Skjema for internkontroll

Personopplysningsloven stiller krav om å etablere internkontroll. Det betyr at virksomheter som omfattes av loven må iverksette systematiske tiltak for å sørge for å følge loven og tilhørende regelverk. Internkontroll er et styringssystem for informasjonssikkerhet og personvern. 

Vi laget for noen år siden et skjema som kan brukes når dere skal planlegge og følge opp egen internkontroll etter personopplysningsforskriften. Det er basert på kravene i personopplysningsforskriften kapittel 2 (informasjonssikkerhet) og kapittel 3 (internkontroll), som er utfyllende bestemmelser av personopplysningsloven §§ 13 og 14.

Vi har videreutviklet dette skjemaet for å koble personopplysningsregelverket og ISO/IEC 27001-standarden sammen slik at dere kan se hvordan disse utfyller hverandre. Hvert enkelt krav i personopplysningsforskriften kapittel 2 og 3 er koblet mot ISO/IEC 27001. Dette er ment som en hjelp. Listen over krav og kontroller fra ISO/IEC 27001 er ikke uttømmende. Ordvalget i skjemaet er fritt oversatt fra den engelske standarden, og harmonerer derfor ikke alltid med ordbruken i den norske standarden.

Her er en enklere oversikt som viser forholdet mellom kravene i forskriften mot ISO/IEC 27001.

Mer om ISO/IEC 27001

Det finnes flere rammeverk for styring av informasjonssikkerhet, ofte forkortet til ISMS. Det står for Information Security Management System. Det mest anerkjente rammeverket er ISO/IEC 27001-standarden. Difi anbefaler at stat og kommuner i Norge benytter seg av ISO/IEC 27001, og de har laget et veiledningsmateriell basert på denne standarden

Rammeverket bidrar til å etablere, implementere, vedlikeholde og kontinuerlig forbedre et styringssystem for informasjonssikkerhet i virksomheten. Det hjelper dere å ta høyde for alle kravene til informasjonssikkerhet i virksomheten. Samtidig stiller det krav til vurdering og behandling av risiko for informasjonssikkerhet knyttet til virksomhetens verdier. 

Kravene er generiske og ment å gjelde for alle virksomheter uavhengig av type, størrelse eller art, og er et rammeverk som er skalerbart. Rammeverket er delt i to, en del som utgjør de obligatoriske kravene som virksomheten ha på plass, og et vedlegg med kontroller som virksomheten kan velge å etablere. Dersom en kontroll ikke er aktuell for virksomhet, skal dere begrunne og dokumentere hvorfor den ikke er aktuell. Dere finner kravene til informasjonssikkerhet i ISO/IEC 27001, mens ISO/IEC 27002 gir dere beste praksis for å oppfylle disse kravene.

Personopplysningloven versus ISO/IEC 27001

Mange lurer på om virksomheten oppfyller personopplysningsregelverket dersom den er i samsvar med ISO/IEC 27001? For å oppfylle kravene i personopplysningsloven må du som et minimum følge alle obligatoriske krav i ISO/IEC 27001 og Annex A 18.1.4. Hvilke av de øvrige valgfrie kontrollene dere skal ta med, avhenger av virksomhetenes verdier og leveranser.