Informasjonssikkerhet er en kontinuerlig prosess

Virksomheter plikter å kontinuerlig vurdere hvilken teknologi som er tilgjengelig for å sikre personopplysninger på en best mulig måte.

Personopplysninger kommer i mange former. De kan trykkes eller skri­ves på papir, lagres elektronisk, overføres via post eller elektroniske media, eller formidles muntlig. Uansett hvordan informasjonenformidles og lagres, skal den alltid beskyttes på en tilfredsstillende måte.

Organisasjoner og deres infor­masjonssystemer står overfor en stadig lengre rekke av sikkerhetstrusler, for eksempel datasvindel, spionasje, sabotasje og hærverk. Trusselaktører tar kontinuerlig i bruk nye verktøy og metoder som krever at alle virksomheter jevnlig holder seg oppdatert, kjenner til nye trusler og sårbarheter, og vurderer om man har etablert tilstrekkelig sikkerhet.

Oversikt over tilgjengelig teknologi

I det nye regelverket understrekes det at arbeidet med informasjonssikkerhet er en kontinuerlig prosess. Det stilles blant annet krav til å sikre vedvarende robusthet i tillegg til konfidensialitet, integritet og tilgjengelighet. Det betyr blant annet at virksomheten plikter å ta hensyn til hvilken teknologi som er tilgjengelig (i regelverkets engelskspråklige versjon kalles dette «state of the art»).. Dette betyr at den teknologien som var akseptabel for virksomheten i fjor, ikke nødvendigvis er akseptabel i år.

Vilkårene knyttet til informasjonssikkerhet som en kontinuerlig prosess beskrives i artikkel 32.

Bransjenormer drar i riktig retning

Risikovurderinger og etablering av tekniske og organisatoriske tiltak for å oppnå et tilfredsstillende sikkerhetsnivå er grunnleggende krav til virksomhetens informasjonssikkerhet. Risikovurderingen må ta høyde for hvilke risikoer som er forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller uautorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

En viktig endring fra dagens regler er at det å overholde en godkjent bransje- eller atferdsnorm eller en godkjent sertifiseringsmekanisme, kan brukes for å dokumentere at man oppfyller kravene til informasjonssikkerhet.

Samtidig må virksomheten sørge for at de som behandler personopplysninger på vegne av behandlingsansvarlig eller databehandler, kun behandler personopplysninger på instruks fra den behandlingsansvarlige. Dette er for å sikre at den behandlingsansvarlige har kontroll over behandlingen og dermed kan forsikre seg om at virksomheten etterlever personopplysningsregelverket.

Mer konkret beskrivelse av tiltak

I det nye regelverket finner vi en mer utfyllende beskrivelse av tiltak og aktiviteter for å oppnå et tilfredsstillende sikkerhetsnivå enn i dagens regelverk. Dette er noen av tiltakene som er nærmere beskrevet:

  1. Pseudonymisering og kryptering av personopplysninger
  2. Evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i systemer og tjenester som behandler personopplysninger
  3. Evne til å gjenopprette tilgjengelighet og tilgang til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse
  4. En prosess for regelmessig testing, vurdering og evaluering av hvor effektive de tekniske og organisatoriske sikkerhetstiltakene er

Artikkel 32 omhandler kravene til informasjonssikkerhet. Der finner dere igjen mange av momentene fra § 13 i personopplysningsloven og kapittel 2 i personopplysningsforskriften