Informasjonssikkerhet og personvern i IKT-anskaffelser

Det er tett sammenheng mellom risikovurderinger, sikkerhetsbehov og anskaffelsesprosessen. Risikovurderinger danner grunnlag for de kravene til sikkerhet og behandling av personopplysninger som skal inn i konkurransegrunnlaget.

Publisert: 20. jun 2019, Sist endret: 25. aug 2020

Informasjonssikkerhet

er å sørge for at systemer og tjenester er tilstrekkeleg sikret slik at informasjon

  • ikke blir kjent for uvedkommende
  • ikke blir endret utilsiktet
  • er tilgjengelig ved behov

Hvordan får du oversikt over sikkerhetsbehovene dine?

Hvis du ønsker å kjøpe IT-tjenester, må du skaffe deg oversikt over hvilke sikkerhetsbehov disse tjenestene må oppfylle. Du må finne ut hva slags informasjon som vil bli behandlet i tjenesten, og vurdere behovet for informasjonssikkerhet knyttet til denne informasjonen. Vurderingen danner grunnlag for å finne ut om du må stille spesielle krav til leverandøren og/eller til måten informasjonen skal behandles på.

Du må kartlegge:

  • dine arbeidsprosesser
  • hva slags informasjon som behandles i arbeidsprosessene
  • hvilke sikkerhetsbehov du har knyttet til informasjonen

Dersom du skal sette ut driften av IT-systemer, eller kjøpe programvare som leveres via internett (skytjeneste), betyr det at du overlater dataene dine til leverandøren. Dersom løsningene det er snakk om inneholder personopplysninger, må du ta spesielle hensyn. 

Sammenheng mellom risikovurderinger og anskaffelsesprosessen

Figur om risikovurdering
 
 

Roller og ansvar

Virksomhetens øverste leder (direktøren) har det øverste ansvaret for informasjonssikkerheten i virksomheten.

Den som har ansvaret for tjenesten som skal settes ut kalles "behovshaver"  og er den nærmeste til å identifisere og vurdere behovet for for informasjonssikkerhet knyttet til tjenesten. Behovshaver har ansvaret for å formidle behovene for informasjonssikkerhet til deg som skal gjennomføre anskaffelsen, slik at de blir en del av konkurransegrunnlaget.

Den som er fagansvarlig for informasjonssikkerhet i virksomheten kan bistå i vurderingene av hvilke krav du bør stille til informasjonssikkerhet. Alle offentlige virksomheter skal ha et styringssystem for informasjonssikkerhet. Det er ledelsens ansvar å sørge for at det finnes en fagansvarlig for informasjonssikkerhet.

Risikovurdering

Risiko er kombinasjonen av sannsynlighet for at en hendelse vil inntreffe og konsekvensen dersom den inntreffer. Det er ulike måter å håndtere risiko på:

  1. unngå,
  2. dele,
  3. redusere, og/eller
  4. akseptere.

Når du skal utarbeide krav til informasjonssikkerhet må du først gjøre en risikovurdering. Å styre risiko på informasjonssikkerhetsområdet er å vurdere sannsynlighet for og konsekvens av  informasjonssikkerhetsbrudd og håndtere denne risikoen. Å håndtere en risiko kan være å sette i verk tiltak for å gjøre det mindre sannsynlig at en hendelse inntreffer (forebygging), og tiltak for hvordan man skal håndtere det dersom en uønsket hendelse inntreffer (beredskap).

I en IT-anskaffelse vil det å stille sikkerhetskrav være en viktig måte å håndtere risiko på. Sikkerhetskravene formuleres og følges opp gjennom anskaffelsesprosessen på samme måte som andre typer krav. Man vil aldri kunne fjerne all risiko. Risikohåndtering handler om å fjerne risiko det er hensiktsmessig eller mulig å fjerne (basert på vurdering av sannsynlighet, konsekvens og kostnad) og så vurdere om man kan akseptere - og håndtere - den restrisikoen som gjenstår. 

Å gjennomføre en risikovurdering innebærer å

  1. identifisere relevante risikoer
  2. analysere hver enkelt av dem, og estimere størrelsen på konsekvens, tilhørende sannsynlighet og fastsette risikonivå
  3. evaluere om risikoene kan aksepteres som de er, eller om de trenger mer håndtering.

Se hvordan du kan gjennomføre risikovurdering i Digitaliseringsdirektoratets veileder om internkontroll og informasjonssikkerhet.

 

 

Generelle sikkerhetskrav

Eksempler på generelle sikkerhetskrav kan være:

  • krav til fysisk sikring av datasenter/datarom der løsningen driftes
  • krav til teknisk sikkerhet i selve løsningen
  • krav om tilgangsstyring hos kunde og leverandør
  • krav til håndtering av data
  • krav til sikkerhetstesting, endringshåndtering og rutiner for å håndtere uønskede hendelser
  • eventuelle krav som er koblet til typen data systemet skal behandle, for eksempel har Direktoratet for eHelse en egen norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Du må minimun sikre deg at:

  • systemet fungerer som det skal i henhold til spesifikasjonene dine
  • uvedkomne ikke kan få tilgang til informasjon som behandles i systemet.
  • informasjonen som behandles i systemet ikke kan endres eller går tapt.
  • informasjonen som behandles i systemet, er tilgjengelig for de som har behov for det

Statens standardavtaler inneholder også en del krav til informasjonssikkerhet som du bør vurdere opp mot behovet ditt. Kanskje noen av kravene allerede er dekket av standardbestemmelser i avtalen du skal bruke?

Dersom du skal anskaffe en skytjeneste, kan våre råd om krav til informasjonssikkerhet i skytjenester være nyttige for deg.

Behandling av personopplysninger

Alle som behandler personopplysninger må opptre i samsvar med personvernprinsippene, og det er viktig å kjenne til disse prisippene når du skal utvikle et system som skal behandle personopplysninger. Datatilsynet gir råd og veiledning for personvern.

Det er blant annet krav i personverlovgivningen (GDPR) knyttet til hvor leverandøren kan være plassert geografisk. Dersom leverandøren er lokalisert utenfor EØS-området gjelder det spesielle krav.

Databehandleravtale

Databehandleravtalen er et viktig styringsverktøy som sier hvordan leverandøren (som blir databehandler) behandler personopplysninger på vegne av din virksomhet (som er behandlingsansvarlig). Personvernforordningen (GDPR) stiller spesifikke krav om hvordan personopplysninger skal håndteres. Blant annet kreves det at du inngår en databehandleravtale med leverandører som behandler personopplysninger på din virksomhets vegne. Digitalseringsdirektoratet har utarbeidet en databehandleravtale som er egnet til enklere databehandlingsoppdrag: 
Digitaliseringsdirektoratets databehandleravtale.

Innebygd personvern

Innebygd personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Dette skal sørge for at informasjonssystemene oppfyller personvernprinsippene og at de registrertes rettigheter ivaretas. Personopplysningslovens artikkel 25 stiller krav til virksomheter om innebygd personvern. På Datatilsynets nettsider finner du de syv stegene til innebygd personvern, også kjent som "Privacy by Design - the 7 Foundational Principles".

De syv stegene til innebygd personvern:

1. Vær i forkant, forebygg fremfor å reparere.

2. Gjør personvern til standardinnstilling.

3. Bygg personvern inn i designet.

4. Skap full funksjonalitet.

5. Ivareta informasjonssikkerheten fra start til slutt.

6. Vis åpenhet.

7. Respekter brukerens personvern.

Dresom du skal anskaffe hyllevare bør du sjekke for hvordan dette håndteres i den aktuelle løsningen, for eksempel om de mest personvernvennligge innstillingene er standardinnstillinger. Dersom du skal få utviklet en skreddersydd løsning, er det lurt å ta utgangspunkt i Datatilsynets veileder om hvordan man går fram for å sikre innebygd personvern i et system eller en løsning: Programvareutvikling med innebygd personvern.

 

Deldette

Hjelp oss å lage bedre nettsider

Fant du det du lette etter?

Hjelp oss å lage bedre nettsider
*