Bli medlem
Glemt passord?
Artikkel, sist endret 31.07.08 10:30

5 Arbeid med informasjonssikkerhet

Del |

5.1. Kommunens ansvar 41

5.1.1. Oversikt over behandlinger av helse- og personopplysninger 41

5.2. Rutine for ”skjema på nett”. 42

5.3. Kommunen må dokumentere tilfredsstillende informasjonssikkerhet 42

5.4. Bruk av databehandler og databehandleravtale. 42

5.5. Informasjonsplikt til borgeren. 43

5.5.1. Informasjonsplikt når det innhentes opplysninger fra borger 43

5.5.2. Samtykke fra borger

Arbeid med informasjonssikkerhet er en aktivitet som må drives kontinuerlig i en kommune. Å planlegge og organisere arbeidet kan gjøre det både enklere og mer effektivt å sørge for tilfredsstillende informasjonssikkerhet i en kommune. I tillegg stilles det også flere lovkrav som kommuner må oppfylle, blant annet at må etableres sikkerhetsorganisasjon i samsvar med personopplysningsloven § 13.

5.1. Kommunens ansvar

Aktuelle referansekilder er blant annet:

- Veileder for kommuner og fylker, her er ”Del II” om ledelsens ansvar spesielt relevant

- Risikovurderinger

- Sikring av fødselsnummer

- Generelle plikter

- Kommuner og tilknytning til Norsk Helsenett

5.1.1. Oversikt over behandlinger av helse- og personopplysninger

5.1.1.1. Forvaltning av kommunens opplysninger og systemer

For mange virksomheter kan det være en utfordring å ha oversikt over hvilke behandlinger av helse- og personopplysninger som gjøres i forhold til formål, hjemmel, informasjonssystemer, etc. En slik samlet og oppdatert oversikt over alle behandlinger av helse- og personopplysninger i virksomheten, er et viktig styringsdokument for informasjonssikkerhet, og et praktisk redskap i det gjennomførende arbeidet. Dette vil også kunne være et viktig bidrag til den generelle internkontrollen i virksomheten på dette området.

5.1.1.2. Utforme oversikt over behandlinger og tilhørende formål

Det bør opprettes et oversiktsskjema for de ulike behandlingene av helse- og personopplysninger. Vedlagte skjema kan benyttes som et utgangspunkt og videre tilpasses den enkelte behandlingen av helse- og personopplysninger. Hvilke systemer som inngår i behandling av helse- og personopplysningene bør også inngå som den del av oversikten.

Et oversiktsskjema bør innholde følgende opplysninger:

- Formålet med behandlingen

- Kategori av helse- og personopplysninger

- Juridisk hjemmelsgrunnlag for behandlingen

- Angivelse av system/register/utstyr, og om det er elektronisk eller manuelt

- Beskrivelse av behandlingen av helse- og personopplysninger

- Om opplysningene er sensitive eller ikke-sensitive helse- og personopplysinger

- Konsesjonsplikt/meldeplikt/hjemmel for unntak

- Evt. partnere, databehandlere eller leverandører

- Internt ansvarlig for det enkelte system/register/utstyr

5.2. Rutine for ”skjema på nett”

Det bør utarbeides enkle rutiner for ”skjema på nett” som sørger for tilfredsstillende informasjonssikkerhet for skjema som gjøres tilgjengelig på nett. Disse rutinene bør inngå i kommunens styringssystem for informasjonssikkerhet.

Rutinene bør sørge for at:

- Det ikke legges ut nye skjema på nett før det er vurdert at eksisterende løsninger ivaretar tilfredsstillende informasjonssikkerhet (for eksempel at kryptering er på plass for skjema som krever dette). Risikovurderinger skal foretas.

- Det føres oversikt over helse- og personopplysninger som behandles i virksomheten som kommer fra ulike skjema. Det bør angis hvilke systemer og hvilke opplysninger som behandles i de ulike systemene.

- Oversikt over partnere og leverandører skal dokumenteres. Virksomheten skal etablere klare ansvarsforhold mellom partnere og leverandører som beskrives i en særskilt avtale

- Konfigurasjonskart og beskrivelse av den IT-tekniske løsningen skal utarbeides. Løsningen skal baseres på valgt sikkerhetsstrategi og risikovurderinger

- Prosedyrer for informasjonsbehandlingen skal dokumenteres og innføres

5.3. Kommunen må dokumentere tilfredsstillende informasjonssikkerhet

Det er den enkeltes kommune sitt ansvar gjennom sin rolle som behandlingsansvarlig å påse tilfredsstillende informasjonssikkerhet rundt behandling av kommunens data. Dette inkluderer også ansvaret for at skjemaløsningene (og annen bruk av databehandlere) har etablert tilfredsstillende informasjonssikkerhet gjennom planlagte og systematiske tiltak.

Dokumentasjon
Kommunen skal ha dokumentasjon over de system som brukes til å behandle data i tilknytning til ”skjema på nett”

5.4. Bruk av databehandler og databehandleravtale

Personopplysningsloven § 15 (Databehandlerens rådighet over personopplysninger) sier blant annet at ”En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige”.

En databehandleravtale er en avtale mellom behandlingsansvarlig og databehandler (ekstern driftsenhet). En databehandler er en person eller virksomhet utenfor den databehandlingsansvarliges virksomhet. Databehandleren behandler opplysninger på vegne av den databehandlingsansvarlige. Dette betyr at hvis et kommunens IT-systemer (alle eller noen) blir driftet av en ekstern driftsenhet, er denne eksterne driftsenheten en databehandler. Kommunen skal alltid ha en oversikt over alle eksterne driftsenheter som behandler opplysninger på vegne av kommunen.


Databehandler har et selvstendig ansvar for informasjonssikkerheten etter personopplysningsloven § 13 og personopplysningsforskriften § 2-15.

Her følger punkter som kan være aktuelle for krav til en databehandler og som bør fremgå av avtalen:

- Databehandler skal generelt tilfredsstille de krav som kommunen stiller til behandling av opplysninger.

- Beskriver krav til hvordan dataene skal håndteres av skjemaleverandøren. Dette gjelder blant annet forhold rundt oppbevaring, unødig lagring (jfr. personopplysningsloven § 28), sletting, lover/regler, sikkerhetskopiering etc.

- At databehandler ikke skal behandle opplysninger på annen måte enn det som er avtalt med behandlingsansvarlig.

- Hvis databehandler behandler opplysninger for flere kommuner skal databehandler ved hjelp av tekniske tiltak som ikke kan overstyres av brukerne ivareta at:

o det er etablert skiller mellom virksomhetene i henhold til gjennomført risikovurdering, dette både i database hvor data er lagret og i kommunikasjon

o ingen andre enn databehandleren, de som arbeider under databehandlerens instruksjonsmyndighet og virksomheten selv har tilgang til opplysningene

- Taushetserklæring

Figur 10: Databehandleravtale



5.5. Informasjonsplikt til borgeren

5.5.1. Informasjonsplikt når det innhentes opplysninger fra borger

Ved innhenting av opplysninger fra borger har en plikt til å informere innbyggeren om den datafangsten som skjer. Basiskravene er beskrevet i personopplysningsloven § 19 (”Informasjonsplikt når det samles inn opplysninger fra den registrerte”). § 19 beskriver at følgende må informeres om:

a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant,
b) formålet med behandlingen,
c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker,
d) det er frivillig å gi fra seg opplysningene, og
e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som f.eks. informasjon om retten til å kreve innsyn, jf. § 18, og retten til å kreve retting, jf. § 27 og § 28.

Det må altså klart fremgå for innbyggeren at det er kommunen som er behandlingsansvarlig. I tillegg til krav i § 19 kan følgende retningslinjer også brukes:

- Borgeren bør aktivt godkjenne personvernerklæringen før datafangsten kan avsluttes

- En må gi tilstrekkelig informasjon til innbyggeren til hvordan innsamlingen av data foregår og for eksempel fraråde innbyggeren å bruke Internettkafé-PC eller lignende når det sendes inn opplysninger (fare for ”keyloggere”, at data blir liggende igjen på en ”offentlig” PC etc.)

 

- Hvilke opplysninger som eventuelt lagres og eventuelt hvor lenge opplysningene lagres

 

5.5.2. Samtykke fra borger

I tillegg til den generelle informasjonsplikten mot borgeren beskrevet ovenfor kan det være aktuelt å be om særskilt samtykke fra borgeren i visse sammenhenger. Dette kan for eksempel være dersom skjemaløsningen har funksjonalitet for å innhente visse typer informasjon fra kommunens register for preutfylling av visse felter i et skjema.

Datatilsynet har følgende anbefalinger når det gjelder krav til samtykke [5]:

Samtykke til behandling av personopplysninger

Samtykke er et grunnprinsipp i loven. Virksomheter som ønsker å bruke personopplysninger må som hovedregel innhente samtykke før de starter behandlingen.

Krav til samtykket

Personopplysningsloven stiller krav til samtykket. Et samtykke skal være en frivillig, uttrykkelig og informert erklæring fra den opplysningene gjelder, om at hun eller han godtar behandling av opplysninger om seg selv.

Informert samtykke

Samtykket skal være informert. Den som skal registreres må få tilstrekkelig informasjon til å forstå hva samtykket gjelder og hvilke konsekvenser det kan få. Informasjonen til den registrerte skal minst omfatte:

  • navn og adresse på den behandlingsansvarlige

  • hva opplysningene skal brukes til

  • om opplysningene vil bli utlevert til andre, og eventuelt hvem som er mottaker

  • om det er frivillig å gi fra seg opplysningene

  • informasjon som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig måte, som f.eks. om retten til å kreve innsyn, retting og sletting

  • hvor lenge personopplysningene vil bli behandlet eller oppbevart

Frivillig samtykke

Et frivillig samtykke er et samtykke som ikke er avgitt under tvang, verken fra den behandlingsansvarlige eller fra andre. Det er ikke alltid lett å se om samtykket er frivillig. Eksempler på dette kan være når en virksomhet stiller et samtykke som vilkår for å tilby en eller annen tjeneste eller for å ansette en person. Vil man ha jobben eller forsikringen, må man samtykke. Spørsmålet om samtykket er frivillig eller ikke må avgjøres konkret i det enkelte tilfelle: Hva spørres det etter? Hvor belastende vil et samtykke være? Er konsekvensene uforholdsmessige om man ikke samtykker?

Uttrykkelig samtykke

Samtykket skal være uttrykkelig. Når virksomheten ønsker å behandle opplysninger om en person, må personen foreta seg noe aktivt for å samtykke, som å sende inn en svarslipp eller liknende.

Hvordan skal samtykket gis

Den som skal registreres kan samtykke muntlig eller skriftlig, elektronisk eller på papir. Det må imidlertid gå klart og utvetydig fram:

  • at den registrerte samtykker hvilke behandlinger samtykket omfatter hvilke behandlingsansvarlige samtykket rettes til Den behandlingsansvarlige skal kunne sannsynliggjøre at samtykket er gitt. Dette er lettere dersom samtykket er gitt skriftlig




Nedenfor vises det et eksempel på hvordan brukeren kan presenteres for tre ulike valg for samtykke og som resulterer i tre ulike måter for informasjonshåndtering.

Figur 11: Eksempel på tre ulike valg for samtykke som kan presenteres brukeren (eksempel fra Asker kommune)

Sist publisert innen sikkerhet for tjenester på nett, innbyggerdialog og elektroniske tjenester og sikkerhet

  1. Web-TV: Suksessfulle IT-prosjekter i Asker

    (Artikkel, 05.10.2011)

  2. Web-TV: Informasjonshåndtering

    (Artikkel, 19.09.2011)

  3. Ny veileder i sikkerhetsarkitektur

    (Artikkel, 30.08.2011)

  4. Web-TV: Selvbetjeningsløsninger

    (Artikkel, 13.07.2011)

  5. Nasjonal helseportal

    (Artikkel, 16.06.2011)
  6. Flere aktuelle saker kategorisert under sikkerhet for tjenester på nett, innbyggerdialog og elektroniske tjenester og sikkerhet (94)

© KS - kommunesektorens interesse- og arbeidsgiverorganisasjon Alt innhold er beskyttet under lov om opphavsrett. Ved bruk av materiale skal kilde oppgis. Internettredaktør: Line Richardsen