Krav om sikkerhet og personvern i anskaffelser av IT

Sikkerhet omfatter både teknisk sikkerhet og informasjonssikkerhet. Personvern dreier seg om å legge til rette for at alle du behandler personopplysningene til kan bestemme over egne personopplysninger.

Informasjonssikkerhet

er å sørge for at systemer og tjenester er tilstrekkeleg sikret slik at informasjon

  • ikke blir kjent for uvedkommende
  • ikke blir endret utilsiktet
  • er tilgjengelig ved behov

Hvordan får du oversikt over sikkerhetsbehovene dine?

Hvis du ønsker å kjøpe IT-tjenester, må du skaffe deg oversikt over hvilke sikkerhetsbehov disse tjenestene må oppfylle. Du må finne ut hva slags informasjon som vil bli behandlet i tjenesten, og vurdere behovet for informasjonssikkerhet knyttet til denne informasjonen. Vurderingen danner grunnlag for å finne ut om du må stille spesielle krav til leverandøren og/eller til måten informasjonen skal behandles på.

Du må kartlegge:

  • dine arbeidsprosesser
  • hva slags informasjon som behandles i arbeidsprosessene
  • hvilke sikkerhetsbehov du har knyttet til informasjonen

Dersom du skal sette ut driften av IT-systemer, eller kjøpe programvare som leveres via internett (skytjeneste), betyr det at du overlater dataene dine til leverandøren. Dersom løsningene det er snakk om inneholder personopplysninger, må du ta spesielle hensyn. 

Roller og ansvar

Toppleder. Virksomhetens øverste leder har det ansvaret for informasjonssikkerheten i virksomheten.

Systemeier/behovshaver. Ansvarlig for at sikkerhetsmessige behov blir identifisert, og at det blir stilt tilstrekkelige sikkerhetsmessige krav til informasjonssystemer som skal anskaffes eller utvikles. Dette inkluderer ansvaret for at det blir gjennomført tilstrekkelige risikovurderinger. Har ansvaret for å formidle behovene for informasjonssikkerhet til deg som skal gjennomføre anskaffelsen, slik at de blir en del av konkurransegrunnlaget.

Fagansvarlig informasjonssikkerhet. Støtter virksomhetsledelsen i arbeidet med informasjonssikkerhet. Pådriver og tilrettelegger for etablering og gjennomføring av virksomhetens samlede internkontroll innen informasjonssikkerhet. Bistår i vurderingene av hvilke krav du bør stille til informasjonssikkerhet. Alle offentlige virksomheter skal ha styringssystem for informasjonssikkerhet. Det er ledelsens ansvar å sørge for at det finnes en fagansvarlig for informasjonssikkerhet.

Personvernombud. Skal informere og gi råd om de forpliktelsene virksomheten har etter personvernlovgivningen. Skal kontrollere overholdelsen av personvernlovgivningen og andre relevante regelverk med personvernbestemmelser.

Risikovurdering

Risiko er kombinasjonen av sannsynlighet for at en hendelse vil inntreffe og konsekvensen dersom den inntreffer. Det er ulike måter å håndtere risiko på:

  1. unngå
  2. dele
  3. redusere og/eller
  4. akseptere

Når du skal utarbeide krav til informasjonssikkerhet, må du først gjøre en risikovurdering. Hvis anskaffelsen omfatter skjermingsverdig informasjon, må du ta hensyn til sikkerhetsloven.

Å styre risiko på informasjonssikkerhetsområdet er å vurdere sannsynlighet for og konsekvens av  informasjonssikkerhetsbrudd og håndtere denne risikoen. Å håndtere en risiko kan være å sette i verk tiltak for å gjøre det mindre sannsynlig at en hendelse inntreffer (forebygging), og tiltak for hvordan man skal håndtere det dersom en uønsket hendelse inntreffer (beredskap).

I en IT-anskaffelse vil det å stille sikkerhetskrav være en viktig måte å håndtere risiko på. Sikkerhetskravene formuleres og følges opp gjennom anskaffelsesprosessen på samme måte som andre typer krav. Man vil aldri kunne fjerne all risiko. Risikohåndtering handler om å fjerne risiko det er hensiktsmessig eller mulig å fjerne (basert på vurdering av sannsynlighet, konsekvens og kostnad) og så vurdere om man kan akseptere – og håndtere – den restrisikoen som gjenstår. 

Å gjennomføre en risikovurdering innebærer å

  1. identifisere relevante risikoer
  2. analysere hver enkelt av dem, og estimere størrelsen på konsekvens, tilhørende sannsynlighet og fastsette risikonivå
  3. evaluere om risikoene kan aksepteres som de er, eller om de trenger mer håndtering.

Se hvordan du kan gjennomføre risikovurdering i Digdirs veileder om internkontroll og informasjonssikkerhet.

Generelle sikkerhetskrav

Eksempler på generelle sikkerhetskrav kan være:

  • krav til fysisk sikring av datasenter/datarom der løsningen driftes
  • krav til teknisk sikkerhet i selve løsningen
  • krav om tilgangsstyring hos kunde og leverandør
  • krav til håndtering av data
  • krav til sikkerhetstesting, endringshåndtering og rutiner for å håndtere uønskede hendelser
  • eventuelle krav som er koblet til typen data systemet skal behandle, for eksempel har Direktoratet for eHelse en egen norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Du må minimum sikre deg at:

  • systemet fungerer som det skal i henhold til spesifikasjonene dine
  • uvedkomne ikke kan få tilgang til informasjon som behandles i systemet.
  • informasjonen som behandles i systemet ikke kan endres eller går tapt.
  • informasjonen som behandles i systemet, er tilgjengelig for de som har behov for det

Statens standardavtaler inneholder også en del krav til informasjonssikkerhet som du bør vurdere opp mot behovet ditt. Kanskje noen av kravene allerede er dekket av standardbestemmelser i avtalen du skal bruke?

Dersom du skal anskaffe en skytjeneste, kan våre råd om krav til informasjonssikkerhet i skytjenester være nyttige for deg.

Behandling av personopplysninger

Alle som behandler personopplysninger må opptre i samsvar med personvernprinsippene, og det er viktig å kjenne til disse prisippene når du skal utvikle et system som skal behandle personopplysninger. Datatilsynet gir råd og veiledning for personvern.

Det er blant annet krav i personverlovgivningen (GDPR) knyttet til hvor leverandøren kan være plassert geografisk. Dersom leverandøren er lokalisert utenfor EØS-området gjelder det spesielle krav.

Databehandleravtale

Databehandleravtalen er et viktig styringsverktøy som sier hvordan leverandøren (som blir databehandler) behandler personopplysninger på vegne av din virksomhet (som er behandlingsansvarlig). Personvernforordningen (GDPR) stiller spesifikke krav om hvordan personopplysninger skal håndteres. Blant annet kreves det at du inngår en databehandleravtale med leverandører som behandler personopplysninger på din virksomhets vegne. DFØ har utarbeidet en databehandleravtale som er egnet til enklere databehandlingsoppdrag.

Innebygd personvern

Innebygd personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Dette skal sørge for at informasjonssystemene oppfyller personvernprinsippene og at de registrertes rettigheter ivaretas. Personopplysningslovens artikkel 25 stiller krav til virksomheter om innebygd personvern. På Datatilsynets nettsider finner du de syv stegene til innebygd personvern, også kjent som "Privacy by Design – the 7 Foundational Principles".

De syv stegene til innebygd personvern:

1. Vær i forkant, forebygg fremfor å reparere.

2. Gjør personvern til standardinnstilling.

3. Bygg personvern inn i designet.

4. Skap full funksjonalitet.

5. Ivareta informasjonssikkerheten fra start til slutt.

6. Vis åpenhet.

7. Respekter brukerens personvern.

Dersom du skal anskaffe hyllevare bør du sjekke for hvordan dette håndteres i den aktuelle løsningen, for eksempel om de mest personvernvennlige innstillingene er standardinnstillinger. Dersom du skal få utviklet en skreddersydd løsning, er det lurt å ta utgangspunkt i Datatilsynets veileder om hvordan man går fram for å sikre innebygd personvern i et system eller en løsning: Programvareutvikling med innebygd personvern.

Oppdatert: 26. juni 2023

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.