Spesielt om personvern og krav til sikring av personopplysninger

1. Spesielt om personvern ogkrav til sikring av personopplysninger Dag Wiese Schartum

2. Personvern i forvaltningen - et problem!

3. Generelt • Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens regler • Ikke mulig å trekke sikre generelle slutninger ut i fra type informasjonssystem • I tillegg til personopplysningsloven kan det gjelde særlover som regulerer behandling av personopplysninger innen bestemte forvaltningsområder. • Særlovgivning som regulerer vedkommende forvaltningsområde (ligningslov, folketrygdlov, tollov mv) kan også ha særlig betydning fordi de • sier noe om hvilke opplysninger som er nødvendige for å treffe enkeltvedtak • gir saksbehandlingsregler for øvrig som bør ses i sammenheng med personopplysningslovens regler • Også forvaltningsloven og offentlighetsloven er nødvendige å ta hensyn til, i tillegg til anvendelsen av pol og særlovgivning

4. “Personopplysning” • Beslutningssystemer • Alle opplysninger som anvendes for å treffe enkeltvedtak er (normalt) personopplysning om parten(e) • Logger mv knyttet til bruken av beslutningssystemet er (normalt) personopplysninger om saksbehandleren(e) • Nettsider mv • Opplysninger som publiseres på nettet er ofte personopplysninger • Opplysninger som samles inn via nettet er (normalt) personopplysninger • Opplysninger i logger er (normalt) personopplysninger

5. Sjekkliste, trinn 1 • Gjelder loven for mitt informasjonssystem? • Beslutningssystemer: • Ja, nesten uten unntak • Nettsider: • Ja, nesten uten unntak • Hvem er “behandlingsansvarlig”?

6. Sjekkliste, trinn 2 • Har jeg lovlig adgang til de opplysningene jeg ønsker å behandle (eller kan jeg skaffe det?) • Beslutningsystemer • Lovhjemmel (forekommer: f.eks. plikt/rett til informasjon) • Nødvendighet (ofte, jf § 8 bokstav e og § 9 bokstav b) • Samtykke (særlig aktuelt som supplerende grunnlag) • Nettsider • Lovhjemmel (sjelden, bare indirekte) • Nødvendighet (praktisk viktig; jf § 8 bokstav a, jf også § 9 bokstav d) • Samtykke (viktig(ste) grunnlag)

7. Sjekkliste, trinn 3 • Hva kan forvaltningen benytte PO til (formål)? • Både beslutningssystemer og nettsider må ha ett eller flere bestemte formål • For beslutningssystemer vil formål kunne ligge eksplisitt eller implisitt i særlovgivning, noe som kan begrense adgangen til å endre formålet, jf § 11 bokstav c.

8. Sjekkliste, trinn 4 • Er personene tilstrekkelig sikkert identifiserte? • Beslutningssystemer: • I praksis akseptert å benytte fødselsnummer • Uklart hva som kan godtas av biometriske identifikasjonsmetoder (her skjer det rettsutvikling!) • Nettsider • Normalt anledning til å benytte fødselsnummer dersom det skal inngis opplysninger som skal utgjøre grunnlag for vedtak, men forutsetningen er tilstrekkelig sikring.

9. Sjekkliste, trinn 5 • Hva er tilfredsstillende sikkerhetstiltak? • Avhenger av en konkret vurdering • Grunn til å behandle beslutningssystemer strengere enn andre systemer ? (jf enkeltvedtak) • Neppe grunn til å behandle Internett-baserte rutiner strengere enn andre rutiner, med mindre de er del av beslutningssystem • Se for øvrig fra og med bilde 12

10. Sjekkliste, trinn 6 • Er jeg sikker på at jeg vil komme til å etterleve loven? • Internkontroll for beslutningssystemer må gjennomføres for å sikre etterlevelse av krav i: • vedkommende særlov med forskrifter • personopplysningslov med forskrifter • forvaltningsloven, eventuelt offentlighetsloven mv • konsesjoner og andre enkeltvedtak • Internkontroll for nettsider må/bør gjennomføres for å sikre etterlevelse av krav i: • personopplysningslov med forskrifter • åndsverkloven (opphavsrett) • forvaltningsloven, eventuelt offentlighetsloven mv • eventuelle enkeltvedtak (men pålegget om interkontroll i pol gjelder direkte bare ift personvern, pol jf § 1)

11. Sjekkliste, trinn 7 • Kan jeg starte behandlingen? • Beslutningssystemer • Normalt ikke konsesjonsplikt selv om det skal behandles sensitive personopplysninger, jf § 33 fjerde ledd og særlovgivning • Selv om unntak fra konsesjonsplikt, skal behandlingen normalt meldes • Nettsider • Sjelden konsesjonsplikt • Kan også være unntatt fra meldeplikt, jf pof §§ 7-11 og 7-12

12. “Kombinasjoner” Enkeltstående regler Helhetlige regelverk grunnregler Sikkerhetsregler og andre regler

13. Oversikt over helhetlig regelverk vedrørende informasjonssikkerhet • Personopplysningsloven § 13 med forskrifter (pof kap. 2) • Forvaltningsloven § 13c og (særlig) forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften), § 4 og kapitlene 3 - 6 Jf. egen forelesning 20. oktober • Helseregisterloven § 16 med forskrifter (særlige forskrifter + pof kap. 2) • Sis-loven § 3 og (særlig) Sis-forskriften kap. 7 • Politiregiserloven kap. 4, særlig § 15 (loven er ikke i kraft) • Sikkerhetsloven kap. 4 med forskrifter • IKT-forskriften, jf. finanstilsynsloven § 4 • Beskyttelsesinstruksen (Instruks for behandling av dokumenter som trenger • beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter; forskrift • 1972-03-17 nr 3352)

14. Hvordan sikre? • Lovens krav til framgangsmåter i når personopplysninger skal sikres, jf pol § 13 • Tiltak skal være • Planlagte • Systematiske • Dokumenterte • Dokumentasjonen skal også omfatte informasjonssstemet • All dokumentasjon (IS + tiltak) skal være tilgjengelig for • Alle aktuelle medarbeidere • Tilsynsmyndigheter • Alle typer virkemidler er aktuelle: • Rettslige • Organisatoriske • Teknologiske • Pedagogiske • Økonomiske • mv Pof kap. 2 er i stor grad inspirert av BS7799, jf ISO-17799: 2005 "Informa- sjonsteknologi - Sikkerhetsteknikk - Administrasjon av informasjonssikkerhet"

15. Hvem skal sikre, hva skal sikres og hvor sikre skal opplysningene være? (jf pol § 13) • Bestemmelsen i § 13 gjelder både behandlingsansvarlige og databehandler, og utgjør ramme for hva som kan bestemmes i forskrift • Arbeidet med informasjonssikkerhet skal omfatte • Konfidensialitet • Integritet • Tilgjengelighet • Informsjonssikkerheten skal være “tilfredsstillende”, jf pol § 13 • Vurderingen gjelder hvor ekstensive (omfattende) tiltakene skal være • og hvor intensive/strenge tiltakene skal være • Kravet i § 13 om tilfredsstillende sikkerhet innebærer at det alltid skal skje en konkret vurdering av hver behandling • Forskriften stiller opp noen materielle minstkrav mv • Forskriften stiller opp krav til organisering mv av sikkerhetsarbeidet • Forskriften stiller opp krav til framgangsmåter for sikkerhetsarbeidet • Behov for harmoniserende fortolkning!

16. Krav til organisering mv av sikkerhetsarbeidet i pof • Aktuelle roller: Behandlingsansvarlig, databehandler, daglig leder, daglig ansvarlig person, sikkerhetsrevisor, stedlig representant, personvernombud • Den daglige ledelsen for den behandlingsansvarliges virksomhet skal ha (daglig) ansvar for etterlevelse av sikkerhetsbestemmelsene (§ 2-3, 1) • Det skal etableres klare ansvars- og myndighetsforhold vedrørende bruk av informasjonssystemet (§ 2-7, 1) • Bruk av sikkerhetsmessig betydning skal følge faste rutiner (§ 2-7, 5) • Ansvar- og myndighetsforhold samt konfigurasjon av systemet skal dokumenteres (§ 2-7, 2 og 4) • Sikkerhetsdokumentasjonen etter § 2-7 må bare endres på måter som er autorisert av (sikkerhets)ledelsen. • Personell skal bare utføre pålagte oppgaver de er autoriserte for (§ 2-8) • Personell skal ha nødvendig kunnskap om bruk i hht autorisasjon og • rutiner (§ 2-8)

17. Krav til fremgangsmåter i sikkerhetsarbeidet i pof • Stiller krav til etablering av sikkerhetsmål og -strategi (§ 2-3, 2 flg) • Formål og overordnede føringer for bruk av IKT skal inngå • Valg og prioriteringer i sikkerhetsarbeidet skal beskrives • Stiller krav til gjennomføring av risikovurdering (§ 2-4) • “Vurdering” og ikke nødvendigvis “analyse” • Vurderingen skal skje ift egne kriterier for akseptabel risiko og/eller • ift pålegg som Datatilsynet har gitt, jf § 2-2 • Skal vurdere hva den antatte risikoen er • Forskriften gir ikke anvisning på spesielle metoder mv for risikovurdering, jf dog NS 5814 “Krav til sikkerhetsanalyser” • Forskjellen mellom antatt og akseptabel risiko skal utlignes ved hjelp av sikkerhetstiltak • Risikovurdering skal gjentas ved relevante endringer • Resultatene av risikovurderingen skal dokumenteres

18. Materielle krav til informasjonssikkerhet i pof • Krav til sikring forutsetter mulig “personverntap” ! (til tross for § 2-1, 1) • Tiltakene skal stå i forhold til sannsynligheten for og konsekvenser av “sikkerhetsbrudd” (§ 2-1, 2), jf krav til risikovurdering (§ 2-4) • Konkretiserer krav til: • Fysisk sikring (§ 2-10) • Konfidensialitet (§ 2-11) • Tilgjengelighet (§ 2-12) • Integritet (§ 2-13) • Sporbarhet, ikke-manipulering og automatisering (§ 2-14) • Krav til kvalitet ved overføring av personopplysninger (§ 2-15) • Datatilsynet kan gi pålegg om sikring (§ 2-2, jf pol §§ 46 og 47)

19. Oversikt over nærmere krav til sikkerhets- dokumentasjon mv i pof • Innholdsmessige elementer i dokumentasjonen • Ansvars- og myndighetsforhold (internt og eksternt) • Sikkerhetsmål og -strategi • Resultatet av risikovurdering • Resultatet av sikkerhetsmessige gjennomganger av IS (2-3, 4) • Iverksatte sikkerhetstiltak • Resulatet av sikkerhetsrevisjon • Resultatet av avviksbehandling • Krav til fortløpende logging • Forsøk på uautorisert bruk (2-14, 2) • Autorisert bruk (2-8, 3)