Nettstedskart >>
Informasjonssikkerhet

print
Informasjonssikkerhet

Virksomheter som bruker personopplysninger skal ha en forholdsmessig sikring av opplysningene.


Datatilsynets tilsyns- og sikkerhetsavdeling kan gi veiledning om bruk av informasjonsteknologi ved behandling av personopplysninger, og vurdere informasjonssikkerhet hos virksomheter i forbindelse med endring eller etablering av nye informasjonssystemer. Tidligere veiledninger vil fortsatt være tilgjengelige som referansedokumenter. Nye veiledninger vil utarbeides etter hvert og gjøres tilgjengelige som referansedokumenter.


Innholdsfortegnelse
Veileder og maler
Internkontroll
Sikkerhetsbestemmelser
Risikovurdering
Veileder for kommuner og fylker
Tynne klienter
Personopplysninger på avveier
Kritikkverdig håndtering av passord
Veileder: Passord, e-post og kontonummer i netthandel
Råd til virksomheter som innhenter personopplysninger via Internett
Slett ikke slettet?
Konsesjonssøknader
Kryptering - hva er tilfredsstillende kryptering?
Fødselsnummeret må sikrast
Ny norm skal bedre sikkerheten i helsesektoren
Spørsmål og svar
Spørsmål og svar (privatpersoner)

Veileder og maler


(15.02.2007) Redaksjonen 

Her finner du veileder, maler og støtteverktøy for internkontroll og informasjonssikkerhet.

Internkontroll

Internkontroll handler om å arbeide systematisk for at ens egen virksomhet behandler personopplysninger lovlig, forsvarlig og sikkert.


Plikten til å føre internkontroll for behandlinger av personopplysninger står beskrevet i personopplysningslovens § 14. Internkontroll handler her om å styre virksomheten slik at personopplysninger behandles lovlig, forsvarlig og sikkert.

Arbeidet med å sørge for tilfredsstillende informasjonssikkerhet er også en del av internkontrollen.

Brosjyren "pokerfjes" peker på hva man skal sørge for ved behandling av personopplsyninger, og hva man skal unngå. Den peker på lederen i virksomheten som den ansvarlige for at personopplysningene behandles forsvarlig. Internkontroll er verktøyet for en forsvarlig behandling av personopplysninger.
Les brosjyren her (pdf, nytt vindu)

 

 

Sikkerhetsbestemmelser

Sikkerhetsbestemmelsene i personopplysningsforskriften stiller konkrete krav til virksomhetene

Les sikkerhetsbestemmelsene med kommentarer her (nytt vindu).

Risikovurdering

Datatilsynet har laget en veileder om risikovurdering av informasjonssystemer.


De aller fleste behandlingsansvarlige må gjennomføre en risikovurdering i forhold til informasjonssikkerhet dersom de skal bli i stand til å bringe behandlingen av personopplysninger i samsvar med personopplysningsloven og forskriften til denne. Dette dokumentet veileder virksomheten i den prosessen. (TV-506:2002)

Risikovurdering av informasjonssystem med utgangspunkt i forskrift til personopplysningsloven (Pdf-format - Acrobat Reader) 

Veileder for kommuner og fylker


(15.02.2005) Redaksjonen 

Veilederen for informasjonssikkerhet er rettet inn mot kommuner og fylkeskommuner, men kan også brukes av andre virksomheter som behandler personopplysninger.

Veilederen forklarer blant annet hvordan man kan dele opp informasjonssystemet i soner for å ivareta ulike sikkerhetsbehov.

Dokumentet ble første gang ble gitt ut i 1998, men er nå tilpasset dagens regelverk.

Last ned veilederen her (nytt vindu, pdf-format) 

Tynne klienter


(06.05.2005) Redaksjonen 

Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner.


Last ned veilederen her (nytt vindu, pdf)

Personopplysninger på avveier


(22.11.2007) Datatilsynet 

En handlingsplan for virksomheter


Veiledningen har til hensikt å hjelpe private virksomheter å handle korrekt dersom personopplysninger de står ansvarlig for, har kommet på avveie. Veilederen kan også benyttes for virksomheter innen offentlig sektor, så langt det passer.

Innledningsvis legges det vekt på betydningen av preventive tiltak ved å innføre gode rutiner og å ta nødvendige forholdregler for å unngå at en uønsket situasjon oppstår. I dette ligger at virksomheten har klarlagt ansvarsforhold, gjennomført nødvendige sikkerhetstiltak og etablert nødvendige beredskap dersom slike hendelser likevel skulle skje. I tillegg skal de ansatte ha fått nødvendig opplæring for å håndtere mulige situasjoner. Rask handling er blant de viktigste kriteriene for gode resultater hvis uønskede situasjoner skulle oppstå.  Alle trinnene må ikke nødvendigvis følges, og det kan også være aktuelt å kombinere enkelte av trinnene.

Hvordan definere brudd på personvern

Et brudd på personvernet i denne sammenheng oppstår når uautoriserte personer/virksomheter har fått tilgang til, benyttet eller skaffet til veie noens personlig informasjon. Denne typen aktivitet er normalt ulovlig etter personopplysningsloven. I noen tilfeller vil også straffelovens bestemmelser kunne komme til anvendelse. Noen av de mest vanlige bruddene på personvern skjer når personlig informasjon om kunder, pasienter, klienter eller ansatte forsvinner, blir stjålet eller forlegges (for eksempel om en datamaskin som inneholder personlig informasjon blir stålet eller denne typen informasjon sendes til feil e-post adresse eller lignende). Brudd på personvernet kan også oppstå som en konsekvens av en feilaktig fremgangsmåte eller driftsstans.

Fem trinn til økt ansvarlighet i responsen på en personvernkrise.

Det er fem hovedtrinn man bør vurdere i forbindelse med et brudd eller mistanke om brudd på personvernbestemmelsene:

  1. Begrensning av krisen og forberedende omfangsvurdering
  2. Vurdering i forhold til omfanget av det spesifikke bruddet på personvernet
  3. Varsling
  4. Skadeopprettende tiltak
  5. Forhindre gjentakelse

Det viktigste er at enhver situasjon tas på alvor og at det umiddelbart igangsettes tiltak for å klarlegge det potensielle overtrampet. Trinn 1, 2 og 3 bør enten gjennomføres parallelt eller i rask rekkefølge. Trinn 4 må ses i sammenheng med trinn 2, men har samtidig til hensikt å presisere at skadeopprettende tiltak kan ha langsiktige mål. Trinn 5 anbefales som en langsiktig strategi med tanke på å forebygge lignende hendelser i fremtiden. Avgjørelsen om, og valget av respons bør vurderes fortløpende i hvert enkeltåstående tilfelle.



Trinn 1: Begrensning  av krisen og forberedende omfangsvurdering

  • Det er viktig at det snarest mulig igangsettes strakstiltak for å begrense omfanget av lekkasjen (dette kan for eksempel være å stoppe den uautoriserte fremgangsmåten, gjenskaping av dokumentene/registeret, avstenging av systemet hvor uautorisert utlevering har skjedd, opphevelse eller endring av koder eller svakheter i fysisk eller elektronisk sikkerhet involvert i sikkerhetsbruddet).
  • En person bør utnevnes til leder for den innledende kartleggingen. Denne personen må innvilges nødvendig spillerom innen organisasjonen til å kunne gjennomføre den innledende granskningen, og til å kunne komme med foreløpige anbefalinger for videre tiltak/behandling av krisen.
  • Det må vurderes om det er nødvendig å utnevne en gruppe bestående av representanter fra ulike eller berørte avdelinger/grupper innen virksomheten. Vær likevel tydelig i forhold til hvem som leder arbeidet, slik at ikke eventuelle konflikter om ansvar mellom avdelinger hindrer arbeidet.
  • Det må vurderes hvilke personer både internt og eksternt som skal eller bør varsles om hendelsen innledningsvis. Utvid deretter omfanget av varslingen internt etter nødvendighet og behov.
  • Hvis overtredelsen ser ut til å omfatte tyveri eller andre kriminelle handlinger må politiet varsles.
  • Det er viktig at den interne prosessen ikke undergraver mulighetene for en eventuell etterfølgende politietterforskning. Vær forsiktig i forhold til å ikke forspille bevis som senere kan vise seg verdifulle. Disse kan bidra til å forklare hvordan overtredelsen kunne skje og eventuelt hvem som kan lastes for den.

Trinn 2: Vurdering i forhold til omfanget av det spesifikke bruddet på personvernet       


For å avgjøre hvilke tiltak som umiddelbart må igangsettes, er det viktig å kartlegge risikoen forbundet med overtredelsen. Følgende faktorer bør vurderes som en del av denne kartleggingen:

(i) Personlig informasjon involvert

  • Hvilken type personinformasjon er på avveie?
  • Hvor store mengder informasjon er omfattet av lekkasjen?
  • Hvor sensitiv er denne informasjonen? En generell regel er at desto mer sensitiv informasjonen er, jo høyere er risikoen for at enkeltindivider vil rammes. Lovverket har klare definisjoner på hva som er sensitive personopplysninger. Vær likevel oppmerksom på at publikums opplevelse av hva som er sensitive opplysninger kan strekke seg utover regelverkets definisjoner (for eksempel statlig utstedt informasjon som person-, pass- eller førerkortnummer og finansielt relaterte opplysninger som kredittkort eller bankkortnummer som i kombinasjon kan benyttes for identitetstyveri).
  • En kombinasjon av personlig informasjon er vanligvis mer potent enn deler av den samme informasjonen vil være enkeltvis. Det er viktig å merke seg at sensitivitet alene ikke er det eneste kriteriet for å vurdere skadepotensialet.
  • Hva er omstendighetene rundt den personlige informasjonen det dreier seg om? For eksempel, en liste med oversikt over adresser på en avisrute er muligens ikke særlig beskyttelsesverdig informasjon. En liste over adresser til aviskunder som har avbestilt avisen fordi de skal på ferie kan være mye mer følsom. Samtidig kan offentlig tilgjengelig informasjon tilsvarende den informasjonen som er tilgjengelig i telefonkatalogen være mindre beskyttelsesverdig.
  • Er den personlige informasjonen tilstrekkelig kodet/kryptert, anonymisert eller gjort vanskelig tilgjengelig?
  • Hvordan kan den personlige informasjonen benyttes? Kan den misbrukes til kriminell virksomhet? Kombinasjonen av enkelte typer beskyttelsesverdig personlig informasjon sammen med navn, adresse og fødselsdato kan indikere en høyere risikofaktor på grunn av faren for identitetstyveri.

En vurdering av hvilken type personlig informasjon som er omfattet/berørt vil være med på å avgjøre hva virksomheten bør foreta seg i respons på overtredelsen, hvem som bør involveres, hvilken type varsling som bør sendes til de involverte. For eksempel hvis en bærbar datamaskin med tilstrekkelig kryptert informasjon er stjålet og deretter gjenfunnet, og nærmere undersøkelser viser at informasjonen ikke har vært rørt, kan det vurderes som unødvendig å varsle berørte parter.

(ii) Årsak og omfang av overtredelsen

  • I den grad det er mulig; kartlegg årsaken til og omfanget av overtrampet.
  • Er det en risiko for pågående overtredelse eller videre avsløring av informasjonen?
  • Hva er omfanget av den uautoriserte tilgangen til, innsamlingen av, bruken av eller avsløringen av personlig informasjon. I vurderingen må det tas hensyn til hvor mange og hvem som er de antatte mottagerne samt hvilken risiko det knytter seg til dette.
  • Ble informasjonen mistet eller ble den stjålet? Hvis den ble stjålet, er det mulig å avgjøre om dette var et planlagt tyveri eller ikke?
  • Har den personlige informasjonen kommet til rette?
  • Hvilke tiltak er igangsatt for å begrense skadeomfanget?
  • Skyldes dette et problem med systemet eller er det en engangshendelse?

(iii) Hvilke individer er berørt

  • Hvor mange individers personlige informasjon er rammet av hendelsen?
  • Hvem er berørt av hendelsen: ansatte, leverandører, allmennheten, kunder, tjenesteleverandører eller andre organisasjoner/virksomheter?

(iv) Anslått skade som følge av hendelsen

  • Har virksomheten vurdert den enkeltes forventninger i vurdering av muligheten for påregnet skade? Enkelte vil for eksempel anse en liste over abonnenter av et nisjemagasin som potensielt er mer skadelig enn en liste over abonnenter av en riksdekkende avis.
  • Hvem er mottagerne av informasjonen? Er det noe sammenheng mellom de/den uautoriserte mottageren(e) og typen informasjon? For eksempel; ble informasjonen videreformidlet til intetanende personer eller til personer som kan mistenkes å være involvert i kriminell aktivitet hvor det er et potensial for at informasjonen kan misbrukes? Var mottageren en kjent instans eller person som du/dere stoler på som høyst trolig vil returnere informasjonen uten å videreformidle eller benytte den på noen måte?
  • Hvilken skade kan hendelsen tenkes å resultere i for de berørte individene? Eksempler inkluderer:
     - Sikkerhetsrisiko (for eksempel fysisk tyveri).
     - Identitetstyveri
     - Økonomisk tap
     - Tap av forretningsvirksomhet eller karrieremuligheter; eller
     - Ydmykelse eller krenking av omdømme eller forbindelser.
  • Hvilken skade kan organisasjonen eller virksomheten påføres som følge av hendelsen? Eksempler kan være:
     - Svekking av  tilliten til organisasjonen/virksomheten;
     - Tap av eiendeler;
     - Økonomisk blottgjøring eller;
     - Søksmål (for eksempel gruppesøksmål)
     - Kan varsling av overtrampet resultere i at allmennheten blir skadelidende? Med skadelidende menes at det er: fare for allmennhetens helse; eller fare for allmennhetens sikkerhet.)

Trinn 3: Varsling

Varsling kan være et viktig element i å redusere følgeskader av hendelsen, både for virksomheten og individene som er rammet av hendelsen. Hvis en lekkasje av personopplysninger fører til at det oppstår en fare for enkeltindivider, skal de/den berørte varsles. Manglende varsling kan også få konsekvenser for eventuelt straffeansvar eller erstatning i ettertid. Umiddelbar varsling kan være med på å dempe skaden fordi individene da får en mulighet til å ta nødvendige forholdsregler for å beskytte seg. Utfordringen ligger i å avgjøre når denne varslingen skal utføres. Hver hendelse må vurderes separat med tanke på å avgjøre om det er nødvendig å varsle den/de involverte. Virksomheter har også en varslingsplikt ovenfor Datatilsynet, jf. Personopplysningsforskriftens § 2-6.

Den viktigste vurderingen er om varslingen av den/de berørte individer er nødvendig med tanke på å unngå videre skade på eller for å formilde skaden på enkeltindividet mest mulig hvis det er klart at informasjon har blitt lest, videreformidlet, samlet inn eller benyttet. Virksomheten bør samtidig vurdere hvilken evne individet selv har til å formilde skaden, eventuelt hvilken bistand som kan gis.

(i) Varslig av berørte individer

Virksomheter bør vurdere følgende faktorer når de bestemmer om de skal foreta varsling:

  • Hvilke lovpålagte og/eller kontraktsbudne vilkår har virksomheten?
  • Hvor stor er risikoen for at enkeltindivider kan komme til skade?
  • Hvor stor er risikoen for identitetstyveri eller forfalskning (dette avgjøres vanligvis på grunnlag av hvilken type informasjon som har blitt borte, for eksempel navn og adresse sammen med fødselsnummer)?
  • Finnes det noen risiko for fysisk skade (kan informasjonen som har kommet på avveie kan sette individet i fare for fysisk skade, forfølgelse eller trakassering)?
  • Er det fare for ydmykelse eller at individets rykte kan skades (for eksempel i tilfeller der informasjon omfatter mentale helseopplysninger eller opplysninger om medisinske eller disiplinære forhold)?
  • Hvilken evne har individet selv til å unngå eller formilde mulig skade?

(ii) Når skal man varsle, hvordan skal man varsle og hvem skal varsle

På dette stadiet i prosessen bør virksomheten ha en så komplett oversikt som mulig over risikofaktorer. I tillegg bør en vurdering være gjennomført, avsluttet og ha konkludert i forhold til om berørte individer bør varsles.

Når skal man varsle: Varsling av individer som er berørt av hendelsen bør skje så fort som mulig etter at situasjonsvurderingen er gjennomført. Dersom Politiet eller andre myndigheter er involvert, er det imidlertid viktig at man rådfører seg med disse organene i forhold til om varslingen bør utsettes for eksempel for å sikre at den ikke kan ha noen innvirkning på etterforskningen.

Hvordan skal man varsle: Den beste måten å varsle på er direkte for eksempel via telefon, brev, e-post eller ved personlig overbringelse av nyheten til dem som er berørt. Varsling bør dokumenteres, slik at virksomheten kan bevise at dette er gjort i ettertid. Indirekte varsling for eksempel via webside informasjon, oppslag eller gjennom media bør generelt kun forekomme når direkte varsling kan forårsake videre skade, er umulig av kostnadsmessige årsaker (må begrunnes særskilt) eller at en ikke har tilgjengelig kontaktinformasjon til de rammede. Det kan i enkelte tilfeller være tilrådelig å benytte flere enn en varslingsmåte. Det bør alltid foretas en vurdering av om varslingsmetoden kan innebære noen som helst fare for økning av skadeomfanget (for eksempel ved at personen som har stjålet en bærbar datamaskin varsles om hvor verdifull informasjonen på datamaskinen er/kan være).

Hvem skal varsle: Generelt sett bør virksomheter som har et nært forhold til sine kunder, klienter eller ansatte varsle disse selv. Dette gjelder også hvis hendelsen har skjedd hos en underleverandør som er kontraktfestet til å oppbevare eller håndtere den personlige informasjonen. Det forekommer imidlertid situasjoner der omstendighetene tilsier at det er mer passende at varslingen overlates til en tredjepart. For eksempel hvis en butikk har videresendt kredittkortinformasjon vil det være naturlig at det er selskapet som har utstedt kredittkortet som varsler kunden, ikke butikken. Dette siden selskapet er ansvarlig og har tilgang til korrekt kontaktinformasjon.

(iii) Hvilken informasjon skal varslingen inneholde?

Innholdet i varslingen vil variere avhengig av den spesifikke hendelsen og hvilken varslingsmetode som er valgt. Varslingsinformasjonen må tilpasses det spesifikke tilfellet, men bør generelt sett inneholde:

  • Beskrivelse av hva som har skjedd og når.
  • Informasjon om hvem som er berørt.
  • Beskrivelse av hvilken type personlig informasjon som er omfattet.
  • En generell beskrivelse av hva organisasjonen/virksomheten har foretatt seg for å ta kontroll over og begrense skaden.
  • Hvilke skadeopprettende tiltak som er foretatt som er gjennomført.
  • Hva virksomheten vil foreta seg for å hjelpe de involverte personene, og hva hvert enkelt individ kan foreta seg for å unngå eller begrense skadeomfanget og samtidig beskytte seg mot fremtidig skade. Alternativer her kan være å autorisere kreditovervåking eller andre preventive verktøy.
  • En oversikt over og kontaktinformasjon til kilder som har utfyllende informasjon om identitetstyveri og hvordan hver enkelt kan beskytte seg mot dette. Les mer om ID-tyveri her.
  • Kontaktinformasjon til den avdelingen eller kontaktpersoner i virksomheten som kan svare på spørsmål om hendelsen.
  • Dersom virksomheten har varslingsplikt etter personopplysningsforskriftens § 2-6 og Datatilsynet er varslet, bør dette oppgis slik at det går frem at personvernmyndighetene er klar over situasjonen.
  • Informasjon om hvem, utenom virksomhetens kontaktperson eller ansvarlig, som kan kontaktes i forbindelse med personvernspørsmål.
  • Kontaktinformasjonen til relevante personvernmyndigheter.
  • Vær forsiktig så ingen unødvendige personopplysninger inkluderes i varslingen slik at videre uautorisert misbruk unngås.


 

(iv) Andre som skal eller kan kontaktes -

 

Datatilsynet: Virksomheter vil i mange tilfeller være pliktig til å rapportere brudd på personvernlovgivningen til Datatilsynet. Tilsynet vil hjelpe dem å svare på henvendelser fra publikum og behandle eventuelle mottatte klager. I tillegg kan tilsynet gi virksomheten nyttige råd og veiledning i hvordan krisen skal håndteres.

Varslingen til Datatilsynet vil signalisere til publikum at virksomheten tar hendelsen alvorlig. Følgende faktorer bør vurderes før avgjørelsen om rapportering til Datatilsynet tas.

Finnes det gjeldende lovgivning som krever varsling i det konkrete tilfellet, i så fall bør følgende informasjon inngå:

  • Hvilken del av informasjonen som er kommet på avveie omfattes av gjeldende personvernlovgivning?
     - Beskrivelse av hendelsen
     - Hvilken type personopplysninger er omfattet: Er det fare for at informasjonen kan:
     - misbrukes til å avsløre beskyttelsesverdige personlige forhold, i tilfelle hvilke?
     - misbrukes til økonomisk vinning?
     - misbrukes til å gjennomføre identitetstyveri?
     - misbrukes til å skade den/de involverte, inkludert ikke-økonomisk skade?
     - Hvor mange individer er berørt?
     - Er noen av de berørte individene varslet?
     - Er det grunn til å tro at personvernmyndighetene vil motta klager eller forespørsler angående overtredelsen?

Uavhengig av hva virksomheten definerer som sine plikter i forhold til varsling av berørte individer eller Datatilsynet, bør det også vurderes om følgende skal informeres:

  • Politiet: dersom det er mistanke om tyveri eller andre kriminelle handlinger.
  • Forsikringsselskap eller andre virksomheter: dersom man er kontraktfestet til å gjøre dette.
  • Interesseorganisasjoner eller andre viktige interessegrupper: dersom det foreligger interesseorganisasjoner det er naturlig å varsle eller standarder innen bransjen som krever at en spesiell interessegruppe skal varsles. 
  • Kredittkortfirma, finansielle institusjoner eller kredittopplysningsbyråer: dersom deres assistanse er nødvendig for å kunne kontakte berørte individer eller at de kan hjelpe til med å for eksempel formidle skaden.
  • Andre interne eller eksterne grupper som ikke allerede er varslet:
     - Underleverandører eller andre parter som kan bli berørt.
     - Interne enheter som ikke tidligere er varslet om hendelsen. For eksempel kommunikasjons- og mediekontakter, øverste ledelse etc.; eller
     - Fagforening eller andre forhandlingskanaler/organisasjoner for de ansatte.

Organisasjoner/virksomheter bør fortløpende vurdere den potensielle effekten av hendelsen, og hvilken effekt varsling av enkeltindivider kan eller vil ha på en tredjepart. For eksempel kan det være nødvendig å involvere en tredjepart dersom enkeltindivider ønsker å kansellerer kredittkortet sitt eller dersom en finansiell institusjon må utstede et nytt kort.


Trinn 4: Skadeopprettende tiltak


Når ulykken først har skjedd og personopplysninger har kommet på avveie, er det viktig at virksomheten gjør sitt ytterste for å rette opp skaden. Virksomheten har påtatt seg et behandlingsansvar. I det ligger også et ansvar for å håndtere eventuelle uønskede hendelser. I mange tilfeller er årsaken til at personopplysninger kommer på avveie at virksomheten ikke har sikret informasjonen forsvarlig. Årsaken til hendelsen er imidlertid noe som kan og bør drøftes inngående i forbindelse med trinn 5. Det viktigste under trinn 4 er å forsøke å gjenopprette normaltilstand.

Det mest sentrale i forhold til gjennomføringen av skadeopprettende tiltak vil være å:

  • bringe klarhet i hvor informasjonen kan ha blitt spredd,
  • enten ved eget initiativ, eller ved å bistå Politiet i arbeidet og å sette inn målrettede tiltak for å finne kilder til eventuell videre spredning,
  • så langt det rimelig kan forventes, vurdere om informasjonen kan ha verdi for kriminelle aktører, herunder hvordan informasjonen kan anvendes.
  • Informere de som kan rammes og gi råd om hvilke forholdregler de kan ta (se for øvrig trinn tre om varsling).
  • over tid, klargjøre om informasjonen er tilgjengelig via søkemotorer. I den grad dette er en realitet, ved eget initiativ eller ved hjelp av politi finne kilden for publiseringen. Ta kontakt med aktuell søkemotor og be om at indeksering og eventuell lagring av informasjon fjernes.
  • endre kundenummer og andre identifikatorer i virksomhetens i interne systemer, slik at verdien av informasjonen som er på avveie reduseres. Utstede nye kundekort eller liknende til berørte.
  • bistå de berørte ovenfor tredjeaktør i den grad dette er nødvendig for å ivareta de berørtes trygghet.
  • opprettholde en intern beredskap i forhold til henvendelser fra personer som forsøker å misbruke informasjonen i egen virksomhet.

En av de viktigste truslene mot spredning av informasjon er Internett. Informasjonen spres utrolig raskt og det foreligger alltid muligheter for at noen har kopiert innholdet. En virksomhet kan derfor aldri være helt sikker på at det ikke har skjedd en uønsket spredning. Selv informasjon som er kryptert før den har kommet på avveie vil kunne knekkes over tid. I praksis er det derfor riktig å snakke om at virksomheten med rimelighet forvisser seg om at tilstrekkelige tiltak er gjennomført.

Skadeopprettende tiltak vil ofte innebære en innsats både fra virksomheten selv, fra Politiet og fra den berørte. Virksomheten som har hatt forvaltningsansvaret for personopplysningene bærer hovedansvaret for skadeopprettende tiltak. Likevel kan det være nødvendig å involvere den/de berørte, siden det kan være nødvendig med ekstra vaktsomhet fra vedkommendes side. Rollefordelingen mellom de tre aktører er helt avhengig av hva slags informasjon som er på avveie.

Dersom virksomheten er usikker på hva den bør foreta seg, kan de være nyttig å søke råd hos Datatilsynet.

Trinn 5: Forhindre gjentakelse


Så fort de nødvendige forholdsregler for å formilde risikoen forbundet med hendelsen er gjennomført, må det settes av tid til å undersøke hva som var årsaken. Det må også foretas en vurdering av  behovet for en forebyggende plan. Hvor omfattende planen skal være kommer an på hvor betydningsfullt overtrampet av personvernet har vært, og om det var et systematisk overtramp eller et isolert tilfelle.

En forebyggende plan kan for eksempel inneholde følgende: 

  • En risikovurdering av fysisk og teknisk sikkerhet, herunder en gjennomgang av om sikkerhetstiltakene er tilstrekkelig sett i lys av forutgående hendelse.
  • En gjennomgang av fremgangsmåter, prosedyrer og implementering av eventuelle endringer eller en innføring av nye rutiner som en refleksjon av funnene i undersøkelsen.
  • En gjennomgang av de ansattes opplæring; og
  • En gjennomgang av hvilke underleverandører man har, og hvilken rolle de har i forhold til eventuelle avdekkede svakheter.
  • En tiltaksplan som inkluderer beslutninger om gjennomføring av nødvendige tiltak.

Den endelige planen kan tenkes å inkludere et pålegg om gjennomføring av en gransking etter at prosessen er avsluttet.

Kritikkverdig håndtering av passord


(27.04.2007) Leif T. Aanensen 

Mange personer bruker samme passord og brukernavn på flere nettjenester, samtidig som mange virksomheter lar kundenes ukrypterte passord ligge tilgjengelig for sine ansatte. – Dårlig sikkerhetskultur, sier Frank U. Eriksen, overingeniør i Datatilsynet.

Virksomhetene har for alvor oppdaget at Internett er et godt supplement, og i noen tilfeller en erstatter for telefonbasert kundeservice. Kundene kan på en enkel og oversiktlig måte skaffe seg tilgang til informasjon om eget kundeforhold og eventuelt foreta ønskede endringer. De fleste vil oppfatte et slikt tilbud positivt.

Ansatte kan lese kundenes passord

Virksomhetene har etablert ulike innloggingsløsninger for slike kundesider, med varierende grad av sikkerhet. Årsaken til det er trolig at informasjonen som lagres vurderes ulikt i forhold til beskyttelsesbehov. Imidlertid må en person ofte må forholde seg til et stort antall kundesider. Mange velger derfor av praktiske grunner å benytte samme brukernavn og passord hos flere virksomhetene. Selv om tilsynet fraråder dette, bør virksomhetene likevel forholde seg til at slik praksis forekommer.

Hos noen virksomheter ligger passord og brukernavn åpent i kundesystemene. Datatilsynet er meget kritisk til en slik praksis. Ansatte har med det kunnet tilegnet seg passord og brukernavn som i noen tilfeller også kan misbrukes andre steder. Brukernavn og passord er og oppfattes av de fleste som personlige nøkler. En slik praksis eksponerer virksomhetens kunder for helt unødig risiko. Kundenes passord må være utilgjengelig for de ansatte, fortrinnvis ved at disse krypteres. 

- Det er bekymringsfullt at mange virksomheter ikke har større respekt for egne kunder enn at passord ligger til allmenn beskuelse i kundesystemene. Det vitner om en sikkerhetskultur man ikke bør være kjent av, sier overingeniør Frank U. Eriksen i Datatilsynet.

 

Veileder: Passord, e-post og kontonummer i netthandel


(31.08.2010) Frank U. Eriksen 

Kontroller har avdekket at det finnes behov for en veileder som denne - rettet mot virksomheter som driver handel via internett.

Handel på Internett er økende blant nordmenn. Felles for slike tjenester er at de krever kundens identitet og øvrige kontaktopplysninger for å kunne sluttføre en handel. I mange tilfeller lagres også kundens transaksjoner tilbake i tid. Dermed øker både mengden og spredningen av personopplysninger. Informasjonen avgrenses normalt til navn, adresse, e-post, passord, kontonummer og kredittkortinformasjon. Sikkerheten i forbindelse med kortbruk er regulert i Payment Card Industry Data Security Standard , som i Norge forvaltes av Teller. Av den grunn vil ikke detaljer om håndtering av kredittkortinformasjon bli omtalt i denne veilederen. Tilsynet vil uansett påpeke nødvendigheten av tilfredsstillende konfidensialitet (i form av SSL ol.) ved innhenting av denne type informasjon over Internett.
- Gå til Payment Card Industry Data Security Standard (nytt vindu) 
- Gå til Tellers omtale av kravene i standarden (nytt vindu) 

For å gjøre en netthandel, om det er via nettbutikker, auksjonssider eller andre former for nettkjøp, må man registrere noen personlige opplysninger. Det handler også om at selger med rimelighet kan forvisse seg om at man kommuniserer med en reell person. Derfor er det vanlig at kjøper må opprette en konto med e-postadresse som brukernavn og et personlig passord, eventuelt må man benytte andre identifiserende mekanismer for at handelen kan gjennomføres. Det er eksempelvis mulig å benytte sikkerhetsmekanismen som ligger hos leverandører av betalingsløsninger i tillegg, for en mer entydig identifikasjon.

Datatilsynet gjennomførte i 2008 noen kontroller mot virksomheter innen netthandel, med spesielt fokus på auksjonsvirksomhet. Kontrollene avdekket at kunders passord og kontonummer var tilgjengelig for ansatte i virksomhetene. En annen svakhet var utsendelse av passord til kunden på e-post, hvor brukernavnet er likt e-postadressen som passordet blir sendt via. Tilsynet vil i teksten som følger ta for seg forskjellige problemstillinger rundt dette, og forklare hvilke tiltak som vil være tilfredsstillende i forhold til sikkerhetsbestemmelsene i personopplysningsloven med forskrift. Det er særlig bestemmelsen i personopplysningsforskriftens § 2-11 om konfidensialitet som vil være sentral i disse vurderingene. Avslutningsvis vil tilsynet også komme inn på personopplysningslovens § 28 om sletting.

Passord er privat

Passord benyttes som en nøkkel for å låse opp en konto eller brukerprofil som tilhører en enkeltperson. Denne nøkkelen er noe denne personen ikke ønsker å dele med uvedkommende fordi det øker muligheten for å utføre handlinger på vedkommendes vegne. Disse handlingene kan være å by på varer, gjennomføre kjøp eller på andre måter tilføre eier av konto problemer.

Et annet forhold som gjør at passord må beskyttes for slikt innsyn er at mange brukere gjenbruker passord i andre tjenester. Selv om dette ikke er en heldig praksis, bør virksomhetene forholde seg til realitetene. For å huske hvilket passord man skal benytte for alle de forskjellige kontoene man har på Internett og andre steder begrenser folk vanligvis antallet passord til hva de selv føler er håndterbart. Dette endrer likevel ikke det faktum at passord er privat, og skal ikke tilfalle uvedkommende.
De nevnte kontrollene avdekket i hovedsak at brukernes passord var tilgjengelig for ansatte i virksomheten hvor vedkommende hadde et kundeforhold. Tilgjengeligheten var dog begrenset til de som hadde tilgang til kundesystemet, men de kunne uansett se passordene i klartekst. Eventuelle utro tjenere har dermed, i det minste i noen tilfeller, nok informasjon til å misbruke kundens øvrige personlige kontoer. Siden e-postadresse er et vanlig brukernavn, vil dermed hele sikkerheten i andre løsninger kunne kompromitteres.

Personopplysningsforskriften har en særlig bestemmelse om at det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig.

Passord er beskyttelseverdig og vil dermed omfattes av krav til konfidensialitet.
En database med brukernavn (e-post) og passord er et yndet objekt for ID-tyver og andre som ønsker å skaffe seg informasjon de kan bruke i andre sammenhenger. Slik informasjon kan dermed ha verdi på det ”svarte markedet”. Virksomheten må også forholde seg til at risikoen for utro tjenere kan være en variabel når man skal vurdere tiltak for beskyttelse av slik informasjon.

Datatilsynet har derfor satt opp noen enkle punkter for å ivareta konfidensialiteten for passordet til brukerne:

  • Krypter databasen - Husk at nøkkelen ikke må være lett tilgjengelig
  • Gjør passord usynlig for kundebehandlerne - De trenger det ikke
  • Send ut nytt midlertidig passord med kort gyldighet (noen timer)
  • Er brukernavnet og e-posten som passordet sendes på det samme, vil uautorisert tilgang til denne e-posten kunne kompromittere brukerkontoen. 
  • Bruk kryptert innlogging - Typisk SSL-sertifikat el.

Oppsummert er det enkle tiltak som skal implementeres for å gi brukerne den sikkerheten de skal ha ved håndtering av passord i kundesystemer.

Kontonummer - Behandles med omhu

Kontonummer benyttes i hovedsak av virksomheter som bedriver auksjonsvirksomhet med mulighet for retur av varer. Blir varen returnert etter gitte retningslinjer vil pengene bli innbetalt til kundens konto.

Selv om kontonummer må være tilgjengelig for de som gjør utbetaling etter at varen er returnert, betyr det ikke at noen andre trenger denne informasjonen.  Tilgang til slike opplysninger må derfor avgrenses til tjenestelig behov.
Datatilsynet vil derfor ikke gjenta de punktene som er nevnt i slutten av forrige kapittel, men vil påpeke at de samme punktene er viktige å ta med seg, i tillegg til tilgangsstyring som nevnt i avsnittet over.

Sletting

Personopplysningslovens § 28 legger til grunn at når formålet med behandlingen av personopplysningene er avsluttet så skal opplysningene slettes, så fremt ikke annet lovverk sier at de skal lagres i en lengre periode.

Et kundeforhold hos en netthandelvirksomhet er basert på personopplysningslovens § 2-7 om samtykke. Når dette samtykket trekkes, normalt når kunden sletter sin konto, så skal alle opplysninger som ikke faller innunder oppbevaringsplikt etter annet lovverk slettes.  Dette betyr i hovedsak at navn, adresse, e-post, passord, kontonummer skal fjernes fra kundesystemet og fra sikkerhetskopi. Unntaket kan være at salgshistorikk om dette faller innunder annet lovverk. Sletting i slike systemer kan være problematisk med tanke på konstruksjonen av sikkerhetskopieringssystemer. Det kan være vanskelig å slette et enkeltstående element.

Tilsynet har derfor vurdert at en passende rotasjonstid på sikkerhetskopien vil være en tilfredsstillende metode for sletting. Kunden bør informeres om virksomhetens praksis, jf. personopplysningslovens § 19.

 

Råd til virksomheter som innhenter personopplysninger via Internett


(18.12.2007) Datatilsynet 

Datatilsynet har behandlet flere saker hvor det er påvist fare for innhøsting av store mengder personopplysninger fra nettsider. Innhøstingen skjer ofte ved at forskjellige svakheter, gjerne hos flere virksomheter, utnyttes i kombinasjon.

Personopplysningslovens § 13, jf personopplysningsforskriftens kapittel 2 stiller krav om at behandlingsansvarlig skal sørge for tilfredstillende informasjonssikkerhet og dokumentere det gjennom en risikovurdering. Datatilsynet har følgende langsiktig forventning:

Ved samhandling over elektronisk medium, hvor det er nødvendig å avklare identitet, må behandlingsansvarlig med rimelighet forvisse seg om at samhandlingen skjer med rette vedkommende. For nye, ukjente brukere, vil denne forventningen normalt kun være oppfylt dersom det benyttes kvalifiserte elektroniske signaturer eller under visse forutsetninger andre signaturer virksomheten har tilstrekklig tillit til.

Følgende prinsipper bør tilstrebes:

  1. Virksomheten må med rimelighet forvisse seg om at samhandling skjer med rette vedkommende. Ved etablering av nye kundeforhold, hvor det gis et kredittelement eller kontroll over eierskap til et kundeforhold er av betydning, bør rekommandert sending eller annen form for sikret formidling benyttes.
  2. Bruker av tjenesten må selv legge inn relevante personopplysninger når en ny tjeneste skal tas i bruk. Automatisk utfylling av skjema innebærer risiko for innhøsting av informasjon.
  3. Systemet må ikke gi respons om informasjon som er tastet inn er gyldig eller ikke. Konkrete tilbakemeldinger, som for eksempel at ”fornavn stemmer ikke” kan misbrukes til vask av ulovlige databaser.
  4. Det må anordnes vern mot maskinell innhøsting eller annen tilsvarende misbruk av siden. Inntil videre kan piktogram med tilstrekkelig sikkerhet være et tilfredstillende tiltak.
  5. I løsninger hvor personopplysninger utveksles, må tilstrekkelig sikring av konfidensialitet etableres. Det kan for eksempel gjøres med kryptering av kommunikasjonen.
  6. Det bør anordnes begrensninger i antall forsøk samme individ/maskin skal kunne benytte på en skjematjeneste. For eksempel kan IP- eller TCP-sesjon begrensninger legges inn, men da i begrenset tid for å unngå unødvendig logging.
  7. Etter at et elektronisk skjema er sendt inn, bør det ikke sendes ut bekreftende e-post til en selvdefinert adresse med personrelatert informasjon, med mindre brukeren selv ønsker det, at informasjonen utelukkende ble lagt inn av brukeren selv, og informasjonen har et lavt beskyttelsesbehov. Usikret e-post er ikke egnet til utsendelse av brukernavn og passord.
  8. Det må ikke foretas eventuell kredittsjekk før kunden har bekreftet bestilling på gitte betingelser. Det må klart fremgå at kredittsjekk er i ferd med å innhentes.
  9. Eventuell innhentet fødselsnummeret skal slettes etter at kredittsjekk er gjennomført. Eventuelt må det foreligge eget behandlingsgrunnlag for fortsatt oppbevaring.

Listen er ikke uttømmende, men gir en veiledning for hva Datatilsynet mener kan være tilstrekkelige kortsiktige tiltak. Behandlingsansvarlig må utover ovennevnte være oppmerksom på informasjonspliktene som følger av personopplysningslovens §§ 19 og 20.

Datatilsynet påpeker forutsetningen om at tiltakene omhandler situasjoner hvor verifisering av identitet er nødvendig. Slike løsninger må ikke være til hinder for at brukerne kan søke generell informasjon uten å være pålogget en tjeneste. Prinsippet om anonym ferdsel på Internett, så langt dette er mulig, skal etterleves.
 

Slett ikke slettet?


(27.04.2007) Frank Ulfsby Eriksen 

Hvordan skal man sikre seg at informasjon som er blitt lagret igjennom tiden, ikke kommer på avveie? Er vanlig sletting godt nok?

En datamaskin kan brukes til så mangt. De fleste bruker den til arbeid, til å surfe rundt på Internett, spille spill, gjøre innkjøp og bruke nettbank. Man legger kanskje inn bilder av familien, fører regnskap, sender e-post og skriver brev og søknader. Av og til legger man kanskje inn opplysninger man ikke ønsker andre skal få tak i. En god del informasjon relatert til slik bruk er vanskelig tilgjengelig for den normale bruker og derfor vanskelig å slette permanent.

Slettet?

Hvordan skal man sikre seg at informasjon som er blitt lagret igjennom tiden, ikke kommer på avveie? Er vanlig sletting godt nok?

Hvordan ville du reagere om personen du solgte datamaskinen til ringer og forteller hva han har funnet av privat informasjon eller i ytterste tilfelle lagt det ut på Internett og du får vite om det? Selv husker du helt klart at du slettet denne informasjonen før du videresolgte datamaskinen. Du kan derfor ikke skjønne hvordan informasjonen har sett dagens lys igjen.

Problemet med slik normal sletting er at man egentlig ikke sletter informasjonen, men bare legger til rette for at den kan skrives over. Ett godt eksempel på slik normal sletting er slettefunksjonen  i operativsystemet Windows. Denne metoden for sletting begrenser seg ikke kun til harddisker, men også til andre lagringsmedier man bruker i sammenfatning med for eksempel Windows, herunder minnepinner, minnebrikker og disketter.

Hvis man ønsker sikre at personlig og sensitiv informasjon ikke havner i feil hender bør man ta noen ekstra grep. Man kan for eksempel selge datamaskinen uten harddisk, som er lagringskomponenten inne i datamaskinen, eller bruke et program som sletter informasjonen permanent. Et mer drastisk skritt er å bruke sterk magnetisme, men dette vil ødelegge harddisken for fremtidig bruk.

Leverer du datamaskinen inn til reparasjon bør du få en forsikring på hvordan denne bedriften forholder seg til og håndterer personlig informasjon lagret på maskinen videre. Bedriften bør ha innarbeidet rutiner rundt hvordan slik informasjon skal behandles og skal uoppfordret informere kunden om hva som er praksis i deres bedrift.

Datatilsynet kan ikke anbefale produkter eller leverandører som kan hjelpe deg med  å slette data på en god måte, men vi oppfordrer til at man bør være varsom, kritisk og ikke minst sjekke anbefalinger fra andre rundt hvordan de oppfattet produktet eller produsenten i forhold til kvalitet og resultat.

Rekonstruksjon

Programvare som kan gjenskape tapte eller slettede data har i den senere tid blitt mer tilgjengelig og enklere å bruke. Mange av disse programmene er ”pek og klikk” og derfor er det enkelt for en middels kyndig databruker å rekonstruere opplysningene på harddisken eller minnepinnen.

De aller fleste av slike programmer baserer seg på at informasjonen er slettet via normale metoder som nevnt tidligere. Hvis man tar i bruk mer avanserte metoder for å forsikre seg mot at personlig og sensitiv informasjon kommer på avveie, vil sannsynligheten bli mindre for at noen kan bruke slike enkle metoder for å hente tilbake det som er slettet. 

Konsesjonssøknader


(06.02.2004) Redaksjonen 

Hvordan skal informasjonssikkerheten dokumenteres? Ved behandling av konsesjonssøknader vurderer Datatilsynet om behandlingsansvarlig med rimelighet kan sies å ha ivaretatt plikten til forholdsmessig sikring av personopplysningene.


Kravene til informasjonssikkerhet finnes i personopplysningslovens § 13 og personopplysningsforskriftens kapittel 2.
For vurderingen trenger Datatilsynet kopi av noen av de overordnede dokumentene som den behandlingsansvarlige skal ha ifølge forskriften. Omfanget av dokumentene vil variere avhengig av hvilken type behandling som foretas samt virksomhetens størrelse og kompleksitet.


Dette må være vedlagt:

  • definerte sikkerhetsmål
  • sikkerhetsstrategi
  • risikovurdering
  • organisasjonskart som beskriver ansvar og myndighet i forhold til informasjonssikkerhet og drift
  • konfigurasjonskart

Dersom dokumentasjon i henhold til pkt. 3 i søknadsskjemaet mangler eller er for mangelfull til at Datatilsynet kan gjøre en forsvarlig vurdering av informasjonssikkerheten, vil søknaden kunne bli returnert uten behandling, med anvisning om hva som mangler. Dette kommer nødvendigvis til å forsinke prosessen.

Om begrepene
Her følger en kort omtale av begreper som blir benyttet i arbeidet med informasjonssikkerhet. Se også vedlegg I som forteller mer om hva begrepene innebærer.

- Sikkerhetsmål: Sikkerhetsmålene omfatter ledelsens beslutninger om til hva og hvordan informasjonsteknologien skal benyttes i virksomheten for å kunne nå sine øvrige mål. Den vil således utgjøre en del av virksomhetens beskrivelse av sin totale målsetting.


- Sikkerhetsstrategi: Sikkerhetsstrategien vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet. Dette går på fordeling av arbeidsoppgavene mellom ledelse og driftspersonell, beslutning om eventuelt å ta i bruk eksterne leverandører i sikkerhetsarbeidet. Forholdet mellom ledelse, driftspersonell og den enkelte bruker må avklares her. Sikkerhetsstrategi skal gjøre rede for organisatoriske og tekniske strategiske valg. Sikkerhetsstrategien må være utformet på en måte som gjør at de ansatte forstår hva ledelsen har bestemt.


- Akseptkriterium: Bestemmer hvilken risiko som kan aksepteres av virksomheten. Ved behov har Datatilsynet anledning til å fastlegge særskilte kriterier for akseptabelt risikonivå eller å fastlegge spesielle vilkår for sikkerhet ved behandling.


- Risikovurdering: Risikovurderingen har til hensikt å undersøke hvor stor personvernrisiko det er ved bruk av informasjonssystemet. Resultatet av vurderingen skal sammenliknes med det risikonivå virksomheten kan akseptere (akseptkriteriene). En risikovurdering må derfor måtte inneholde beskrivelse av hvilke personopplysninger som behandles og sikkerhetskravene til disse. Personvernrisiko er kombinasjonen av en hendelses konsekvens og sannsynligheten for at hendelsen inntreffer. (Se Datatilsynets veiledning ”Risikovurdering av informasjonssystem” som finnes på informasjonssikkerhetssidene til Datatilsynets websted.)


- Konfigurasjonskart: På et slikt kart bør nettets infrastruktur og de forskjellige brukere, nettverkskomponentene, datalagringsenhetene fremgå samt hvilken funksjon disse enhetene har. Ekstern tilknytning må tydelig fremgå. Det bør også inngå hvilke enheter som er lagringsmedium for personopplysninger.

Hva bør dokumentasjonen som vedlegges søknaden inneholde?
Tabellen under kan fungere som en sjekkliste for virksomheten. Innholdet er kun veiledende og ikke nødvendigvis uttømmende. Personopplysningsforskriften forkortes pof og punkt henviser til punktet i søknadsskjemaet.

KravBestemmelseKommentar

 

 

pof 2-3, jf. punkt 3.1

 

 

Sikkerhetsmål

Sikkerhetsmål bør omfatte beslutninger om til hva og hvordan virksomheten skal kunne benytte informasjonsteknologi:

  • Hvilke personopplysninger blir lagret elektronisk/manuelt?
  • Må opplysningene sikres med hensyn på konfidensialitet, integritet og tilgjengelighet?
  • Hvilke elektroniske hjelpemidler tas i bruk?
  • Hvordan skal disse opplysningene kunne brukes?
  • Eventuell privat bruk av informasjonssystemet

 

 

pof 2-3, jf. punkt 3.2

 

 

Sikkerhets-strategi

Beskrivelse av valg og prioriteringer i sikkerhetsarbeidet.

  • Overordnede valg for gjennomføring av sikkerhetsarbeidet
  • Overordnede føringer for bruk av informasjonssystemet
  • Eventuell bruk av eksterne samarbeidspartnere, f.eks. databehandler
  • Beslutning om tilknytning til eksterne virksomheter
  • Overordnet oppgavefordeling

 

 

 

 

 

pof 2-4, jf. punkt 3.4

 

 

 

 

 

Risikovurdering

Skal gjennomføres før behandling av personopplysninger starter, deretter ved endringer i informasjonssystemet eller trusler som kan påvirke risikobildet. En risikovurdering bør som et minimum inneholde:

  • Kartlegging av personopplysninger som behandles og hvilke sikkerhetsbehov disse har
  • Identifisering av uønskede hendelser som kan true sikkerheten og konsekvensene av disse
  • Vurdering av sannsynlighet for at uønskede hendelser skal inntreffe
  • Vurdering av avdekket risiko i forhold til aksepterbar risiko

Det forutsettes at risikonivået ligger innenfor akseptable grenser før behandling av personopplysninger settes i gang. Gjør de ikke det, brukes resultatene av risikovurderingen som grunnlag for planlagging og gjennomføring av tiltak som kan gi tilfredsstillende informasjonssikkerhet

 

 

 

pof 2-7, jf. punkt 3.4 og 3.5

 

 

 

 

Organisering

Her skal sikkerhetsorganisasjonen beskrives. Det skal etableres klare ansvars- og myndighetsforhold med utgangspunkt i beslutninger tatt av virksomhetens ledelse (sikkerhetsstrategien).

  • Ansvar og myndighet relatert til drift av informasjonssystemet (driftsledelse) og for oppfølging av sikkerhetsarbeid (sikkerhetsledelse) må klarlegges. I mindre organisasjoner kan det være samme person som ivaretar disse oppgavene.
  • For større organisasjoner fremlegges organisasjonskart som viser de nevnte funksjonene og deres plassering i forhold til ledelse og virksomheten for øvrig.
  • Ansvar og myndighet skal fremgå tydelig.

 

 

pof 2-7, jf punkt 3.5

 

 

Konfigurasjon

  • Det må foreligge konfigurasjonskart
  • Beskrivelse av nettets infrastruktur og de forskjellige nettverkskomponentene må fremgå
  • Identifisering av datalagringsenhetene
  • Synliggjøre brukere i nettverket
  • Funksjonell beskrivelse av sikkerhetskomponentene
  • Eventuelle eksterne tilknytninger må tydelig fremgå

 

 

3.6, 3.7, 3.8

 

 

=>

  • 3.6: Det svares 'nei' kun dersom det aktuelle nettverket hvor personopplysningene behandles er fysisk isolert fra andre nettverk.· ·
  • 3.7: Det svares 'ja' dersom overføring av personopplysninger i det eksterne nettverket er aktuelt som del av den planlagte behandlingen av opplysningene.
  • 3.8: Fylles ut kun hvis virksomheten er underlagt annet offentlig regelverk som også regulerer krav til informasjonssikkerhet

 

Kryptering - hva er tilfredsstillende kryptering?


(09.03.2010) Redaksjonen 

Det finnes utallige metoder for å kryptere innhold i filer, alt fra passordbeskyttelse i tekstbehandlere til mer sofistikerte PKI-løsninger.Et annet aspekt er hvordan passordet skal tilgjengeliggjøres for den enkelte ansatte.

Hva skal brukes for å ha en god nok konfidensialitet? Det avgjørende er at det foretas en risikovurdering av informasjonssikkerheten i forhold til innholdet man skal kommunisere til den ansatte. Som nevnt tidligere kan en lønnsslipp inneholde sensitive personopplysninger noe som krever en høyere grad av informasjonssikkerhet.

Både tekstbehandlere, pdf-programmer og andre løsninger har mulighet for å passordbeskytte innholdet, men muligheten for å bryte en slik beskyttelse har blitt enklere med tiden. Normalt sett vil en noe mer sofistikert beskyttelse av innhold være nødvendig, typisk via en form for kryptering og et godt passord.

Passordet for dekryptering av innhold bør ikke være fødselsnummer eller andre kjennetegn for mottaker av lønnsslippen, men noe som vanskeliggjør tilgang til innholdet. 

Samtidig må brukervennligheten vurderes. Løsningen bør være så enkel at alle ansatte kan benytte den og faktisk bruker løsningen etter intesjonen, men samtidig ivaretar punktene nevnt over.

Tilsynet kan ikke konkret anbefale noen spesifikk krypteringsløsning, men nevnte punkter bør vurderes når man velger beskyttelsesmetode for innhold.

Fødselsnummeret må sikrast


(26.10.2006) Helge Veum 

Krav frå Datatilsynet: Når ein legg til rette for elektronisk kommunikasjon av fødselsnummer over usikra nettverk, må fødselsnummeret krypterast eller sikrast på annan måte.

Personopplysningsforskrifta § 9-2 stiller følgjande krav ved sending av fødselsnummer: "Postsendinger som inneholder fødselsnummer skal være utformet slik at nummeret ikke er tilgjengelig for andre enn adressaten. Tilsvarende gjelder sendinger som formidles ved hjelp av telekommunikasjon."

Ved sending over usikra nettverk blir dette løyst mest formålstenleg ved at fødselsnummeret krypterast ved sending. Spørsmålet er spesielt aktuelt når ein har lagt til rette for sending av fødselsnummer over Internett i form av innlegging på Web-sider og sending i e-post.

Eit slik vern samsvarer vidare med føresegna om sikring av konfidensialitet i personopplysningsforskrifta § 2-11.

Det blir lagt til grunn at lovkrava for bruk av fødselsnummer i personopplysningslova § 12 er oppfylt.

Les meir om bruk av fødselsnummer her.


 

Ny norm skal bedre sikkerheten i helsesektoren


(07.09.2006) Gunnel Helmers 

Norm for informasjonssikkerhet i helsesektoren ble lansert 7. september 2006. - Normen er en viktig milepæl i arbeidet med å oppnå en tilfredsstillende sikkerhet i helsesektoren, sier avdelingsdirektør Leif T. Aanensen i Datatilsynet.


Sosial- og helsedirektoratet har vært den sentrale drivkraften i arbeidet med normen. Representanter for sektoren, blant annet fra Den norske lægeforening, Norsk Sykepleierforbund, Norges Apoterkerforening, Kommunenes Sentralforbund, og de regionale helseforetakene, har vært med på utarbeidelsen. Datatilsynet satt i styringsgruppen, og har bidratt i utformingen av normen ved behov.

- Datatilsynet er tilfreds med at direktoratet nå har lansert Norm for informasjonssikkerhet i helsesektoren, sier Aanensen. - Den kan medvirke til at helseopplysninger sikres godt nok, fastslår han.

Normen er et felles grunnlag for å etterleve regelverket når det gjelder informasjonssikkerhet.  Helsesektoren er stor og kompleks, med aktører med ulike behov og av ulik størrelse.

- Når deltakerne i helsenettet følger denne normen, kan man ha gjensidig tillit til at den man sender helseopplysninger til sikrer opplysningene godt nok. Dette er en viktig forutsetning for forsvarlig kommunikasjon, påpeker Aanensen.

Datatilsynet har klare forventninger om at alle innen bransjen forholder seg til normen, sier Aanensen, og fastslår samtidig at arbeidet ikke er over med dette. - Nå gjenstår det viktige arbeidet med å innføre normen hos den enkelte aktør.

Se normen og tilknyttet informasjons- og faktaark her (nytt vindu)

Spørsmål og svar


(10.05.2005) Datatilsynets tilsyns- og sikkerhetsavdeling  

Alle virksomheter som behandler personopplysninger er pålagt å sikre opplysningene forholdsmessig. Her er de vanligste spørsmålene Datatilsynets tilsyns- og sikkerhetsavdeling får.


Godkjenner Datatilsynet mine IT-løsninger?
Datatilsynet har ikke godkjenningsordning for løsninger. Ved behov gir Datatilsynet råd og veiledning til leverandører i forhold til hvilke forhold det bør tas hensyn til. De formelle kravene til informasjonssikkerhet hos den behandlingsansvarlige finner du i personopplysningsforskriftens kapittel 2. Tiltak skal baseres på gjennomført risikovurdering.
Tilbake til innholdsfortegnelsen


Hvor kan jeg finne regler og krav som Datatilsynet setter rettet mot programvareleverandører?
Personopplysningsloven er ikke rettet mot programleverandører. Personopplysningsloven bygger på følgende hovedprinsipp med tanke på  informasjonssikkerhet: - Det er den behandlingsansvarlige som gjennom å definere sikkerhetsmål og strategi skal avgjøre hva som er et akseptabelt sikkerhetsnivå. Behandlingsansvarlig skal gjennom risikovurderingen sannsynliggjøre at tiltakene er tilstrekkelige. Datatilsynet kan overprøve de vurderinger som er lagt til grunn. Det er få detaljerte krav i regelverket, og Datatilsynet er heller ikke kommet så langt med hensyn til å utarbeide veiledninger. Det er forøvrig ingen direkte krav til programvare, men disse vil inngå i den totale vurderingen den behandlingsansvarlige må gjøre.

Datatilsynet tilbyr veiledningsmøter med leverandører ved spesielle behov. I slike tilfeller presenteres konseptet og det gis innspill fra Datatilsynets side. Det gis ikke noen godkjenning, men vi bidrar til at produktet kan oppfylle lovens krav.
Tilbake til innholdsfortegnelsen


Eksisterer det en godkjenning eller sikkerthetssertifisering som Datatilsynet kan gi til IT-produkter eller systemer?
Datatilsynet har ingen slik godkjenningsordning, men kan gi råd og veiledning ved konkrete problemstillinger.

SERTIT v/Nasjonal sikkerhetsmyndighet gir informasjon om sikkerhetssertifisering av utstyr. Sikkerhetssertifisering av organisatorisk sikkerhet gjøres av Justervesenet/Norsk Akkreditering.
Tilbake til innholdsfortegnelsen


Hva slags informasjonsløsning gir tilstrekkelig sikkerhet i en barnevernsinstitusjon?
Personopplysningsloven med tilhørende forskrift stiller få konkrete (materielle) krav til hvordan ting skal løses, men setter rammer for hva som skal ligge til grunn. I praksis innebærer regelverket (personopplysningslovens §13, samt personopplysnigsforskriftens kapittel 2) at den behandlingsansvarlige gjennom en risikovurdering skal sannsynliggjøre en akseptabel sikkerhet. Hvis behandlingen omfatter sensitive opplysninger, kan regelverket utløse krav om konsesjon fra Datatilsynet. I forbindelse med en slik behandling vurderer Datatilsynet dokumentasjonen som fremlegges fra behandlingsansvarlig.
Tilbake til innholdsfortegnelsen


Er det slik at leger har lov til å koble seg til Internett med samme maskin som de bruker til å kjøre journal-programvaren sin på?
I utgangspunktet nei, men dette avhenger av valgt teknisk løsning. Personopplysningsloven skal blant annet sikre at den som behandler personopplysninger gjør dette på en tilfredstillende måte ved å sette krav til behandlingsansvarlig. I dette ligger også krav til tilfredstillende informasjonssikkerhet. Informasjonssikkerhet oppnås ved at opplysningene som behandles vurderes i forhold til konfidensialitet, integritet og tilgjengelighet. En risikovurdering skal bidra til at behandlingsansvarlig iverksetter tilstrekkelige tiltak.

Ved tilknytning til eksternt nettverk øker trussel og sårbarhet vesentlig i forhold til en fysisk isolert PC. Dette krever at behandlingsansvarlig kompenserer økt trussel med et knippe tiltak som gjør at nivået ikke forringes.
Tilbake til innholdsfortegnelsen


Er VPN tilstrekkelig for flytting av personopplysninger mellom en lokal applikasjon og en sentral databehandler?
Ja, det er ikke formelle hindre for en slik løsning, men regelverket stiller krav om at behandlingsansvarlig (for eksempel kommunen) eller databehandler (for eksempel en privat bedrift) gjennomfører en risikovurdering som innbefatter vurdering av nødvendige tiltak for å sikre et tilfredsstillende nivå innen informasjonssikkerhet.

Nivået fastlegges av behandlingsansvarlig ved sikkerhetsmål og sikkerhetsstrategi. Den konkrete løsningen må gjennom tilfredsstillende tiltak samsvare med nevnte nivå. Dette dokumenteres gjennom risikovurderingen.
Tilbake til innholdsfortegnelsen


Hvordan skal behandlingsansvarlig håndtere taushetsplikt for databehandler?
Vanlig praksis er at taushetsplikten ivaretas på to selvstendige nivå:
1- mellom behandlingsansvarlig og databehandler
2- ved at databehandler har pålagt taushetsplikt overfor sine ansatte. Internkontroll er normalt det verktøy som benyttes for å ivareta dette.
Tilbake til innholdsfortegnelsen


Hvilke tiltak må iverksettes for at en virksomhet som behandler sensitive personopplysninger skal kunne tilknytte seg f.eks. Internett?
Vi vil først understreke at behandlingsansvarlig gjennom en utført risikovurdering må kunne sannsynliggjøre at valgte løsning er i samsvar med de sikkerhetsmål og strategier som er valgt for behandlingen. Når det er sagt kan vi gi noen indikasjoner på hvilke løsinger som normalt benyttes i et slikt tilfelle.

Det vil som regel være to alternative metoder:

1. Nettverket deles opp i to fysisk isolerte hovedsegmenter, hvor de som behandler sensitiv informasjon får et eget dedikert nettverk til dette. Dette nettverket er da hverken tilknyttet øvrig nettverk eller eksternt nettverk. Dette innebærer at de som arbeider med sensitive personopplysninger vil måtte ha to maskiner, en for sikker sone og en for intern sone hvor de også vil kunne ha tilgang til Internett, e-post osv. Ofte brukes det da felles tastatur og skjerm og en swich (fysisk omkobler)

2. Ett annet alternativ er å bygge opp en såkalt tosonemodell, hvor det etableres to sett brannmurer. En mot ytre nett og en mellom sikker og intern sone. Her er konfigureringen svært viktig.

Mer informasjon om dette finnes på Datatilsynets hjemmeside under informasjonssikkerhet.
Se spesielt i veileder for kommuner og fylker.

Tilbake til innholdsfortegnelsen


Hvilke hensyn må vi ta når det gjelder informasjonssikkerhet ved opprettelse av kunderegister?

Om registrene inneholder personopplysninger, skal de sikres etter sikkerhetsbestemmelsen i Personopplysningsloven. Om det kun er manuell behandling gjelder personopplysningsloven § 13. I den grad det er elektronisk behandling skal også personopplysningsforskriften kapittel 2 tas hensyn til.
Tilbake til innholdsfortegnelsen


Hvilke sikkerhetstiltak bør etableres for en Internettside hvor personopplysninger om kunder er tilgjengelige?
Alle personopplysninger må sikres i henhold til personopplysningsloven § 13. Behandlingsansvarlig for tjenesten må ha foretatt en risikovurdering. Som regel vil risikovurderingen, holdt opp mot de fastlagte kriterier for akseptabel risiko, føre til at det må iverksettes kryptering og da kryptering både av påloggingspassord og aktuell informasjon. SSL-kryptering er aktuell i slike sammenhenger.
 
Behandlingsansvarlig skal foreta en slik vurdering og iverksette nødvendige tiltak.
Tilbake til innholdsfortegnelsen


Kommunen har laget elektronisk søknadsskjema for barnehageopptak. Er det tillatt?
Ja, det er tillatt med denne typen tjenester på Internett, men det forutsetter at kommunen har sikret tjenesten. Datatilsynet anbefaler generelt at søknadsskjemaer håndteres kryptert. Dersom søknadsskjemaet inneholder sensitive opplysninger skal det overføres kryptert. Kommunen må legge til rette for dette.
Tilbake til innholdsfortegnelsen
 

Hvilke regler gjelder datanettverk på skoler? Skal elevnett og lærernett kjøres på to fysisk atskilte nettverk, eller kan de kjøres på samme nettverk?
Elever bør ikke tilkoples samme interne nettverk som kommunen benytter for en rekke andre formål (herunder lærernes elevadministrasjon). Men lærere kan selvfølgelig benytte nettverk i sammen med elever dersom denne bruken er tilpasset til hvilke opplysninger og sikringstiltak som iverksettes i dette nettverket. Se personopplysningsloven § 13, se også personopplysningsforskriftens kapittel 2.
Tilbake til innholdsfortegnelsen

 

Finnes det retningslinjer for valg av algoritmer for kryptering?
Den generelle retningslinjen fra Datatilsynet er at personopplysninger som transporteres utenfor den behandlingsansvarliges kontroll skal krypteres med algoritmer med styrke tilsvarende eller bedre enn DES 128 (3DES). AES og andre anerkjente algoritmer vil oppfylle dette.

Valg av krypteringsløsning, og øvrige valg av sikkerhetsmessig karakter forøvrig, gjøres av virksomheten selv med bakgrunn i virksomhetens sikkerhetsstrategi og risikovurdering.
Tilbake til innholdsfortegnelsen


Hvordan skal passord behandles? Skal passord krypteres?

Datatilsynet anbefaler at passordet krypteres i den grad forholdsmessig sikkerhet krever dette. Beskyttelsesgraden for passordet må være bedre eller lik beskyttelsesnivået for opplysningene som passordet beskytter. Passord skal lagres kryptert, samt håndteres kryptert på nett som ikke behandlingsansvarlig har fullstendig kontroll over.
Tilbake til innholdsfortegnelsen



På arbeidsplassen min benytter vi samme felles passord, er det tilrådelig?
Nei, dette er ikke tilrådelig og kan også være i konflikt med regelverket.
Tilbake til innholdsfortegnelsen


Finnes det spesielle krav for sending og lagring av sensitiv e-post?
Ja, ved overføring av sensitive personopplysninger skal overføringen normalt krypteres med en styrke tilsvarende 128 bits DES. Når det gjelder lagring av sensitiv e-post, må denne lagres kryptert inntil den hentes inn på den delen av informasjonssystemet som er egnet for behandling av sensitive opplysninger.
Tilbake til innholdsfortegnelsen


Vi tilbyr ASP tjenester til en del kommuner, men løsninger som baserer seg på terminalserver og sentral lagringsplass. Nå vil kommunene vite om det er greit å legge fagprogramvare Barnevern på en slik sentral løsning?
I prinsippet er det ikke formelle hindre for at kommunen benytter såkalt "databehandler", dvs. outsourcer hele eller deler av drift til ekstern selskap. I slike tilfeller skal det foreligge særskilt avtale mellom behandlingsansvarlig (kommunen) og databehandler (f.eks. dere). Denne avtalen må blant annet regulere oppfyllelse av forholdsmessig sikring av personopplysningene (se personopplysningsloven §§ 13 og 15). Det skal forligge en risikovurdering som dokumenterer forholdsmessig sikring av opplysningene. Dette er et ansvar som i utgangspunktet er rettet til behandlingsansvarlig, men databehandler har også en selvstendig plikt.

Nå, tilbake til spørsmålet. En sentral forutsetning for ovennevnte er blant annet:
- sikker autentisering
- sikring av kommunikasjon(f.eks. kryptering)
- tilstrekkelig atskillelse av de ulike behandlingsansvarlige hos databehandler.
- tilstrekkelig sikkerhet på brukersiden
- sikring mot uautorisert tilgang på tvers av behandlingsansvarlige (kommuner)
- sikkerhetslogger som brukes aktivt og jevnlig presenteres i summarisk form ovenfor behandlingsansvarlig.
Tilbake til innholdsfortegnelsen

  
Kommunen der jeg arbeider benytter multimaskiner med kopiering, printer, e-post og faks, men har stengt for faksmuligheten. Hvorfor det?
Personopplysningsloven setter krav til at kommunen etablerer sikkerhetsmål, sikkerhetsstrategi og utarbeider sikkerhetsvurderinger for å ivareta personvernet. Om kommunen i sin sikkerhetsvurdering har kommet frem til at faksfunksjonen ikke kan aksepteres, så skal det stenges for en slik funksjon. En mulig årsak til dette kan være manglende mulighet for kryptering.
Tilbake til innholdsfortegnelsen

 

Spørsmål og svar (privatpersoner)


(10.05.2005) Datatilsynets tilsyns- og sikkerhetsavdeling 

Mange privatpersoner har spørsmål om sikkerhet på egen datamaskin eller på Internett. Her er de vanligeste spørsmålene med svar.

 


Jeg skal selge den gamle datamaskinen min, hvordan sikrer jeg at kjøperen ikke får lest de personlige filene som jeg har lagret på den?
Det blir et spørsmål om hvor stor innsats andre kan tenkes å legge i å få tak i informasjonen, samt hvor sensitiv opplysningene er for deg. 
Datatilsynet kan gi deg et generelt råd om å ta ut harddisken. Det er vanskelig å fjerne informasjon fullstendig. Du bør eventuelt vurdere profesjonell hjelp for sletting eller sikker destruksjon. Det er ikke tilstrekkelig å slette på ordinær måte om du vil være sikker på at ingen senere skal kunne åpne filene. For ikke-følsom informasjon vil en formatering av lagringsmediet kanskje være nok.
For virksomheter gjelder egne regler.
Tilbake til innholdsfortegnelsen


Hva kan jeg trygt sende på e-post?
Trygg forsendelse forutsetter at e-posten er kryptert. Det er viktig å huske på at e-post i utgangspunktet sendes ukryptert. Det vil dermed være mulig for andre å lese innholdet. Enkelt forklart kan vi sammenlikne ukryptert e-post med å sende et åpent postkort. Tenk over om du ville ha sendt informasjonen på et åpent postkort. Ville du ikke gjort det, bør du heller ikke sende meldingen som e-post (ukryptert).
Tilbake til innholdsfortegnelsen


Jeg ønsker å sette opp et åpent trådløst nett som hvem som helst kan kople seg til. Er det noe jeg bør passe på i den anledning?
Dette vil Datatilsynet fraråde. Å kjøre et helt åpent nett uten kryptering og tilgangskontroll vil medføre at du vil kunne få uholdbare kritiske problemer. Dette må du foreta en sikkerhetsvurdering av. En slik vurdering vil sannsynligvis medføre at kryptering og tilgangskontroll er nødvendig for å få en akseptabelt sikker løsning. Du kan i verste fall stilles til ansvar for den kommunikasjonen som brukerne av nettet ditt vil foreta, og du vil ikke ha noen reell kontroll med hvem disse er.
Tilbake til innholdsfortegnelsen 


Jeg har hør at noe som heter RFID-merker kan være et personvernproblem, hva er RFID?
RFID (Radio Frekvens Identifikasjon) skaper nye muligheter for å spore og identifisere produkter og dermed eventuelt også personene som bærer dem. RFID kan skape helt nye overvåkingsmuligheter.
Radiobrikken benytter radiobølger for automatisk identifisering. Slike brikker kan produseres så små at de kan plasseres skjult i klær, på pengesedler eller på ethvert produkt.
Tilbake til innholdsfortegnelsen


Gjelder pliktene i personopplysningsloven for meg som privatperson?
Nei, personopplysningslovens plikter gjelder ikke for privatpersoner som behandler personopplysninger eller bruker IKT-utstyr til private formål, men loven gir deg imidlertid rettigheter når virksomheter behandler personopplysninger om deg.
Tilbake til innholdsfortegnelsen

Datatilsynet © 2010    postkasse@datatilsynet.no   Postboks 8177, Dep 0034 Oslo   Telefon: 22 39 69 00   Personvernpolicy