For leverandører og utviklere i helse- og omsorgssektoren

For leverandører og utviklere i helse- og omsorgssektoren

I den nye personopplysningsloven er det viktige bestemmelser som berører leverandører og utviklere som skal selge eller bygge velferdsteknologi, systemer, løsninger eller applikasjoner til behandlingsansvarlige innen helse- og omsorgssektoren.

Særlig bestemmelsen om innebygd personvern og personvern som standardinnstilling er sentral.

Behandlingsansvarlig plikter å forsikre seg om at de l��sninger, applikasjoner eller systemer bruker har innebygget personvern og personvern som standardinnstilling. Dette gjelder både eksisterende systemer og ved anskaffelser av nye. 

Innebygd personvern

Innebygd personvern og personvern som standardinnstilling er et sentralt krav i personvernregelverket, (personvernforordningen artikkel 25). Basert på denne artikkelen har vi laget en veileder for programvareutvikling med innebygget personvern og personvern som standardinnstilling.

Den behandlingsansvarlige skal følge kravet om innebygd personvern ved utvikling av programvare, og ved bestilling av system, løsninger og tjenester. Kravet bør derfor også inkluderes når behandlingsansvarlig inngår avtaler med leverandører og ved bruk av konsulenter.

Veilederen retter seg mot utviklere, arkitekter, prosjektledere, testere og personvern- og sikkerhetsrådgivere som utvikler, og bidrar til utvikling av, programvare som inneholder personopplysninger. 

Programvareutvikling bør følge en metodikk med noen fastsatte aktiviteter for å sikre at sluttproduktet blir robust. Vår veileder har tatt utgangspunkt i Software Development LifeCycle og Microsoft Security Development Lifecycle (SDL) og knyttet prinsipper, rettigheter og krav i personvernregelverket til hver aktivitet i utviklingsløpet. 

Hver aktivitet har en tilhørende sjekkliste som er mer teknisk rettet. Veilederen er ment som et supplement til virksomhetens metodikk for programvareutvikling med innebygd personvern. 

De syv aktivitetene i veilederen består av:

  • Opplæring (lovkrav og utviklingskrav)
  • Krav (krav til personvern og sikkerhet, fastsetting av toleransenivå for personvern og sikkerhet, gjennomføring av sikkerhetsrisiko og vurdering av personvernkonsekvenser)
  • Design (dataorienterte og prosessorienterte designkrav, analyse av angrepsflaten og trusselmodellering)
  • Koding (bruk av godkjente verktøy og rammer, ugyldiggjøring av utrygge funksjoner og moduler, statisk kodeanalyse og kodegjennomgang) •test (av personvern- og sikkerhetskrav,  at sårbarheter avdekket i trusselmodell og angrepsflate er håndtert, gjennomføring av ulike sikkerhetstester)
  • Produksjonssetting (utarbeiding av hendelsesplan,full sikkerhetsgjennomgang av programvaren, godkjenning av produksjonssetting, arkivering av relevant data)
  • Forvaltning og drift av programvaren (hendelseshåntering, styringssystem for personvern og informasjonssikkerhet). 

Programvareutvikling med innebygd personvern

Hvordan utvikle programvare med innebygd personvern? Vi har i samarbeid med sikkerhetseksperter og programutviklere i både privat og offentlig sektor, utviklet en veileder om temaet. Den skal hjelpe norske virksomheter å forstå og etterleve kravet om innebygd personvern i de nye personvernreglene.

Programvareutvikling med innebygd personvern

Definisjon

I denne sammenheng er leverandører og utviklere definert som virksomheter som selger eller utvikler løsninger, applikasjoner eller systemer som skal selges til behandlingsansvarlige og/eller databehandlere innen helse og omsorgssektoren.

13