Informasjonssikkerhet

Godkjenner Datatilsynet produkter, leverandører eller IT-løsninger?

Nei. Datatilsynet gir kun råd og veiledning om hva virksomheter må eller bør ta hensyn til ved valg av produkter, leverandører eller IT-løsninger. Virksomheten er selv ansvarlig for å følge pliktene i personopplysningsloven.

Les mer om pliktene en virksomhet har ved behandling av personopplysninger

Sikkerhetssertifiserer Datatilsynet IT-produkter eller -systemer?

Datatilsynet har ingen sertifiseringsordning. Vi kan gi råd og veiledning om hva som skal til for å oppfylle personopplysningslovens krav, og hva som gir godt personvern.

SERTIT v/Nasjonal sikkerhetsmyndighet gir informasjon om sikkerhetssertifisering av utstyr.

Er Virtual Private Network (VPN) tilstrekkelig for flytting av personopplysninger?

Ja, i de fleste tilfeller vil dette være greit. Samtidig stiller personopplysningsloven krav om at den behandlingsansvarlige skal ha gjennomført en risikovurdering av løsningen og iverksatt nødvendige tiltak. Dette er for å sikre at opplysningene er tilstrekkelig beskyttet.

Les Datatilsynets veileder om risikovurdering.

Hvordan skal den behandlingsansvarlige sikre at databehandleren ivaretar sin taushetsplikt?

Den behandlingsansvarlige må sørge for at taushetsplikten er ivaretatt i databehandleravtalen. I tillegg har databehandleren en selvstendig plikt til ivareta informasjonssikkerheten som betyr at de må sørge for konfidensialitet for opplysningene.

Les mer om databehandleravtale

Hva må virksomheter som oppretter kunderegistre ta hensyn til?

Virksomheten må sørge for at ikke uvedkommende får tilgang til opplysningene i kunderegistret. Det er også viktig at opplysningene alltid er korrekte. Før virksomheten oppretter et register må den gjøre en risikovurdering.

Man skal ikke lagre opplysningene lenger enn nødvendig og bare beholde de opplysningene som er nødvendige for kundeforholdet.

Les om risikovurdering

Les om internkontroll og informasjonssikkerhet

Få oversikt over alle pliktene virksomheten har etter personvernregelverket

Hvilke sikkerhetstiltak må etableres på en nettside med personopplysninger?

Det må brukes en påloggingsløsning med tilgangskontroll, og overføring av opplysningene må krypteres.

Les mer om informasjonssikkerhet, internkontroll og kryptering.

Hvilke regler gjelder datanettverk på skoler? Skal elevnett og lærernett kjøres på to fysisk atskilte nettverk, eller kan de kjøres på samme nettverk?

Elever bør ikke tilkoples samme interne nettverk som kommunen benytter for en rekke andre formål (herunder lærernes elevadministrasjon). Lærere kan selvfølgelig benytte nettverk sammen med elever, dersom denne bruken er tilpasset til hvilke opplysninger og sikringstiltak som iverksettes i dette nettverket.

Les mer om informasjonssikkerhet

Les mer om personvern i skolen

Hvordan skal passord behandles? Skal de krypteres?

Passord skal beskyttes hos den ansvarlige virksomheten, og beskyttelsesgraden må være bedre eller lik beskyttelsesnivået for opplysningene som passordet beskyttes. Det anbefales ofte at passord «saltes» og «hashes» ved lagring. Ikke alle hashingalgoritmer er egnet for dette. For mer konkret og teknisk informasjon om dette, vil vi anbefale OWASP (Open Web Application Security Project) sin artikkel om «Password Storage Cheat Sheet»

Les mer om informasjonssikkerhet

Finnes det spesielle krav for sending og lagring av sensitiv e-post?

Ja, ved overføring av sensitive personopplysninger skal overføringen normalt krypteres. Når det gjelder lagring av sensitiv e-post, må denne lagres kryptert inntil den hentes inn på den delen av informasjonssystemet som er egnet for behandling av sensitive opplysninger.

Les mer om kryptering

Hva bør jeg ikke sende på e-post?

E-post er i utgangspunktet ukryptert, som betyr at det kan være mulig for andre å lese innholdet.

Ukryptert e-post går ikke direkte fra sender til mottaker, men via mange forskjellige knutepunkt før den kommer frem. Kommunikasjonen kan overvåkes eller analyseres.

Det er mulig å beskytte informasjonen som sendes i e-post ved å kryptere innholdet.
Les mer om kryptering

Er det greit at en virksomhet benytter eksterne leverandører for lagring av personopplysninger?

Ja, virksomheten kan benytte databehandler for hele eller deler av driften. Det forutsetter at virksomheten har en databehandleravtale. Denne avtalen regulerer håndteringen av personopplysningene. Les mer om databehandleravtaler.

Håndteringen av personopplysninger er alltid behandlingsansvarliges ansvar. Databehandleren har samtidig en selvstendig plikt til å gjennomføre sikringstiltak for å beskytte personopplysningene.

Les også om risikovurdering og pliktene en virksomhet har når den behandler personopplysninger

Kan jeg sende konfidensielle personopplysninger til mine kunder på e-post dersom kundene samtykker til det?

Det er ikke mulig for kunden å samtykke seg bort fra reglene om informasjonssikkerhet. En virksomhet er pålagt å sikre personopplysninger tilstrekkelig. Dersom det er personopplysninger som krever sikring av konfidensialitet, skal overføringen normalt krypteres.

Les mer om kryptering

Når er det krav om sterkere autentisering (for eksempel to-faktor) enn bare brukernavn og passord?

Vi stiller krav til sterk autentisering når en person har tilgang til et informasjonssystem med sensitive personopplysninger og/eller personopplysninger om mange over eksterne nett. Dersom uvedkommende klarer å skaffe seg et brukernavn og passord, vil det uten flere hindre være mulig å logge seg på informasjonssystemet fra hvor som helst. Det kan de gjøre når som helst.

Brukernavn er ofte statisk og lett å gjette seg til. Passord er også mulig å finne ut av. Uten et tiltak i tillegg til brukernavn og passord, er opplysningene ikke godt nok sikret. Sterk autentisering gjør det vanskeligere for noen som får tak i brukernavn og passord å skaffe seg tilgang til systemet.

Med sterk autentisering mener vi for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS, i tillegg til brukernavn og passord. Dette kan også realiseres i en fjernarbeidsløsning med sterk autentisering, og påfølgende tilgang til informasjonssystemet.

Les mer om sterk autentisering

Har en virksomhet lov til å utlevere andres e-postadresser ved å sette dem i mottaker-/kopifeltet?

Når en virksomhet sender en e-post der flere e-postmottagere settes synlig i mottager- eller kopifeltet, vil det være en utlevering av personopplysninger til andre. Enhver behandling av personopplysninger, det vil altså også si utlevering av e-postadresser, krever et behandlingsgrunnlag for å være lovlig. Et eksempel på behandlingsgrunnlag kan være at du har gitt samtykke til utleveringen. Virksomheten må vurdere hvilket behandlingsgrunnlag som ligger til grunn for utleveringen før e-posten sendes.

På generelt grunnlag anbefaler vi å benytte blindkopi i de tilfellene der det ikke er nødvendig at mottakerne ser hvem de andre mottakerne er. Dette er et enkelt og effektivt tiltak for å blant annet sikre etterlevelse av personvernprinsippene formålsbegrensning, dataminimering og integritet av personopplysningene.

Vil dataene mine være trygge i appen Smittestopp?

Alle som behandler personopplysninger skal sørge for at de er tilfredsstillende sikret. Hva som regnes som sikkert nok, skal virksomheten komme frem til gjennom risikovurderinger. Her vil aktuelle trusler identifiseres, og det skal vurderes hvor sannsynlig det er at truslene inntreffer og eventuelle konsekvenser av sikkerhetsbrudd.

For appen Smittestopp som har store mengder data om norske borgere, er det klart at det må være høy grad av sikkerhet i løsningen. Datatilsynet har ikke på forhånd tatt stilling til om sikkerheten er god nok. Dette ansvaret ligger hos Folkehelseinstituttet (FHI) som er behandlingsansvarlig for løsningen.

Vi må per nå legge til grunn at det er gjort tilfredsstillende vurderinger i tråd med det regelverket krever, og at FHI har valgt trygge løsninger for dataene. De har på forhånd latt en gruppe av eksterne personer med teknisk kompetanse se på løsningen, og disse har også kommet med sine foreløpige anbefalinger og vurderinger.

Les også "Ny Smittestopp lansert"

Datatilsynet kan så gjennomføre etterkontroll (tilsyn) med de valgte sikkerhetsløsningene

Les mer om Smittestopp og personvern på Folkehelseinstituttets nettsider

Velg tema