ summert kreves det at Det er ikke tillatt å behandle personopplysninger uten • virksomheten innhenter samtykke 7) til behandlingen at det er definert et formål med behandlingen 6). Formå­ • behandlingen følger av lov let, eller formålene med de ulike behandlingene, skal • behandlingen oppfyller en av nødvendighetbestem­ være saklig i forhold til virksomheten og må identifise­ melsene definert i loven res og godkjennes av virksomhetsleder. Behandlingenes overordnede formål føres i doku­ mentet Sikkerhetsmål, strategi og akseptkriterier. § 8 Vilkår for å behandle § 9 Behandling av sensitive personopplysninger personopplysninger Personopplysninger kan bare behandles dersom den registrerte Sensitive personopplysninger kan bare behandles dersom behan- har samtykket, eller det er fastsatt i lov at det er adgang til slik dlingen oppfyller et av vilkårene i § 8 og behandling, eller behandlingen er nødvendig for a) den registrerte samtykker i behandlingen a) å oppfylle en avtale med den registerte, eller for å utføre b) det er fastsatt i lov at det er adgang til slik behandling gjøremål etter den registrertes ønske før en slik avtale inngås c) behandlingen er nødvendig for å beskytte en persons vitale b) at den behandlingsansvarlige skal kunne oppfylle en rettslig interesser, og den registrerte ikke er i stand til å samtykke forpliktelse d) det utelukkende behandles opplysninger som den registrerte c) å vareta den registrertes vitale interesser selv frivillig har gjort alminnelig kjent d) å utføre en oppgave av allmenn interesse e) behandlingen er nødvendig for å fastsette, gjøre gjeldende eller e) å utøve offentlig myndighet forsvare et rettskrav f) at den behandlingsansvarlige eller tredjepersoner som f) behandlingen er nødvendig for at den behandlingsansvarlige opplysningene utleveres til kan ivareta en berettiget interesse, kan gjennomføre sine arbeidsrettslige plikter eller rettigheter og hensynet til den registrertes personvern ikke overstiger denne g) behandlingen er nødvendig for forebyggende sykdomsbehan- interessen dling, medisinsk diagnose, sykepleie eller pasientbehandling eller for forvaltning av helsetjenester, og opplysningene behandles av For behandling av sensitive personopplysninger må i tillegg helsepersonell med taushetsplikt personopplysningsloven § 9 være oppfylt. På samme måte som for h) behandlingen er nødvendig for historiske, statistiske eller § 8 må behandlingen som hovedregel enten følge av samtykke, vitenskapelige formål, og samfunnets interesse i at behandlingen lov eller av en nærmere definert nødvendighetsgrunn. (I tillegg finner sted klart overstiger ulempene den kan medføre for den kan det behandles personopplysninger som den registrerte selv enkelte frivillig har gjort alminnelig kjent.) 6) Personopplysningsloven § 11, 7) Et samtykke er en frivillig, uttrykkelig og informert erklæring fra den registrerte, jf. personopplysningslovens § 2 nr 7 side 14. INNLEDENDE OPPGAVER
  15. 15. INTERNKONTROLL OG INFORMASJONSSIKKERHET 3.6.3 Vurdere om formål er i sene omhandler virksomhetens behov for å behandle samsvar med hjemmel personopplysningene slik at den kan ivareta sine forpliktelser, herunder levere sine tjenester eller følge De ulike behandlingene som er identifisert må vurde­ opp sine ansatte. De overordnede føringene er krav res mot aktuelle behandlingsgrunnlag, jf. punkt 3.6.2. og plikter som virksomheten blir underlagt fordi den behandler personopplysninger. Slike krav og plikter • Har virksomheten innhentet samtykke til den kan blant annet følge av personvernlovgivningen, av aktuelle behandlingen? Dette vil for eksempel være konsesjon fra Datatilsynet eller av annen lovgivning. tilfelle der en person har takket ja til å delta i et Andre føringer er sikkerhetsmål og sikkerhetsstrate­ forskningsprosjekt. gier. Disse legger begrensninger på anvendelsen av • Følger det av lov at behandlingen er tillatt? Dette kan IT for å sikre tilfredsstillende sikkerhet for person­ for eksempel være tilfelle for arbeidsgivers mu­ opplysningene. Sikkerhetsmål og sikkerhetsstrategier lighet for innsyn i ansattes e­post der den ansatte er dokumenteres i Sikkerhetsmål og -strategi. langtidssykemeldt 8). • Er et av de øvrige behandlingsgrunnlagene oppfylt? EKSEMPLER – TEKSTLIG BESKRIVELSE AV BEGRUNNELSE Dette kan for eksempel være tilfelle for gjennomføring FOR BEHANDLING AV PERSONOPPLYSNINGER: av en kredittvurdering ved søknad om lån til ny bolig 9). • Virksomheten leverer advokattjenester. Det er nødvendig for advokatene å lagre opplysninger om Hvis en av behandlingene ikke faller innenfor klientene og deres saker for å kunne yte klientene eksisterende behandlingsgrunnlag, må virksomheten gode tjenester. avvikle behandlingen eller sørge for at det etableres • Virksomheten er en høyskole og det er nødvendig et behandlingsgrunnlag, for eksempel ved innhenting å lagre informasjon om studentenes obligatoriske av samtykke. Det samme er tilfelle der innsamlede oppgaveinnleveringer og andre resultater for å styre opplysninger ønskes benyttet til noe nytt. Hvis en bok­ undervisningen og gi karakterer. Det er også nød­ klubb for eksempel ønsker å selge sitt kunderegister, vendig å lagre informasjon om oppnådde karakterer må de innhente kundenes samtykke til dette dersom gjennom studiet for å kunne gi studentene vitnemål. dette ikke er gjort ved innmeldingen. Formål, behand­ lingsgrunnlag og tilhørende meldekrav i forhold til type EKSEMPLER – KRAV OG PLIKTER personopplysninger føres i Styringsdokument internkontroll. SOM VIRKSOMHETEN MÅ OPPFYLLE Overordnede formål med behandlinger skal beskrives i • sikkerhetsloven Sikkerhetsmål og -strategi. • forskrift om offentlege arkiv • forskrift til voksenopplæringsloven, forskrift til lov om voksenopplæring vedrørende tilskudd, regn­ BEHANDLINGER skap, revisjon og kontroll EKSEMPLER – SIKKERHETSMÅL OG -STRATEGIER SOM LEGGER ❑ Er formålet med de enkelte behandlingene klarlagt? FØRINGER PÅ HVA MAN KAN BRUKE IT TIL I VIRKSOMHETEN OG ❑ Har virksomheten gjennomgått alle behandlinger og vurdert behandlingsgrunnlaget? HVORDAN MAN KAN GJØRE DETTE: ❑ Er de behandlinger som ikke har behandlingsgrunnlag av- • Virksomhetens nett skal inndeles i soner der hver viklet? sone bare utveksler relevant trafikk med andre in­ ❑ Er det alternativt sørget for et behandlingsgrunnlag for disse? terne eller eksterne soner. Eksempler på slike soner ❑ Inneholder dokumentet Sikkerhetsmål, strategi og aksept- er operasjonssentral­, driftsnett­ og serversone. kriterier en beskrivelse av overordnet formål med behand- • Brannmurer og tilsvarende sikkerhetsbarrierer skal lingene? benyttes for å oppnå et sikkert skille mellom virk­ somheten og eksterne nett. • Det skal være elektronisk overvåking av ekstern nettverkstrafikk og mot virksomhetskritiske syste­ 3.7 Beskrive overordnede rammer mer og nettverk i virksomheten. Dette kapitlet omfatter ledelsens begrunnelse for be­ Andre føringer er krav til hendelseshåndtering, egen­ handling av personopplysninger og overordnede førin­ kontroll, avviksbehandling og ledelsens gjennomgang. ger for bruk av informasjonsteknologi i virksomheten. Dette kan beskrives under strategier i dokumentet Begrunnelsene og de overordnede føringene skal Sikkerhetsmål og –strategi. Disse områdene er beskrevet beskrives i Styringsdokument internkontroll. Begrunnel­ nærmere lenger bak i denne veilederen. 8) Personopplysningsforskriften kapittel 9, 9) Personopplysningsloven § 8 bokstav a INNLEDENDE OPPGAVER side 15.
  16. 16. INTERNKONTROLL OG INFORMASJONSSIKKERHET 3.8 Identifisere plikter eksempel ivaretakelse av HMS­krav. Mange virksom­ heter ser det som hensiktsmessig å benytte et felles Behandling av personopplysninger medfører plik­ styringssystem for å tilfredsstille ulike internkontroll­ ter for virksomheten. Ulike opplysninger og ulike plikter. Andre regelverk kan også gi konkrete regler formål medfører at ingen virksomheter er like. Hver for hvordan personopplysninger skal behandles. virksomhet må derfor identifisere plikter og tilpasse internkontroll og informasjonssikkerhetstiltak til sin organisasjon. Gjennom personopplysningsloven § 14 og ­forskrif­ IDENTIFISERING AV PLIKTER tens kapittel 3 er virksomheten pålagt å identifisere alle plikter den er underlagt. Virksomheten må ❑ Har virksomheten identifisert alle plikter de er underlagt som følge av de kartlagte behandlingene av personopplysninger? deretter utarbeide rutiner og tiltak som er tilpasset ❑ Er rutiner, utover de som er beskrevet i kapittel 4, etter behov pliktene. Vær oppmerksom på at andre regelverk kan planlagt utarbeidet og iverksatt? stille krav om internkontroll for andre formål enn å sikre forsvarlig håndtering av personopplysninger, for side 16. INNLEDENDE OPPGAVER
  17. 17. INTERNKONTROLL OG INFORMASJONSSIKKERHET 4. Rutiner for internkontroll BAKGRUNNSKUNNSKAP INNLEDENDE OPPGAVER RUTINER FOR INTERNKONTROLL INFORMASJONSSIKKERHET OPPFØLGING 4.1 Generelt om rutiner for 5. Når skal de ulike aktivitetene utføres, eller under internkontroll hvilke betingelser? 6. Hva er forventet resultat ved utførelse av rutinen? Personopplysningsloven stiller krav til internkon­ troll i form av planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av 4.2 Håndtering av samlede personopplysningsloven, herunder sikre personopp­ personopplysninger lysningenes kvalitet. Dette kapitlet beskriver rutiner som er nødvendige for 4.2.1 Rutine for iverksettelse eller oppfyllelse av virksomhetens plikter og de registrer­ opphør av behandling tes rettigheter, samt hvordan rutinene bør utformes. Virksomheten kan ta utgangspunkt i listen nedenfor Virksomheten skal ha rutiner for iverksettelse og ved etablering av egne rutiner. Alle rutiner vil imid­ opphør av behandling av personopplysninger. Den lertid ikke være relevante for alle virksomheter. En behandlingsansvarlige må sørge for at rutinene blir risikovurdering kan dessuten vise at virksomheten har konkretisert. behov for andre rutiner enn dem som er listet opp. Følgende elementer inngår i rutine for iverksettelse av RUTINER SOM KAN BESKRIVES I DOKUMENTET behandling Rutiner for håndtering av personopplysninger • vurdere behov for ny behandling av personopplysninger • iverksettelse og opphør av behandling • vurdere formål opp mot behandlingsgrunnlag • overholdelse av melde­ og eventuell konsesjonsplikt • vurdere type opplysninger og gi melding til eller søke • sletting av personopplysninger om konsesjon fra Datatilsynet, se kapittel 4.2.2 • utlevering av personopplysninger til andre • gjennomføre risikovurdering • kvalitetssikring av personopplysninger • gjennomføre nødvendige sikkerhetstiltak • innhenting og kontroll av samtykke • oppfyllelse av plikt til informasjon Følgende elementer inngår i rutine for opphør av • innsyn, retting og supplering behandling • ivaretakelse av eventuell reservasjonsrett mot • kontrollere at oversikten over opplysninger stemmer automatiserte avgjørelser • vurdere om det er grunnlag for videre oppbevaring • publisering av personopplysninger på Internett med et nytt behandlingsgrunnlag • innsyn i privat e­post og private filområder • slette lagrede personopplysninger det ikke lenger er grunnlag for å behandle Dette dokumentet tilhører kategorien gjennomførende dokumentasjon. Se vedlegg 2 for en oversikt over de ulike kategoriene av dokumentasjon samt hvilke 4.2.2 Overholdelse av melde- dokumenter som inngår i kategoriene. Rutinene bør og eventuell konsesjonsplikt utformes i henhold til en felles mal. Rutinene blir da enklere å bruke, og det blir lettere å vurdere om de er MELDEPLIKT fullstendige. All behandling av personopplysninger er i utgangs­ punktet meldepliktig, jf. personopplysningsloven § 31. Følgende mal kan benyttes for utforming av rutiner: En del behandlinger er imidlertid unntatt i personopp­ 1. Hvorfor skal rutinen utarbeides, hva er hensikten lysningsforskriften 10). Dette gjelder blant annet kunde­ med den? registre, personalregistre og foreningers medlems­ 2. Hvem er ansvarlig for å utføre de ulike aktivitetene? registre. Krav til rutiner og sikkerhetstiltak gjelder selv 3. Hva skal utføres av de ulike ansvarlige? om behandlingen er unntatt meldeplikt. 4 Hvordan skal aktivitetene utføres? 10) Personopplysningsforskriften kapittel 7 RUTINER FOR INTERNKONTROLL side 17.
  18. 18. INTERNKONTROLL OG INFORMASJONSSIKKERHET EKSEMPEL – RUTINE FOR MELDING OM BEHANDLING Bestemmelsen slår fast at: AV PERSONOPPLYSNINGER: «den behandlingsansvarlige skal ikke lagre personopp­ • Den behandlingsansvarlige skal gi melding til Data­ lysninger lenger enn det som er nødvendig for å gjen­ tilsynet før behandling starter. Dette gjelder behan­ nomføre formålet med behandlingen. Hvis ikke person­ dling av personopplysninger med elektroniske hjelpe­ opplysningene deretter skal oppbevares i henhold til midler, og før opprettelse av manuelt personregister arkivloven eller annen lovgivning, skal de slettes.» som inneholder sensitive personopplysninger. • Den behandlingsansvarlige skal gi melding til Data­ Vær oppmerksom på at en særlov kan gi andre regler tilsynet før det iverksettes behandling av person­ for sletting. opplysninger som går ut over rammen for behan­ dling som tidligere er meldt. Virksomheten skal ha rutiner for sletting av person­ • Meldingen skal gis senest 30 dager før behandlingen opplysninger som det ikke lenger er nødvendig å lagre. eller endret behandling tar til. Krav til sletting kan for eksempel inntreffe på grunn • Tre år etter at forrige melding ble gitt skal det gis av en organisatorisk endring, bortfall av formål eller at ny melding, selv om det ikke har skjedd endring av tidskrav for lagring utløper. Historiske, statistiske eller behandlinger. vitenskapelige formål kan åpne for lengre lagring under visse forutsetninger. KONSESJONSPLIKT Noen behandlinger er konsesjonspliktige, og skal Følgende elementer inngår i rutine for sletting av per­ dermed ikke meldes. Meldeplikten er her erstattet av sonopplysninger og må konkretiseres av den behand­ konsesjonssøknad til Datatilsynet. Dette gjelder som ho­ lingsansvarlige: vedregel all behandling av sensitive personopplysninger • Vurdere krav til sletting av personopplysninger ved som føres elektronisk. I tillegg er enkelte behandlinger endringer i virksomhetens tjenester, organisering og som i utgangspunktet er meldepliktige, gjort konsesjons­ informasjonssystemer. pliktige ved forskrift. Dette dreier seg om behandling av • Jevnlig, for eksempel månedlig, vurdere krav til slet­ personopplysinger innen telesektoren, forsikringsbran­ ting av personopplysninger basert på oversikt over sjen og i banker og finansinstitusjoner. Noen behandlin­ opplysninger og lagringstid. ger av sensitive opplysninger er likevel unntatt konse­ • Godkjenne sletting av utvalgte opplysninger. sjonsplikt. Behandlinger som er unntatt konsesjonsplikt, • Utføre sletting av utvalgte opplysninger i alle kopier. har meldeplikt dersom ikke annet er bestemt. EKSEMPEL PÅ RUTINE FOR SLETTING: Detaljerte opplysninger om konsesjonsplikten finnes Det er viktig at virksomheten konkret vurderer frister i §§ 33 – 35 i personopplysningsloven og i kapittel 7 i for sletting, også i forhold til krav i andre lover om opp­ personopplysningsforskriften. bevaring. Følgende rutine er kun et eksempel: Datatilsynet har opprettet en tjeneste på 1) SALGSSJEF ER ANSVARLIG FOR PERSONOPPLYSNINGER www.datatilsynet.no for nedlasting av søknadsskjema OM KUNDER. SALGSSJEF SKAL: og innsending av elektronisk meldeskjema. Denne • Sørge for at personopplysninger relatert til kunde­ tjenesten gir tilgang til skjema samt et veiledningsdoku­ forholdet slettes etter tre års inaktivitet i kunde­ ment, og er rask og enkel å bruke. forholdet, med mindre skriftlig samtykke til fortsatt lagring er innhentet fra kunden. EKSEMPEL – RUTINE FOR SØKING OM KONSESJON FOR • Påse at det ikke lagres flere personopplysninger om BEHANDLING AV PERSONOPPLYSNINGER: kunder enn nødvendig for formålet. • Behandlingsansvarlig skal søke Datatilsynet om • Holde en oversikt over når det sist var aktivitet i de konsesjon før konsesjonspliktig behandling av ulike kundeforholdene. personopplysninger starter. • Gi IT­driftsansvarlig beskjed om hvilke opplysninger • Behandling kan ikke starte før konsesjon er gitt. som skal slettes og når de skal slettes. • Motta bekreftelse fra IT­driftsansvarlig på at opplys­ ningene er slettet. 4.2.3 Rutiner for sletting av personopplysninger Rutinen gjelder ikke opplysninger i virksomhetens regnskap. Disse gjennomgås når oppbevaringsplikten Krav til sletting av personopplysninger er beskrevet i utløper. § 28 i personopplysningsloven. Bestemmelsen forbyr lagring av unødvendige personopplysninger. side 18. RUTINER FOR INTERNKONTROLL
  19. 19. INTERNKONTROLL OG INFORMASJONSSIKKERHET 2) PERSONALSJEF ER ANSVARLIG FOR PERSONOPPLYSNINGER forespurte personopplysninger kan utleveres. Som OM ANSATTE. PERSONALSJEF SKAL: ved andre behandlinger, skal utleveringen være • Fjerne unødvendige opplysninger etter gjennom­ formålsbestemt og tilfredsstille krav til behandlings­ føring av personalsamtale. grunnlag i personopplysningsloven § 8 og eventuelt § 9. • Fjerne unødvendige opplysninger ved avslutning av arbeidsforholdet. • Gjennomføre ny vurdering av behov for fortsatt 4.2.5 Rutiner for kvalitetssikring av lagring ett år etter avslutning av arbeidsforholdet. personopplysninger • Påse at det ikke lagres personopplysninger om ansatte som ikke er relevante for administrasjon av Opplysningene skal være korrekte og oppdaterte i arbeidsforholdet. forhold til formålet med behandlingen 11). • Gi IT­driftsansvarlig beskjed om hvilke opplys­ ninger som skal slettes og når de skal slettes. EKSEMPEL – FREMGANGSMÅTE FOR OPPDATERING AV • Motta bekreftelse fra IT­driftsansvarlig på at PERSONOPPLYSNINGER FRA REGISTRERTE: opplysningene er slettet. • Teknisk funksjon i nettsted som krever at bruker bekrefter, eventuelt oppdaterer egne kontaktopplys­ Rutinen gjelder ikke opplysninger i virksomhetens ninger ved pålogging, må oppdateres jevnlig f.eks. regnskap. Disse gjennomgås når oppbevaringsplikten en gang per halvår. utløper. DOKUMENTERTE RUTINER 4.2.4 Rutiner for utlevering av personopplysninger til andre ❑ Har virksomheten dokumenterte rutiner for iverksettelse og opphør av behandling av personopplysninger? Dette kapitlet omfatter rutiner for utlevering av ❑ Finnes det dokumenterte rutiner for overholdelse av melde- personopplysninger til andre behandlingsansvarlige. plikt og eventuelt konsesjonsplikt? Utleveringen er i seg selv en behandling som krever ❑ Eksisterer det dokumenterte rutiner for sletting av person- behandlingsgrunnlag etter personopplysningsloven. opplysninger? Dersom ikke annet behandlingsgrunnlag finnes, må ❑ Har virksomheten dokumenterte rutiner for jevnlig opp- den behandlingsansvarlige som ønsker å utlevere data datering av database med personopplysninger? ha samtykke fra de/den registrerte for å utlevere opp­ lysningene. Utlevering omfatter ikke bruk av eksisterende person­ 4.3 Rutiner relatert til person opplysninger til ny behandling innenfor samme virk­ 4.3.1 Innhenting og kontroll av samtykke somhet, men også i slike tilfeller må man sørge for et behandlingsgrunnlag. Utlevering omfatter heller ikke Behandling av personopplysninger bør i størst mulig oversendelse av personopplysninger til databehand­ utstrekning basere seg på samtykke fra den registrerte. lere. Innsyn i egne personopplysninger omfattes ikke Dette gir godt personvern ved at den registrerte har av dette kapitlet. Slikt innsyn er omtalt i kapittel 4.3.3. bedre kontroll med egne opplysninger. Samtykket må være frivillig, uttrykkelig og informert. Loven stil­ Følgende elementer inngår i rutine for utlevering av ler ingen formkrav til samtykket, men Datatilsynet personopplysninger og må konkretiseres av den be­ anbefaler at det innhentes skriftlig. Samtykke i skriftlig handlingsansvarlige: form vil minske bevisproblemer i situasjoner hvor det er tvil om hva den registrerte har samtykket til. Et • Behandlingsansvarlig kan delegere myndighet til samtykke kan trekkes tilbake når som helst. leder eller medarbeider i virksomheten som skal godkjenne utlevering av personopplysninger. Slik delegering av myndighet skal være dokumentert. Dersom dette ikke er gjort er det kun virksom­ hetens leder selv som kan godkjenne utlevering. • Det skal bestemmes hvem som skal utføre oppgaven, eventuelt oppgavene, i forbindelse med utlevering. • På forespørsel om utlevering skal det vurderes om 11) Personopplysningsloven § 11 RUTINER FOR INTERNKONTROLL side 19.
  20. 20. INTERNKONTROLL OG INFORMASJONSSIKKERHET EKSEMPEL – INNHENTING AV SAMTYKKE FØR Der personopplysningene innhentes fra den registrerte REGISTRERING PÅ NETTHANDELSSTED selv skal informasjonen gis før behandlingen tar til. • kunde går inn på netthandelssted for å lese Informasjon skal gis uoppfordret, uten at den registrerte produktnyheter krever det, og uten kostnader for den registrerte 13). • nettstedet sender et vindu/skjermbilde med fore­ spørsel til kunde om å registrere seg med e­post­ Plikt til å informere når det samles inn opplysninger adresse for å motta produktnyheter fra den registrerte er beskrevet i personopplysnings­ • nettsted kan ikke sende reklame per e­post til pri­ loven § 19. vate mottakere uten at mottakeren har samtykket 4.3.3 Rutiner for innsyn, retting 4.3.2 Oppfyllelse av plikt til informasjon og supplering ved innsamling av personopplysninger INNSYN Den behandlingsansvarlige er pålagt å informere den Rett til innsyn i personopplysninger er beskrevet i registrerte om behandlingen som igangsettes 12). personopplysningsloven § 18. Virksomheten skal ha § 18 Rett til innsyn a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant Enhver som ber om det, skal få vite hva slags behandling av per- b) formålet med behandlingen sonopplysninger en behandlingsansvarlig foretar, og kan kreve å få c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker følgende informasjon om en bestemt type behandling d) det er frivillig å gi fra seg opplysningene a) navn og adresse på den behandlingsansvarlige og dennes even- e) annet som gjør den registrerte i stand til å bruke sine rettigheter tuelle representant etter loven her på best mulig måte, som f.eks. informasjon om b) hvem som har det daglige ansvaret for å oppfylle den handlings- retten til å kreve innsyn, jf. § 18, og retten til å kreve retting, jf. § ansvarliges plikter 27 og § 28 c) formålet med behandlingen d) beskrivelser av hvilke typer personopplysninger som behandles Varsling er ikke påkrevd dersom det er på det rene at den registrerte e) hvor opplysningene er hentet fra allerede kjenner til informasjonen i første ledd. f) om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker § 20 Informasjonsplikt når det samles Dersom den som ber om innsyn er registrert, skal den behandling- inn opplysninger fra andre enn den sansvarlige opplyse om registrerte a) hvilke opplysninger om den registrerte som behandles b) sikkerhetstiltakene ved behandlingen, så langt innsyn ikke svekker En behandlingsansvarlig som samler inn personopplysninger fra sikkerheten andre enn den registrerte selv, skal av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon Den registrerte kan kreve at den behandlingsansvarlige utdyper in- som nevnt i § 19 første ledd så snart opplysningene er innhentet. formasjonen i første ledd bokstav a - f i den grad dette er nødvendig Dersom formålet med innsamling av opplysningene er å gi dem for at den registrerte skal kunne vareta egne interesser. Retten til videre til andre, kan den behandlingsansvarlige vente med å varsle informasjon etter annet og tredje ledd gjelder ikke dersom personop- den registrerte til utleveringen skjer. plysningene behandles utelukkende for historiske, statistiske eller vitenskapelige formål og behandlingen ikke får noen direkte betydn- Den registrerte har ikke krav på varsel etter første ledd dersom ing for den registrerte. a) innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov b) varsling er umulig eller uforholdsmessig vanskelig § 19 Informasjonsplikt når det samles c) det er på det rene at den registrerte allerede kjenner til informas- inn opplysninger fra den registrerte jonen varselet skal inneholde Når det samles inn personopplysninger fra den registrerte selv, Når varsling unnlates med hjemmel i bokstav b, skal informasjonen skal den behandlingsansvarlige av eget tiltak først informere den likevel gis senest når det gjøres en henvendelse til den registrerte på registrerte om grunnlag av opplysningene. 12) Personopplysningsloven §§ 19 og 20, 13) Personopplysningsloven § 17 side 20. RUTINER FOR INTERNKONTROLL
  21. 21. INTERNKONTROLL OG INFORMASJONSSIKKERHET rutine for behandling av forespørsel om innsyn fra • formidling av forespørsel til aktuelle system­/ mulig registrerte. dataeiere • verifisere korrekthet av forespurte endringer av Følgende elementer inngår i rutine for behandling opplysninger av forespørsel om innsyn og må konkretiseres av den • hvis verifisert, utstede arbeidsordre for oppdatering behandlingsansvarlige av systemer • mottak av forespørsel om innsyn fra mulig registrert • bekrefte skriftlig til den som forespurte om endring­ person er som er gjort • eventuelt be om skriftlig bekreftelse på forespørsel • formidling av forespørselen til aktuelle system­ eller dataeiere 4.3.4 Ivaretakelse av eventuell reserva- • gi melding til den som ba om innsyn dersom fore­ sjonsrett mot automatiserte avgjørelser spørselen ga negativt resultat I den grad den behandlingsansvarlige utfører fullt auto­ Dersom den som ba om innsyn er registrert: matiserte avgjørelser i forhold til den registrerte, kan • Skrive ut og eventuelt utarbeide informasjon fra den registrerte kreve manuell behandling av saken/av­ aktuelle systemer som spesifisert i personopplysn­ gjørelsen. Det er gjort unntak der den registrertes per­ ingsloven § 18, i henhold til intern rutine. sonverninteresser ivaretas på en tilstrekkelig måte og • Samle informasjon fra aktuelle systemer og over­ avgjørelsen er hjemlet i lov eller knytter seg til oppfyl­ sende til den som forespør. lelse av kontrakt 15). Den behandlingsansvarlige skal ha rutiner for manuell behandling dersom det er aktuelt. RETTING OG SUPPLERING Personopplysninger skal være tilstrekkelige og re­ levante for formålet med behandlingen 14). Kravet til 4.3.5 Innsyn i privat e-post og relevans trekker opp en ytre grense for hvilke person­ private filområder opplysninger som kan tas med i behandlingen, og kan ikke fravikes gjennom samtykke fra den registrerte. Arbeidsgivers adgang til å foreta innsyn i ansattes Kravet til tilstrekkelighet innebærer at man må ha private e­post og filer er regulert i personopplysnings­ nok opplysninger for å kunne ivareta formålet med forskriften kapittel 9. I og med at ulike virksomheter behandlingen. har ulike behov anbefaler Datatilsynet at virksomheten utarbeider utfyllende rutiner for når innsyn kan bli Virksomheten skal ha rutine for behandling av fore­ aktuelt og hvordan innsyn skal gjennomføres. Slike be­ spørsel om retting og supplering for en registrert. stemmelser kan ikke fravike bestemmelsene i forskrif­ Det kan også være behov for retting i henhold til lo­ tens kapittel 9 til ugunst for arbeidstaker. Instruksen vens § 27. Bestemmelsen slår blant annet fast: kan overprøves av Datatilsynet. Dersom virksomheten ikke har utarbeidet utfyllende bestemmelser, vil innsyn «Dersom det er behandlet personopplysninger som er måtte avgjøres ut fra tolking av personopplysningsfor­ uriktige, ufullstendige eller som det ikke er adgang til å skriftens bestemmelser. behandle, skal den behandlingsansvarlige av eget tiltak eller på begjæring av den registrerte rette de mangel­ fulle opplysningene.» DOKUMENTERTE RUTINER 2 Virksomheten skal også ha rutiner for retting når det ❑ Finnes det dokumenterte rutiner for innhenting og kontroll av avdekkes feil internt i virksomheten. Dersom virksom­ samtykke? heten har behandlet personopplysninger som den ikke ❑ Er dokumenterte rutiner for oppfyllelse av plikt til informasjon har adgang til å behandle skal retting som hovedregel på plass? skje ved at opplysningene slettes. ❑ Har virksomheten utarbeidet dokumenterte rutiner for innsyn, retting og supplering? Følgende elementer inngår i rutiner for behandling av ❑ Er det utarbeidet dokumenterte rutiner for ivaretakelse av forespørsel om retting og supplering, og må konkreti­ eventuell reservasjonsrett mot automatiserte avgjørelser? seres av den behandlingsansvarlige ❑ Finnes det dokumenterte rutiner for innsyn i privat e-post og • mottak av forespørsel om retting eller supplering for private filområder? (ikke obligatorisk) en registrert 14) Personopplysningsloven § 11, 15) Personopplysningsloven § 25 RUTINER FOR INTERNKONTROLL side 21.
  22. 22. INTERNKONTROLL OG INFORMASJONSSIKKERHET 5. Informasjonssikkerhet BAKGRUNNSKUNNSKAP INNLEDENDE OPPGAVER RUTINER FOR INTERNKONTROLL INFORMASJONSSIKKERHET OPPFØLGING 5.1 Hva er informasjonssikkerhet? Risikovurderingen danner grunnlag for iverksettelse av nødvendige sikkerhetstiltak og inngår i underlag Informasjonssikkerhet dreier seg om å håndtere risiko for ledelsens gjennomgang av informasjonssystemet relatert til virksomhetens informasjonsverdier og og informasjonssikkerheten. Sikkerhetstiltakene må behandling av personopplysninger. Personopplysninger stå i forhold til vurdert risiko og sørge for at disse er kan eksistere i mange former. De kan trykkes eller skri­ innenfor de akseptkriterier virksomheten har fastlagt. ves på papir, lagres elektronisk, overføres via post eller Dersom risikovurderingen viser behov for ytterlige elektroniske media eller formidles muntlig. Uansett tiltak, planlegges og gjennomføres disse for å skape et hvilken form informasjonen har eller hvilket middel tilfredsstillende sikkerhetsnivå. Avslutningsvis lages den formidles gjennom og lagres på, bør den alltid rutiner og prosedyrer som jevnlig gjennomføres, for å beskyttes på en tilfredsstillende måte. kontrollere at tiltakene virker etter hensikten. Denne fremgangsmåten og tilhørende rutiner kan organiseres INFORMASJONSSIKKERHET OMFATTER HER BESKYTTELSE AV og dokumenteres i et styringssystem for informasjons­ • konfidensialitet – hindre uvedkommende i å få tilgang sikkerhet som en del av internkontrollen. på opplysningene • integritet – ingen uautorisert eller utilsiktet endring av opplysninger 5.2 Sikkerhetsmål og • tilgjengelighet – opplysningene er tilgjengelige når sikkerhetsstrategi tilgang er nødvendig Fra innledende aktiviteter er følgende fylt inn i I stadig større grad står organisasjoner og deres infor­ Sikkerhetsmål og -strategi masjonssystemer overfor en rekke sikkerhetstrusler, for • begrunnelse for behandling av personopplysninger eksempel datasvindel, spionasje, sabotasje og hærverk. • formål med de ulike behandlinger (overordnet) Skadelige aktiviteter, som spredning av datavirus, • retningslinjer for bruk av IT til behandling av per­ datakriminalitet og tjenesteblokkering, er blitt mer om­ sonopplysninger fattende, ambisiøse og stadig mer sofistikerte. • retningslinjer for organisering av sikkerhet Informasjonssikkerhet oppnås ved hjelp av planlagte og Internkontrollen skal fange opp alle krav til informa­ systematiske tiltak. De tiltak som etableres, skal være sjonssikkerhet i § 2­1 i personopplysningsforskriften. både organisatoriske og tekniske. Sikkerhetstiltakene Formålet er å oppfylle personopplysningslovens krav og selve informasjonssystemet skal dokumenteres og om tilfredsstillende informasjonssikkerhet med hen­ inngå som en del av internkontrollen i virksomheten. syn til konfidensialitet, integritet og tilgjengelighet. På Sikkerhetsdokumentasjonen kan følge strukturen som bakgrunn av dette skal det utarbeides sikkerhetsmål, beskrevet i kapittel 2.5. som inkluderer mål, sikkerhetsstrategi, og hva som skal gjøres for å nå målene. Grunnlaget er lagt i kapit­ Ved innføring av internkontroll, må virksomheten først tel 3.7, overordnede rammer. Sikkerhetsmål og -strategi er identifisere hvilke personopplysninger som behandles. en del av styrende dokumentasjon og ledelsens ansvar. Deretter må det utarbeides en risikoanalyse med vur­ deringer av risiko for at en uønsket hendelse skjer, og eventuelle konsekvenser av dette. 5.2.1 Sikkerhetsmål RISIKOVURDERING SKAL GI FØLGENDE RESULTAT Sikkerhetsmålene omfatter ledelsens beslutninger om • oversikt over identifiserte trusler hva informasjonsteknologien skal brukes til i virksomhe­ • angivelse av sannsynlighet for at en uønsket hendelse ten og hvordan den skal benyttes for å nå virksomhetens kan inntreffe øvrige mål. Sikkerhetsmål vil således utgjøre en del av • angivelse av konsekvenser av en uønsket hendelse virksomhetens beskrivelse av sin totale målsetting. • resultat fra analyse av sikkerhetstiltakenes effekt i Dokumentet Sikkerhetsmål og –strategi oppdateres med forhold til risiko konkrete sikkerhetsmål for virksomheten. Det er gitt side 22. INFORMASJONSSIKKERHET
  23. 23. INTERNKONTROLL OG INFORMASJONSSIKKERHET utfyllende eksempler i denne malen. Sikkerhetsmålene 5.3 Ledelsens g jennomgang bør i størst mulig grad være målbare, men dette er ikke alltid enkelt. Uansett skal de være retningsgivende for Ledelsen skal årlig gjennomgå sikkerhetsmål, sikker­ strategier. hetsstrategi og organisering av informasjonssystemene. Ledelsen skal kontrollere at disse er i samsvar med EKSEMPLER: virksomhetens behov og eventuelt oppdatere mål, stra­ • Krav i relevante lover og forskrifter skal etterleves. tegi og organisering. Gjennomgangen utføres i henhold • Selskapets informasjonsbehandling skal beskyttes til rutine beskrevet i dokumentet Ledelsens gjennomgang. mot alle identifiserte trusler – både interne og ek­ sterne, samt tilsiktede og utilsiktede. Ved ledelsens gjennomgang deltar representanter fra • Det skal være etablert rutiner for å håndtere uøn­ virksomhetens øverste ledelse sammen med sikker­ skede hendelser. hetsansvarlig og IT­driftsleder. Praktisk organisering • Medarbeidere som bruker virksomhetens informa­ av gjennomgangen, utarbeidelse av rapport og iverk­ sjonssystemer skal ha tilstrekkelig kompetanse for å setting av eventuelle tiltak kan med fordel legges til ivareta virksomhetens sikkerhetsbehov. sikkerhetsansvarlig. I ledelsens gjennomgang av informasjonssystemet skal 5.2.2 Sikkerhetsstrategi blant annet følgende vurderes • resultater fra sikkerhetsrevisjoner og kontroller Sikkerhetsstrategien skal omfatte grunnleggende utført av offentlig myndighet beslutninger om organisering og gjennomføring av • endringer med betydning for drift av informasjons­ sikkerhetsarbeidet. Dette går på fordeling av ar­ systemet eller for informasjonssikkerheten, beidsoppgaver mellom ledelse og driftspersonell, og herunder beslutning om eventuelt å ta i bruk eksterne leveran­ • endringer i offentlige sikkerhetskrav dører i sikkerhetsarbeidet. Forholdet mellom ledelse, • endringer i de personopplysninger virksom­ driftspersonell, sikkerhetspersonell og den enkelte heten skal behandle bruker må avklares her. Sikkerhetsstrategien skal gjøre • endringer i trusselbildet som blant annet be­ rede for organisatoriske og tekniske strategiske valg, skrevet i rapport fra utførte risikovurderinger og må være utformet på en måte som gjør at de ansatte • om informasjonssystemet bør endres, eksempelvis forstår hva ledelsen har bestemt. Strategien beskri­ som følge av ønske om ny funksjonalitet ver hvilke virkemidler virksomheten velger å bruke • overordnet behandling av alvorlige avvik og hend­ for å nå målene. Det kan velges ulike strategier for å elser tilfredsstille samme mål. EKSEMPLER: MALDOKUMENT SIKKERHETSMÅL OG –STRATEGI • Egenkontroll skal utføres regelmessig i henhold til systematiserte rutiner. ❑ Inneholder dokumentet begrunnelse og formål med behand- • Alle som får tilgang til fortrolige opplysninger om ling av personopplysninger? bedriften eller bedriftens kunder, skal signere en ❑ Inkluderer dokumentet ledelsens mål for bruk av taushetserklæring. informasjonsteknologi? • Nettverkstrafikk mot virksomheten fra Internett ❑ Er sikkerhetsmålene inkludert i dokumentet? skal kontrolleres. ❑ Går sikkerhetsstrategien frem av dokumentet? § 13 Informasjonssikkerhet masjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvar- Den behandlingsansvarlige og databehandleren skal gjennom lige og hos databehandleren. Dokumentasjonen skal også være planlagte og systematiske tiltak sørge for tilfredsstillende infor- tilgjengelig for Datatilsynet og Personvernnemnda. masjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. En behandlingsansvarlig som lar andre få tilgang til person- opplysninger, f.eks. en databehandler eller andre som utfører For å oppnå tilfredsstillende informasjonssikkerhet skal den oppdrag i tilknytning til informasjonssystemet, skal påse at disse behandlingsansvarlige og databehandleren dokumentere infor- oppfyller kravene i første og annet ledd. INFORMASJONSSIKKERHET side 23.
  24. 24. INTERNKONTROLL OG INFORMASJONSSIKKERHET Eksempel på rapport fra ledelsens g jennomgang av informasjonssystemet og informasjonssikkerheten Rapport fra ledelsens VIRKSOMHET: SKREVET AV: DATO: ARKIVREF: gjennomgang år xxxx XX Sikkerhetsansvarlig 1.12.xxxx xx.yyyy DELTAGERE: Virksomhetsleder NN Sikkerhetsansvarlig NN IT-driftsleder NN DISTRIBUSJON: Møtedeltakerne SAKNR. SAK AKSJON ANSV./ FRIST 1/XX Rapporter fra utførte sikkerhetsrevisjoner. Rapportene fra sikkerhetsrevisjoner ble lagt fram uten merknader. 2/XX Behandling av regi- Det innhentes bistand IT-driftsleder strerte sikkerhets- til endring. 15.12.xxxx brudd og logger. Innbrudd på nettsted bør gi endret sikker- hetsstrategi. 3/XX Behandling av foreslåtte nye løsninger. Prosjektforslaget for bruk av hjemmekontor ble godkjent. Resultatene dokumenteres i rapport i henhold til mal i dokumentet LEDELSENS GJENNOMGANG Ledelsens gjennomgang. ❑ Inkluderer dokumentet Ledelsens gjennomgang en rutine for ledelsens årlige gjennomgang av informasjonssystemet og informasjonssikkerheten i virksomheten? ❑ Er ansvar for forberedelse og innkalling på plass? ❑ Er det etablert en mal til rapport for dokumentet Ledelsens gjennomgang? side 24. INFORMASJONSSIKKERHET

×