Krav
Det stilles krav til personvern og informasjonssikkerhet i sluttproduktet. Kravene skal inn som en del av prosjektplanen.
Målgruppen for denne fasen er alle som er involvert i utviklingen eller som har eierskap til programvaren som kravstiller, produkteier, kunde/bestiller, prosjektleder, utvikler, arkitekt, tester. Personvernombud og sikkerhetsrådgiver bør også bidra i prosessen.
Når personvern- og sikkerhetskrav, toleransenivåer, personvernkonsekvenser og sikkerhetsrisikoer avdekkes tidlig, vet utviklingsteamet hvilke krav de må forholde seg til. De kan da håndtere risiko knyttet til personvern og informasjonssikkerhet i hele utviklingsløpet.
Personvern- og sikkerhetskrav
For å sette riktige krav er det viktig å vite hva slags typer personopplysninger som skal behandles i programvaren, hvilke slutninger som kan trekkes om individer på bakgrunn av informasjon som behandles, hvem som er bruker og eier av opplysningene, hvem som defineres som behandlingsansvarlig, og eventuelt hvem som er databehandler eller mottakere av personopplysningene. Dette er nødvendig for å vite hvilke lover, regler, retningslinjer og normer som er relevante for programvaren som utvikles. Disse legger føringer for kravene som må stilles til programvaren.
Relevante personvern- og sikkerhetskrav finnes i personopplysningsloven, virksomhetens rutiner og retningslinjer for personvern og informasjonssikkerhet, ulike sikkerhetsstandarder, atferdsnormer (bransjenormer) eller andre relevante lovverk og føringer knyttet til sektoren. Virksomheten må selv avgjøre hvilke krav som er relevante for sin virksomhet, for programvaren som utvikles og sammenheng sluttproduktet skal brukes i. Personvernkrav og sikkerhetskrav bør formuleres i en sjekkliste som integreres i prosjektplanen og følges opp gjennom hele utviklingsløpet.
Må oppfylle grunnleggende personvernprinsipper
De viktigste kravene til en programvare med innebygd personvern er at de grunnleggende prinsippene for behandling av personopplysninger er oppfylt. Behandlingen skal ha et rettslig grunnlag (for eksempel samtykke, lovhjemmel, avtale), skal gjøres for bestemte formål og det skal kun innhentes opplysninger som er nødvendig for at programvaren skal fungere slik det er tenkt.
Med «nødvendig» mener vi at dere må vurdere mengde, omfang, lagringstid og tilgjengelighet knyttet til personopplysninger. For eksempel bør dere vurdere hvor detaljerte opplysninger det er behov for, om det er nødvendig med historikk, hvor lenge opplysningene må lagres, om automatiske sletterutiner kan gjennomføres, hvor opplysningene skal lagres, og hvem som skal ha tilgang til opplysningene og fra hvor.
Tydelig informasjon og god sikring
Klar og tydelig informasjon om hvordan personopplysningene brukes er grunnleggende for å ivareta brukerens personvern. Programvaren må gjøre det enkelt for den registrerte å ivareta sine rettigheter som for eksempel:
- innsyn
- informasjon
- korrigering
- begrensning
- dataportabilitet
Dette kan for eksempel løses med en innloggingsportal som gir oversikt over hvilke opplysninger som er registrert, informasjon om rettigheter og hjelpeskjema for å komme med innsigelser eller korrigeringer med videre.
Virksomheten skal ivareta personopplysningenes sikkerhet under innsamling, lagring, bearbeiding, visning, kommunikasjon, og sletting. Kryptering og tilgangsstyring er eksempler på tiltak som kan bidra til å ivareta sikkerheten.
Sikkerhetskravene til programvaren bestemmes ved å identifisere hvilken risiko programvaren kan være utsatt for og hvilken risiko virksomheten er villig til å ta. Dette legger føringer for valg av relevante og riktige tiltak for den enkeltes virksomhet og for programvaren. Vi anbefaler å bruke Datatilsynets sjekklister og anerkjente standarder for informasjonssikkerhet i utvelgelsen av relevante tiltak.
Generiske eksempler med forslag til tiltak:
The ISF Standard of Good Practice for Information Security SoGP (www.securityforum.org)
Definere toleransenivå for risiko
Risikovurdering handler om å identifisere konsekvenser ved ulike hendelser eller scenarier, og vurdere hvor sannsynlig eller lett en uønsket hendelse kan inntreffe. Det er virksomhetens ledelse som avgjør hvor stor risiko (risikoappetitt) virksomheten skal ta ved ulike scenarier. Dette kalles toleransenivå for risiko. Toleransenivå gir føringer for hvilke tiltak og ressurser som må settes inn for at programvaren ikke skal overskride det definerte toleransenivået.
Når det gjelder sikkerhet defineres toleransenivå for risiko enkeltvis for ulike «sikkerhetskategorier». Eksempler på sikkerhetskategorier kan være:
- utilsiktet endring av personopplysninger
- uautorisert utlevering av personopplysninger
- manglende tilgjengelighet som kan ha betydning for liv og helse
Når det gjelder personvern defineres toleransenivå for risiko enkeltvis for ulike «personvernscenarier». Eksempler på personvernscenarier kan være:
- at den registrerte ikke lenger har kontroll over sine personopplysninger
- at den registrerte utsettes for diskriminering på grunn av profilering gjort av programvaren
- at en person reidentifiseres av opplysninger som er blitt anonymisert
Noen sikkerhetskategorier og personvernscenarier vil ha nulltoleranse for risiko, mens for andre sikkerhetskategorier og personvernscenarier kan virksomheten bestemme seg for å ta en viss risiko. Ledelsen må sette akseptabelt toleransenivå, det vil si risikoappetitt, for henholdsvis personvern og sikkerhet.
Virksomhetens risikoappetitt dokumenteres ved å sette toleransenivå for ulike kategorier eller scenarier på personvern og sikkerhet, ofte i en hjelpetabell som kan gjenbrukes i andre risikovurderinger.
Vurdering av sikkerhetsrisiko
Personvernregelverket definerer personopplysninger som en verdi. En risikovurdering begynner med en kartlegging av verdier som bør sikres.
Det bør gjøres en trusselvurdering av hvilke aktører som kan være interessert i verdiene og hvilke angrepsvektorer de ulike trusselaktørene benytter. Deretter gjøres en vurdering av om verdiene er sårbare for de gitte truslene. Standarder for informasjonssikkerhet kan bidra til å avdekke sårbarheter og dermed også krav som må stilles til personvern og sikkerhet.
Resultatet av risikovurderingen vurderes opp mot toleransenivå for sikkerhet. Dersom risikonivået er høyere enn fastlagt nivå for akseptabel risiko, skal det iverksettes tiltak for å redusere risikoen. Det må også fastsettes hvem som er ansvarlig for tiltaket og settes en frist for implementering.
Vurdering av personvernkonsekvenser
Målet med å gjøre en vurdering av personvernkonsekvenser er å sikre at programvaren ivaretar den registrertes grunnleggende rettigheter - for eksempel at behandlingen er lovlig, rettferdig, og forutsigbar. For noen behandlinger av personopplysninger har den som er ansvarlig for behandlingen plikt til å utrede personvernkonsekvenser:
- Ved systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser.
- Ved behandling av sensitive personopplysninger i stort omfang.
- Ved systematisk overvåking av offentlig område i stort omfang.
Er dere i tvil anbefaler vi at dere utfører en vurdering av personvernkonsekvenser (DPIA). Vurderingen skal som minimum inneholde:
- En systematisk beskrivelse av behandlingen, formål, og eventuelt hvilken berettiget interesse den ivaretar.
- En vurdering av nødvendighet og forholdsmessighet, sett opp mot formålet.
- En vurdering av risikoen for rettigheter og friheter til registrerte.
- Hvilke tiltak som skal iverksettes for å redusere risikoen.
I tilfeller der risikoen for personvernkonsekvenser er høy, skal det implementeres tiltak for å redusere risikoen. Dersom risiko for personvernkonsekvenser fremdeles er høy etter at tiltakene er implementert, og de ikke kan reduseres, krever personvernregelverket at dere kontakter Datatilsynet for en forhåndsdrøftelse.
Les vår veiledning om når og hvordan en vurdering av personvernkonsekvenser kan gjennomføres