Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Virksomhetens ansvar etter nytt regelverk

Det nye personvernregelverket legger vekt på ansvarlighet og internkontroll hos virksomheten fremfor forhåndskontroll fra Datatilsynet.

Kravene til avviksbehandling, varsling av berørte og kontinuerlig arbeid med informasjonssikkerheten skjerpes i det nye regelverket.

Veiledningen er basert på forordningens artikler 5, 24, 30 og 32-34, samt Artikkel 29-gruppens anbefalinger.

Skriv ut veileder
Virksomhetens ansvar etter nytt regelverk

Fra kontroll til ansvarlighet

Det nye personvernregelverket legger vekten på ansvarlighet fremfor forhåndskontroll fra Datatilsynet. Ansvaret for at personopplysninger behandles riktig ligger hos virksomheten.

Dagens krav til internkontroll og informasjonssikkerhet

Krav til internkontroll og informasjonssikkerhet i dagens personopplysningslov er konkrete og handler om at virksomheter skal utføre planlagte og systematiske tiltak. Dette er også regulert i personopplysningsforskriften.

Prinsippene om ansvar, integritet og konfidensialitet

Et av de viktige prinsippene for det nye personvernregelverket er at det er virksomheten som bruker personopplysningene som har ansvar for at personvernprinsippene overholdes. Dette innebærer at virksomheten skal kunne vise at de behandler personopplysninger i tråd med personvernprinsippene.

Behandlingsansvarlig skal blant annet å sørge for tilstrekkelig og forholdsmessig sikkerhet, at personopplysningene er sikret mot uautorisert eller ulovlig behandling eller utilsiktet tap, ødeleggelse eller skade.

Dette er nedfelt i artikkel 5 i det nye regelverket.

Forskjellen fra dagens regelverk er at det blir mindre forhåndskontroll ved at melde- og konsesjonspliktene forsvinner. Men det er også en viktig endring at ansvaret blir plassert hos virksomheten. Det kommer flere og til dels tydeligere rettigheter og plikter, og det blir krav om å iverksette risikobaserte tiltak. Mer etterkontroll kan medføre strengere sanksjoner om man ikke har «orden i eget hus».

Dette er regulert i artikkel 25 om innebygd personvern, artikkel 35 om vurdering av personvernkonsekvenser og artikkel 36 om forhåndsdrøftelse.

Internkontroll, rutiner og oversikt

Dagens krav om internkontroll blir erstattet av formuleringer om den behandlingsansvarliges ansvar. Virksomhetene skal sette i verk egnede tiltak, både tekniske og organisatoriske, for å sikre at personopplysninger behandles i samsvar med regelverket. Dersom det blir behov for det, skal de tiltakene man har valgt endres og oppdateres.

Disse kravene er regulert i artikkel 24.

Slik som i dag, så må man ha rutiner for å ivareta de registrertes rettigheter. Rettighetene til de registrerte finnes i hovedsak i artiklene 12-23.

Et krav som er nytt er kravet til å ha oversikt over behandlingsaktiviteter. Selv om denne plikten er ny, finnes en plikt til å ha oversikt over behandlinger også i dagens regelverk (personopplysningsforskriften § 2-4). Plikten gjelder både for den behandlingsansvarlige og for databehandler. En slik oversikt skal være skriftlig og elektronisk, og skal være tilgjengelig for Datatilsynet dersom vi krever det.

Pliktene knyttet til informasjonssikkerhet henger sammen med virksomhetens internkontroll. Man må kjenne sin virksomhet og sine verdier for å kunne vite hva man skal sikre og hvordan. Uten en internkontroll og en oversikt over personopplysninger, kan man ikke gjøre en reell vurdering avrisiko.

Denne plikten er regulert i artikkel 30.

Den behandlingsansvarlige skal ha oversikt over

  1. navn og kontaktinformasjon til den behandlingsansvarlige, og, dersom det er relevant, den felles behandlingsansvarlige, den behandlingsansvarliges representant og personvernombudet
  2. formålene med behandlingen
  3. en beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger
  4. kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, som mottakere i tredjestater eller internasjonale organisasjoner
  5. hvilke tredjestater eller internasjonale organisasjoner opplysningene skal overføres til og dokumentasjon på nødvendige garantier (hvis relevant).
  6. dersom det er mulig, de planlagte tidsfristene for sletting av de forskjellige kategoriene av opplysninger.
  7. dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene som er etablert.

Det kreves at databehandleren har en tilsvarende oversikt med noen få unntak.

Databehandlerens oversikt skal inneholde

  1. navn og kontaktinformasjon til databehandleren eller databehandlerne og til hver behandlingsansvarlig som databehandleren opptrer på vegne av
  2. navn og kontaktinformasjon til, den behandlingsansvarliges eller databehandlerens representant og personvernombud (hvis relevant)
  3. kategoriene av behandling utført på vegne av hver behandlingsansvarlig,
  4. hvilke tredjestater eller internasjonale organisasjoner opplysningene skal overføres til og dokumentasjon på nødvendige garantier (hvis relevant)
  5. dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene som er etablert.

Det er viktig å nevne her at behandlingsansvarlige må inngå databehandleravtale med hver databehandler.

Krav til innhold i en slik avtale er beskrevet i artikkel 28.

For å lage en oversikt over hvilke personopplysninger dere behandler, kan dere ta utgangspunkt i malen som finnes på side 13 i internkontrollveilederen etter dagens regelverk, og tilføye det som er nytt etter det kommende regelverket. 

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll

Hva blir nytt i 2018?

Vi har laget en veiledning for virksomheter om de nye personvernreglene som trer i kraft i mai 2018. Vi har også laget en liste med punkter som oppsummerer hva som blir nytt, samt hva virksomhetene bør gjøre nå.

Hva blir nytt i 2018?

Informasjonssikkerhet er en kontinuerlig prosess

Virksomheter plikter å kontinuerlig vurdere hvilken teknologi som er tilgjengelig for å sikre personopplysninger på en best mulig måte.

Personopplysninger kommer i mange former. De kan trykkes eller skri­ves på papir, lagres elektronisk, overføres via post eller elektroniske media, eller formidles muntlig. Uansett hvordan informasjonenformidles og lagres, skal den alltid beskyttes på en tilfredsstillende måte.

Organisasjoner og deres infor­masjonssystemer står overfor en stadig lengre rekke av sikkerhetstrusler, for eksempel datasvindel, spionasje, sabotasje og hærverk. Trusselaktører tar kontinuerlig i bruk nye verktøy og metoder som krever at alle virksomheter jevnlig holder seg oppdatert, kjenner til nye trusler og sårbarheter, og vurderer om man har etablert tilstrekkelig sikkerhet.

Oversikt over tilgjengelig teknologi

I det nye regelverket understrekes det at arbeidet med informasjonssikkerhet er en kontinuerlig prosess. Det stilles blant annet krav til å sikre vedvarende robusthet i tillegg til konfidensialitet, integritet og tilgjengelighet. Det betyr blant annet at virksomheten plikter å ta hensyn til hvilken teknologi som er tilgjengelig (i regelverkets engelskspråklige versjon kalles dette «state of the art»).. Dette betyr at den teknologien som var akseptabel for virksomheten i fjor, ikke nødvendigvis er akseptabel i år.

Vilkårene knyttet til informasjonssikkerhet som en kontinuerlig prosess beskrives i artikkel 32.

Bransjenormer drar i riktig retning

Risikovurderinger og etablering av tekniske og organisatoriske tiltak for å oppnå et tilfredsstillende sikkerhetsnivå er grunnleggende krav til virksomhetens informasjonssikkerhet. Risikovurderingen må ta høyde for hvilke risikoer som er forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller uautorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

En viktig endring fra dagens regler er at det å overholde en godkjent bransje- eller atferdsnorm eller en godkjent sertifiseringsmekanisme, kan brukes for å dokumentere at man oppfyller kravene til informasjonssikkerhet.

Samtidig må virksomheten sørge for at de som behandler personopplysninger på vegne av behandlingsansvarlig eller databehandler, kun behandler personopplysninger på instruks fra den behandlingsansvarlige. Dette er for å sikre at den behandlingsansvarlige har kontroll over behandlingen og dermed kan forsikre seg om at virksomheten etterlever personopplysningsregelverket.

Mer konkret beskrivelse av tiltak

I det nye regelverket finner vi en mer utfyllende beskrivelse av tiltak og aktiviteter for å oppnå et tilfredsstillende sikkerhetsnivå enn i dagens regelverk. Dette er noen av tiltakene som er nærmere beskrevet:

  1. Pseudonymisering og kryptering av personopplysninger
  2. Evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i systemer og tjenester som behandler personopplysninger
  3. Evne til å gjenopprette tilgjengelighet og tilgang til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse
  4. En prosess for regelmessig testing, vurdering og evaluering av hvor effektive de tekniske og organisatoriske sikkerhetstiltakene er

Artikkel 32 omhandler kravene til informasjonssikkerhet. Der finner dere igjen mange av momentene fra § 13 i personopplysningsloven og kapittel 2 i personopplysningsforskriften

Nye krav til avvikshåndtering og informasjon til de berørte

Med de nye reglene som trer i kraft i mai 2018 skal mange flere sikkerhetsbrudd eller hendelser rapporteres.

I dagens regelverk stilles det krav til at avvik eller sikkerhetsbrudd skal håndteres internt i virksomheten. Datatilsynet skal varsles dersom det har vært en «uautorisert utlevering av personopplysninger som krever konfidensialitet» (personopplysningsforskriften § 2-6). Per i dag er det stort sett saker der det har vært en utlevering av konfidensielle personopplysninger som rapporteres.

Et sikkerhetsbrudd defineres som et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

Strengere krav til varsling

Fra 2018 blir det strengere krav til når avvik skal rapporteres til Datatilsynet. Den behandlingsansvarlige får frist på å melde fra om sikkerhetsbrudd innen 72 timer etter at den har fått kjennskap til bruddet. Det er også et nytt krav at databehandlere umiddelbart skal varsle behandlingsansvarlige dersom de oppdager et avvik. Dersom virksomheten ikke har full oversikt over sikkerhetsbruddet, kan avviksmeldingen sendes inn trinnvis. Avvikshåndteringen skal dokumenteres også hos virksomheten.

Det stilles i tillegg krav til hva avviksmeldingen til Datatilsynet skal inneholde. Innlevering av avviksmeldinger gjøres digitalt eller per post. Vårt digitale skjemaet tar høyde for kravene til innhold som gjelder fra 2018.

Kravene knyttet til avvik finner du i artikkel 33, mens definisjonen på et sikkerhetsbrudd står i artikkel 4.

Varsling av de berørte

Forordningen gir regler for når de som er berørt av et sikkerhetsbrudd skal varsles og hva det skal inneholde. Varsling skal skje når det er sannsynlig at avviket vil medføre en høy risiko for personvernet til de som er berørt. Varsel skal gis så fort som mulig. Det skal ha et klart og forståelig språk tilpasset leserens nivå.

Varselet skal som et minimum inneholde:

  1. en beskrivelse av avvikets natur
  2. kontaktinformasjon til personvernombudet eller annet kontaktpunkt i virksomheten
  3. en beskrivelse av mulige konsekvenser av avviket
  4. en beskrivelse av tiltak som er (planlagt) iverksatt for å lukke avviket og begrense konsekvensene

Virksomheten kan imidlertid la være å varsle de berørte under følgende vilkår:

  1. Dersom det er iverksatt beskyttelsestiltak for personopplysningene som er omfattet av sikkerhetsbruddet, særlig dersom tiltakene gjør opplysningene uleselige for uvedkommende, for eksempel ved kryptering.
  2. Dersom det er iverksatt etterfølgende tiltak som gjør at risikoen sannsynligvis ikke lenger er reell.
  3. Hvis det er uforholdsmessig vanskelig å varsle hver enkelt av de berørte. I slike tilfeller skal informasjonen i stedet offentliggjøres eller deles på annen måte, slik at de berørte likevel underrettes på en effektiv måte.

Regler for innhold i informasjon til de berørte er gitt i forordningens artikkel 34.

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll

Hva blir nytt i 2018?

Vi har laget en veiledning for virksomheter om de nye personvernreglene som trer i kraft i mai 2018. Vi har også laget en liste med punkter som oppsummerer hva som blir nytt, samt hva virksomhetene bør gjøre nå.

Hva blir nytt i 2018?