Informasjonssikkerhet

Godkjenner Datatilsynet produkter, leverandører eller IT-løsninger?

Nei. Datatilsynet gir kun råd og veiledning om hva virksomheter må eller bør ta hensyn til ved valg av produkter, leverandører eller IT-løsninger. Virksomheten er selv ansvarlig for å følge pliktene i personopplysningsloven.

Les mer om pliktene en virksomhet har ved behandling av personopplysninger

Sikkerhetssertifiserer Datatilsynet IT-produkter eller -systemer?

Datatilsynet har ingen sertifiseringsordning for IT-systemer. Vi kan gi råd og veiledning om hva som skal til for å oppfylle personopplysningslovens krav, og hva som gir godt personvern.

SERTIT v/Nasjonal sikkerhetsmyndighet (sertit.no) gir informasjon om sikkerhetssertifisering av utstyr.

Er Virtual Private Network (VPN) tilstrekkelig for flytting av personopplysninger?

Ja, i de fleste tilfeller vil dette være greit. Samtidig stiller personopplysningsloven krav om at den behandlingsansvarlige skal ha gjennomført en risikovurdering av løsningen og iverksatt nødvendige tiltak. Dette er for å sikre at opplysningene er tilstrekkelig beskyttet.

Les veiledningen vår om risikovurdering.

Hvordan skal den behandlingsansvarlige sikre at databehandleren ivaretar taushetsplikten?

Den behandlingsansvarlige må sørge for at taushetsplikten er ivaretatt i databehandleravtalen. I tillegg har databehandleren en selvstendig plikt til ivareta informasjonssikkerheten som betyr at de må sørge for konfidensialitet for opplysningene.

Les mer om databehandleravtale

Hva må virksomheter som oppretter kunderegistre ta hensyn til?

Virksomheten må sørge for at ikke uvedkommende får tilgang til opplysningene i kunderegistret. Det er også viktig at opplysningene alltid er korrekte. Før virksomheten oppretter et register må den gjøre en risikovurdering.

Man skal ikke lagre opplysningene lenger enn nødvendig og bare beholde de opplysningene som er nødvendige for kundeforholdet.

Les mer om:

Hvilke sikkerhetstiltak må etableres på en nettside med personopplysninger?

Det må brukes en påloggingsløsning med tilgangskontroll, og overføring av opplysningene må krypteres.

Les mer om:

Hvordan skal passord behandles?

Passord skal beskyttes hos den ansvarlige virksomheten, og beskyttelsesgraden må være bedre eller lik beskyttelsesnivået for opplysningene som passordet beskytter. For mer konkret og teknisk informasjon om dette, vil vi anbefale OWASP (Open Web Application Security Project) sin artikkel om «Password Storage Cheat Sheet»

Les mer om informasjonssikkerhet

Finnes det spesielle krav for sending og lagring av sensitiv e-post?

Ved overføring av sensitive personopplysninger, skal overføringen normalt krypteres. Når det gjelder lagring av sensitiv e-post, må denne lagres kryptert inntil den hentes inn på den delen av informasjonssystemet som er egnet for behandling av sensitive opplysninger.

Les mer om kryptering

Hva bør jeg ikke sende på e-post?

E-post er i utgangspunktet ukryptert, som betyr at det kan være mulig for andre å lese innholdet.

Ukryptert e-post går ikke direkte fra sender til mottaker, men via mange forskjellige knutepunkt før den kommer frem. Kommunikasjonen kan overvåkes eller analyseres.

Det er mulig å beskytte informasjonen som sendes i e-post ved å kryptere innholdet.
Les mer om kryptering

Er det greit at en virksomhet benytter eksterne leverandører for lagring av personopplysninger?

Ja, virksomheten kan benytte databehandlere for hele eller deler av driften. Det forutsetter at virksomheten har en databehandleravtale. Denne avtalen regulerer håndteringen av personopplysningene. Les mer om databehandleravtaler.

Håndteringen av personopplysninger er alltid den behandlingsansvarliges ansvar. Databehandleren har samtidig en selvstendig plikt til å gjennomføre sikringstiltak for å beskytte personopplysningene.

Les mer om:

Kan jeg sende konfidensielle personopplysninger til kunder på e-post dersom kundene samtykker til det?

En virksomhet har plikt til å sikre personopplysninger tilstrekkelig,l og et samtykke fra kunden gjør ikke at kravene til informasjonssikkerhet kan senkes. Dersom det er personopplysninger som krever sikring av konfidensialitet, skal overføringen normalt krypteres.

Les mer om

Når er det krav om sterkere autentisering (for eksempel to-faktor) enn bare brukernavn og passord?

Vi stiller krav til sterk autentisering når en person har tilgang til et informasjonssystem med sensitive personopplysninger og/eller personopplysninger om mange over eksterne nett. Dersom uvedkommende klarer å skaffe seg et brukernavn og passord, vil det uten flere hindre være mulig å logge seg på informasjonssystemet fra hvor som helst. Det kan de gjøre når som helst.

Brukernavn er ofte statisk og lett å gjette seg til. Passord er også mulig å finne ut av. Uten et tiltak i tillegg til brukernavn og passord, er opplysningene ikke godt nok sikret. Sterk autentisering gjør det vanskeligere for noen som får tak i brukernavn og passord å skaffe seg tilgang til systemet.

Med sterk autentisering mener vi for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS, i tillegg til brukernavn og passord. Dette kan også realiseres i en fjernarbeidsløsning med sterk autentisering, og påfølgende tilgang til informasjonssystemet.

Les mer om sterk autentisering

Har en virksomhet lov til å utlevere andres e-postadresser ved å sette dem i mottaker-/kopifeltet?

Når en virksomhet sender en e-post der flere e-postmottagere settes synlig i mottager- eller kopifeltet, vil det være en utlevering av personopplysninger til andre. Enhver behandling av personopplysninger, det vil altså også si utlevering av e-postadresser, krever et behandlingsgrunnlag for å være lovlig. Et eksempel på behandlingsgrunnlag kan være at du har gitt samtykke til utleveringen. Virksomheten må vurdere hvilket behandlingsgrunnlag som ligger til grunn for utleveringen før e-posten sendes.

På generelt grunnlag anbefaler vi å benytte blindkopi i de tilfellene der det ikke er nødvendig at mottakerne ser hvem de andre mottakerne er. Dette er et enkelt og effektivt tiltak for å blant annet sikre etterlevelse av personvernprinsippene formålsbegrensning, dataminimering og integritet av personopplysningene.

Velg tema