Informasjonssikkerhet
Alle personopplysninger skal beskyttes tilfredsstillende, og all behandling av personopplysninger skal ha en risikobasert tilnærming. Det gjelder også for bruk av skytjenester.
Særlig om skytjenester
Datatilsynets erfaring er at sikker og personvernvennlig bruk av skytjenester avhenger av spesifikk kompetanse hos virksomhetene. For de som er vant med lokalt driftede løsninger krever overgang til skytjenester en omstilling for å kunne sikre løsningene tilstrekkelig. Dette er blant annet fordi løsningene ikke lenger er innenfor virksomhetenes brannmur, og derfor kan være mer utsatt for eksterne angrep.
Virksomhetene har heller ikke kontroll på infrastrukturen skytjenestene eksisterer på. Selv om skytjenesteleverandørene gjør mye informasjonssikkerhetsarbeid på vegne av kundene sine, hviler mesteparten av arbeidet på kundene. Administrering av brukerkontoer og tilgangsstyring er eksempler på oppgaver virksomhetene i de fleste tilfeller må gjøre selv. Dersom de ikke blir gjort godt nok, kan det få katastrofale konsekvenser for personvernet til sluttbrukerne. Kommuner som tar i bruk skytjenester er ansvarlige for at de ansatte som skal administrere løsningene har den nødvendige kompetansen. Det innebærer blant annet kunnskap om de særlige utfordringene bruk av skytjenester medfører, og de særlige risikoene som kan oppstå ved bruk av skytjenester.
Slike utfordringer omfatter for eksempel leverandørens stadige utvikling av løsningene. Leverandørene kan fjerne funksjoner og tilføre nye funksjoner innenfor vilkårene i avtalene, og kundenes mulighet til å påvirke valgene er ofte svært begrenset. Endringene kan medføre personvernrisikoer som behandlingsansvarlige må ta hensyn til. En annen utfordring er leverandørenes stadige endringer av avtalene tjenestene omfattes av. Avtalene kan endres flere ganger i året, og dette er en sårbarhet som de behandlingsansvarlige må ha et realistisk forhold til.
Å benytte skytjenester krever altså årvåkenhet hos de behandlingsansvarlige i forhold til endringer i løsningene og avtalene fra leverandørene. Kommunene må ha effektive rutiner for å følge med på slike endringer. De må også ha rutiner for å fortløpende vurdere hvordan endringene påvirker risikoene for barnas personvern, slik at de har evne til å sørge for vedvarende personopplysningssikkerhet.
En skytjeneste er i utgangspunktet tilgjengelig til enhver tid fra ethvert sted. Dette er bare én av flere fundamentale forskjeller mellom skytjenester og lokalt driftede løsninger. Forskjellene gjør at risikoene i løsningene er forskjellige. Noen risikoer er lavere, andre er høyere, noen risikoer må legges til og andre frafaller.
Virksomheter som er vant med å administrere lokale løsninger må derfor tilpasse tilnærmingen deres til informasjonssikkerhetsarbeidet når de tar i bruk skytjenester. De må fullt ut forstå skytjenestene de benytter og mulighetene som finnes i dem, slik at sikkerhetsarbeidet kan tilpasses de konkrete utfordringene bruken av skytjenester medfører. Tilpasningene som må gjøres forutsetter en systematisk tilnærming. Uten dette vil det ikke være mulig å sikre effektiv etterlevelse av kravene i forordningen.
Risikovurderinger og tiltak
Kravene til risikovurdering finner man i flere av forordningens bestemmelser, blant annet i bestemmelsene om den behandlingsansvarliges ansvar og om personopplysningssikkerheten (artiklene 24 og 32). Risikovurderinger skal alltid gjøres før behandlingen starter. Hvis man ikke har vurdert risiko i forkant av behandlingen, er det tilfeldigheter som avgjør om personopplysningssikkerheten ivaretas. Gjennomføring av risikovurderinger skal være en integrert del av virksomhetens styringssystem for informasjonssikkerhet.
Les mer om hvordan man kan iverksette styringssystem for informasjonssikkerhet
I flere av sakene Datatilsynet har behandlet har vi sett at risikovurderingene har vært utilstrekkelige – både i form av urealistiske vurderinger av enkeltrisikoer og i bruk av metoder som er uegnet til å sikre løsningene over tid.
Det er viktig at kommunene er systematiske i risikovurderingene, slik at de kan sikre effektiv etterlevelse av forordningen over tid. Det innebærer for eksempel at kommunene må ha et realistisk forhold til at leverandøren kan gjøre endringer i skytjenestene og avtalene flere ganger i året, og at kommunene implementerer tiltak for å følge med på dette.
Kommunene må også ha mekanismer for å følge med på andre deler av risikobildet og sikre at tiltak blir gjennomført etter planen. En måte å gjøre det på kan være å angi konkrete tidsfrister for gjennomføring av tiltak, og angi gjennomføringsansvar til konkrete personer. Når fristen går ut må noen ha ansvar for å kontrollere om tiltakene er iverksatt. Ansvar og arbeidsfordeling må være angitt på en måte som ikke gir grunnlag for tvil.
Som vi også har nevnt tidligere må kommunene må ha et robust system for tilgangsstyring. Dette er særlig aktuelt når det kommer til administrasjon av skytjenesten, som i utgangspunktet også kan gjøres fra hele verden. Administratorkontoer bør beskyttes med flerfaktorautentisering. Det må også stilles krav til passordstyrke for elevene, for å redusere risikoen for at uvedkommende logger seg på en elev sin konto.