Kameraovervåking - hva er lov?

Sikring av opptak og anlegg

Det er viktig å sikre kameraovervåkingsanlegg på en god måte – enten overvåkingen utføres av en virksomhet, eller av en privatperson på privat grunn. Her følger noen råd om sikringen.

For virksomheter

Kravene til informasjonssikkerhet i personopplysningsloven gjelder også for kameraovervåkingsanlegg. Dagens overvåkningsanlegg er moderne informasjonssystem. Når disse knyttes til et nettverk må man være bevisst på sikringen av anlegget. Det må gjøres risikovurderinger og innføres sikkerhetstiltak. Sikkerhetstiltakene skal sikre at opptakene ikke kommer på avveier (konfidensialitet), at de ikke går tapt (tilgjengelighet), og at de er til å stole på – for eksempel hvor og når opptaket er gjort (integritet).

Det er et krav at virksomheten følger de samme prinsippene for sikring av et kameraovervåkingsanlegg som for et hvilket som helst annet informasjonssystem hvor personopplysninger blir behandlet:

  • Det er viktig å sikre opptakene slik at ikke uvedkommende får tilgang til dem. Her er fysisk sikring av stor betydning. Opptak på minnepinne, DVD eller lignende skal låses inne.
  • Ved lagring i skyen må det sørges for at leverandøren har god nok sikkerhet og at virksomhetens kundedata skilles fra andre virksomheter sine kundedata. Krav til sikkerhet skal formaliseres gjennom en databehandleravtale.
    Les eventuelt også om overføring til land utenfor EØS dersom det er aktuelt
  • Selve overvåkningsanlegget skal også sikres. Dette krever kunnskap, og dersom ikke virksomheten har det, må den skaffe profesjonell hjelp.
  • Gjør en risikovurdering: Hva kan gå galt og hva er konsekvensen hvis det går galt?
  • Dersom løsningen skal gjøres tilgjengelig fra utsiden av virksomheten må man sørge for sterk autentisering. Dette kan gjørs som en del av andre fjerntilganger til virksomhetens systemer (hjemmekontorløsning), eller som en egen løsning for overvåkningsanlegget. Det kan for eksempel være tilgang fra kun én dedikert pc, bruk av kodebrikke, sikkerhetskode tilsendt på SMS eller lignende. Både tilgang til opptak og overvåking i sanntid (monitorering) skal avgrenses etter tjenstlig behov, og som oftest vil det være nok at noen svært få har tilgang.
    Les mer om sterk autentisering
  • Sørg for at overvåkningsanlegget støtter logging. Det skal være mulig å kontrollere bruken i ettertid, for eksempel ved at brukerne får individuelle brukernavn og passord.
  • Sørg for at datatrafikken er kryptert.
  • Digitale overvåkingssystemer gjør det lettere både å kopiere og misbruke opptak. Gode rutiner og klare instrukser for bruk og kontroll av utstyret er derfor viktig. Ikke stol på at en ekstern leverandør kjenner alle kravene i regelverket, men sjekk at disse punktene er fulgt opp. Det er virksomheten som har ansvaret for at regelverket følges.

For privatpersoner

Overvåker du som privatperson, er du normalt ikke omfattet av disse reglene, men sikkerhet er allikevel viktig. Sjekk derfor at kameraanlegget ikke ligger åpent tilgjengelig på nett. Her er det fort gjort å tråkke feil. Hvis du ikke sikrer anlegget på riktig måte kan du risikere at andre får tilgang til opptakene, men også at andre kan gå inn og styre kameraene.

  • Gjør en risikovurdering
    Er det nødvendig at kameraet skal være tilgjengelig på internett?
  • Bytt standardpassordet
    Mange enheter kommer utstyrt med standard brukernavn og passord. Bytt disse.
  • Ta sikkerhetsoppdateringer
    Hackere finner stadig sårbarheter i kameraene, det er derfor viktig at du regelmessig sjekker om det finnes sikkerhetsoppdateringer til kameraet ditt.
  • Forstå hjemmeruteren
    Forstå konsekvensene av de endringer du gjør i hjemmeruteren for å få tilgang til kameraet fra Internett, feilkonfigurasjon kan føre til at også andre tjenester blir tilgjengelige for uvedkommende.
  • Bruk sikker kommunikasjon
    Når du logger deg på kameraet ditt, så husk å kun benytte sikre forbindelser/kryptering. Dette hindrer at brukernavn og passord kommer på avveie. Eksempel på sikker forbindelse er nettsider som starter med https:// og ikke http://

Hvis du er i tvil om du har gjort dette riktig, be profesjonelle om hjelp.