Etablere internkontroll

Etablere internkontroll

Gjennom å ha god internkontroll og god informasjonssikkerhet sikrer virksomheten at den behandler personopplysninger lovlig, sikkert og forsvarlig. Denne veilederen gir en innføring i hva internkontroll handler om, og hvordan man kan etablere og følge den opp.

Ansvarlighet, internkontroll og informasjonssikkerhet

Personvernforordningen stiller krav til den behandlingsansvarliges ansvar. Det innebærer å sette i verk egnede tiltak, både tekniske og organisatoriske, for å sikre og påvise at personopplysninger behandles i samsvar med regelverket.

Dersom det blir behov for det, skal de tiltakene man har valgt endres og oppdateres. Dette kan oppsummeres som rutiner for oppfyllelse av virksomhetens plikter og de registrertes rettigheter, og rutiner og tekniske tiltak for informasjonssikkerhet.

Hva er internkontroll?

En virksomhet må forholde seg til og etterleve flere ulike regelverk. Disse kan for eksempel omhandle helse, miljø, sikkerhet, regnskap eller avgifter. Tilsvarende finnes det regelverk for hvordan personopplysninger skal behandles. De som fastsetter regelverk, forventer at virksomhetene har en systematisk tilnærming i etterlevelsen.

Først og fremst må man sette seg inn i de ulike bestemmelsene for å avgjøre hvilke som er relevante i egen virksomhet. Noen bestemmelser har spesiell relevans for ledelsen i virksomhetene, mens andre er ment å påvirke hvordan de ansatte kan utføre sitt arbeid. Det kan også være bestemmelser som gir andre personer eller grupper rettigheter og som virksomheten har plikt til å oppfylle.

For å ivareta krav om en systematisk tilnærming oppretter virksomhetene en internkontroll. Denne består gjerne av tre hovedelementer:

  1. Styrende elementer, som i hovedsak retter seg mot ledelsen, herunder hvilke beslutninger og føringer de legger for internkontroll.
  2. Gjennomførende elementer, som i hovedsak retter seg mot ansatte. Her finner man beskrivelse av rutiner som er tilpasset den enkeltes arbeidssituasjon.
  3. Kontrollerende elementer, som bidrar til å fange opp avvik fra systemet og til at det gjennomføres periodiske gjennomganger.

Internkontroll kalles i ulike sammenhenger et kvalitetssystem, styringssystem eller ledelsessystem for etterlevelse av regelverk.

Hva er internkontroll etter personvernregelverket

Virksomheten må sikre en forsvarlig behandling av personopplysninger ved at man ivaretar den registrertes rettigheter og friheter, samtidig som man ivaretar virksomhetens mål ved behandlingen. Etter personvernforordningen (artikkel 24) innebærer det en forholdsmessighet hvor man ser på behandlingens art, omfang, formål og sammenheng, samt risikoene for fysiske personers rettigheter og friheter, og ut fra det gjennomfører egnede tekniske og organisatoriske tiltak. Internkontroll skal være ledelsens verktøy for å ivareta sitt ansvar og demonstrere etterlevelse etter personvernregelverket, og de ansattes verktøy for å utføre oppgaver på en forsvarlig og sikker måte. Tiltakene skal dokumenteres og oppdateres ved behov. 

Det er ikke nødvendig eller hensiktsmessig å etablere en egen internkontroll for personvernregelverket dersom dere allerede har en internkontroll for andre regelverk eller for andre formål. Dere bør heller sørge for å utvide det eksisterende systemet med det som er påkrevd etter personvernregelverket.

Om informasjonssikkerhet

Personvernregelverket krever at personopplysninger skal beskyttes tilfredsstillende mot uberettiget innsyn og endringer. Samtidig skal opplysningene være tilgjengelige for de som trenger opplysningene, når de har behov for dem.

Informasjonssikkerhet dreier seg om å håndtere risikoen for at personopplysninger og andre informasjonsverdier blir ivaretatt på en tilfredsstillende måte. Dette gjøres ved først å identifisere hvilke personopplysninger virksomheten har. Deretter gjennomføres en risikovurdering for å avklare om eksisterende sikkerhetstiltak er tilfredsstillende.

Dersom risikovurderingen avdekker manglende tiltak må det vurderes om nye tiltak skal iverksettes for å oppnå tilfredsstillende sikkerhetsnivå for personopplysningene. Kontrollrutiner må utarbeides og jevnlig følges, for å kontrollere at tiltakene blir fulgt opp og virker etter hensikten.

En slik fremgangsmåte som skissert ovenfor vil sammen med tilhørende rutiner kunne utgjøre virksomhetens styringssystem for informasjonssikkerhet. Dette systemet for informasjonssikkerhet vil være en sentral del av virksomhetens internkontroll. Det er utviklet standarder som beskriver hvordan styringssystem for informasjonssikkerhet skal etableres.

Hvordan gjennomføre internkontroll i praksis

Denne delen beskriver prosessen for å etablere internkontroll. Den beskriver hvilke oppgaver som må løses, hvilke plikter en virksomhet har, hvilke rutiner som må dokumenteres og aktiviteter som må gjennomføres.

Dette kapittelet inneholder følgende:

Skaff kunnskap

Virksomheten må selv ha et minimum av kunnskap, og sørge for å ha tilgang til nødvendig kunnskap om personopplysningsloven og personvernforordningen. Slik kunnskap er nødvendig for å kunne starte arbeidet med å etablere en internkontroll og tilfredsstillende informasjonssikkerhet. Virksomheten må videre identifisere de lovpålagte pliktene den skal overholde.

På våre nettsider finner du oppdatert og relevant informasjon som kan benyttes i arbeidet med internkontroll og informasjonssikkerhet. Få oversikt over alle pliktene virksomheten har på vår samleside

Ledelsen har ansvaret

Ledelsen er ansvarlig for at det settes i gang aktiviteter for å etablere internkontroll i virksomheten. Den har et spesielt ansvar for å utarbeide policy, målsetning, identifisere forpliktelser, klarlegge intern organisering og ikke minst tydelig identifisere ansvar og myndighet.

Ledelsen har også ansvar for at det etableres rutiner og instrukser basert på vurderinger for risiko for rettigheter og friheter. Det må tas stilling til hvilke rutiner som er påkrevd for å sikre samsvar mellom den etablerte systematikken og aktivitetene som faktisk utføres i virksomheten.

Dokumentasjon over systemet for internkontroll skal være tilgjengelig for de ansatte i virksomheten og for Datatilsynet ved eventuell kontroll.

Formålet med internkontrollen

Ved å etablere internkontroll bør virksomheten oppnå:

  1. bedre ivaretakelse av de registrertes rettigheter
  2. bedre informasjonssikkerhet, informasjonskvalitet og effektiviseringsgevinst
  3. system for kvalitetssikring av at offentlig regelverk følges
  4. forsvarlig drift innenfor lovverket
  5. fastsatte rutiner og instrukser som bidrar til at ledelsen sikrer at de ansatte arbeider i samsvar med virksomhetens mål og policy
  6. at avvik blir oppdaget og håndtert
  7. reduksjon i sjansen for alvorlige feil som skyldes manglende oppfølging av lovverket

Få oversikt, og vurder lovlighet, nødvendighet og proporsjonalitet

Virksomheten skal etablere og vedlikeholde en oversikt over alle behandlingene av personopplysninger. For å få en fullstendig oversikt, må man se på karakteristikker ved behandlingen og gjøre en vurdering proporsjonalitet og nødvendighet for å sikre at behandlingen er lovlig og at man ivaretar de registrertes rettigheter.

Internkontrollens struktur

Det er nyttig å etablere en struktur for internkontrollsystemet. I kapittelet "Internkontrollens struktur" finner dere forslag til struktur og dokumenter som kan opprettes i de ulike fasene - styrende dokumentasjon, gjennomførende dokumentasjon og kontrollerende dokumentasjon - og som vi vil vise til i den påfølgende teksten.

Beskrivelser, vurderinger og valg kan føres inn i styringsdokument for internkontroll. Disse beskrivelsene vil videre være grunnlag for å føre protokoll over behandlinger. Protokollen inkluderer blant annet oversikt over type behandlingsaktiviteter, kategorier av personopplysninger og registrerte, rettslig grunnlag og formål med behandlingene. Protokollen kan også inngå i styringsdokument for internkontroll. Dokumentasjonen bør oppdateres og gjennomgås jevnlig.

Oversikt over behandlingen er nødvendig for at virksomheten skal kunne ivareta pliktene sine. Oversikten danner også grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved risikovurderinger.

For å få en fullstendig oversikt over behandlingen, vurdere lovlighet, nødvendighet og proporsjonalitet, må man gå systematisk til verks og sørge for at beskrivelsene er tydelige:

Behandlingens art, omfang, formål og sammenheng

Beskriv behandlingens art, det vil si behandlingens iboende karakteristikk. Dette kan innebære beskrivelser av hva dere gjør eller planlegger å gjøre med personopplysningene, for eksempel hvordan personopplysningene skal samles inn, lagres og brukes, og hvem det skal behandles personopplysninger om.

Beskriv behandlingens omfang. Det omfatter blant annet kategorier av personopplysninger, antall registrerte involvert, volum av data, hvor hyppig er behandlingen, lagringstid og geografisk omfang.

Beskriv behandlingens formål, det vil si å beskrive tydelig hva personopplysningene skal brukes til.

Beskriv hvilken sammenheng eller kontekst behandlingen utføres i. Dette innebærer å se behandlingen i et større bilde, og beskrive alle interne og eksterne faktorer som kan påvirke forventninger eller konsekvenser. Beskriv for eksempel hvilke kilder som brukes for innhenting av personopplysninger, hvilken relasjon virksomheten har til de registrerte, hvilke forventninger de registrerte har til behandlingen og i hvilken grad de registrerte har kontroll over sine personopplysninger.

Kilder, mottakere og ansvarsforhold

Identifiser, avklar og dokumenter ansvarsforhold. Dette innebærer blant annet å klargjøre egen virksomhets rolle og ansvar knyttet til verdikjedene for behandling av personopplysninger i virksomheten. Dokumenter når virksomheten er behandlingsansvarlig eller databehandler.

Identifiser og dokumenter alle mottakere av personopplysninger. Dette omfatter deling internt i virksomheten, databehandlere, tredjeparter, eksterne virksomheter (private og offentlige myndigheter) og så videre. Gjennomgå formål, rettslig grunnlag og hvilke forhåndsregler som tas for å beskytte personopplysningene (taushetserklæringer, databehandleravtale, atferdsnormer, sikkerhetstiltak og så videre). Dersom personopplysninger overføres eller lagres i land utenfor EU/EØS, må det sikres at det foreligger mekanismer som tillater slik overføring (se artikkel 44-49 i personvernforordningen).

Dersom det tas i bruk tjenesteutsetting eller skytjenester, bør man se på Nasjonal sikkerhetsmyndighets temahefte «Sikkerhetsfaglige anbefalinger ved tjenesteutsetting» (pdf).

Vurdering av lovlighet, nødvendighet og proporsjonalitet

Virksomheten må undersøke om behandlingene er lovlige, at de valgene man tar er nødvendige og står i et rimelig forhold til formålene. Dere må ta utgangspunkt i prinsippene for behandling av personopplysninger. Beskrivelser, vurderinger og valg kan føres i styringsdokumentet for internkontroll.

Fastsette behandlingsgrunnlag: Det er ikke tillatt å behandle personopplysninger uten et rettslig grunnlag. Behandlingen skal være basert på lovlighet, rettferdighet og åpenhet (artikkel 5.1 bokstav a og artikkel 6 og 9).

Et rettslig grunnlag/behandlingsgrunnlag kan være samtykke, at det er nødvendig for avtale/kontrakt, en rettslig forpliktelse, vitale interesser, utøvelse av myndighet eller en berettiget interesse. Undersøk om det rettslige grunnlaget omfatter både egne formål og utlevering.

Vurder og kontroller behandlingsgrunnlagets gyldighet og rimelighet. Er det et tydelig skille mellom hvilke personopplysninger som er nødvendig for avtale og hva som skal baseres på samtykke? Hva er de forventede fordelene ved behandlingen for virksomheten, den registrerte og samfunnet for øvrig?

Vurder hvordan åpenhet ivaretas i behandlingen.

Identifiser formål: Det er ikke tillatt å behandle personopplysninger uten at det er definert et formål med behandlingen. Formål(ene) skal være spesifikt, uttrykkelig angitt og berettiget (artikkel 5.1 bokstav b). Det innebærer at formålet skal være klart definert og i samsvar med forventningene til de registrerte. Kan formålet oppnås med en mindre inngripende behandling og med anonyme eller pseudonyme alternativer?

Dataminimering: Personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålene (artikkel 5.1 bokstav c). Identifiser og vurder personopplysningene som skal behandles. Kan formålet oppnås ved å begrense innsamlingen av personopplysninger, med mindre detaljerte personopplysninger, uten fortrolige eller sensitive personopplysninger, med aggregerte eller pseudonyme personopplysninger?

Riktighet: Personopplysninger skal være korrekte og oppdaterte (artikkel 5.1 bokstav d). Vurder hvordan personopplysninger skal holdes korrekte og oppdaterte, med og uten den registrertes involvering. Har dere nødvendig funksjonalitet for å rette og slette uriktige personopplysninger? Har dere rutiner for å oppdage feil ved personopplysninger? Har dere rutiner for hvordan registrertes anmodning om retting og sletting av personopplysninger skal håndteres?

Lagringsbegrensning: Personopplysninger skal slettes eller anonymiseres når formålet er oppnådd (artikkel 5.1 bokstav e). Avklar lovlig oppbevaringstid og slettefrister for alle typer personopplysninger som virksomheten behandler. Det innebærer å ta stilling til avveiinger som omfatter formålet med behandlingen, virksomhetens behov og andre rettslige krav som regulerer oppbevaringsrett og oppbevaringsplikt. Utarbeid nødvendige rutiner og tekniske løsninger for nødvendig sletting, anonymisering eller pseudonymisering.

Integritet og konfidensialitet: Virksomheten skal sørge for tilstrekkelig sikkerhet for personopplysningene ved bruk av tekniske og organisatoriske tiltak (artikkel 5.1 bokstav f). Det innebærer å sikre opplysningene mot uautorisert eller ulovlig behandling, og mot utilsiktet tap, ødeleggelse eller skade.

Ansvar: Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at prinsippene overholdes (artikkel 5.2).

Beskrive overordnede rammer

Denne delen omfatter ledelsens begrunnelse for behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi i virksomheten. Begrunnelsen og de overordnede føringene kan beskrives i styringsdokumentet for internkontroll. Begrunnelsene omhandler virksomhetens behov for å behandle personopplysningene slik at den kan ivareta sine forpliktelser, herunder levere sine tjenester eller følge opp sine ansatte. De overordnede føringene er krav og plikter som virksomheten blir underlagt fordi den behandler personopplysninger. Slike krav og plikter kan blant annet følge av personvernlovgivningen, av pålegg fra Datatilsynet eller av annen lovgivning.

Andre føringer er sikkerhetsmål og sikkerhetsstrategier. Disse legger begrensninger på bruken av IKT for å sikre tilfredsstillende sikkerhet for personopplysningene. Samme dokument kan også inneholde føringer som krav til hendelseshåndtering, egenkontroll, avviksbehandling og ledelsens gjennomgang.

Identifisere plikter

Behandling av personopplysninger medfører plikter for virksomheten. Ulike opplysninger og ulike formål gjør at ingen virksomheter er like. Hver virksomhet må derfor identifisere plikter og tilpasse internkontroll og informasjonssikkerhetstiltak til sin organisasjon. Dette gjøres med utgangspunkt i behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoen for de registrertes rettigheter og friheter.

Prinsippene for behandling av personopplysninger legger føringer for hvordan personopplysninger skal behandles. Virksomheten må identifisere hvilke plikter den har og gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med forordningen (artikkel 24). 

De ulike pliktene for behandlingsansvarlig og databehandlere er beskrevet i kapittel IV i personvernforordningen. Nedenfor nevner vi noen av disse pliktene med lenker til mer informasjon.

  1. Innebygd personvern og personvern som standardinnstilling (artikkel 25)
  2. Databehandler (artikkel 28) – Veiledning om databehandleravtaler
  3. Protokoller over behandlingsaktiviteter (artikkel 30) – Veiledning og mal for protokoll
  4. Sikkerhet ved behandlingen (artikkel 32)
  5. Melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten (artikkel 33) og informasjon til den registrerte om brudd på personopplysningssikkerheten (artikkel 34) – Avvikshåndtering
  6. Vurdering av personvernkonsekvenser (DPIA) (artikkel 35) – Veiledning om vurdering av personvernkonsekvenser
  7. Forhåndsdrøftelser (artikkel 36)
  8. Personvernombud (artikkel 37-39)
  9. Atferdsnormer/bransjenormer (artikkel 40)
  10. Sertifisering (artikkel 42)
  11. Overføring av personopplysninger ut av EØS (artiklene 44-49)

Virksomheten må identifisere hvilke rettigheter og friheter for de registrerte som gjør seg gjeldende på grunn av virksomhetens behandling av personopplysninger. Virksomheten har plikt til å oppfylle disse rettighetene (beskrevet i artiklene 12-22) Vi har laget en samleside med oversikt over rettighetene. Med de registrertes friheter mener vi blant annet friheter etter Den europeiske menneskerettskonvensjonen (EMK), slik som retten til privatliv og kommunikasjonsvern, retten til ikke å bli diskriminert, tanke-, tros- og religionsfrihet, ytrings- og informasjonsfrihet. Vurder hvordan de registrertes rettigheter og friheter skal ivaretas.

Det finnes også nasjonale bestemmelser i personopplysningsloven som er presiseringer og unntak fra hovedregler i personvernforordningen.

Utarbeide rutiner

Personvernforordningen stiller krav til internkontroll i form av egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med personvernforordningen. Tiltakene skal gjennomgås på nytt og skal oppdateres ved behov.

Utarbeid rutiner som er nødvendige for oppfyllelse av virksomhetens plikter og de registrertes rettigheter. Her nevnes noen nødvendige rutiner, samt hvordan rutinene kan utformes. Alle rutiner vil imidlertid ikke være relevante for alle virksomheter. En risikovurdering kan dessuten vise at virksomheten har behov for andre rutiner enn dem som er listet opp.

Eksempler på rutiner for håndtering av personopplysninger:

Rutinene bør utformes etter en felles mal. Rutinene blir da enklere å bruke, og det blir lettere å vurdere om de er fullstendige.

Forslag til utforming av rutiner

  • Hvorfor skal rutinen utarbeides, hva er hensikten med den?
  • Hvem er ansvarlig for å utføre de ulike aktivitetene?
  • Hva skal utføres av de ulike ansvarlige?
  • Hvordan skal aktivitetene utføres?
  • Når skal de ulike aktivitetene utføres, eller under hvilke betingelser?
  • Hva er forventet resultat ved utførelse av rutinen?

Iverksette styringssystem for informasjonssikkerhet

Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger. Personopplysninger kommer i mange former. De kan trykkes eller skrives på papir, lagres elektronisk, overføres via post eller elektroniske media, eller formidles muntlig. Uansett hvordan informasjonen formidles og lagres, skal den alltid beskyttes på en tilfredsstillende måte.

Informasjonssikkerhet omfatter:

  • Konfidensialitet – at informasjonen ikke blir kjent for uvedkommende
  • Integritet – at informasjonen ikke blir endret utilsiktet eller av uvedkommende
  • Tilgjengelighet – at informasjonen er tilgjengelig for autoriserte ved behov
  • Robusthet – at organisasjonen og systemene er motstandsdyktige, og evner å gjenopprette normaltilstand ved hendelser

R-I-K-TOrganisasjoner og deres infor­masjonssystemer står overfor en stadig lengre rekke av sikkerhetstrusler, for eksempel datasvindel, spionasje, sabotasje og hærverk. Trusselaktører tar kontinuerlig i bruk nye verktøy og metoder som krever at alle virksomheter jevnlig holder seg oppdatert, kjenner til nye trusler og sårbarheter, og vurderer om man har etablert tilstrekkelig sikring.

I personvernregelverket understrekes det at arbeidet med informasjonssikkerhet er en kontinuerlig prosess. Det stilles blant annet krav til å sikre vedvarende robusthet i tillegg til konfidensialitet, integritet og tilgjengelighet. Det betyr blant annet at virksomheten har plikt til å ta hensyn til den tekniske utviklingen, altså hvilken teknologi som er tilgjengelig på markedet til enhver tid. Den teknologien som var akseptabel for å sikre virksomhetens behandlinger i fjor, er ikke nødvendigvis akseptabel i år.

For å sørge for tilstrekkelig sikkerhet står det i artikkel 32 at virksomheten må ta hensyn til behandlingens art, formål, omfang og sammenheng, hva som finnes av tilgjengelig teknologi, kostnader ved gjennomføring, og hva sannsynligheten og konsekvensen er for at uønskede eller ulovlige hendelser skal inntreffe. Informasjonssikkerhet oppnås ved hjelp av tekniske og organisatoriske tiltak. Sikkerhetstiltakene og informasjonssystemet skal dokumenteres og inngå som en del av internkontrollen i virksomheten.

Ved innføring av internkontroll må virksomheten først identifisere hvilke personopplysninger som behandles. Deretter må det utarbeides en risikovurdering.

Dokumentasjon og oppbygging av styringssystem for informasjonssikkerhet

Personvernforordningen stiller krav til tilstrekkelig informasjonssikkerhet ved innføring av egnede tekniske og organisatoriske tiltak. Vi anbefaler at man følger anerkjente standarder som beskriver styringssystem for informasjonssikkerhet, for eksempel "ISO/IEC 27001– Ledelsessystem for informasjonssikkerhet". Man kan også bruke rammeverk og veiledere som er utviklet av andre organisasjoner, slik som Digitaliseringsdirektoratet og Nasjonal sikkerhetsmyndighet (NSM).

Nedenfor går vi gjennom noen viktige elementer som bør være med i et styringssystem for informasjonssikkerhet.

Sikkerhetsmål

Sikkerhetsmålene omfatter ledelsens beslutninger om hva IKT skal brukes til i virksomheten og hvordan den skal benyttes for å nå virksomhetens øvrige mål. Konkrete sikkerhetsmål vil slik utgjøre en del av virksomhetens beskrivelse av sin totale målsetning. Sikkerhetsmålene bør i størst mulig grad være målbare, men dette er ikke alltid enkelt. Uansett skal de være retningsgivende for strategien.

Sikkerhetsstrategi

Sikkerhetsstrategien skal omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet. Dette går på fordeling av arbeidsoppgaver mellom ledelse og driftspersonell, og beslutning om eventuelt å ta i bruk eksterne leverandører i sikkerhetsarbeidet. Forholdet mellom ledelse, driftspersonell, sikkerhetspersonell og den enkelte bruker må avklares her. Sikkerhetsstrategien skal gjøre rede for organisatoriske og tekniske strategiske valg, og må være utformet på en måte som gjør at de ansatte forstår hva ledelsen har bestemt. Strategien beskriver hvilke virkemidler virksomheten velger å bruke for å nå målene. Det kan velges ulike strategier for å tilfredsstille samme mål.

Ledelsens gjennomgang

Ledelsen skal årlig gjennomgå sikkerhetsmål, sikkerhetsstrategi og organisering av informasjonssystemene. Ledelsen skal kontrollere at disse er i samsvar med virksomhetens behov og eventuelt oppdatere mål, strategi og organisering. Gjennomgangen utføres etter rutine beskrevet i ledelsens gjennomgang.

I ledelsens gjennomgang av informasjonssystemet kan blant annet følgende vurderes:

  • Resultater fra sikkerhetsrevisjoner og kontroller utført av offentlig myndighet
  • Endringer med betydning for drift av informasjonssystemet eller for informasjonssikkerheten, herunder endringer i offentlige sikkerhetskrav, endringer i personopplysninger som virksomheten skal behandle, endringer i trusselbildet som blant annet beskrevet i rapport fra utførte risikovurderinger
  • Om informasjonssystemet bør endres, eksempelvis som følge av ønske om ny funksjonalitet
  • Overordnet behandling av alvorlige avvik og hendelser

Organisering

Det må klargjøres roller og ansvar knyttet til personvern og sikkerhet internt i virksomheten. Det inkluderer for eksempel hva som ligger i linjeansvar og hva som ligger i nøkkelroller som personvernombud, personvernrådgiver, sikkerhetsleder, IKT-ansvarlig, HR-ansvarlig, prosjektledere, produkteiere, systemeiere, systemforvaltere mv. Klare ansvars- og myndighetsforhold etableres med utgangspunkt i beslutninger tatt av virksomhetens ledelse. Rolle- og ansvarsfordeling skal være dokumentert.

I mindre organisasjoner kan det være samme person som ivaretar ulike oppgaver. For større organisasjoner lages et organisasjonskart som viser de nevnte funksjonene og deres plassering i forhold til ledelsen og virksomheten for øvrig.

Akseptabelt risikonivå / toleransenivå for sikkerhet

Risikovurdering handler om å identifisere konsekvenser ved ulike hendelser eller scenarier, og å vurdere hvor sannsynlig eller lett en uønsket hendelse kan inntreffe. Det er virksomhetens ledelse som avgjør hvor stor risiko (risikoappetitt) virksomheten skal ta ved ulike scenarier. Dette kalles toleransenivå for sikkerhet. Toleransenivå gir føringer for hvilke tiltak og ressurser som må settes inn for at behandlingen ikke skal overskride det definerte toleransenivået.

Beslutning om akseptabelt risikonivå skal blant annet uttrykkes i virksomhetens sikkerhetsmål. Sikkerhetsmålet skal, på et overordnet nivå, beskrive formålet med bruken av IKT og angi sikkerhetsbehov med hensyn til konfidensialitet, integritet, tilgjengelighet og robusthet. Det er også nødvendig med en detaljert beskrivelse av akseptabelt risikonivå. Denne beskrivelsen bør angi hvilke personopplysninger og behandlinger som berøres, hendelser med betydning for personvernet og akseptable nivåer for sannsynlighet og konsekvens. Beskrivelsen må angi prioritering mellom forskjellige sikkerhetsbehov og, på overordnet nivå, beskrive risikoreduserende tiltak.

Noen scenarier vil ha nulltoleranse for risiko, mens for andre kan virksomheten bestemme seg for å ta en viss risiko. Detaljert beskrivelse av akseptabelt risikonivå skal inngå i underlag for gjennomføring av risikovurdering.

Risikovurderinger og sikkerhetstiltak

Risikovurderinger og etablering av tekniske og organisatoriske tiltak for å oppnå et tilfredsstillende sikkerhetsnivå er grunnleggende krav til virksomhetens informasjonssikkerhet. Risikovurderingen må ta høyde for hvilke risikoer som er forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller uautorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

En risikovurdering begynner med en kartlegging av verdier som bør sikres. Personvernregelverket definerer personopplysninger som en verdi. Det bør gjøres en trusselvurdering av hvilke aktører som kan være interessert i verdiene og hvilke angrepsvektorer de ulike trusselaktørene benytter. Deretter gjøres en vurdering av om verdiene er sårbare for de gitte truslene. Standarder for informasjonssikkerhet kan bidra til å avdekke sårbarheter og dermed også krav som må stilles til sikkerhet.

Resultatet av risikovurderingen vurderes opp mot toleransenivå for sikkerhet. Dersom risikonivået er høyere enn fastlagt nivå for akseptabel risiko, skal det iverksettes tiltak for å redusere risikoen. Det må også fastsettes hvem som er ansvarlig for tiltaket og settes en frist for implementering. I artikkel 32 i personvernforordningen nevnes noen tiltak:

  1. Pseudonymisering og kryptering av personopplysninger
  2. Evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i system og tjenester som behandler personopplysninger
  3. Evne til å gjenopprette tilgjengelighet og tilgang til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse
  4. En prosess for regelmessig testing, analysering og vurdering av hvor effektive de tekniske og organisatoriske sikkerhetstiltakene er.

Både den behandlingsansvarlige og databehandleren skal treffe tiltak for å sikre at de som behandler personopplysninger i, eller på vegne av, virksomheten, kun behandler personopplysninger på instruks fra den behandlingsansvarlige. Dette innebærer blant annet at man sørger for å ha tilgangsstyring basert på tjenstlig behov, taushetserklæringer, sikkerhetsinstrukser, opplæring i rutiner og bruk, og databehandleravtaler. Dette er for å sikre at den behandlingsansvarlige har kontroll over behandlingen og dermed kan forsikre seg om at virksomheten etterlever personvernregelverket.

Rutiner for informasjonssikkerhet

Virksomheten skal konfigurere informasjonssystemet (infrastruktur, nettverk, servere, programvare mv.) slik at tilfredsstillende informasjonssikkerhet oppnås etter risikovurdering og beslutninger om sikkerhetstiltak. Lag en beskrivelse av informasjonssystemet.

Det er i tillegg viktig at man tar hensyn til brukersikkerhet, lager instrukser for ulike typer roller og gir opplæring i disse. Instruksene dokumenteres og kan deles opp i sikkerhetsinstrukser for bruker, leder og sikkerhetsansvarlig.

For å sørge for sporbarhet er det viktig å logge autorisert bruk og forsøk på uautorisert bruk. Det er imidlertid viktig å være klar over at personopplysninger som fremkommer som følge av logging for drifts- og sikkerhetsformål ikke senere kan benyttes for å overvåke eller kontrollere enkeltpersoner. Hensikten med logging av autorisert bruk er å i ettertid kunne spore hvem som gjorde hva med hvilke personopplysninger, og på hvilket tidspunkt. Rutine for logging beskrives i driftsrutiner. Loggfiler og formater beskrives i dokumentasjonen av informasjonssystemet.

Organisatoriske tiltak vil kunne beskrives i ulike dokumenter, slik som rutiner for informasjonshåndtering, sjekkliste nyansatt / ansatte som slutter, og taushetserklæring. Tekniske tiltak vil kunne skildres i dokumentasjon av informasjonssystemet, driftsrutiner, beredskapsplan og fysisk sikkerhet.

Våre nettsider inneholder noe informasjon om sikring av personopplysninger, slik som kryptering, bruk av sterk autentisering  og anonymisering

Vi vil i tillegg anbefale et par eksterne sider for god veiledning om sikring av henholdsvis IKT-systemer og personopplysninger:

Oppfølging og opplæring

Arbeidet med internkontroll er en kontinuerlig prosess. Virksomheten må sørge for å kunne håndtere avvik, kontrollere at rutiner og tiltak brukes og fungerer etter hensikten. Etter at internkontrollen er etablert og forankret, må man sørge for at den gjøres kjent og etterleves blant de ansatte i virksomheten.

Avvikshåndtering

Dersom personopplysninger håndteres i strid med fastlagte rutiner, eller det er mistanke om eller dokumentert brudd på informasjonssikkerheten, skal virksomheten iverksette avviksbehandling. Formålet med avviksbehandling er å lukke avviket så raskt som mulig, gjenopprette normaltilstand og hindre gjentakelse. Dersom det ikke er samsvar mellom fastlagte rutiner og hvordan personopplysninger håndteres eller informasjonssystemet benyttes, skal resultatet fra avviksbehandlingen brukes som grunnlag ved gjennomgang og endring av aktuelle rutiner.

Avviksbehandling består av:

  • Å oppdage avviket.
  • Kartlegge årsaken til og omfanget av avviket så langt det er mulig.
  • Rapportering utføres normalt av den medarbeideren som oppdager avviket. Avviket rapporteres til virksomhetens sikkerhetsansvarlig eller etter annen intern organisering.
  • Iverksettelse av strakstiltak, blant annet med det formål å avgrense eventuelle følgeskader.
  • Vurdere om det er et brudd på personopplysningssikkerheten og vurdere risikoen for de registrertes rettigheter og friheter.
  • Iverksettelse av korrigerende tiltak for permanent å gjenopprette normaltilstand.Vurdering av hvorvidt korrigerende tiltak fungerer etter sin hensikt.

Avviksbehandling skal dokumenteres i en rapport som inneholder opplysninger om selve avviket, gjennomførte strakstiltak, iverksatte korrigerende tiltak, resultater fra evaluering av det korrigerende tiltakets effekt over tid, samt opplysninger om hvilke medarbeidere som har vært involvert i behandling av avviket.

Dersom det har vært et brudd på personopplysningssikkerheten og det er en risiko for fysiske personers rettigheter og friheter, skal Datatilsynet varsles.

Dersom det har vært et brudd på personopplysningssikkerheten og det er en høy risiko for fysiske personers rettigheter og friheter, skal også de registrerte varsles.

Les mer om avvikshåndtering

Sikkerhetsrevisjon og egenkontroll

Virksomheten skal kontrollere at rutinene for håndtering av personopplysninger brukes og fungerer etter hensikten. Virksomheten må jevnlig teste, vurdere og evaluere hvor effektive sikkerhetstiltakene er. En sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak, og bruk av sikkerhetsparter og databehandlere.

Sikkerhetsrevisjon består vanligvis av egenkontroller, internrevisjon og revisjon av eksterne parter. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik. Resultatet fra sikkerhetsrevisjon skal dokumenteres og være en del av ledelsens gjennomgang.

Rutiner for rapportering og forslag til tiltak

Det er viktig å innføre faste rutiner for å forbedre internkontrollen. Det bør derfor innføres rutiner for å lære av uønskede hendelser, dokumentere erfaring og forbedre arbeidsprosessene slik at færrest mulig hendelser oppstår i fremtiden.

Virksomheten skal ha rutine for rapportering og mal for rapport til ledere og ansvarlige fra sikkerhetshendelser, avvikshåndtering og egenkontroll. Rapporten skal også omfatte erfaringer som er gjort og forslag til forbedringer, både tekniske tiltak og prosessforbedringer.

Opplæring

Målet med brukeropplæring er å sørge for at brukerne er oppmerksomme på trusler mot personvernet og informasjonssikkerheten generelt, og at de er gitt mulighet til å etterleve dette i sitt daglige arbeid. Opplæring bør være tilpasset ulike målgruppers behov for opplæring og fordeles over tid. Brukerne bør få opplæring i rutiner, sikkerhetsprosedyrer og riktig bruk av informasjonssystemer for å redusere potensielle risikoer.

Opplæring i internkontroll og informasjonssikkerhet

Før ansatte i organisasjonen og eventuelle tredjepartsbrukere får tilgang til informasjon eller tjenester, bør de få hensiktsmessig opplæring. Dette omfatter krav til internkontroll og informasjonssikkerhet, juridisk ansvar og interne sikringstiltak, så vel som opplæring i riktig bruk av informasjonssystemer. Dette inkluderer for eksempel innloggingsprosedyrer, bruk av programvare, sikkerhetsinstruks, og rapportering av avvik. I tillegg bør de får regelmessig oppdatering i organisasjonens policy og rutiner.

Taushetserklæring

Taushetserklæringer brukes for å gjøre oppmerksom på at det forekommer konfidensiell informasjon i virksomheten. De ansatte skal undertegne en slik erklæring samtidig med ansettelseskontrakten. Taushetserklæringen oppbevares i den ansattes personalmappe under hele ansettelsesforholdet.

Midlertidig ansatte og tredjepartsbrukere som ikke allerede er dekket av eksisterende kontrakt med taushetserklæring, bør undertegne en tilsvarende erklæring før de får tilgang til informasjonssystemer. Betingelsene og ansettelsesvilkårene bør opplyse om den ansattes ansvar for informasjonssikkerhet. Der det er relevant bør dette ansvaret også gjelde i en nærmere spesifisert periode etter at ansettelsesforholdet er avsluttet.

Taushetserklæringer bør gjennomgås på nytt når ansettelsesforholdet endres, særlig når ansatte skal forlate organisasjonen, eller kontrakter utløper.

Personvernombud

For virksomheten kan det være en stor fordel å ha en bestemt person å henvende seg til med spørsmål rundt behandling av personopplysninger knyttet til sin virksomhet. Personvernforordningen styrker ordningen med personvernombud. Regelverket lovfester hvilken rolle og hvilke oppgaver ombudet skal ha, og gjør ordningen obligatorisk for mange virksomheter.

Les mer om personvernombud

Internkontrollens struktur

Det er nyttig å etablere en struktur for internkontrollsystemet. Dette gjør det lettere for aktørene som skal bidra i prosessen til å forstå hvilken funksjon systemet skal ha. Dokumentasjon av internkontrollsystemet skal vise den reelle situasjonen i virksomheten. Berørte parter bør derfor delta i utformingen.

Noen ganger medfører innføring av nytt regelverk at rutiner og instrukser må endres. Det er viktig at dette faktisk skjer i virksomheten og ikke bare i systembeskrivelsen.

I neste kapittel finner dere maler og eksempler som kan lastes ned og benyttes i arbeidet med dokumenteringen av internkontrollsystemet.

Styrende dokumentasjon

Styrende dokumentasjon gir en systembeskrivelse som inneholder policy og målsetning, identifiserte krav og plikter, intern organisering, ansvar og myndighet. Styrende dokumentasjon er overordnet i sin form og er spesielt ledelsesorientert.

Styrende dokumentasjon bør inneholde:

  1. virksomhetens mål og retningslinjer for vern av personopplysninger. Se spesielt personvernforordningen artikkel 1.
  2. identifisering av at tiltenkt lagring og behandling av personopplysninger samsvarer med lovens grunnkrav, se artikkel 5 og 6 i personvernforordningen. Det legges spesielt vekt på saklig behov og konkret definering av formål, herunder at opplysningene som lagres samsvarer med formålet.
  3. identifisering av hvilke generelle forpliktelser som er relevant for virksomheten, se artikkel 24-43 i personvernforordningen
  4. organisering av virksomheten der intern delegering av ansvar og myndighet skal være entydig definert, se spesielt artikkel 24, 26, 28, 32, 37-39.
  5. beskrivelse av hvordan virksomheten ivaretar informasjonssikkerheten. Se artikkel 32-34.
  6. beskrivelse av hvordan ledelsen vil sørge for at virksomhetens aktiviteter er i samsvar med kravene i regelverket. En slik beskrivelse vil normalt ende opp i behov for gjennomførende dokumentasjon og kontrollerende dokumentasjon.

Eksempler på dokumentasjon

  • Styringsdokument internkontroll
  • Sikkerhetsmål og sikkerhetsstrategi
  • Rutine for ledelsens gjennomgang
  • Organisering

Gjennomførende dokumentasjon

Gjennomførende dokumentasjon beskriver de organisatoriske og tekniske tiltak som er foreslått som følge av at virksomheten har vurdert risiko for rettigheter og friheter, for eksempel tiltak for å ivareta ulike rettigheter for de registrerte, tiltak for innebygd personvern, og tiltak for å oppnå tilstrekkelig informasjonssikkerhet.

Det er spesielt viktig å entydig definere hvem som har ansvaret for hva. Gjennomførende dokumentasjon vil i volum ofte utgjøre den største delen av internkontrollsystemet.

Gjennomførende dokumentasjon bør inneholde:

  1. rutiner og prosedyrer
  2. arbeidsinstrukser

Gjennomførende dokumentasjon er et knippe av mekanismer som skal sikre at aktiviteten i virksomheten samsvarer med virksomhetens definerte mål og retningslinjer for personvern og reglene for øvrig. I forhold til ansatte i virksomheten kan gjennomførende dokumentasjon være et sett med interne kjøreregler som sikrer at virksomheten ikke begår lovbrudd med noen av sine aktiviteter.

Eksempler på dokumentasjon

  • Rutiner for innhenting av samtykke, å gi informasjon og innsyn, å sørge for retting, sletting, begrenset behandling, gi adgang til å protestere, dataportabilitet, at automatiserte avgjørelser er lovlig og ivaretagelse av særskilte rettigheter for beskyttelse av barns personvern.
  • Risikovurdering
  • Beskrivelse av informasjonssystem
  • Sikkerhetstiltak, for eksempel tilgangskontroll, logging, informasjonshåndteringsrutine, sjekkliste for nyansatte, sjekkliste for ansatte som slutter, taushetserklæring
  • Fysisk sikring
  • Driftsrutiner
  • Beredskapsplan
  • Sikkerhetsinstrukser for brukere, ledere og sikkerhetsansvarlig

Kontrollerende dokumentasjon

Kontrollerende dokumentasjon er dokumenter som har til formål å verifisere at aktivitetene har foregått i samsvar med fastsatte rutiner og instrukser. Eksempler er rapporter, sjekklister og logg. Kontrollerende dokumentasjon kan betraktes som et «sikkerhetsnett» som bidrar til at styringsdokumentene følges og at eventuelle avvik lettere oppdages. Dokumentene skal ikke være statiske, men endre seg i tråd med virksomhetens utvikling og den rettslige utvikling.

Kontrollerende dokumentasjon bør inneholde:

  1. sjekklister
  2. skjema for avviksrapportering
  3. rapporter
  4. logg

Kontrollerende dokumentasjon består ofte av to deler: En del som brukes under interne revisjoner og en del som brukes i det daglige arbeidet. Skjema for avviksrapportering er for eksempel ment til bruk dersom det oppdages aktiviteter eller hendelser som ikke samsvarer med fastlagte rutiner og/eller instrukser, og brudd på personopplysningssikkerheten.

Det er et klart skille mellom gjennomførende og kontrollerende dokumentasjon. Det første skal sikre at aktivitetene er i samsvar med mål og retningslinjer. Det siste skal bidra til at avvik fra mål og retningslinjer oppdages og rettes.

Eksempler på dokumentasjon

  • Ledelsens gjennomgang
  • Avvikshåndtering
  • Egenkontroll
  • Sikkerhetsrevisjon
  • Oppfølging av databehandlere, inkludert sikkerhetsrevisjon

Vedlegg – maler og støtteverktøy

Her finner dere en oversikt over maler, eksempler og støtteverktøy som kan benyttes i arbeidet med å etablere internkontroll.