Informasjonssikkerhet for personopplysninger

For virksomheter som behandler personopplysninger, stiller personvernforordningen krav om å sørge for tilstrekkelig sikkerhet for personopplysningene.

Innhold

    Om personvernregelverket

    Det norske personvernregelverket består av Lov om behandling av personopplysninger (personopplysningsloven) og EUs personvernforordning (personvernforordningen). Personvernforordningen er gjort til norsk lov gjennom personopplysningsloven, og inneholder de grunnleggende prinsippene og vilkårene for å behandle personopplysninger, deriblant krav til internkontroll og informasjonssikkerhet. Formålet med reglene i personvernforordningen er blant annet å sikre vern av fysiske personers grunnleggende rettigheter og friheter, særlig deres rett til vern av personopplysninger.

    Personvernforordningen kommer til anvendelse på all behandling av personopplysninger som helt eller delvis utføres på en automatisert måte (typisk elektronisk), og på ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. Alle som behandler personopplysninger, må derfor opptre i samsvar med kravene i personvernforordningen.

    • Personopplysninger: «enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»)». Eksempler på personopplysninger kan være en persons navn, lokalisering, IP-adresse, personnummer etc.
       
    • Behandling: «enhver operasjon eller rekke operasjoner som gjøres med personopplysninger, enten automatisert eller ikke». Eksempler på behandling kan være innsamling, registrering, organisering, lagring etc.

    Informasjonssikkerhet ved behandling av personopplysninger

    For å oppnå personvernforordningens formål, må enhver som behandler personopplysninger opptre i samsvar med personvernprinsippene. Ett av disse prinsippene er å sørge for at personopplysninger behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade.

    Konfidensialitet, integritet, tilgjengelighet som tre overlappende sirkler, og robusthet som en sirkel som omslutter de tre.
    Kilde: Datatilsynet

    Informasjonssikkerhet for personopplysninger kan sies å handle om å sikre konfidensialitet, integritet og tilgjengelighet for personopplysninger. Personvernforordningen utvider dette perspektivet til at virksomhetene også skal sikre personopplysningenes robusthet. Robusthet innebærer at organisasjonen, informasjonssystemer og tjenester som behandler personopplysninger skal kunne tåle endringer og ytre påvirkninger. Robusthet skal også sikre stabilitet over tid for informasjonssystemer som behandler personopplysninger. Alle de fire sikkerhetsegenskapene skal sammen bidra til en effektiv ivaretagelse av personvernprinsippene, og ivareta de registrertes rettigheter og friheter.

    Hvordan beskytte informasjonen

    Personvernforordningen stiller krav til at virksomhetene skal sørge for tilstrekkelig sikkerhet for personopplysninger. Dette innebærer å beskytte personopplysninger fra uønskede hendelser som fører til sikkerhetsbrudd, som igjen fører til konsekvenser for personvernet og den registrertes rettigheter og friheter. Hendelsene kan være resultat av både tilsiktede og utilsiktede handlinger.

    Sløyfediagram som viser årsaker til sikkerhetsbrudd på venstre side, sikkerhetsbrudd i midten, og mulige konsekvenskategorier på høyre side. Alle årsaker er uthevet (tilsiktede handlinger, uaktsomhet, uhell og ulykker og naturhendelser), og konsekvenskategorien personvern. En tekstboks presiserer at det er fokus på fysiske personers (de registrertes) rettigheter og friheter.

    For å sørge for tilstrekkelig sikkerhet for personopplysninger, må virksomheten først identifisere hvilke personopplysninger som behandles. Deretter gjennomføres en risikovurdering for å avdekke eventuelle risikoer knyttet til behandlingen. Risikovurderingen skal også avdekke hvilke sikkerhetstiltak som kan redusere denne risikoen, og om allerede implementerte sikkerhetstiltak er effektive. Dersom risikovurderingen avdekker manglende tiltak, må det vurderes om nye tiltak skal iverksettes for å oppnå tilfredsstillende sikkerhetsnivå for personopplysningene. En slik risikostyring vil sammen med tilhørende rutiner kunne utgjøre en del av virksomhetens styringssystem for informasjonssikkerhet. Styringssystemet for informasjonssikkerhet vil igjen være en sentral del av virksomhetens internkontroll.

    Videre lesing

    Datatilsynet skal gi råd til privatpersoner og virksomheter om behandling og sikring av personopplysninger, og gi informasjon om hvordan personvernregelverket skal etterleves. For å sikre at virksomheter behandler personopplysninger lovlig, sikkert og forsvarlig, har Datatilsynet utarbeidet veiledning knyttet til internkontroll og informasjonssikkerhet.