Sikring av personopplysninger i offentlig forvaltning

1. Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN

2. Innledende kommentar:“Sikring”, “sikkerhet” (av/for “data”, “informasjon”, “opplysninger”) • “Sikring” og “sikkerhet” (mot hva?) • Mot brudd på fastsatte normer (rettslige, faglige, sosiale). • Her: Vekt på ivaretakelse av kravene i lov og forskrift, spesielt i pol § 13 og pof kapittel 2 • “Sikring” og “sikkerhet” (i relasjon til/hva kan normene gjelde?) • I utgangspunktet kan enhver norm “sikres” • Spesielt aktuelt: konfidensialitet, tilgjengelighet, integritet • Også aktuelt: identitet, autensitet, kvalitet, rettslig grunnlag, rettigheter og lovmessighet ellers • “Sikring” og “sikkerhet” (hvordan - hva slags tiltak?) • Rettslige • Organisatoriske • Tekniske/teknologiske • Fysiske • Pedagogiske • Forholdet mellom ulike regelverk om informasjonssikkerhet:

3. “Kombinasjoner” Enkeltstående regler Helhetlige regelverk grunnregler Sikkerhetsregler

4. Oversikt over viktig informasjonssikkerhetsregelverk • Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven), 1998. • Lov om Schengen informasjonssystem med forskrift (SIS-loven), 1999. • Lov om folketrygd (folketrygdloven), 1997, ny bestemmelse om • informasjonssikkerhet i § 25-16 som ble vedtatt i 2000. • Lov om behandling av personopplysninger (personopplysningsloven), 2000 • Lov om helseregistre og behandling av helseopplysninger (helseregisterloven), 2001. • Forvaltningsloven § 15a (vedtatt i 2001). Oppregning med hjemmel for • Kongen til å gi nærmere bestemmelser om konkrete typer sikkerhetstiltak. • Lov om elektroniske signaturer (vedtatt i 2001). Skal legge til rette for sikker og • effektiv bruk av elektroniske signaturer. • Lov om elektronisk kommunikasjon (vedtatt 2003) • I tillegg kommer hjemler for å vedta forskrifter om informasjonssikkerhet • I hvilken grad overlapper informasjonssikkerhetsregelverk med hverandre? (Haug 2006) • Primære begrunnelser: • Forebyggende arbeid for å ivareta nasjonal sikkerhet (sikkerhetsloven, ekomloven og • folketrygdloven § 25-16), • Kriminalitetsbekjempelse (SIS-loven), • Ivaretakelse av personvern (personopplysningsloven, helseopplysningsloven og SISl) • Fremme av elektronisk kommunikasjon (forvaltningsloven § 15a, e-signaturloven og • ekomloven).

5. Personvern-nemnda Finans-departementet Samferdsels- departementet Forsvars-departementet Post- og tele-tilsynet Nasjonal sikkerhetsmyndighet Datatilsynet Kredittilsynet Personopplysningsloven med forskrift Helseregisterloven med forskrifter Esignaturloven med forskrift eForvaltningsforskriften jf forvaltningsloven § 15a IKT-forskriften SIS-loven med forskrifter Sikkerhetsloven med forskrifter De viktigste myndighetsforholdene vedrørende lovregulert informasjonssikkerhet

6. Forholdet mellom kravene i pol til sikring og internkontroll • Felles krav til informasjonssikkerhet og internkontroll, pol §§ 13 og 14 • Tiltak skal være • Planlagte • Systematiske • Dokumenterte • Dokumentasjonen skal være tilgjengelig for • Alle aktuelle medarbeidere • Tilsynsmyndigheter • Mulig å se informasjonssikkerhet som et særskilt område av internkontrollen

7. Krav til informasjonssikkerhet etter pol § 13 • Bestemmelsen i § 13 gjelder både behandlingansvarlig og data-behandler og utgjør ramme for hva som kan bestemmes i forskrift • Arbeidet med informasjonssikkerhet skal omfatte • Konfidensialitet • Integritet • Tilgjengelighet • Informasjonssikkerheten skal være “tilfredsstillende”, jf pol § 13 • Vurderingen gjelder hvor omfattende tiltakene skal være og • hvor intensive/strenge tiltakene skal være • § 13 innebærer krav om konkret vurdering av hver behandling • Forskriften stiller opp krav til organisering mv av sikkerhetsarbeidet • Forskriften stiller opp krav til framgangsmåter for sikkerhetsarbeidet • Forskriften stiller opp noen materielle minstkrav mv • Forskriftens krav må vurderes ift hva som konkret er “tilfredsstillende”

8. Krav til organisering mv av sikkerhetsarbeidet i pof Aktuelle roller: Behandlingsansvarlig, databehandler, daglig leder, daglig ansvarlig person, sikkerhetsrevisor, stedlig representant, personvernombud • Den daglige ledelsen for den behandlingsansvarliges virksomhet skal ha (daglig) ansvar for etterlevelse av sikkerhetsbestemmelsene (§ 2-3, 1) • Det skal etableres klare ansvars- og myndighetsforhold vedrørende bruk av informasjonssystemet (§ 2-7, 1) • Bruk av sikkerhetsmessig betydning skal følge faste rutiner (§ 2-7, 5) • IS skal konfigureres slik at tilfredsstillende sikkerhet oppnås (§ 2-7, 3) • Ansvar- og myndighetsforhold samt konfigurasjon av systemet skal dokumenteres (§ 2-7, 2 og 4) • Sikkerhetsdokumentasjonen etter § 2-7 må bare endres på måter som er autorisert av (sikkerhets)ledelsen. • Personell skal bare utføre pålagte oppgaver de er autoriserte for (§ 2-8) • Personell skal ha nødvendig kunnskap om bruk i hht autorisasjon og rutiner (§ 2-8)

9. Krav til fremgangsmåter i sikkerhetsarbeidet i pof • Stiller krav til etablering av sikkerhetsmål og -strategi (§ 2-3, 2 flg) • Formål og overordnede føringer for bruk av IKT skal inngå • Valg og prioriteringer i sikkerhetsarbeidet skal beskrives • Stiller krav til gjennomføring av risikovurdering (§ 2-4) • “Vurdering” og ikke nødvendigvis “analyse” • Vurderingen skal skje ift egne kriterier for akseptabel risiko og/eller ift pålegg som Datatilsynet har gitt, jf § 2-2 • Skal vurdere hva den antatte risikoen er • Forskriften gir ikke anvisning på spesielle metoder mv for risikovurdering, jf dog NS 5814 “Krav til sikkerhetsanalyser” • Forskjellen mellom antatt og akseptabel risiko skal utlignes ved hjelp av sikkerhetstiltak • Risikovurdering skal gjentas ved relevante endringer • Resultatene av risikovurderingen skal dokumenteres