Programvareutvikling med innebygd personvern

Opplæring

I denne aktiviteten bestemmes det hva det skal gis opplæring i. For at alle i virksomheten både skal forstå behovene for og risiko knyttet til personvern og sikkerhet, må opplæringen være strukturert.

Målgruppen for denne fasen er ledelse og ansatte i virksomheten.

Hva skal det gis opplæring i? 

Kunnskap om personvern og informasjonssikkerhet er en forutsetning for å utvikle programvare med innebygd personvern. De ansatte må vite hvilke krav som gjelder, hva de skal se etter og hvilke verktøy som gjør dem i stand til å omsette kunnskap om personvern og informasjonssikkerhet til programvare som ivaretar dette.

De ansatte må vite hvilken metodikk og hvilke rutiner som skal følges. Virksomheten må selv finne ut hva som er relevant og hva den enkelte ansatte trenger opplæring i. Deretter må det lages en opplæringsplan.

Hvilke krav gjelder for virksomheten?

De ansatte bør få opplæring i gjeldende interne og eksterne krav. Interne krav kan omhandle personvern, informasjonssikkerhet, internkontroll og organisering av ressurser. Det inkluderer rutiner for risikovurderinger og krav til dokumentasjon. Eksterne krav omfatter personvernregelverket generelt, betydningen av personvernprinsippene spesielt og hvilke rettigheter de registrerte har.

Andre eksterne krav kan være regelverk og obligatoriske krav knyttet til fagområde, sektor eller bransje som programvaren skal utvikles for. I tillegg kan det være krav om å følge beste praksis, standarder eller normer innenfor teknologien som er valgt. Eksempler på dette er offentlighetsloven, pasientjournalloven, den kommende kommunikasjonsvernforordningen (ePrivacy) , IKT-forskriften og rammeverk for informasjonssikkerhet som for eksempel ISO27001 (standard.no) og The ISF Standard of Good Practice for Information Security (SoGP) (securityforum.org) 

Hvordan kan dette løses?

Programvareutviklere skal ha og følge en etablert metodikk for å utvikle programvare. Metodikken skal være godkjent av ledelsen. Ved utvikling av programvare som behandler personopplysninger, skal metodikken omfatte innebygd personvern og innebygd sikkerhet. Eksempler på rammeverk for utvikling med innebygd sikkerhet er Microsoft Security Development Lifecycle (SDL) (microsoft.com) og OWASP Flagship projects (owasp.org)

Hvilke verktøy kan benyttes?

Virksomheten bør utarbeide en oversikt over hvilke verktøy, standarder og beste praksis som skal brukes ved programvareutvikling. De ansatte bør få opplæring i hvilke verktøy de kan bruke, hvordan og til hva. Eksempler på verktøy for sikkerhetstesting, målinger og trusselmodellering med videre finnes blant annet i:
OWASP Application Security Verification Standard Project (owasp.org)

OWASP Testing Project (owasp.org)

ISO27k information security (iso27001security.com) 

Microsoft SDL (microsoft.com)

Last ned

Etablering av internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger, sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig. Vi har laget utdypende veiledning om hva internkontroll handler om, og hvordan man kan etablere og følge den opp.

Etablering av internkontroll