Har vi fått fire sikkerhetsegenskaper med personvernforordningen?
Alle vi som jobber med informasjonssikkerhet er godt kjent med sikkerhetsegenskapene K – I – T, Konfidensialitet, Integritet og Tilgjengelighet. Sikkerhetsansvarlige og personvernombud har heiet fram disse sikkerhetsegenskapene i årtier, og minnet om å ta hensyn til dem i interne og eksterne risikovurderinger.
Men har vi nå fått en fjerde sikkerhetsegenskap, Robusthet, med forordningen?
Artikkel 32 i personvernforordningen sier:
1. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i […], skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder blant annet […]
b) evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene
Hva er egentlig robusthet?
Personvernforordningen definerer ikke robusthet (resilience), men sier likevel noe om det i punkt 49 i fortalen: «[…] å stå imot utilsiktede hendelser eller ulovlige eller skadelige handlinger som svekker tilgjengeligheten, autentisiteten, integriteten og konfidensialiteten […]».
Den mest hensiktsmessige tolkningen av dette er muligens presentert av (National Institute of Standards and Technology, NIST) som sier at robusthet handler om informasjonssystemers evne til å:
- fortsette å operere under ugunstige forhold eller stress, selv under degradert eller svekket tilstand, samtidig som de opprettholder essensiell operasjonell drift; og
- gjenopprette normaltilstand på en effektiv måte, innen en tidsramme som er i samsvar med virksomhetens behov.
Robusthet innebærer at organisasjonen, informasjonssystemer og tjenester som behandler personopplysninger skal kunne tåle endringer og ytre påvirkninger. Samtidig skal personvernprinsippene og de registrertes rettigheter og friheter ivaretas. Dette gjelder under både normale og unormale omstendigheter. Det vil for eksempel si at informasjonssikkerheten i programvare og tjenester ikke svekkes eller må settes opp på nytt, men opprettholdes ved endringer (dette inkluderer oppdateringer) og ytre påvirkninger. Når organisasjonen sikrer at systemene har innebygd personvern og informasjonssikkerhet, bygges robusthet inn i systemene. Robusthet skal også sikre stabilitet over tid for informasjonssystemer som behandler personopplysninger.
Hvordan oppnå robusthet?
Tekniske og organisatoriske tiltak for å oppnå robusthet kan være:
- Regelmessige opplæringstiltak og bevisstgjøringskampanjer for å bygge personvern- og sikkerhetskultur i hele virksomheten
- Prosedyrer for effektiv avvikshåndtering, noe som omfatter å
- oppdage sikkerhetshendelser,
- analysere sikkerhetshendelser for å finne ut om det har oppstått brudd på personopplysningssikkerheten,
- gjenopprette normaltilstand,
- rapportere brudd på personopplysningssikkerheten til ledelsen, de registrerte, behandlingsansvarlig, Datatilsynet mm,
- implementere tiltak som lukker sårbarheten som medførte hendelsen,
- evaluere og lære av hendelsen (omfatter også opplæring av ansatte)
- Tilgangsstyring – ivareta konfidensialitet, integritet og tilgjengelighet
- Regelmessig evaluering av effektiviteten av eksisterende tiltak
- Kontinuerlig vurdere nye tekniske og organisatoriske tiltak med hensyn til «state of the art» og utviklingen i samfunnet
- Regelmessig sikkerhetstesting av systemer, løsninger, programmer og verktøy
- Etablere og vedlikeholde kontinuitetsplaner, inkludert rutiner for sikkerhetskopiering og gjenoppretting.
- Etablere og vedlikeholde beredskapsplaner
- Regelmessige øvelser for de ansatte på kriser og utfordringer i henhold til virksomhetens beredskapsplaner og kontinuitetsplaner
- Styringssystem for personvern og informasjonssikkerhet
Sikkerhetsegenskapene skal ivareta personvernprinsippene
Manglende robusthet kan føre til sikkerhetshendelser. Det er ikke selve mangelen på robusthet som vil være et brudd på informasjonssikkerhet, men resultatet av mangelen på robusthet.
Artikkel 4 punkt 12 i forordningen definerer brudd på personopplysningssikkerheten slik: «et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet».
Alle de fire sikkerhetsegenskapene skal bidra til en effektiv ivaretagelse av personvernprinsippene, og dine og mine rettigheter og friheter. Den behandlingsansvarlige og databehandleren har plikt til å sørge for dette.
Fra at vi tradisjonelt sett har hatt de tre sikkerhetsegenskapene K – I – T, er vi med personvernforordningen beriket med fire? Skal vi forkorte dem R – I – K – T?
Om algoritmer og bearnaisesaus
En sausoppskrift er egentlig litt som en algoritme. Noe av det beste jeg vet er bearnaisesaus. Jeg skal kort fortelle hvilke muligheter man har til å lage en bearnaise. Vi kan kjøpe en pose fra Toro, ha i smør og melk, og koke i fem minutter. Resultatet blir helt ok....
les mer Personvern i digital undervisning er absolutt mulig
Da pandemien først traff, og skoler og samfunnet måtte digitaliseres nærmest over natta, ble kvalitet på undervisning og deltagelse forståelig nok de to viktigste målene i digitaliseringsdugnaden. Nye tjenester for digital undervisning ble tatt i bruk, og lærere...
les mer Helseministeren skyter på feil blink
Det pågår en kamp om hvem som har skylden for at Smittestopp ble vraket. Helse- og omsorgsminister Bent Høie har ved flere anledninger gått langt i å antyde at Datatilsynet har skyld i at Folkehelseinstituttet (FHI) avviklet appen og slettet alle data. Han kritiserer...
les mer
Kriselov i koronatider: Blir viktige hensyn ivaretatt?
Under pandemien innførte Stortinget en kriselov som sidesatte vanlige demokratiske prosesser og lot regjeringen innføre nye midlertidige tiltak i ekspressfart. Men kan midlertidige løsninger gi varige konsekvenser? Stortinget innførte kriseloven i mars 2020. Formålet...
les mer Trenger hjernen egne rettigheter?
Denne bloggen er basert på et innlegg som jeg holdt på lanseringen av Dag Hareides bok «Mennesket og teknomakten» i september, og er derfor muntlig i formen. Mennesket, hjernen og teknologi er et interessant, skummelt og fortsatt litt science fiction-aktig tema. Det...
les mer
Influensatrender
Koronapandemien avdekker hvor mye verden har endret seg det siste tiåret. Kampen mot koronaviruset foregår over hele verden og på mange fronter samtidig. En viktig frontlinje er forsøkene på å etablere systemer som kan spore smitte og bryte smittekjeder mer effektivt...
les mer
Koronasvindlerne
Koronapandemien har vist at også cyberkriminelle vet å omfavne en god krise. Mange forbinder cyberkriminalitet utelukkende med tradisjonell hacking – å utnytte tekniske sårbarheter i datasystemene for å bryte seg inn i dem. Av den grunn er det også mange som knytter...
les mer Hardere fronter i arbeidslivet? Kontroll og sporing i en krisesituasjon
Arbeidstakere har rett til personvern og privatliv også når de er på jobb. Denne retten har blitt utfordret av koronapandemien, hvor arbeidsgivere har hatt et legitimt behov for å innføre kontrolltiltak for å redusere smitterisiko på arbeidsplassen. Et viktig spørsmål...
les mer Digitaliseringen av skolesektoren krenker elevenes personvern
Det nærmer seg skolestart og snart vender mange tusen elever forventningsfulle tilbake til skolebenken. Datatilsynet frykter at de vender tilbake til en skole som mangler kompetanse og ressurser til å sikre deres personopplysninger. (Denne kronikken er skrevet i...
les mer Koronaskolen: alt nytt på hjemmeskolefronten
Da samfunnet stengte ned i mars, ble vi alle kastet ut i ukjent territorium. Arbeidsplasser og restauranter skalket lukene. Å vandre gatelangs i Oslo på kveldstid minnet om å bevege seg i et dystopisk framtidsscenario. Den levende byen ble over natten nærmest...
les mer
Siste kommentarer