Internkontroll og informasjonssikkerhet

En veiledning om internkontroll
og informasjonssikkerhet

DATATILSYNET Gateadresse: Tollbugata 3, Oslo | Postadresse: postboks 8177, dep 0034 Oslo
E-post: postkasse@datatilsynet.no | Telefon: 22 39 69 00 | Faks: 22 42 23 50

INTERNKONTROLL OG INFORMASJONSSIKKERHET

Forord
Informasjonssikkerhet og
internkontroll – et ledelsesansvar
Håndtering av opplysninger er i økende grad en del av forvaltes enorme mengder opplysninger som ikke er
samfunnets verdiskaping. Opplysninger samles inn, egnet for offentlighet. Det understreker behovet for å
bearbeides, analyseres og inngår som underlag for å ha klare rammer for hva som skal offentliggjøres og på
stadfeste status, rettigheter og plikter. Ulike opplysnin hvilken måte det skal skje. I praksis er det dessuten stor
ger kan omhandle enkeltpersoner, forretningsproses forskjell på aktiv publisering av opplysninger og det å
ser, produktutvikling, strategier og metoder. Felles for gi innsyn på begjæring.
alle opplysninger, er at det stilles varierende krav til
behandling og beskyttelse. Opplysninger som kan knyt Private virksomheter har ofte store utfordringer
tes til individet, skal behandles i samsvar med person når det kommer til ansvarsfordeling og kompliserte
opplysningsloven. organisasjonsstrukturer. Dette gjør ofte tilnærmingen
til regelverket tilsvarende vanskelig. Personopplysnin
Personvern kan ikke avgrenses til informasjonssikker ger kan ikke flyte fritt på tvers av virksomhetsgrensene,
het. Like viktig er det å ha en saklig grunn for å be selv om eier er den samme.
handle personopplysninger. Grunnlag for behandling
er normalt basert på lovhjemmel eller samtykke fra den Datatilsynet forventer ikke alltid at øverste leder har
registrerte. Uavhengig av grunnlaget har virksomheten inngående kunnskap om informasjonssikkerhet. Deri
plikt til å informere den registrerte om hvordan den mot forventes det at personopplysninger er sikret på en
har tenkt å behandle opplysningene. Det betyr at det forsvarlig måte, og at øverste leder ser etter at dette blir
må informeres om formål, rettigheter og lagringstid for gjort. I praksis betyr det å sørge for at virksomheten
opplysningene. På en måte, kan man si at dette inngår har oversikt over hvilke plikter som gjelder, hvordan
som en del av samfunnskontrakten. Ingen kan ta seg til opplysninger behandles og sikres, at alle rutiner knyttet
rette og gjøre hva man vil med opplysningene man for til dette er godkjent og blir fulgt opp av alle ansatte.
valter. Tvert imot skal de anvisninger og begrensninger Informasjonssikkerhet er ikke et mål i seg selv, men et
som kontrakten har satt opp, følges. middel for å oppnå tilfredsstillende kvalitet på virk
somhetens tjenester. Tillit er en skjør egenskap som
Virksomheter i offentlig sektor behandler ofte opp raskt kan bryte sammen. Bare hendelsen rammer noen
lysninger som trenger høy grad av beskyttelse. Det kraftig nok skal det lite til for å svekke tilliten. Og pro
ligger i oppgaven som tjenesteleverandør for blant blemet er at svekket tillit kan ramme hele sektoren og
annet vital infrastruktur samt helse og omsorg. Selv om den kan være vanskelig å gjenopprette.
det offentlige er underlagt offentlighetsloven, må det
vises utstrakt grad av edruelighet i praktiseringen. Det Publisert november 2009

FORORD side 3.


Innholdsfortegnelse

3.4 Støtteverktøy for gjennomføring av

1. Innledning krav i personopplysningsforskriften 12
side 6. 3.5 Kartlegge virksomhetens behandlinger 12
3.6 Undersøke om behandlingene er lovlige 14
1.1 Bakgrunn 06
3.6.1 Identifisere formål 14
1.2 Hensikten med dokumentet 06
3.6.2 Fastsette behandlingsgrunnlaget 14
1.3 Omfang og målgruppe for dokumentet 06 3.6.3 Vurdere om formål er
1.4 Forklaring til teksttyper 06 i samsvar med hjemmel 15
3.7 Beskrive overordnede rammer 15
3.8 Identifisere plikter 16

2. Bakgrunnskunnskap
side 7.

2.1
2.2
Krav til internkontroll
Hva er internkontroll?
07
07
4. Rutiner for internkontroll
side 17.

2.2.1 Ledelsen 07 4.1 Generelt om rutiner for internkontroll 17
2.2.2 Ansatte 08 4.2 Håndtering av samlede personopplysninger 17
2.2.3 Informasjonssikkerhet 08 4.2.1 Rutine for iverksettelse eller
2.3 Hva er personopplysningsloven ogforskriften? 08 opphør av behandling 17
2.4 Hva er personopplysninger og sensitive 4.2.2 Overholdelse av melde og
personopplysninger? 09 eventuell konsesjonsplikt 17
2.5 Dokumentasjon av internkontrollsystemet 09 4.2.3 Rutiner for sletting av personopplysninger 18
2.6 Oppdatering av internkontrollen 09 4.2.4 Rutiner for utlevering av
personopplysninger til andre 19
4.2.5 Rutiner for kvalitetssikring av
personopplysninger 19

3. Innledende oppgaver
for internkontroll
4.3 Rutiner relatert til person
4.3.1 Innhenting og kontroll av samtykke
19
19
side 11. 4.3.2 Oppfyllelse av plikt til informasjon ved
innsamling av personopplysninger 20
3.1 Skaff kunnskap 11 4.3.3 Rutiner for innsyn, retting og supplering 20
3.2 Virksomhetens leder er 4.3.4 Ivaretakelse av eventuell reservasjonsrett
behandlingsansvarlig 11 mot automatiserte avgjørelser 21
3.3 Prosjekt for innføring av internkontroll 12 4.3.5 Innsyn i privat epost og private filområder 21

side 4. INNHOLDSFORTEGNELSE


6.2 Rutiner for rapportering og forslag til tiltak 37

5. Informasjonssikkerhet
side 22
6.2.1 Læring og prosessforbedring
6.2.2 Avvikshåndtering, egenkontroll og forslag
til forbedring
37

37
5.1 Hva er informasjonssikkerhet? 22
5.2 Sikkerhetsmål og sikkerhetsstrategi 22

7.
5.2.1 Sikkerhetsmål 22
Brukeropplæring
5.2.2 Sikkerhetsstrategi 23 side 39
5.3 Ledelsens gjennomgang 23
5.4 Sikkerhetsorganisasjon 25 7.1. Opplæring i internkontroll og
informasjonssikkerhet 39
5.5 Akseptabelt risikonivå 25
7.2 Taushetserklæring 39
5.6 Gjennomføre risikovurdering 26
7.3 Personvernombud 39
5.6.1 Uønskede hendelser 26
5.6.2 Konsekvenser av uønskede hendelser 28
5.6.3 Overordnet vurdering av beskyttelsesbehov 28
5.6.4 Sannsynlighet for uønskede hendelser
5.7 Akseptabel risiko
28
31
8. Overføring av personopplysninger
til utlandet 40

5.8 Rutiner for informasjonssikkerhet 31
5.8.1 Konfigurasjonsstyring 31

9.
Kontroll med sikkerhet hos
5.8.2 Brukersikkerhet 31 partner/leverandør 41
5.8.3 Logging 32
5.9 Valg av sikkerhetstiltak 32
5.10 Gjennomføre sikkerhetstiltak 34
Vedlegg
side 42

6. Oppfølging Vedlegg 1 Definisjoner 42
side 35 Vedlegg 2 Oversikt over maler 43
Vedlegg 3 Sjekkliste for internkontroll 44
6.1 Avvikshåndtering og egenkontroll 35
6.1.1 Behandling av avvik 35
6.1.2 Egenkontroll av rutiner og tekniske tiltak 37

INNHOLDSFORTEGNELSE side 5.


1. Innledning

1.1 Bakgrunn 1.2 Hensikten med dokumentet
De fleste virksomheter behandler personopplysninger Dette dokumentet skal, på en enkel og oversiktlig
i en eller annen form. Dette innebærer at de må følge måte, veilede virksomheter gjennom arbeidet med å
personopplysningsloven og ha tilfredsstillende rutiner innføre internkontroll og informasjonssikkerhet slik
for både bruk og beskyttelse av disse opplysningene. at en oppnår en forsvarlig og sikker behandling av
Denne veilederen hjelper deg som er ansvarlig for personopplysninger.
virksomheten med å bygge opp internkontroll slik
at personopplysninger blir behandlet lovlig, sikkert
og forsvarlig. De tilhørende malene kan du fylle ut 1.3 Omfang og målgruppe
og endre slik at de til sammen utgjør virksomhetens for dokumentet
internkontroll.
Dette dokumentet er utarbeidet for et bredt spekter av
Behandling av personopplysninger medfører plikter virksomheter. Det finnes en egen forkortet utgave av
for virksomheten og rettigheter for den registrerte. denne veilederen tilpasset mindre virksomheter som
Ulike opplysninger og ulike formål medfører at ingen kun håndterer personopplysninger om egne ansatte og
virksomhet er lik, og hver virksomhet må derfor kunder, for eksempel opplysninger om kontaktperso
identifisere plikter og tilpasse internkontroll og infor ner ved salg og leveranse av varer. Denne er tilgjenge
masjonssikkerhetstiltak til sin situasjon. Det samme lig på www.datatilsynet.no.
gjelder for vedlikehold av internkontrollen; hver
virksomhet må tilpasse kontrollrutinene slik at rutiner Virksomheter som håndterer opplysninger om kunder
og tiltak gjenspeiler behovene over tid. hvor opplysningene anses som sensitive, for eksempel
helseopplysninger om klienter, kan ikke benytte den
Vær oppmerksom på at også andre regelverk kan stille forkortede versjonen.
krav om internkontroll for andre formål enn å sikre
forsvarlig håndtering av personopplysninger. Mange
virksomheter finner det hensiktsmessig å benytte et 1.4 Forklaring til teksttyper
felles system for å tilfredsstille ulike internkontroll
plikter. Andre regelverk kan også gi konkrete regler for Referanser til maldokumenter er skrevet i uthevet
hvordan personopplysninger skal behandles. skrifttype, eksempelvis Styringsdokument Internkontroll.
I vedlegg 2 finner du en liste over alle malene, og alle
Virksomheten plikter etter personopplysningsloven å er tilgjengelige fra Datatilsynets nettside,
ha kontroll på sin håndtering av personopplysninger. www.datatilsynet.no.
Det er en samfunnsplikt å sørge for at opplysninger
om enkeltpersoner håndteres med nødvendig respekt, Sjekkpunktene oppsummerer de viktigste spørs
noe som også bør være en spore til ryddighet. Å gi et målene som må avklares for å ha tilfredsstillende
godt inntrykk rundt håndteringen av personopplys internkontroll og informasjonssikkerhet.
ninger kan gi virksomheten positiv merverdi, på
samme måte som manglende ryddighet kan virke Symbolene som brukes er:
negativt på virksomhetens omdømme.

Definisjon

Sjekkpunkt

Lovtekst

side 6. INNLEDNING


2. Bakgrunnskunnskap
BAKGRUNNSKUNNSKAP INNLEDENDE OPPGAVER RUTINER FOR INTERNKONTROLL INFORMASJONSSIKKERHET OPPFØLGING

2.1 Krav til internkontroll tilstrekkelig kompetanse eller tid, eller ønsker å gjøre
arbeidet mer effektivt. Å involvere flere i utformingen
Personopplysningsloven 1) stiller krav til internkontroll av systemene sikrer både tilgang til riktig kompetanse
i form av etablering og vedlikehold av planlagte og sys og gir eierskap til et system som siden skal brukes i de
tematiske tiltak for å oppfylle kravene i eller i medhold ansattes daglige virke.
av personopplysningsloven, herunder sikre person
opplysningenes kvalitet. Dette kan oppsummeres som For å ivareta krav om en systematisk tilnærming opp
retter virksomhetene en internkontroll. Denne består
• rutiner for oppfyllelse av virksomhetens plikter og de gjerne av tre hovedelementer:
registrertes rettigheter
• rutiner og tekniske tiltak for informasjonssikkerhet • Styrende elementer, som i hovedsak retter seg mot
ledelsen, herunder hvilke beslutninger og føringer
de legger for internkontroll.
2.2 Hva er internkontroll? • Gjennomførende elementer, som i hovedsak retter
seg mot ansatte. Her finner man beskrivelse av ru
En virksomhet vil omfattes av mange ulike regel tiner som er tilpasset den enkeltes arbeidssituasjon.
verk. Disse kan for eksempel omhandle helse, miljø, • Kontrollerende elementer, som bidrar til å fange opp
sikkerhet, regnskap eller avgifter. Tilsvarende finnes avvik fra systemet og til at det gjennomføres perio
det regelverk for hvordan personopplysninger skal diske gjennomganger.
behandles. De som fastsetter regelverk, forventer
at virksomhetene har en systematisk tilnærming i Internkontroll kan gjerne kalles et kvalitetssystem for
etterlevelsen. Først og fremst må man sette seg inn i etterlevelse av regelverk.
de ulike bestemmelsene for å avgjøre hvilke som er
relevante i egen virksomhet. Noen bestemmelser har
spesiell relevans for ledelsen i virksomhetene, mens 2.2.1 Ledelsen
andre er ment å påvirke hvordan de ansatte kan utføre
sitt arbeide. Det kan også være bestemmelser som gir Ledelsen har et spesielt ansvar for å få i stand en
andre personer eller grupper rettigheter, som virksom systematisk prosess. Hvilke regelverk som er relevante
heten har plikt til å oppfylle. for virksomheten må kartlegges, og ledelsen må sette
av tilstrekkelig ressurser til at disse håndteres på en
Regelverket vil normalt peke på en person som den god måte. En kategorisering av pliktene i forhold til
ansvarlige for å etablere internkontroll. Dette vil de tre nevnte hovedelementene kan være en god start.
likevel ofte være et «sørge for ansvar». I praksis vil Ledelsen må være sentral i forhold til utvikling av de
den som har ansvaret involvere andre i arbeidet. Dette styrende elementer i internkontrollen, samt overvåke
er viktig av flere grunner. Den ansvarlige kan mangle prosessen rundt utarbeidelse av de gjennomførende og

§ 14 Internkontroll
Den behandlingsansvarlige skal etablere og holde vedlike Den behandlingsansvarlige skal dokumentere tiltakene. Doku-
planlagte og systematiske tiltak som er nødvendige for å oppfylle mentasjonen skal være tilgjengelig for medarbeiderne hos den
kravene i eller i medhold av denne loven, herunder sikre person- behandlingsansvarlige og hos databehandleren. Dokumenta-
opplysningenes kvalitet. sjonen skal også være tilgjengelig for Datatilsynet og Personvern-
nemnda.

1)
Personopplysningslovenl § 14

BAKGRUNNSKUNNSKAP side 7.


kontrollerende elementene. Det må være samsvar mel 2.3 Hva er personopplysningsloven
lom innholdet i de styrende elementene, som ledelsen og -forskriften?
har fastlagt, og de gjennomførende og kontrollerende
elementene. Ledelsen må videre være bevisst på at in Personopplysningsloven har som formål å beskytte
ternkontroll er deres redskap for å styre virksomheten den enkelte mot at personvernet blir krenket gjen
på en forsvarlig og lovlig måte. nom behandling av personopplysninger. Loven sier
at personopplysninger skal behandles i samsvar med
grunnleggende personvernhensyn, herunder behovet
2.2.2 Ansatte for personlig integritet, privatlivets fred og tilstrek
kelig kvalitet på personopplysningene. Personopplys
Internkontroll er utviklet for å bidra til at virksom ningsloven forkortes ofte pol.
heten driver sitt virke i samsvar med de lover som
gjelder. Brudd på rutiner vil ofte føre til at virksom Personopplysningsforskriften gir utfyllende og mer
heten operer i grenseland og i noen tilfeller på feil side detaljerte krav til behandling av personopplysninger.
av loven. Rutiner må derfor følges. Om man likevel Forskriftens kapittel 3 gir utfyllende bestemmelser om
oppdager brudd på disse, bør dette varsles som avvik. internkontroll, mens kapittel 2 gir utfyllende bestem
En avviksmelding kan bidra til å korrigere uønskede melser om informasjonssikkerhet. Personopplysnings
hendelser i virksomheten, men kan også bidra til å forskriften forkortes ofte pof.
utvikle systemet slik at det heller ikke er for stramt.
Eksempler på handlinger som normalt vil krenke
personvernet:
2.2.3 Informasjonssikkerhet • Personopplysninger behandles skjult.
• Flere og mer inngående personopplysninger enn
Personopplysningsloven krever at personopplysninger nødvendig samles inn.
skal beskyttes tilfredsstillende mot uberettiget innsyn • Personopplysninger blir ikke slettet når det ikke
og endringer. Samtidig skal opplysningene være lengre er behov for disse.
tilgjengelige for de som trenger opplysningene, når de • Den registrerte får ikke innsyn i opplysninger om
har behov for disse 2). seg selv.
• Personopplysningene som behandles er feilaktige.
Informasjonssikkerhet dreier seg om å håndtere • Personopplysningene tilflyter uvedkommende.
risikoen for at personopplysninger og andre informa
sjonsverdier blir ivaretatt på en tilfredsstillende måte.
Dette gjøres ved først å identifisere hvilke personopp
lysninger virksomheten har. Deretter gjennomføres en PERSONOPPLYSNINGER
risikovurdering for å avklare om eksisterende sikker
Opplysninger og vurderinger som kan knyttes til en enkeltperson.
hetstiltak er tilfredsstillende.

Dersom risikovurderingen avdekker manglende tiltak
må det vurderes om nye tiltak skal iverksettes for å
oppnå tilfredsstillende sikkerhetsnivå for personopp
lysningene. Kontrollrutiner må utarbeides og jevnlig
følges, for å kontrollere at tiltakene blir fulgt opp og
virker etter hensikten.

En slik fremgangsmåte som skissert ovenfor vil
sammen med tilhørende rutiner kunne utgjøre virk
somhetens styringssystem for informasjonssikkerhet.
Dette systemet for informasjonssikkerhet vil være
en sentral del av virksomhetens internkontroll. Det
er utviklet ulike standarder som beskriver hvordan
styringssystem for informasjonssikkerhet skal etable
res. En måte å etablere dette på er nærmere omtalt i
kapittel 5 nedenfor.

2)
Personopplysningsloven § 13

side 8. BAKGRUNNSKUNNSKAP


2.4 Hva er personopplysninger og 2.5 Dokumentasjon av intern-
sensitive personopplysninger? kontrollsystemet
Det er et lovpålagt krav at interkontrollsystemet skal
være dokumentert 3). Denne veilederen viser anbe
SENSITIVE PERSONOPPLYSNINGER
falt fremgangsmåte for å iverksette internkontroll,
Personopplysninger om herunder å sørge for tilfredsstillende informasjons
• rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller sikkerhet. Veilederen viser til ett sett av maler som kan
religiøs oppfatning benyttes av virksomheten. Dokumentene må tilpasses
• at en person har vært mistenkt, siktet, tiltalt eller dømt for en den enkelte virksomhet. Dokumentasjonen bør deles i
straffbar handling følgende hoveddeler:
• helseforhold
1. Styrende dokumentasjon som ledelsen er ansvarlig
• seksuelle forhold
for å utarbeide.
• medlemskap i fagforeninger
2. Gjennomførende dokumentasjon med rutiner og
tiltak for daglig drift.
3. Kontrollerende dokumentasjon med rutiner for
Personopplysninger er alle opplysninger og vurderin oppfølging, korrigering og forbedring av internkontroll
ger som kan knyttes til en enkeltperson, for eksempel og informasjonssikkerhet.
navn, adresse, lønn, referanseuttalelser om en per
son hos et rekrutteringsfirma, oppgavebesvarelser Vedlegg 2 har en oversikt over dokumentene som
fra skoleelever, klientopplysninger ved krisesentre, inngår i settet med maler. Bruk denne oversikten som
skyldneropplysninger i inkassoselskaper, kundeopp referanse gjennom arbeidet med internkontroll og
lysninger hos nettbokhandlere og klientopplysninger i informasjonssikkerhet. Malene kan lastes ned fra
advokatselskaper. www.datatilsynet.no.

Sensitive personopplysninger er for eksempel infor
masjon om hvilke sykdommer en person har hatt, me 2.6 Oppdatering av internkontrollen
disiner vedkommende bruker, straffedommer, tidligere
og pågående rusmisbruk og seksuell legning. Etter at internkontrollen er etablert og forankret hos
behandlingsansvarlig, må man sørge for at den gjøres
Det knytter seg et særlig behov for vern rundt sensiti kjent og etterleves blant de ansatte i virksomheten.
ve personopplysninger. Å bruke denne typen person Følgende faktorer kan inngå i årlig revisjon av inter
opplysninger ses normalt på som mer inngripende og kontrollsystemet:
regelverket stiller derfor strengere krav til behandling
av denne typen opplysninger. Misbruk eller urettmes • Er virksomhetens mål og strategier de samme, og
sig spredning av sensitive opplysninger får normalt blir disse nådd?
også større konsekvenser for den enkelte. Opplysnin • Er det endringer i regelverket eller andre
ger om personers økonomiske forhold, samt fødsels rammefaktorer?
nummer, er ikke ansett som sensitive personopplys • Har risikobildet endret seg?
ninger. Slike opplysninger oppfattes imidlertid ofte • Er det nye sikkerhetstrusler som må vurderes?
som sensitive av de registrerte, og det er derfor grunn • Er rutinene kjent og funksjonelle for de ansatte?
til å vise varsomhet også ved behandling av slike. For • Blir rutinene fulgt?
bruk av fødselsnummer er det gitt egne bestemmelser i • Har vi endret behandlingen av personopplys
personopplysningsloven § 12. ningene?

3)
Personopplysningsloven § 13 Se tabell neste side →

BAKGRUNNSKUNNSKAP side 9.


Oppgaver i prosessen

INNLEDENDE OPPGAVER
KAPITTEL 3
Behandlingsansvarlig.
Kartlegge formål med behandlinger
og behandlingsgrunnlag.

IVERKSETTE STYRINGSSYSTEM FOR
INFORMASJONSSIKKERHET
UTARBEIDE HÅNDTERINGSRUTINER KAPITTEL 5
KAPITTEL 4 Utarbeide sikkerhetsmål, strategi og
For håndtering av personopplys- akseptkriterier.
ninger generelt i virksomheten. Etablere sikkerhetsorganisasjon.
For ivaretakelse av de registrertes Gjennomføre risikovurdering.
rettigheter. Gjennomføre sikkerhetsrevisjon.

OPPFØLGING
KAPITTEL 6
Utarbeide rutiner for avvikshånd-
tering og egenkontroll.
Utarbeide rutiner for rapportering og
forslag til tiltak.

Figuren beskriver prosessen for å etablere internkontroll Aktivitetene i kapittel 4 kan gjennomføres parallelt med
med henvisning til innholdet i denne veilederen. aktivitetene i kapittel 5.

Kapittel 3 beskriver aktiviteter som må gjennomføres før Kapittel 5 beskriver etablering av styringssystem for
man utarbeider konkrete rutiner, prosedyrer og vurderer informasjonssikkerhet og gir noen eksempler på dette.
nødvendige sikkerhetstiltak. Oppgaver i kapittel 3 bør
ferdigstilles før man fortsetter med kapittel 4 og 5. Kapittel 6 beskriver etablering av rutiner for oppfølging
og etterlevelse av internkontroll og sikkerhetstiltak, og
Kapittel 4 beskriver krav til rutiner for håndtering av gir eksempler på prosedyrer som kan tilpasses egen
personopplysninger og gir eksempler på noen slike rutiner. virksomhet.

side 10. BAKGRUNNSKUNNSKAP


3. Innledende oppgaver
for internkontroll

3.1 Skaff kunnskap 3.2 Virksomhetens leder er
behandlingsansvarlig
Virksomheten må selv ha et minimum av kunnskap, og
sørge for å ha tilgang til nødvendig kunnskap om per
sonopplysningsloven og personopplysningsforskriften.
Slik kunnskap er nødvendig for å kunne starte arbeidet BEHANDLINGSANSVARLIG
med etablering av internkontroll og tilfredsstillende
sikkerhetstiltak. Virksomheten må videre identifisere Den som bestemmer formålet med behandlingen av personopp-
de lovpålagte pliktene den skal overholde. lysninger og hvilke virkemidler som skal brukes.

ANNEN RELEVANT INFORMASJON FRA DATATILSYNET:
På Datatilsynets nettsider finner du oppdatert og Den behandlingsansvarlige er ansvarlig for at person
relevant informasjon som kan benyttes i arbeidet med opplysningsloven og personopplysningsforskriften
internkontroll og informasjonssikkerhet. Du finner følges. Normalt er den behandlingsansvarlige repre
blant annet informasjon om sentert ved virksomhetens daglige leder eller adminis
• personvernombudsordningen trerende direktør. Eksempelvis vil rådmannen være
• bransjenormer i ulike sektorer behandlingsansvarlig i kommunen. Behandlingsansva
• internkontroll i mindre virksomheter (veileder) ret innebærer blant annet å sørge for at internkontroll
• risikovurdering av informasjonssystem (veileder) etableres og etterleves. I personopplysningsloven 5) er
• databehandleravtale dette beskrevet slik:

REGELVERK TILGJENGELIG HOS LOVDATA4) : «Behandlingsansvarlig er ansvarlig for etablering og
• personopplysningsloven vedlikehold av planlagte og systematiske tiltak som er
• personopplysningsforskriften nødvendige for å oppfylle kravene i eller i medhold av
• helseregisterloven personopplysningsloven, herunder sikre personopp
lysningenes kvalitet.»

Dette innebærer at den behandlingsansvarlige blant
KUNNSKAP
annet må
❑ Har virksomhetens leder selv et minimum av kunnskap om • bestemme formålet med behandlinger av person
personopplysningsloven og personopplysningsforskriften? opplysninger
❑ Har lederen eventuelt tilgang på nødvendig kunnskap og • bestemme hvilke virkemidler som skal benyttes
kompetanse? • påse at det er utarbeidet rutiner både for oppfyllelse
av virksomhetens plikter og de registrertes rettig
heter
• påse at det årlig avsettes tilstrekkelige ressurser,
både personalmessige og økonomiske, slik at
tilfredsstillende internkontroll opprettholdes

Behandlingsansvarlig skal videre sørge for at blant
annet følgende er på plass
• sikkerhetsmål, sikkerhetsstrategi og akseptkriterier
• sikkerhetsorganisasjon
• dokumenterte rutiner og tekniske tiltak for opp
fyllelse av sikkerhetsstrategi og akseptkriterier
4)
www.lovdata.no, 5) Personopplysningsloven § 14

INNLEDENDE OPPGAVER side 11.


Den behandlingsansvarlige kan delegere operativt
ansvar for daglige arbeidsoppgaver i forbindelse med
internkontroll, men kan ikke delegere ansvaret i for
hold til loven.

3.3 Prosjekt for innføring
av internkontroll
Mange ulike avdelinger og medarbeidere i virksom
heten kan bli involvert i innføring av internkontroll.
Virksomheten kan velge å organisere innføringen
som et prosjekt. Prosjektleder må i så fall utarbeide
en prosjektplan for planlegging og innføring, og være
ansvarlig for å nå et definert resultat innen et planlagt
tidspunkt. Leveransene til prosjektet er beskrevet i
sjekkpunkter videre i denne veilederen. Forventet
dokumentasjon ser man av oversikten i vedlegg 2.

3.4 Støtteverktøy for g jennom-
føring av krav i personopplysnings-
forskriften
Uavhengig av om man velger å organisere innføringen
av internkontroll som et prosjekt eller ikke, kan det
være nyttig å bruke et verktøy for å følge opp ansvar
lige personer og fremdrift for de ulike aktivitetene som
skal utføres i virksomheten.

Datilsynet tilbyr et verktøy som letter gjennom
føringen av aktivitetene i kapittel 2 og 3 i person
opplysningsforskriften, henholdsvis krav til informa

side 12. INNLEDENDE OPPGAVER


Eksempel på oversikt over personopplysninger som behandles

Informasjon Behandlings- Melding/ Sensitive person- Sikkerhets- Lagring og Opplysningenes Avdeling System-/
Formål grunnlag Konsesjon opplysninger tiltak kommunikasjon omfang dataeier

Lønn og Personopplys- Unntatt i Nei Ca. 130
personal: ningsloven, forskriftens ansatte
- lønnsopplys- § 8f § 7–16
ninger
- personal-
opplysninger

Barnevern: Barnevern- Meldt Ja Ca. 68 barn
- vurdering loven, § 3-1 14.01.2009 og foresatte
og tiltak

Helseopplys- Helseper- Meldt Ja Ca. 413
ninger: sonelloven § 14.01.2009 pasienter
- pasient- 39 flg.
journal

Elevadminis- Opplærings- Ja Ca. 219
trasjon loven § søkere
- elever / 13-5
foresatte
- lærere

Hendelses- Personopplys- Unntatt i Nei Arkivlogg,
register: ningsloven, forskriftens nettverks-logg
- logg over § 13 § 7–11 og serverlogg,
brudd PC-logger

Kunde- Personopplys- Nei Ca. 8000
opplysninger ningsloven,
- Salgskontakter §8a
- Leveranse-
kontakter

MER SPESIFIKT SKAL OVERSIKTEN GI EKSEMPEL PÅ FREMGANGSMÅTE FOR
KORTFATTET INFORMASJON OM KARTLEGGING AV BEHANDLINGER:
• hvilke opplysninger som behandles og formålet med 1. Dersom kartleggingen gjelder en større virksomhet, kan
behandlingen sikkerhetsansvarlig eller prosjektleder sende ut forespørsel
• hjemmelsgrunnlag for å behandle opplysningene om behandling av personopplysninger til hver avdelings-
• klassifikasjon av hvorvidt personopplysningene er leder: Hva behandles, lagres eller overføres?
sensitive eller ikke 2. Vurder svarene. Er det behandlinger som mangler for at
• teknologiske sikkerhetstiltak med angivelse av sone virksomheten skal fungere?
eller nettverk 3. Skap en hensiktsmessig totaloversikt for virksomheten.
• hvor opplysningene lagres og om de overføres via
eksterne media
• personopplysningenes omfang
• eventuell avdeling som behandler personopplysningene
• systemeier og/eller dataeier



EKSEMPLER PÅ FORMÅL MED BEHANDLINGER:
UTARBEIDELSE AV SKRIFTLIG OVERSIKT OVER ALLE PER- • Akupunktør må ha behandlingshistorikk i klient
SONOPPLYSNINGER SOM BEHANDLES I VIRKSOMHETEN register for å yte effektiv behandling.
• Statlig etat må ha registrert ansatte med opplysnin
❑ Er behandling/formål identifisert? ger for utbetaling av lønn.
❑ Er informasjonen kategorisert i personopplysninger og sensi- • Advokat som jobber med erstatningssaker relatert
tive personopplysninger? til medisinsk behandling må ha klientregister for
❑ Inkluderer oversikten en beskrivelse av hvilke dataelementer tilgang til saksfakta.
som omfattes? • Undervisningsinstitusjon må ha kopi av oppgaver
❑ Er det tydelig hvilken avdeling som utfører behandlingene og eller karakterresultater fra oppgaver for å kunne
hvilke ansvarlige som «eier» opplysningene? sette standpunktkarakter og utstede vitnemål.

3.6 Undersøke om 3.6.2 Fastsette behandlingsgrunnlaget
behandlingene er lovlige Det er ikke tillatt å behandle personopplysninger uten
behandlingsgrunnlag. Personopplysningsloven § 8 gir
3.6.1 Identifisere formål vilkår for å behandle personopplysninger. Kort opp
summert kreves det at
Det er ikke tillatt å behandle personopplysninger uten • virksomheten innhenter samtykke 7) til behandlingen
at det er definert et formål med behandlingen 6). Formå • behandlingen følger av lov
let, eller formålene med de ulike behandlingene, skal • behandlingen oppfyller en av nødvendighetbestem
være saklig i forhold til virksomheten og må identifise melsene definert i loven
res og godkjennes av virksomhetsleder.

Behandlingenes overordnede formål føres i doku
mentet Sikkerhetsmål, strategi og akseptkriterier.

§ 8 Vilkår for å behandle § 9 Behandling av sensitive
personopplysninger personopplysninger
Personopplysninger kan bare behandles dersom den registrerte Sensitive personopplysninger kan bare behandles dersom behan-
har samtykket, eller det er fastsatt i lov at det er adgang til slik dlingen oppfyller et av vilkårene i § 8 og
behandling, eller behandlingen er nødvendig for a) den registrerte samtykker i behandlingen
a) å oppfylle en avtale med den registerte, eller for å utføre b) det er fastsatt i lov at det er adgang til slik behandling
gjøremål etter den registrertes ønske før en slik avtale inngås c) behandlingen er nødvendig for å beskytte en persons vitale
b) at den behandlingsansvarlige skal kunne oppfylle en rettslig interesser, og den registrerte ikke er i stand til å samtykke
forpliktelse d) det utelukkende behandles opplysninger som den registrerte
c) å vareta den registrertes vitale interesser selv frivillig har gjort alminnelig kjent
d) å utføre en oppgave av allmenn interesse e) behandlingen er nødvendig for å fastsette, gjøre gjeldende eller
e) å utøve offentlig myndighet forsvare et rettskrav
f) at den behandlingsansvarlige eller tredjepersoner som f) behandlingen er nødvendig for at den behandlingsansvarlige
opplysningene utleveres til kan ivareta en berettiget interesse, kan gjennomføre sine arbeidsrettslige plikter eller rettigheter
og hensynet til den registrertes personvern ikke overstiger denne g) behandlingen er nødvendig for forebyggende sykdomsbehan-
interessen dling, medisinsk diagnose, sykepleie eller pasientbehandling eller
for forvaltning av helsetjenester, og opplysningene behandles av
For behandling av sensitive personopplysninger må i tillegg helsepersonell med taushetsplikt
personopplysningsloven § 9 være oppfylt. På samme måte som for h) behandlingen er nødvendig for historiske, statistiske eller
§ 8 må behandlingen som hovedregel enten følge av samtykke, vitenskapelige formål, og samfunnets interesse i at behandlingen
lov eller av en nærmere definert nødvendighetsgrunn. (I tillegg finner sted klart overstiger ulempene den kan medføre for den
kan det behandles personopplysninger som den registrerte selv enkelte
frivillig har gjort alminnelig kjent.)

6)
Personopplysningsloven § 11, 7) Et samtykke er en frivillig, uttrykkelig og informert erklæring fra den registrerte, jf. personopplysningslovens § 2 nr 7



3.6.3 Vurdere om formål er i sene omhandler virksomhetens behov for å behandle
samsvar med hjemmel personopplysningene slik at den kan ivareta sine
forpliktelser, herunder levere sine tjenester eller følge
De ulike behandlingene som er identifisert må vurde opp sine ansatte. De overordnede føringene er krav
res mot aktuelle behandlingsgrunnlag, jf. punkt 3.6.2. og plikter som virksomheten blir underlagt fordi den
behandler personopplysninger. Slike krav og plikter
• Har virksomheten innhentet samtykke til den kan blant annet følge av personvernlovgivningen, av
aktuelle behandlingen? Dette vil for eksempel være konsesjon fra Datatilsynet eller av annen lovgivning.
tilfelle der en person har takket ja til å delta i et Andre føringer er sikkerhetsmål og sikkerhetsstrate
forskningsprosjekt. gier. Disse legger begrensninger på anvendelsen av
• Følger det av lov at behandlingen er tillatt? Dette kan IT for å sikre tilfredsstillende sikkerhet for person
for eksempel være tilfelle for arbeidsgivers mu opplysningene. Sikkerhetsmål og sikkerhetsstrategier
lighet for innsyn i ansattes epost der den ansatte er dokumenteres i Sikkerhetsmål og -strategi.
langtidssykemeldt 8).
• Er et av de øvrige behandlingsgrunnlagene oppfylt? EKSEMPLER – TEKSTLIG BESKRIVELSE AV BEGRUNNELSE
Dette kan for eksempel være tilfelle for gjennomføring FOR BEHANDLING AV PERSONOPPLYSNINGER:
av en kredittvurdering ved søknad om lån til ny bolig 9). • Virksomheten leverer advokattjenester. Det er
nødvendig for advokatene å lagre opplysninger om
Hvis en av behandlingene ikke faller innenfor klientene og deres saker for å kunne yte klientene
eksisterende behandlingsgrunnlag, må virksomheten gode tjenester.
avvikle behandlingen eller sørge for at det etableres • Virksomheten er en høyskole og det er nødvendig
et behandlingsgrunnlag, for eksempel ved innhenting å lagre informasjon om studentenes obligatoriske
av samtykke. Det samme er tilfelle der innsamlede oppgaveinnleveringer og andre resultater for å styre
opplysninger ønskes benyttet til noe nytt. Hvis en bok undervisningen og gi karakterer. Det er også nød
klubb for eksempel ønsker å selge sitt kunderegister, vendig å lagre informasjon om oppnådde karakterer
må de innhente kundenes samtykke til dette dersom gjennom studiet for å kunne gi studentene vitnemål.
dette ikke er gjort ved innmeldingen. Formål, behand
lingsgrunnlag og tilhørende meldekrav i forhold til type EKSEMPLER – KRAV OG PLIKTER
personopplysninger føres i Styringsdokument internkontroll. SOM VIRKSOMHETEN MÅ OPPFYLLE
Overordnede formål med behandlinger skal beskrives i • sikkerhetsloven
Sikkerhetsmål og -strategi. • forskrift om offentlege arkiv
• forskrift til voksenopplæringsloven, forskrift til lov
om voksenopplæring vedrørende tilskudd, regn
BEHANDLINGER skap, revisjon og kontroll

EKSEMPLER – SIKKERHETSMÅL OG -STRATEGIER SOM LEGGER
❑ Er formålet med de enkelte behandlingene klarlagt?
FØRINGER PÅ HVA MAN KAN BRUKE IT TIL I VIRKSOMHETEN OG
❑ Har virksomheten gjennomgått alle behandlinger og vurdert
behandlingsgrunnlaget?
HVORDAN MAN KAN GJØRE DETTE:
❑ Er de behandlinger som ikke har behandlingsgrunnlag av- • Virksomhetens nett skal inndeles i soner der hver
viklet? sone bare utveksler relevant trafikk med andre in
❑ Er det alternativt sørget for et behandlingsgrunnlag for disse? terne eller eksterne soner. Eksempler på slike soner
❑ Inneholder dokumentet Sikkerhetsmål, strategi og aksept- er operasjonssentral, driftsnett og serversone.
kriterier en beskrivelse av overordnet formål med behand- • Brannmurer og tilsvarende sikkerhetsbarrierer skal
lingene? benyttes for å oppnå et sikkert skille mellom virk
somheten og eksterne nett.
• Det skal være elektronisk overvåking av ekstern
nettverkstrafikk og mot virksomhetskritiske syste
3.7 Beskrive overordnede rammer mer og nettverk i virksomheten.

Dette kapitlet omfatter ledelsens begrunnelse for be Andre føringer er krav til hendelseshåndtering, egen
handling av personopplysninger og overordnede førin kontroll, avviksbehandling og ledelsens gjennomgang.
ger for bruk av informasjonsteknologi i virksomheten. Dette kan beskrives under strategier i dokumentet
Begrunnelsene og de overordnede føringene skal Sikkerhetsmål og –strategi. Disse områdene er beskrevet
beskrives i Styringsdokument internkontroll. Begrunnel nærmere lenger bak i denne veilederen.

8)
Personopplysningsforskriften kapittel 9, 9) Personopplysningsloven § 8 bokstav a



3.8 Identifisere plikter eksempel ivaretakelse av HMSkrav. Mange virksom
heter ser det som hensiktsmessig å benytte et felles
Behandling av personopplysninger medfører plik styringssystem for å tilfredsstille ulike internkontroll
ter for virksomheten. Ulike opplysninger og ulike plikter. Andre regelverk kan også gi konkrete regler
formål medfører at ingen virksomheter er like. Hver for hvordan personopplysninger skal behandles.
virksomhet må derfor identifisere plikter og tilpasse
internkontroll og informasjonssikkerhetstiltak til sin
organisasjon.

Gjennom personopplysningsloven § 14 og forskrif IDENTIFISERING AV PLIKTER
tens kapittel 3 er virksomheten pålagt å identifisere
alle plikter den er underlagt. Virksomheten må ❑ Har virksomheten identifisert alle plikter de er underlagt som
følge av de kartlagte behandlingene av personopplysninger?
deretter utarbeide rutiner og tiltak som er tilpasset
❑ Er rutiner, utover de som er beskrevet i kapittel 4, etter behov
pliktene. Vær oppmerksom på at andre regelverk kan
planlagt utarbeidet og iverksatt?
stille krav om internkontroll for andre formål enn å
sikre forsvarlig håndtering av personopplysninger, for



4. Rutiner for internkontroll

4.1 Generelt om rutiner for 5. Når skal de ulike aktivitetene utføres, eller under
internkontroll hvilke betingelser?
6. Hva er forventet resultat ved utførelse av rutinen?
Personopplysningsloven stiller krav til internkon
troll i form av planlagte og systematiske tiltak som er
nødvendige for å oppfylle kravene i eller i medhold av 4.2 Håndtering av samlede
personopplysningsloven, herunder sikre personopp personopplysninger
lysningenes kvalitet.

Dette kapitlet beskriver rutiner som er nødvendige for 4.2.1 Rutine for iverksettelse eller
oppfyllelse av virksomhetens plikter og de registrer opphør av behandling
tes rettigheter, samt hvordan rutinene bør utformes.
Virksomheten kan ta utgangspunkt i listen nedenfor Virksomheten skal ha rutiner for iverksettelse og
ved etablering av egne rutiner. Alle rutiner vil imid opphør av behandling av personopplysninger. Den
lertid ikke være relevante for alle virksomheter. En behandlingsansvarlige må sørge for at rutinene blir
risikovurdering kan dessuten vise at virksomheten har konkretisert.
behov for andre rutiner enn dem som er listet opp.
Følgende elementer inngår i rutine for iverksettelse av
RUTINER SOM KAN BESKRIVES I DOKUMENTET behandling
Rutiner for håndtering av personopplysninger • vurdere behov for ny behandling av personopplysninger
• iverksettelse og opphør av behandling • vurdere formål opp mot behandlingsgrunnlag
• overholdelse av melde og eventuell konsesjonsplikt • vurdere type opplysninger og gi melding til eller søke
• sletting av personopplysninger om konsesjon fra Datatilsynet, se kapittel 4.2.2
• utlevering av personopplysninger til andre • gjennomføre risikovurdering
• kvalitetssikring av personopplysninger • gjennomføre nødvendige sikkerhetstiltak
• innhenting og kontroll av samtykke
• oppfyllelse av plikt til informasjon Følgende elementer inngår i rutine for opphør av
• innsyn, retting og supplering behandling
• ivaretakelse av eventuell reservasjonsrett mot • kontrollere at oversikten over opplysninger stemmer
automatiserte avgjørelser • vurdere om det er grunnlag for videre oppbevaring
• publisering av personopplysninger på Internett med et nytt behandlingsgrunnlag
• innsyn i privat epost og private filområder • slette lagrede personopplysninger det ikke lenger er
grunnlag for å behandle
Dette dokumentet tilhører kategorien gjennomførende
dokumentasjon. Se vedlegg 2 for en oversikt over
de ulike kategoriene av dokumentasjon samt hvilke 4.2.2 Overholdelse av melde-
dokumenter som inngår i kategoriene. Rutinene bør og eventuell konsesjonsplikt
utformes i henhold til en felles mal. Rutinene blir da
enklere å bruke, og det blir lettere å vurdere om de er MELDEPLIKT
fullstendige. All behandling av personopplysninger er i utgangs
punktet meldepliktig, jf. personopplysningsloven § 31.
Følgende mal kan benyttes for utforming av rutiner: En del behandlinger er imidlertid unntatt i personopp
1. Hvorfor skal rutinen utarbeides, hva er hensikten lysningsforskriften 10). Dette gjelder blant annet kunde
med den? registre, personalregistre og foreningers medlems
2. Hvem er ansvarlig for å utføre de ulike aktivitetene? registre. Krav til rutiner og sikkerhetstiltak gjelder selv
3. Hva skal utføres av de ulike ansvarlige? om behandlingen er unntatt meldeplikt.
4 Hvordan skal aktivitetene utføres?

10)
Personopplysningsforskriften kapittel 7

RUTINER FOR INTERNKONTROLL side 17.


EKSEMPEL – RUTINE FOR MELDING OM BEHANDLING Bestemmelsen slår fast at:
AV PERSONOPPLYSNINGER: «den behandlingsansvarlige skal ikke lagre personopp
• Den behandlingsansvarlige skal gi melding til Data lysninger lenger enn det som er nødvendig for å gjen
tilsynet før behandling starter. Dette gjelder behan nomføre formålet med behandlingen. Hvis ikke person
dling av personopplysninger med elektroniske hjelpe opplysningene deretter skal oppbevares i henhold til
midler, og før opprettelse av manuelt personregister arkivloven eller annen lovgivning, skal de slettes.»
som inneholder sensitive personopplysninger.
• Den behandlingsansvarlige skal gi melding til Data Vær oppmerksom på at en særlov kan gi andre regler
tilsynet før det iverksettes behandling av person for sletting.
opplysninger som går ut over rammen for behan
dling som tidligere er meldt. Virksomheten skal ha rutiner for sletting av person
• Meldingen skal gis senest 30 dager før behandlingen opplysninger som det ikke lenger er nødvendig å lagre.
eller endret behandling tar til. Krav til sletting kan for eksempel inntreffe på grunn
• Tre år etter at forrige melding ble gitt skal det gis av en organisatorisk endring, bortfall av formål eller at
ny melding, selv om det ikke har skjedd endring av tidskrav for lagring utløper. Historiske, statistiske eller
behandlinger. vitenskapelige formål kan åpne for lengre lagring under
visse forutsetninger.
KONSESJONSPLIKT
Noen behandlinger er konsesjonspliktige, og skal Følgende elementer inngår i rutine for sletting av per
dermed ikke meldes. Meldeplikten er her erstattet av sonopplysninger og må konkretiseres av den behand
konsesjonssøknad til Datatilsynet. Dette gjelder som ho lingsansvarlige:
vedregel all behandling av sensitive personopplysninger • Vurdere krav til sletting av personopplysninger ved
som føres elektronisk. I tillegg er enkelte behandlinger endringer i virksomhetens tjenester, organisering og
som i utgangspunktet er meldepliktige, gjort konsesjons informasjonssystemer.
pliktige ved forskrift. Dette dreier seg om behandling av • Jevnlig, for eksempel månedlig, vurdere krav til slet
personopplysinger innen telesektoren, forsikringsbran ting av personopplysninger basert på oversikt over
sjen og i banker og finansinstitusjoner. Noen behandlin opplysninger og lagringstid.
ger av sensitive opplysninger er likevel unntatt konse • Godkjenne sletting av utvalgte opplysninger.
sjonsplikt. Behandlinger som er unntatt konsesjonsplikt, • Utføre sletting av utvalgte opplysninger i alle kopier.
har meldeplikt dersom ikke annet er bestemt.
EKSEMPEL PÅ RUTINE FOR SLETTING:
Detaljerte opplysninger om konsesjonsplikten finnes Det er viktig at virksomheten konkret vurderer frister
i §§ 33 – 35 i personopplysningsloven og i kapittel 7 i for sletting, også i forhold til krav i andre lover om opp
personopplysningsforskriften. bevaring. Følgende rutine er kun et eksempel:

Datatilsynet har opprettet en tjeneste på 1) SALGSSJEF ER ANSVARLIG FOR PERSONOPPLYSNINGER
www.datatilsynet.no for nedlasting av søknadsskjema OM KUNDER. SALGSSJEF SKAL:
og innsending av elektronisk meldeskjema. Denne • Sørge for at personopplysninger relatert til kunde
tjenesten gir tilgang til skjema samt et veiledningsdoku forholdet slettes etter tre års inaktivitet i kunde
ment, og er rask og enkel å bruke. forholdet, med mindre skriftlig samtykke til fortsatt
lagring er innhentet fra kunden.
EKSEMPEL – RUTINE FOR SØKING OM KONSESJON FOR • Påse at det ikke lagres flere personopplysninger om
BEHANDLING AV PERSONOPPLYSNINGER: kunder enn nødvendig for formålet.
• Behandlingsansvarlig skal søke Datatilsynet om • Holde en oversikt over når det sist var aktivitet i de
konsesjon før konsesjonspliktig behandling av ulike kundeforholdene.
personopplysninger starter. • Gi ITdriftsansvarlig beskjed om hvilke opplysninger
• Behandling kan ikke starte før konsesjon er gitt. som skal slettes og når de skal slettes.
• Motta bekreftelse fra ITdriftsansvarlig på at opplys
ningene er slettet.
4.2.3 Rutiner for sletting av
personopplysninger Rutinen gjelder ikke opplysninger i virksomhetens
regnskap. Disse gjennomgås når oppbevaringsplikten
Krav til sletting av personopplysninger er beskrevet i utløper.
§ 28 i personopplysningsloven. Bestemmelsen forbyr
lagring av unødvendige personopplysninger.

side 18. RUTINER FOR INTERNKONTROLL


2) PERSONALSJEF ER ANSVARLIG FOR PERSONOPPLYSNINGER forespurte personopplysninger kan utleveres. Som
OM ANSATTE. PERSONALSJEF SKAL: ved andre behandlinger, skal utleveringen være
• Fjerne unødvendige opplysninger etter gjennom formålsbestemt og tilfredsstille krav til behandlings
føring av personalsamtale. grunnlag i personopplysningsloven § 8 og eventuelt § 9.
• Fjerne unødvendige opplysninger ved avslutning av
arbeidsforholdet.
• Gjennomføre ny vurdering av behov for fortsatt 4.2.5 Rutiner for kvalitetssikring av
lagring ett år etter avslutning av arbeidsforholdet. personopplysninger
• Påse at det ikke lagres personopplysninger om
ansatte som ikke er relevante for administrasjon av Opplysningene skal være korrekte og oppdaterte i
arbeidsforholdet. forhold til formålet med behandlingen 11).
• Gi ITdriftsansvarlig beskjed om hvilke opplys
ninger som skal slettes og når de skal slettes. EKSEMPEL – FREMGANGSMÅTE FOR OPPDATERING AV
• Motta bekreftelse fra ITdriftsansvarlig på at PERSONOPPLYSNINGER FRA REGISTRERTE:
opplysningene er slettet. • Teknisk funksjon i nettsted som krever at bruker
bekrefter, eventuelt oppdaterer egne kontaktopplys
Rutinen gjelder ikke opplysninger i virksomhetens ninger ved pålogging, må oppdateres jevnlig f.eks.
regnskap. Disse gjennomgås når oppbevaringsplikten en gang per halvår.
utløper.

DOKUMENTERTE RUTINER
4.2.4 Rutiner for utlevering av
personopplysninger til andre ❑ Har virksomheten dokumenterte rutiner for iverksettelse og
opphør av behandling av personopplysninger?
Dette kapitlet omfatter rutiner for utlevering av ❑ Finnes det dokumenterte rutiner for overholdelse av melde-
personopplysninger til andre behandlingsansvarlige. plikt og eventuelt konsesjonsplikt?
Utleveringen er i seg selv en behandling som krever ❑ Eksisterer det dokumenterte rutiner for sletting av person-
behandlingsgrunnlag etter personopplysningsloven. opplysninger?
Dersom ikke annet behandlingsgrunnlag finnes, må ❑ Har virksomheten dokumenterte rutiner for jevnlig opp-
den behandlingsansvarlige som ønsker å utlevere data datering av database med personopplysninger?
ha samtykke fra de/den registrerte for å utlevere opp
lysningene.

Utlevering omfatter ikke bruk av eksisterende person 4.3 Rutiner relatert til person
opplysninger til ny behandling innenfor samme virk 4.3.1 Innhenting og kontroll av samtykke
somhet, men også i slike tilfeller må man sørge for et
behandlingsgrunnlag. Utlevering omfatter heller ikke Behandling av personopplysninger bør i størst mulig
oversendelse av personopplysninger til databehand utstrekning basere seg på samtykke fra den registrerte.
lere. Innsyn i egne personopplysninger omfattes ikke Dette gir godt personvern ved at den registrerte har
av dette kapitlet. Slikt innsyn er omtalt i kapittel 4.3.3. bedre kontroll med egne opplysninger. Samtykket må
være frivillig, uttrykkelig og informert. Loven stil
Følgende elementer inngår i rutine for utlevering av ler ingen formkrav til samtykket, men Datatilsynet
personopplysninger og må konkretiseres av den be anbefaler at det innhentes skriftlig. Samtykke i skriftlig
handlingsansvarlige: form vil minske bevisproblemer i situasjoner hvor
det er tvil om hva den registrerte har samtykket til. Et
• Behandlingsansvarlig kan delegere myndighet til samtykke kan trekkes tilbake når som helst.
leder eller medarbeider i virksomheten som skal
godkjenne utlevering av personopplysninger. Slik
delegering av myndighet skal være dokumentert.
Dersom dette ikke er gjort er det kun virksom
hetens leder selv som kan godkjenne utlevering.
• Det skal bestemmes hvem som skal utføre oppgaven,
eventuelt oppgavene, i forbindelse med utlevering.
• På forespørsel om utlevering skal det vurderes om

11)
Personopplysningsloven § 11



EKSEMPEL – INNHENTING AV SAMTYKKE FØR Der personopplysningene innhentes fra den registrerte
REGISTRERING PÅ NETTHANDELSSTED selv skal informasjonen gis før behandlingen tar til.
• kunde går inn på netthandelssted for å lese Informasjon skal gis uoppfordret, uten at den registrerte
produktnyheter krever det, og uten kostnader for den registrerte 13).
• nettstedet sender et vindu/skjermbilde med fore
spørsel til kunde om å registrere seg med epost Plikt til å informere når det samles inn opplysninger
adresse for å motta produktnyheter fra den registrerte er beskrevet i personopplysnings
• nettsted kan ikke sende reklame per epost til pri loven § 19.
vate mottakere uten at mottakeren har samtykket

4.3.3 Rutiner for innsyn, retting
4.3.2 Oppfyllelse av plikt til informasjon og supplering
ved innsamling av personopplysninger
INNSYN
Den behandlingsansvarlige er pålagt å informere den Rett til innsyn i personopplysninger er beskrevet i
registrerte om behandlingen som igangsettes 12). personopplysningsloven § 18. Virksomheten skal ha

§ 18 Rett til innsyn a) navn og adresse på den behandlingsansvarlige og dennes
eventuelle representant
Enhver som ber om det, skal få vite hva slags behandling av per- b) formålet med behandlingen
sonopplysninger en behandlingsansvarlig foretar, og kan kreve å få c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker
følgende informasjon om en bestemt type behandling d) det er frivillig å gi fra seg opplysningene
a) navn og adresse på den behandlingsansvarlige og dennes even- e) annet som gjør den registrerte i stand til å bruke sine rettigheter
tuelle representant etter loven her på best mulig måte, som f.eks. informasjon om
b) hvem som har det daglige ansvaret for å oppfylle den handlings- retten til å kreve innsyn, jf. § 18, og retten til å kreve retting, jf. §
ansvarliges plikter 27 og § 28
c) formålet med behandlingen
d) beskrivelser av hvilke typer personopplysninger som behandles Varsling er ikke påkrevd dersom det er på det rene at den registrerte
e) hvor opplysningene er hentet fra allerede kjenner til informasjonen i første ledd.
f) om personopplysningene vil bli utlevert, og eventuelt hvem som er
mottaker § 20 Informasjonsplikt når det samles
Dersom den som ber om innsyn er registrert, skal den behandling-
inn opplysninger fra andre enn den
sansvarlige opplyse om registrerte
a) hvilke opplysninger om den registrerte som behandles
b) sikkerhetstiltakene ved behandlingen, så langt innsyn ikke svekker En behandlingsansvarlig som samler inn personopplysninger fra
sikkerheten andre enn den registrerte selv, skal av eget tiltak informere den
registrerte om hvilke opplysninger som samles inn og gi informasjon
Den registrerte kan kreve at den behandlingsansvarlige utdyper in- som nevnt i § 19 første ledd så snart opplysningene er innhentet.
formasjonen i første ledd bokstav a - f i den grad dette er nødvendig Dersom formålet med innsamling av opplysningene er å gi dem
for at den registrerte skal kunne vareta egne interesser. Retten til videre til andre, kan den behandlingsansvarlige vente med å varsle
informasjon etter annet og tredje ledd gjelder ikke dersom personop- den registrerte til utleveringen skjer.
plysningene behandles utelukkende for historiske, statistiske eller
vitenskapelige formål og behandlingen ikke får noen direkte betydn- Den registrerte har ikke krav på varsel etter første ledd dersom
ing for den registrerte. a) innsamlingen eller formidlingen av opplysningene er uttrykkelig
fastsatt i lov
b) varsling er umulig eller uforholdsmessig vanskelig
§ 19 Informasjonsplikt når det samles c) det er på det rene at den registrerte allerede kjenner til informas-
inn opplysninger fra den registrerte jonen varselet skal inneholde

Når det samles inn personopplysninger fra den registrerte selv, Når varsling unnlates med hjemmel i bokstav b, skal informasjonen
skal den behandlingsansvarlige av eget tiltak først informere den likevel gis senest når det gjøres en henvendelse til den registrerte på
registrerte om grunnlag av opplysningene.

12)
Personopplysningsloven §§ 19 og 20, 13) Personopplysningsloven § 17

side 20. RUTINER FOR INTERNKONTROLL


rutine for behandling av forespørsel om innsyn fra • formidling av forespørsel til aktuelle system/
mulig registrerte. dataeiere
• verifisere korrekthet av forespurte endringer av
Følgende elementer inngår i rutine for behandling opplysninger
av forespørsel om innsyn og må konkretiseres av den • hvis verifisert, utstede arbeidsordre for oppdatering
behandlingsansvarlige av systemer
• mottak av forespørsel om innsyn fra mulig registrert • bekrefte skriftlig til den som forespurte om endring
person er som er gjort
• eventuelt be om skriftlig bekreftelse på forespørsel
• formidling av forespørselen til aktuelle system eller
dataeiere 4.3.4 Ivaretakelse av eventuell reserva-
• gi melding til den som ba om innsyn dersom fore sjonsrett mot automatiserte avgjørelser
spørselen ga negativt resultat
I den grad den behandlingsansvarlige utfører fullt auto
Dersom den som ba om innsyn er registrert: matiserte avgjørelser i forhold til den registrerte, kan
• Skrive ut og eventuelt utarbeide informasjon fra den registrerte kreve manuell behandling av saken/av
aktuelle systemer som spesifisert i personopplysn gjørelsen. Det er gjort unntak der den registrertes per
ingsloven § 18, i henhold til intern rutine. sonverninteresser ivaretas på en tilstrekkelig måte og
• Samle informasjon fra aktuelle systemer og over avgjørelsen er hjemlet i lov eller knytter seg til oppfyl
sende til den som forespør. lelse av kontrakt 15). Den behandlingsansvarlige skal ha
rutiner for manuell behandling dersom det er aktuelt.
RETTING OG SUPPLERING
Personopplysninger skal være tilstrekkelige og re
levante for formålet med behandlingen 14). Kravet til 4.3.5 Innsyn i privat e-post og
relevans trekker opp en ytre grense for hvilke person private filområder
opplysninger som kan tas med i behandlingen, og kan
ikke fravikes gjennom samtykke fra den registrerte. Arbeidsgivers adgang til å foreta innsyn i ansattes
Kravet til tilstrekkelighet innebærer at man må ha private epost og filer er regulert i personopplysnings
nok opplysninger for å kunne ivareta formålet med forskriften kapittel 9. I og med at ulike virksomheter
behandlingen. har ulike behov anbefaler Datatilsynet at virksomheten
utarbeider utfyllende rutiner for når innsyn kan bli
Virksomheten skal ha rutine for behandling av fore aktuelt og hvordan innsyn skal gjennomføres. Slike be
spørsel om retting og supplering for en registrert. stemmelser kan ikke fravike bestemmelsene i forskrif
Det kan også være behov for retting i henhold til lo tens kapittel 9 til ugunst for arbeidstaker. Instruksen
vens § 27. Bestemmelsen slår blant annet fast: kan overprøves av Datatilsynet. Dersom virksomheten
ikke har utarbeidet utfyllende bestemmelser, vil innsyn
«Dersom det er behandlet personopplysninger som er måtte avgjøres ut fra tolking av personopplysningsfor
uriktige, ufullstendige eller som det ikke er adgang til å skriftens bestemmelser.
behandle, skal den behandlingsansvarlige av eget tiltak
eller på begjæring av den registrerte rette de mangel
fulle opplysningene.»
DOKUMENTERTE RUTINER 2
Virksomheten skal også ha rutiner for retting når det ❑ Finnes det dokumenterte rutiner for innhenting og kontroll av
avdekkes feil internt i virksomheten. Dersom virksom samtykke?
heten har behandlet personopplysninger som den ikke ❑ Er dokumenterte rutiner for oppfyllelse av plikt til informasjon
har adgang til å behandle skal retting som hovedregel på plass?
skje ved at opplysningene slettes. ❑ Har virksomheten utarbeidet dokumenterte rutiner for innsyn,
retting og supplering?
Følgende elementer inngår i rutiner for behandling av ❑ Er det utarbeidet dokumenterte rutiner for ivaretakelse av
forespørsel om retting og supplering, og må konkreti eventuell reservasjonsrett mot automatiserte avgjørelser?
seres av den behandlingsansvarlige ❑ Finnes det dokumenterte rutiner for innsyn i privat e-post og
• mottak av forespørsel om retting eller supplering for private filområder? (ikke obligatorisk)
en registrert

14)
Personopplysningsloven § 11, 15) Personopplysningsloven § 25



5. Informasjonssikkerhet

5.1 Hva er informasjonssikkerhet? Risikovurderingen danner grunnlag for iverksettelse
av nødvendige sikkerhetstiltak og inngår i underlag
Informasjonssikkerhet dreier seg om å håndtere risiko for ledelsens gjennomgang av informasjonssystemet
relatert til virksomhetens informasjonsverdier og og informasjonssikkerheten. Sikkerhetstiltakene må
behandling av personopplysninger. Personopplysninger stå i forhold til vurdert risiko og sørge for at disse er
kan eksistere i mange former. De kan trykkes eller skri innenfor de akseptkriterier virksomheten har fastlagt.
ves på papir, lagres elektronisk, overføres via post eller Dersom risikovurderingen viser behov for ytterlige
elektroniske media eller formidles muntlig. Uansett tiltak, planlegges og gjennomføres disse for å skape et
hvilken form informasjonen har eller hvilket middel tilfredsstillende sikkerhetsnivå. Avslutningsvis lages
den formidles gjennom og lagres på, bør den alltid rutiner og prosedyrer som jevnlig gjennomføres, for å
beskyttes på en tilfredsstillende måte. kontrollere at tiltakene virker etter hensikten. Denne
fremgangsmåten og tilhørende rutiner kan organiseres
INFORMASJONSSIKKERHET OMFATTER HER BESKYTTELSE AV og dokumenteres i et styringssystem for informasjons
• konfidensialitet – hindre uvedkommende i å få tilgang sikkerhet som en del av internkontrollen.
på opplysningene
• integritet – ingen uautorisert eller utilsiktet endring
av opplysninger 5.2 Sikkerhetsmål og
• tilgjengelighet – opplysningene er tilgjengelige når sikkerhetsstrategi
tilgang er nødvendig
Fra innledende aktiviteter er følgende fylt inn i
I stadig større grad står organisasjoner og deres infor Sikkerhetsmål og -strategi
masjonssystemer overfor en rekke sikkerhetstrusler, for • begrunnelse for behandling av personopplysninger
eksempel datasvindel, spionasje, sabotasje og hærverk. • formål med de ulike behandlinger (overordnet)
Skadelige aktiviteter, som spredning av datavirus, • retningslinjer for bruk av IT til behandling av per
datakriminalitet og tjenesteblokkering, er blitt mer om sonopplysninger
fattende, ambisiøse og stadig mer sofistikerte. • retningslinjer for organisering av sikkerhet

Informasjonssikkerhet oppnås ved hjelp av planlagte og Internkontrollen skal fange opp alle krav til informa
systematiske tiltak. De tiltak som etableres, skal være sjonssikkerhet i § 21 i personopplysningsforskriften.
både organisatoriske og tekniske. Sikkerhetstiltakene Formålet er å oppfylle personopplysningslovens krav
og selve informasjonssystemet skal dokumenteres og om tilfredsstillende informasjonssikkerhet med hen
inngå som en del av internkontrollen i virksomheten. syn til konfidensialitet, integritet og tilgjengelighet. På
Sikkerhetsdokumentasjonen kan følge strukturen som bakgrunn av dette skal det utarbeides sikkerhetsmål,
beskrevet i kapittel 2.5. som inkluderer mål, sikkerhetsstrategi, og hva som
skal gjøres for å nå målene. Grunnlaget er lagt i kapit
Ved innføring av internkontroll, må virksomheten først tel 3.7, overordnede rammer. Sikkerhetsmål og -strategi er
identifisere hvilke personopplysninger som behandles. en del av styrende dokumentasjon og ledelsens ansvar.
Deretter må det utarbeides en risikoanalyse med vur
deringer av risiko for at en uønsket hendelse skjer, og
eventuelle konsekvenser av dette. 5.2.1 Sikkerhetsmål
RISIKOVURDERING SKAL GI FØLGENDE RESULTAT Sikkerhetsmålene omfatter ledelsens beslutninger om
• oversikt over identifiserte trusler hva informasjonsteknologien skal brukes til i virksomhe
• angivelse av sannsynlighet for at en uønsket hendelse ten og hvordan den skal benyttes for å nå virksomhetens
kan inntreffe øvrige mål. Sikkerhetsmål vil således utgjøre en del av
• angivelse av konsekvenser av en uønsket hendelse virksomhetens beskrivelse av sin totale målsetting.
• resultat fra analyse av sikkerhetstiltakenes effekt i Dokumentet Sikkerhetsmål og –strategi oppdateres med
forhold til risiko konkrete sikkerhetsmål for virksomheten. Det er gitt

side 22. INFORMASJONSSIKKERHET


utfyllende eksempler i denne malen. Sikkerhetsmålene 5.3 Ledelsens g jennomgang
bør i størst mulig grad være målbare, men dette er ikke
alltid enkelt. Uansett skal de være retningsgivende for Ledelsen skal årlig gjennomgå sikkerhetsmål, sikker
strategier. hetsstrategi og organisering av informasjonssystemene.
Ledelsen skal kontrollere at disse er i samsvar med
EKSEMPLER: virksomhetens behov og eventuelt oppdatere mål, stra
• Krav i relevante lover og forskrifter skal etterleves. tegi og organisering. Gjennomgangen utføres i henhold
• Selskapets informasjonsbehandling skal beskyttes til rutine beskrevet i dokumentet Ledelsens gjennomgang.
mot alle identifiserte trusler – både interne og ek
sterne, samt tilsiktede og utilsiktede. Ved ledelsens gjennomgang deltar representanter fra
• Det skal være etablert rutiner for å håndtere uøn virksomhetens øverste ledelse sammen med sikker
skede hendelser. hetsansvarlig og ITdriftsleder. Praktisk organisering
• Medarbeidere som bruker virksomhetens informa av gjennomgangen, utarbeidelse av rapport og iverk
sjonssystemer skal ha tilstrekkelig kompetanse for å setting av eventuelle tiltak kan med fordel legges til
ivareta virksomhetens sikkerhetsbehov. sikkerhetsansvarlig.

I ledelsens gjennomgang av informasjonssystemet skal
5.2.2 Sikkerhetsstrategi blant annet følgende vurderes
• resultater fra sikkerhetsrevisjoner og kontroller
Sikkerhetsstrategien skal omfatte grunnleggende utført av offentlig myndighet
beslutninger om organisering og gjennomføring av • endringer med betydning for drift av informasjons
sikkerhetsarbeidet. Dette går på fordeling av ar systemet eller for informasjonssikkerheten,
beidsoppgaver mellom ledelse og driftspersonell, og herunder
beslutning om eventuelt å ta i bruk eksterne leveran • endringer i offentlige sikkerhetskrav
dører i sikkerhetsarbeidet. Forholdet mellom ledelse, • endringer i de personopplysninger virksom
driftspersonell, sikkerhetspersonell og den enkelte heten skal behandle
bruker må avklares her. Sikkerhetsstrategien skal gjøre • endringer i trusselbildet som blant annet be
rede for organisatoriske og tekniske strategiske valg, skrevet i rapport fra utførte risikovurderinger
og må være utformet på en måte som gjør at de ansatte • om informasjonssystemet bør endres, eksempelvis
forstår hva ledelsen har bestemt. Strategien beskri som følge av ønske om ny funksjonalitet
ver hvilke virkemidler virksomheten velger å bruke • overordnet behandling av alvorlige avvik og hend
for å nå målene. Det kan velges ulike strategier for å elser
tilfredsstille samme mål.

EKSEMPLER:
MALDOKUMENT SIKKERHETSMÅL OG –STRATEGI
• Egenkontroll skal utføres regelmessig i henhold til
systematiserte rutiner.
❑ Inneholder dokumentet begrunnelse og formål med behand-
• Alle som får tilgang til fortrolige opplysninger om
ling av personopplysninger?
bedriften eller bedriftens kunder, skal signere en
❑ Inkluderer dokumentet ledelsens mål for bruk av
taushetserklæring. informasjonsteknologi?
• Nettverkstrafikk mot virksomheten fra Internett ❑ Er sikkerhetsmålene inkludert i dokumentet?
skal kontrolleres. ❑ Går sikkerhetsstrategien frem av dokumentet?

§ 13 Informasjonssikkerhet masjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal
være tilgjengelig for medarbeiderne hos den behandlingsansvar-
Den behandlingsansvarlige og databehandleren skal gjennom lige og hos databehandleren. Dokumentasjonen skal også være
planlagte og systematiske tiltak sørge for tilfredsstillende infor- tilgjengelig for Datatilsynet og Personvernnemnda.
masjonssikkerhet med hensyn til konfidensialitet, integritet og
tilgjengelighet ved behandling av personopplysninger. En behandlingsansvarlig som lar andre få tilgang til person-
opplysninger, f.eks. en databehandler eller andre som utfører
For å oppnå tilfredsstillende informasjonssikkerhet skal den oppdrag i tilknytning til informasjonssystemet, skal påse at disse
behandlingsansvarlige og databehandleren dokumentere infor- oppfyller kravene i første og annet ledd.

INFORMASJONSSIKKERHET side 23.


Eksempel på rapport fra ledelsens g jennomgang av
informasjonssystemet og informasjonssikkerheten

Rapport fra ledelsens VIRKSOMHET: SKREVET AV: DATO: ARKIVREF:
gjennomgang år xxxx XX Sikkerhetsansvarlig 1.12.xxxx xx.yyyy

DELTAGERE:
Virksomhetsleder NN
Sikkerhetsansvarlig NN
IT-driftsleder NN

DISTRIBUSJON: Møtedeltakerne

SAKNR. SAK AKSJON ANSV./ FRIST

1/XX Rapporter fra utførte sikkerhetsrevisjoner.
Rapportene fra sikkerhetsrevisjoner ble lagt fram uten merknader.

2/XX Behandling av regi- Det innhentes bistand IT-driftsleder
strerte sikkerhets- til endring. 15.12.xxxx
brudd og logger.

Innbrudd på nettsted
bør gi endret sikker-
hetsstrategi.

3/XX Behandling av foreslåtte nye løsninger.
Prosjektforslaget for bruk av hjemmekontor ble godkjent.

Resultatene dokumenteres i rapport
i henhold til mal i dokumentet LEDELSENS GJENNOMGANG
Ledelsens gjennomgang.
❑ Inkluderer dokumentet Ledelsens gjennomgang en rutine
for ledelsens årlige gjennomgang av informasjonssystemet og
informasjonssikkerheten i virksomheten?
❑ Er ansvar for forberedelse og innkalling på plass?
❑ Er det etablert en mal til rapport for dokumentet Ledelsens
gjennomgang?

side 24. INFORMASJONSSIKKERHET

Internkontroll og informasjonssikkerhet

Internkontroll og informasjonssikkerhet

Recommended

Recommended

More Related Content

Similar to Internkontroll og informasjonssikkerhet

Similar to Internkontroll og informasjonssikkerhet (8)

Internkontroll og informasjonssikkerhet