Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Programvareutvikling med innebygd personvern

Opplæring

I denne aktiviteten bestemmes det hva det skal gis opplæring i. For at alle i virksomheten både skal forstå behovene for og risiko knyttet til personvern og sikkerhet, må opplæringen være strukturert.

Målgruppen for denne fasen er ledelse og ansatte i virksomheten.

Hva skal det gis opplæring i? 

Kunnskap om personvern og informasjonssikkerhet er en forutsetning for å utvikle programvare med innebygd personvern. De ansatte må vite hvilke krav som gjelder, hva de skal se etter og hvilke verktøy som gjør dem i stand til å omsette kunnskap om personvern og informasjonssikkerhet til programvare som ivaretar dette.

De ansatte må vite hvilken metodikk og hvilke rutiner som skal følges. Virksomheten må selv finne ut hva som er relevant og hva den enkelte ansatte trenger opplæring i. Deretter må det lages en opplæringsplan.

Hvilke krav gjelder for virksomheten?

De ansatte bør få opplæring i gjeldende interne og eksterne krav. Interne krav kan omhandle personvern, informasjonssikkerhet, internkontroll og organisering av ressurser. Det inkluderer rutiner for risikovurderinger og krav til dokumentasjon. Eksterne krav omfatter personvernregelverket generelt, betydningen av personvernprinsippene spesielt og hvilke rettigheter de registrerte har.

Andre eksterne krav kan være regelverk og obligatoriske krav knyttet til fagområde, sektor eller bransje som programvaren skal utvikles for. I tillegg kan det være krav om å følge beste praksis, standarder eller normer innenfor teknologien som er valgt. Eksempler på dette er offentleglova, pasientjournalloven, den kommende kommunikasjonsvernforordningen (ePrivacy) , IKT-forskriften og rammeverk for informasjonssikkerhet som for eksempel ISO27001 (standard.no) og The ISF Standard of Good Practice for Information Security (SoGP) (securityforum.org) 

Hvordan kan dette løses?

Programvareutviklere skal ha en etablert metodikk for å utvikle programvare som de følger. Denne skal være godkjent av ledelsen. Ved utvikling av programvare som behandler personopplysninger, skal metodikken omfatte innebygd personvern og innebygd sikkerhet. Eksempler på rammeverk for utvikling med innebygd sikkerhet er Microsoft Security Development Lifecycle (SDL) (microsoft.com) og OWASP Flagship projects (owasp.org)

Hvilke verktøy kan benyttes?

Virksomheten bør utarbeide en oversikt over hvilke verktøy, standarder og beste praksis som skal brukes ved programvareutvikling. De ansatte bør få opplæring i hvilke verktøy de kan bruke, hvordan og til hva. Eksempler på verktøy for sikkerhetstesting, målinger og trusselmodellering med videre finnes balant annet i
OWASP Application Security Verification Standard Project (owasp.org)

OWASP Testing Project (owasp.org)

ISO27k information security (iso27001security.com) 

Microsoft SDL (microsoft.com)

 

Last ned

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll