Internkontroll og informasjonssikkerhet

En god internkontroll er avgjørende for å sikre forsvarlig behandling av personopplysninger. Denne veilederen hjelper virksomheten med å innføre internkontroll og informasjonssikkerhet.

Informasjonssikkerhet dreier seg om å håndtere risikoen som oppstår når personopplysninger og andre informasjonsverdier ikke er forsvarlig sikret. Internkontroll handler om å etablere og vedlikeholde planlagte og systematiske tiltak for å sikre at virksomheten oppfyller lovens krav til behandling av personopplysninger. 

Gjennom å ha god informasjonssikkerhet og god internkontroll sikrer virksomheten at den behandler personopplysninger lovlig, sikkert og forsvarlig. Vi understreker samtidig at virksomheten må arbeide kontinuerlig med informasjonssikkerhet og internkontroll. Veilederen hjelper virksomheten å komme i gang og få systemet på plass. Samtidig må det legges en plan for avvikshåndtering samt regelmessig gjennomgang og, om nødvendig, revidering av systemet.

Denne veilederen følger dagens personopplysningsregelverk. I mai 2018 får vi nye personvernregler i Norge. Da erstattes dagens personopplysningslov med en ny personopplysningslov som gjennomfører EUs personvernforordning (General Data Protection Regulation, forkortet GDPR) i norsk rett.

De nye reglene gir nye plikter knyttet til informasjonssikkerhet og internkontroll. Det er likevel sånn at grunnprinsippene i denne veilederen vil være i tråd med de nye reglene.
Det er også slik at å følge dagens regelverk er det beste utgangspunktet for å starte arbeidet med å etterleve nye reglene.

Vi har foreløpig ingen ny veileder om internkontroll og informasjonssikkerhet, men vi vil fra høsten se hvordan vi kan erstatte denne veilederen med noe tilsvarende for de nye reglene.