Informasjonssikkerhet og personvern i IKT-anskaffelser

Risikovurderinger danner grunnlag for kravene til sikkerhet som skal tas inn i konkurransegrunnlaget.

 

Schrems II-dommen: Privacy Shield-avtalen mellom USA og EU/EØS er opphevet.

Kan vi fortsette å overføre personopplysninger til land utenfor EU/EØS, såkalte tredjeland?

Om Schrems II-dommen

Dommen handlet i utgangspunktet om Facebook kunne overføre personopplysninger om brukere i Europa til USA. Men dommen sier også noe generelt om overføring av personopplysninger til tredjeland. EU-domstolen kom frem til at Privacy Shield ikke lenger er gyldig som overføringsgrunnlag. Det finnes fremdeles andre gyldige overføringsgrunnlag, men domstolen sa at slike grunnlag ikke er tilstrekkelig i seg selv. Mer om dommen finner du her: Privacy Shield-avtalen mellom USA og EU/EØS er opphevet | Datatilsynet

EU-domstolens tilleggskrav

Hvis man skal overføre personopplysninger til et land utenfor EØS, må dataeksportøren ha et overføringsgrunnlag samt oppfylle tilleggskravene som EU-domstolen har satt.

Som dataeksportøren må du sikre at beskyttelsesnivået som oppnås i praksis, faktisk er tilsvarende som i EU/EØS. Det er særlig viktig å undersøke om det finnes overvåkingslover eller andre lover som gir myndighetene i tredjeland uforholdsmessig stor adgang til dataene, samt om den registrertes rettigheter vil ivaretas i praksis.

Godkjente tredjeland

EU-kommisjonen har godkjent en rekke tredjeland som du kan overføre personopplysninger til uten å tenke på EU-domstolens tilleggskrav. Listen over godkjente tredjeland finner du her: Adequacy decisions | European Commission (europa.eu)

Hvordan går jeg fram hvis jeg vil overføre personopplysninger til tredjeland?

Undersøk om det finnes forhold som gjør at beskyttelsesnivået som overføringsgrunnlaget er ment å sikre, ikke vil realiseres i praksis.

Det er viktig å undersøke om dataimportør eller underleverandører er underlagt lover og regler som er i strid med importørens forpliktelser etter overføringsgrunnlaget eller som på annen måte reduserer beskyttelsesnivået

Dersom du kommer til at det er forhold som gjør at beskyttelsesnivået ikke vil være tilsvarende som i EU/EØS, må du iverksette ytterligere tiltak som i praksis sikrer et tilsvarende beskyttelsesnivå.

Dersom det ikke finnes slike tiltak, eller du ikke er i stand til å iverksette slik tiltak, kan du ikke overføre personopplysninger.

Dersom du ikke er i stand til å sikre at beskyttelsesnivået vil være tilsvarende som i EU/EØS, så kan du ikke overføre personopplysninger.

 

Husk at fjerntilgang er også overføring

All tilgang til personopplysninger fra tredjeland er å anse som overføring selv om opplysningene er innenfor EØS.

Dersom brukerstøtte ytes fra tredjeland i et system hvor personopplysninger lagres og behandles innenfor EØS, så er det overføring til tredjeland.

 

Ytterligere tiltak

Det Europeiske personvernrådet (EDPB) har laget en veileder for hvilke tiltak som kan iverksettes for å øke beskyttelsen av personopplysninger i tredjeland. EDPBs veileder.

EDPB har oppsummert personvernrettighetene i fire sentrale garantier for lovlig behandling i tredjeland.

Garantiene er basert på de grunnleggende rettighetene til personvern og databeskyttelse som gjelder alle, uavhengig av nasjonalitet.

  • Guarantee A - Processing should be based on clear, precise and accessible rules (Behandlingen skal baseres på klare, presise og tilgjengelige lover og regler)
  • Guarantee B - Necessity and proportionality with regard to the legitimate objectives pursued need to be demonstrated (Nødvendighet og proporsjonalitet med hensyn til de legitime formål som følges, må dokumenteres)
  • Guarantee C - An independent oversight mechanism should exist (Det bør være en uavhengig tilsynsmyndighet)
  • Guarantee D - Effective remedies need to be available to the individual (Alle skal ha rett til å prøvet sine rettigheter, f.eks. for en domstol)

Dersom personopplysningene etter lovgivningen i tredjeland ikke er tilstrekkelig sikret, så skal det vurderes om kan gjøres tiltak som i praksis kan sikre behandlingen tilvarende som i EU/EØS.

 

EDPBs tiltaksliste

EDPBs tiltaksliste følger av Annex 2 til veilederen.

Organisatoriske tiltak

  • Etablere rutiner for å begrense den enkeltes tilgang til opplysningene
  • Regulere hvem som har ansvar for vurdering om utlevering av opplysninger skal skje, f.eks. utlevering til myndighetene.
  • Rapportering i organisasjonen som sikrer at uregelmessigheter ved behandlingen, innsynskrav og utleveringer rapporteres offentlig. 
  • Krav om at personopplysninger ikke skal videreføres/viderebehandles uten at underdatabehandler blir pålagt samme krav til organisatoriske tiltak.
  • Krav fra myndighetene skal rapporteres til behandlingsansvarlig, om ikke databehandleren er pålagt konfidensialitet om forholdet («gag order»).
  • Ved pålegg om utlevering fra myndighetene, så skal databehandleren søke å motsette seg utleveringen med alle mulige rettslige virkemidler for å forhindre utleveringen, og i tilfelle utlevering, minimere hva som utleveres av personopplysninger. Dette er noe de fleste store skyprodusenter praktiserer.
  • Personvernombudet involveres i alle saker om overføring til tredjeland, som bør gjøres både hos behandlingsansvarlig og databehandler, samt i saker om utlevering til myndighetene. 
  • Rutinemessig gjennomgang av rutiner og hvordan disse fungerer

Kontraktuelle tiltak

  • Databehandler forplikter seg til bestemte tekniske foranstaltninger i tillegg til de som ellers er avtalt og som følger av lovverket
  • Databehandlere skal informere om myndighetenes krav om tilgang til opplysningene, samt om utlevering, dersom databehandler har anledning til dette. Databehandler skal bekrefte på forespørsel om at det ikke er utlevert opplysninger til myndighetene
  • Databehandler skal gi informasjon om denne er underlagt lovgivning om å utlevere opplysninger til myndighetene, og om dennes erfaringer med krav om og tilgang til opplysninger fra myndighetene. Databehandler skal også informere om endringer av regelverk som pålegger overvåking mv. og som databehandler er underlagt
  • Databehandler skal forplikte seg til å forhindre at det foreligger bakdører eller tilsvarende som gir tilgang til databehandlerens systemer for f.eks. myndighetene, og at systemet ikke er tilrettelagt for tilgang til personopplysninger uautorisert, samt at krypteringsnøkler oppbevares sikkert og ikke tilgjengelig for myndighetene
  • Databehandler skal gi rett til tilsyn og revisjon fra behandlingsansvarlig samt tilgang til logger og annet som kan vise tilgang til opplysningene av myndighetene
  • Databehandleren skal benytte rettslige midler for å avvise kravet fra myndighetene, herunder informere myndighetene om at utlevering av personopplysningene er et brudd på GDPR, samt å informere behandlingsansvarlig
  • Databehandler skal være forpliktet til å innhente samtykke fra den registrerte i saker hvor vedkommendes personopplysninger vil eksponeres for databehandler (f.eks. ved brukerstøtte)
  • Databehandler skal bistå med å hjelpe den registrerte til å ivareta sine rettigheter

De kontraktuelle tiltakene kan tas inn i databehandleravtalen mellom behandlingsansvarlig og databehandler.

Nye standard kontraktsbestemmelser (SCC)

EU-kommisjonen har kommet med utkast til nye standard kontraktsbestemmelser for å bedre personvernet ved overføring til tredjeland. Når de nye SCCene blir vedtatt vil det være en overgangsperiode på ett år. Når de nye SCCene er vedtatt så skal disse benyttes når det inngås nye avtaler om overføring. Mer om utkastet til nye SCC | European Commision.

De nye SCCene dekker også kravene til databehandleravtale etter GDPR artikkel 28. Dette betyr at de nye SCCene står på egne ben som databehandleravtale slik at det ikke er nødvendig med både databehandleravtale og SCC. Dersom det inngås en databehandleravtale i tillegg til SCC, går SCC foran databehandleravtalen.

De nye SCCene går foran eventuell annen databehandleravtale, så vil det medføre at lovreguleringen i SCC skal gjelde, slik at databehandler i tredjeland ikke kan kreve at sin egen lovgivning skal gjelde.

Tekniske tiltak

Kryptering

  • ... skal være tilstrekkelig sterk og robust mot dekrypteringsløsninger og andre forsøk på å knekke krypteringen
  • ... må hensynta den periode krypteringen skal anvendes for
  • ... må være tilstrekkelig godt implementert av tilstrekkelig vedlikeholdte krypteringsløsninger.
  • Krypteringsnøklene skal oppbevares innenfor behandlingsansvarliges kontroll i EU/EØS-området eller andre som er under behandlingsansvarliges kontroll også innenfor EU/EØS-området.

Pseudonymisering

  • ... skal være tilstrekkelig til at det ikke er mulig å tilbakeføre personopplysningene til en fysisk person
  • Koblingen mellom opplysningene i tredjeland og hvem opplysningene knytter seg til må oppbevares innenfor EU/EØS og ikke tilgjengelig for databehandler eller andre utenfor EU/EØS-området.
  • Koblingen må sikres av tilstrekkelige informasjonssikkerhetstiltak ved oppbevaringen innenfor EU/EØS-området.

Splitte behandlingen

  • Det kan benyttes flere leverandører, f.eks. en databehandler innenfor EU/EØS, og en i et tredjeland. Det kan også være et tiltak at hver av databehandlerne behandler kun deler av opplysningene, slik at ikke en databehandler har tilgang til den samlede mengde personopplysninger.
Informasjonssikkerhet

er å sørge for at systemer og tjenester er tilstrekkeleg sikret slik at informasjon

  • ikke blir kjent for uvedkommende
  • ikke blir endret utilsiktet
  • er tilgjengelig ved behov

Hvordan får du oversikt over sikkerhetsbehovene dine?

Hvis du ønsker å kjøpe IT-tjenester, må du skaffe deg oversikt over hvilke sikkerhetsbehov disse tjenestene må oppfylle. Du må finne ut hva slags informasjon som vil bli behandlet i tjenesten, og vurdere behovet for informasjonssikkerhet knyttet til denne informasjonen. Vurderingen danner grunnlag for å finne ut om du må stille spesielle krav til leverandøren og/eller til måten informasjonen skal behandles på.

Du må kartlegge:

  • dine arbeidsprosesser
  • hva slags informasjon som behandles i arbeidsprosessene
  • hvilke sikkerhetsbehov du har knyttet til informasjonen

Dersom du skal sette ut driften av IT-systemer, eller kjøpe programvare som leveres via internett (skytjeneste), betyr det at du overlater dataene dine til leverandøren. Dersom løsningene det er snakk om inneholder personopplysninger, må du ta spesielle hensyn. 

Sammenheng mellom risikovurderinger og anskaffelsesprosessen

Figur om risikovurdering
Roller og ansvar

Toppleder. Virksomhetens øverste leder har det ansvaret for informasjonssikkerheten i virksomheten.

Systemeier/behovshaver. Ansvarlig for at sikkerhetsmessige behov blir identifisert, og at det blir stilt tilstrekkelige sikkerhetsmessige krav til informasjonssystemer som skal anskaffes eller utvikles. Dette inkluderer ansvaret for at det blir gjennomført tilstrekkelige risikovurderinger. Har ansvaret for å formidle behovene for informasjonssikkerhet til deg som skal gjennomføre anskaffelsen, slik at de blir en del av konkurransegrunnlaget.

Fagansvarlig informasjonssikkerhet. Støtter virksomhetsledelsen i arbeidet med informasjonssikkerhet. Pådriver og tilrettelegger for etablering og gjennomføring av virksomhetens samlede internkontroll innen informasjonssikkerhet. Bistår i vurderingene av hvilke krav du bør stille til informasjonssikkerhet. Alle offentlige virksomheter skal ha styringssystem for informasjonssikkerhet. Det er ledelsens ansvar å sørge for at det finnes en fagansvarlig for informasjonssikkerhet.

Personvernombud. Skal informere og gi råd om de forpliktelsene virksomheten har etter personvernlovgivningen. Skal kontrollere overholdelsen av personvernlovgivningen og andre relevante regelverk med personvernbestemmelser.

Risikovurdering

Risiko er kombinasjonen av sannsynlighet for at en hendelse vil inntreffe og konsekvensen dersom den inntreffer. Det er ulike måter å håndtere risiko på:

  1. unngå,
  2. dele,
  3. redusere, og/eller
  4. akseptere.

Når du skal utarbeide krav til informasjonssikkerhet må du først gjøre en risikovurdering. Å styre risiko på informasjonssikkerhetsområdet er å vurdere sannsynlighet for og konsekvens av  informasjonssikkerhetsbrudd og håndtere denne risikoen. Å håndtere en risiko kan være å sette i verk tiltak for å gjøre det mindre sannsynlig at en hendelse inntreffer (forebygging), og tiltak for hvordan man skal håndtere det dersom en uønsket hendelse inntreffer (beredskap).

I en IT-anskaffelse vil det å stille sikkerhetskrav være en viktig måte å håndtere risiko på. Sikkerhetskravene formuleres og følges opp gjennom anskaffelsesprosessen på samme måte som andre typer krav. Man vil aldri kunne fjerne all risiko. Risikohåndtering handler om å fjerne risiko det er hensiktsmessig eller mulig å fjerne (basert på vurdering av sannsynlighet, konsekvens og kostnad) og så vurdere om man kan akseptere - og håndtere - den restrisikoen som gjenstår. 

Å gjennomføre en risikovurdering innebærer å

  1. identifisere relevante risikoer
  2. analysere hver enkelt av dem, og estimere størrelsen på konsekvens, tilhørende sannsynlighet og fastsette risikonivå
  3. evaluere om risikoene kan aksepteres som de er, eller om de trenger mer håndtering.

Se hvordan du kan gjennomføre risikovurdering i Digitaliseringsdirektoratets veileder om internkontroll og informasjonssikkerhet.

 

 

Generelle sikkerhetskrav

Eksempler på generelle sikkerhetskrav kan være:

  • krav til fysisk sikring av datasenter/datarom der løsningen driftes
  • krav til teknisk sikkerhet i selve løsningen
  • krav om tilgangsstyring hos kunde og leverandør
  • krav til håndtering av data
  • krav til sikkerhetstesting, endringshåndtering og rutiner for å håndtere uønskede hendelser
  • eventuelle krav som er koblet til typen data systemet skal behandle, for eksempel har Direktoratet for eHelse en egen norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Du må minimun sikre deg at:

  • systemet fungerer som det skal i henhold til spesifikasjonene dine
  • uvedkomne ikke kan få tilgang til informasjon som behandles i systemet.
  • informasjonen som behandles i systemet ikke kan endres eller går tapt.
  • informasjonen som behandles i systemet, er tilgjengelig for de som har behov for det

Statens standardavtaler inneholder også en del krav til informasjonssikkerhet som du bør vurdere opp mot behovet ditt. Kanskje noen av kravene allerede er dekket av standardbestemmelser i avtalen du skal bruke?

Dersom du skal anskaffe en skytjeneste, kan våre råd om krav til informasjonssikkerhet i skytjenester være nyttige for deg.

Behandling av personopplysninger

Alle som behandler personopplysninger må opptre i samsvar med personvernprinsippene, og det er viktig å kjenne til disse prisippene når du skal utvikle et system som skal behandle personopplysninger. Datatilsynet gir råd og veiledning for personvern.

Det er blant annet krav i personverlovgivningen (GDPR) knyttet til hvor leverandøren kan være plassert geografisk. Dersom leverandøren er lokalisert utenfor EØS-området gjelder det spesielle krav.

Databehandleravtale

Databehandleravtalen er et viktig styringsverktøy som sier hvordan leverandøren (som blir databehandler) behandler personopplysninger på vegne av din virksomhet (som er behandlingsansvarlig). Personvernforordningen (GDPR) stiller spesifikke krav om hvordan personopplysninger skal håndteres. Blant annet kreves det at du inngår en databehandleravtale med leverandører som behandler personopplysninger på din virksomhets vegne. Digitalseringsdirektoratet har utarbeidet en databehandleravtale som er egnet til enklere databehandlingsoppdrag: 
Digitaliseringsdirektoratets databehandleravtale.

Innebygd personvern

Innebygd personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Dette skal sørge for at informasjonssystemene oppfyller personvernprinsippene og at de registrertes rettigheter ivaretas. Personopplysningslovens artikkel 25 stiller krav til virksomheter om innebygd personvern. På Datatilsynets nettsider finner du de syv stegene til innebygd personvern, også kjent som "Privacy by Design - the 7 Foundational Principles".

De syv stegene til innebygd personvern:

1. Vær i forkant, forebygg fremfor å reparere.

2. Gjør personvern til standardinnstilling.

3. Bygg personvern inn i designet.

4. Skap full funksjonalitet.

5. Ivareta informasjonssikkerheten fra start til slutt.

6. Vis åpenhet.

7. Respekter brukerens personvern.

Dersom du skal anskaffe hyllevare bør du sjekke for hvordan dette håndteres i den aktuelle løsningen, for eksempel om de mest personvernvennligge innstillingene er standardinnstillinger. Dersom du skal få utviklet en skreddersydd løsning, er det lurt å ta utgangspunkt i Datatilsynets veileder om hvordan man går fram for å sikre innebygd personvern i et system eller en løsning: Programvareutvikling med innebygd personvern.

Maler (også kontrakt- og avtalemaler)

Oppdatert: 21. juni 2021

Fant du det du lette etter

Det beklager vi!

Hva lette du etter? Bruk gjerne stikkord