Ofte stilte spørsmål

• Kan fødselsnummer stå utenpå et brev?

  • Nei, fødselsnummer kan ikke stå utenpå brev eller andre postsendinger - det skal ikke kunne leses utenpå brevet eller gjennom konvoluttvinduet. Det er heller ikke lov å benytte en tallkombinasjon som er en omskrivning av fødselsnummeret, som for eksempel personnummeret først og fødselsdatoen til slutt.

• Kan leger koble seg på Internett med samme maskin som de har journalprogramvaren på?

  • I utgangspunktet nei, men dette avhenger av valgt teknisk løsning. Ved tilknytning til eksternt nettverk øker trusselnivået vesentlig. Behandlingsansvarlig må derfor iverksette tiltak som ivaretar akseptabelt risikonivå i løsningen.

    Les mer om dette på www.normen.no (ekstern nettside)

• Er Virtual Private Network (VPN) tilstrekkelig for flytting av personopplysninger mellom en lokal applikasjon og en sentral databehandler?

  • Ja, i de fleste tilfeller vil dette være greit. Samtidig stiller personopplysningsloven krav om at den behandlingsansvarlige skal ha gjennomført en risikovurdering av løsningen. I tillegg skal det skrives en databehandleravtale som regulerer forholdet mellom behandlingsansvarlig og datatbehandler.

    Les Datatilsynets veileder om risikovurdering.

    Les Datatilsynets veileder om databehandleravtale.

• Hvordan skal behandlingsansvarlig håndtere taushetsplikt for databehandler?

  • Vanlig praksis er at taushetsplikten ivaretas på to selvstendige nivå:

    1. mellom behandlingsansvarlig og databehandler
    2. ved at databehandler har pålagt taushetsplikt overfor sine ansatte

    Internkontroll er normalt det verktøy som benyttes for å ivareta dette.
    Les mer om internkontroll

• Hvilke tiltak må iverksettes for at en virksomhet som behandler sensitive personopplysninger skal kunne tilknytte seg f.eks. Internett?

  • Vi vil først understreke at behandlingsansvarlig gjennom en utført risikovurdering må kunne sannsynliggjøre at valgte løsning er i samsvar med de sikkerhetsmål og strategier som er valgt for behandlingen. Når det er sagt kan vi gi noen indikasjoner på hvilke løsinger som normalt benyttes i et slikt tilfelle.

    Det vil som regel være to alternative metoder:

    1. Nettverket deles opp i to fysisk isolerte hovedsegmenter, hvor de som behandler sensitiv informasjon får et eget dedikert nettverk til dette. Dette nettverket er da hverken tilknyttet øvrig nettverk eller eksternt nettverk. Dette innebærer at de som arbeider med sensitive personopplysninger vil måtte ha to maskiner, en for sikker sone og en for intern sone hvor de også vil kunne ha tilgang til Internett, e-post osv. Ofte brukes det da felles tastatur og skjerm, og en swich (fysisk omkobler) for å skifte mellom maskinene.
    2. Et annet alternativ er å bygge opp en såkalt tosonemodell, hvor det etableres to sett brannmurer. En mot ytre nett og en mellom sikker og intern sone. Her er konfigureringen svært viktig.

    Les mer om informasjonssikkerhet.

• Hvilke hensyn må vi ta når det gjelder informasjonssikkerhet ved opprettelse av kunderegister?

  • Om registrene inneholder personopplysninger, skal de sikres etter sikkerhetsbestemmelsen i Personopplysningsloven. Om det kun er manuell behandling gjelder personopplysningsloven § 13. I den grad det er elektronisk behandling skal også personopplysningsforskriften kapittel 2 tas hensyn til.

• Hvilke sikkerhetstiltak bør etableres for en Internettside hvor personopplysninger om kunder er tilgjengelige?

  • Alle personopplysninger må sikres i henhold til personopplysningsloven § 13. Behandlingsansvarlig for tjenesten må ha foretatt en risikovurdering. Som regel vil risikovurderingen, holdt opp mot de fastlagte kriterier for akseptabel risiko, føre til at det må iverksettes kryptering og da kryptering både av påloggingspassord og aktuell informasjon. SSL-kryptering er aktuell i slike sammenhenger.

    Behandlingsansvarlig skal foreta en slik vurdering og iverksette nødvendige tiltak.

• Kommunen har laget elektronisk søknadsskjema for barnehageopptak. Er det tillatt?

  • Ja, det er tillatt med denne typen tjenester på Internett, men det forutsetter at kommunen har sikret tjenesten. Datatilsynet anbefaler generelt at søknadsskjemaer håndteres kryptert. Dersom søknadsskjemaet inneholder sensitive opplysninger skal det overføres kryptert. Kommunen må legge til rette for dette.

• Hvilke regler gjelder datanettverk på skoler? Skal elevnett og lærernett kjøres på to fysisk atskilte nettverk, eller kan de kjøres på samme nettverk?

  • Elever bør ikke tilkoples samme interne nettverk som kommunen benytter for en rekke andre formål (herunder lærernes elevadministrasjon). Men lærere kan selvfølgelig benytte nettverk i sammen med elever dersom denne bruken er tilpasset til hvilke opplysninger og sikringstiltak som iverksettes i dette nettverket. Se personopplysningsloven § 13, se også personopplysningsforskriftens kapittel 2.

• Hvordan skal passord behandles? Skal de krypteres?

  • Datatilsynet anbefaler at passordet krypteres i den grad forholdsmessig sikkerhet krever dette. Beskyttelsesgraden for passordet må være bedre eller lik beskyttelsesnivået for opplysningene som passordet beskytter. Passord skal lagres kryptert, samt håndteres kryptert på nett som ikke behandlingsansvarlig har fullstendig kontroll over.

• På arbeidsplassen min benytter vi samme felles passord, er det tilrådelig?

  • Nei, dette er ikke tilrådelig og kan også være i konflikt med regelverket.

• Finnes det spesielle krav for sending og lagring av sensitiv e-post?

  • Ja, ved overføring av sensitive personopplysninger skal overføringen normalt krypteres. Når det gjelder lagring av sensitiv e-post, må denne lagres kryptert inntil den hentes inn på den delen av informasjonssystemet som er egnet for behandling av sensitive opplysninger.

    Les mer om kryptering.

• Kommunen der jeg arbeider benytter multimaskiner med kopiering, printer, e-post og faks, men har stengt for faksmuligheten. Hvorfor det?

  • Personopplysningsloven setter krav til at kommunen etablerer sikkerhetsmål, sikkerhetsstrategi og utarbeider sikkerhetsvurderinger for å ivareta personvernet. Om kommunen i sin sikkerhetsvurdering har kommet frem til at faksfunksjonen ikke kan aksepteres, så skal det stenges for en slik funksjon. En mulig årsak til dette kan være manglende mulighet for kryptering.

• Godkjenner Datatilsynet produkter, leverandører eller IT-løsninger?

  • Nei. Vi gir råd og veiledning om hva virksomheter må eller bør ta hensyn til ved valg av produkter, leverandører eller IT-løsninger.

    Les mer om sikkerhet og internkontroll eller kontakt oss.

• Hvor kan jeg finne Datatilsynets regler og krav til tjeneste- og programvareleverandører?

  • Personopplysningsloven stiller ingen konkrete krav til tjeneste- eller programvareleverandører. Den behandlingsansvarlige plikter å gjennomføre en risikovurdering. Ut fra denne, må behandlingsansvarlig avgjøre om hver enkelt tjeneste eller program gir tilstrekkelig sikkerhet og er i tråd med akseptabelt risikonivå. 

    Datatilsynet tilbyr veiledningsmøter med leverandører og virksomheter.

    Datatilsynets veileder om risikovurdering

• Sikkerthetssertifiserer Datatilsynet IT-produkter eller -systemer?

  • Datatilsynet har ingen sertifiseringsordning, men kan gi råd og veiledning for konkrete problemstillinger.

    SERTIT v/Nasjonal sikkerhetsmyndighet gir informasjon om sikkerhetssertifisering av utstyr.

• Hvilke IT-løsninger gir tilstrekkelig sikkerhet i min virksomhet?

  • Personopplysningsloven og personopplysningsforskriften stiller ingen konkrete krav til IT-løsninger. Den behandlingsansvarlige plikter, etter  personopplysningslovens § 13 og personopplysningsforskriftens kapittel 2, å gjennomføre en risikovurdering. Ut fra denne, må behandlingsansvarlig avgjøre om IT-løsningen gir tilstrekkelig sikkerhet og er i tråd med akseptabelt risikonivå.

    Datatilsynets veileder om risikovurdering

• Hvordan skal medlemsopplysninger sikres?

  • Krav til sikring av opplysninger henger sammen med hvilken type opplysninger som behandles. Les derfor mer om dette under informasjonssikkerhet.

• Hva bør jeg ikke sende på e-post?

  • E-post er i utgangspunktet ukryptert, som betyr at det kan være mulig for andre å lese innholdet. Enkelt forklart kan vi sammenlikne ukryptert e-post med å sende et åpent postkort. Dersom du ikke ville ha sendt informasjonen på et åpent postkort, bør du heller ikke sende denne i en e-post. Et eksempel er helseopplysninger.

• Er det greit at kommunene benytter terminalservere og sentrale løsninger for lagring?

  • I prinsippet er det ikke formelle hindre for at kommunen benytter såkalt "databehandler", dvs. outsourcer hele eller deler av drift til ekstern selskap. I slike tilfeller skal det foreligge særskilt avtale mellom behandlingsansvarlig (kommunen) og databehandler (f.eks. dere). Denne avtalen må blant annet regulere oppfyllelse av forholdsmessig sikring av personopplysningene (se personopplysningsloven §§ 13 og 15). Det skal forligge en risikovurdering som dokumenterer forholdsmessig sikring av opplysningene. Dette er et ansvar som i utgangspunktet er rettet til behandlingsansvarlig, men databehandler har også en selvstendig plikt.

    En sentral forutsetning for ovennevnte er blant annet:

    1. sikker autentisering
    2. sikring av kommunikasjon (f.eks. kryptering)
    3. tilstrekkelig atskillelse av de ulike behandlingsansvarlige hos databehandler
    4. tilstrekkelig sikkerhet på brukersiden
    5. sikring mot uautorisert tilgang på tvers av behandlingsansvarlige (kommuner)
    6. sikkerhetslogger som brukes aktivt og jevnlig presenteres i summarisk form ovenfor behandlingsansvarlig
• Gjelder pliktene i personopplysningsloven for meg som privatperson?

  • Nei, personopplysningslovens plikter gjelder ikke for privatpersoner som behandler personopplysninger eller bruker IKT-utstyr til private formål, men loven gir deg rettigheter når virksomheter behandler personopplysninger om deg.

    Les mer om personvern under Personvern på 1-2-3