get_queried_object(); $id = $cu->ID; ?>

Har vi fått fire sikkerhetsegenskaper med personvernforordningen?

Alle vi som jobber med informasjonssikkerhet er godt kjent med sikkerhetsegenskapene K – I – T, Konfidensialitet, Integritet og Tilgjengelighet. Sikkerhetsansvarlige og personvernombud har heiet fram disse sikkerhetsegenskapene i årtier, og minnet om å ta hensyn til dem i interne og eksterne risikovurderinger.

Men har vi nå fått en fjerde sikkerhetsegenskap, Robusthet, med forordningen?

Artikkel 32 i personvernforordningen sier:
1. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i […], skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder blant annet […]
b) evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene

Hva er egentlig robusthet?

Personvernforordningen definerer ikke robusthet (resilience), men sier likevel noe om det i punkt 49 i fortalen: «[…] å stå imot utilsiktede hendelser eller ulovlige eller skadelige handlinger som svekker tilgjengeligheten, autentisiteten, integriteten og konfidensialiteten […]».

Den mest hensiktsmessige tolkningen av dette er muligens presentert av (National Institute of Standards and Technology, NIST) som sier at robusthet handler om informasjonssystemers evne til å:

  • fortsette å operere under ugunstige forhold eller stress, selv under degradert eller svekket tilstand, samtidig som de opprettholder essensiell operasjonell drift; og
  • gjenopprette normaltilstand på en effektiv måte, innen en tidsramme som er i samsvar med virksomhetens behov.

Robusthet innebærer at organisasjonen, informasjonssystemer og tjenester som behandler personopplysninger skal kunne tåle endringer og ytre påvirkninger. Samtidig skal personvernprinsippene og de registrertes rettigheter og friheter ivaretas. Dette gjelder under både normale og unormale omstendigheter. Det vil for eksempel si at informasjonssikkerheten i programvare og tjenester ikke svekkes eller må settes opp på nytt, men opprettholdes ved endringer (dette inkluderer oppdateringer) og ytre påvirkninger. Når organisasjonen sikrer at systemene har innebygd personvern og informasjonssikkerhet, bygges robusthet inn i systemene. Robusthet skal også sikre stabilitet over tid for informasjonssystemer som behandler personopplysninger.

Hvordan oppnå robusthet?

Tekniske og organisatoriske tiltak for å oppnå robusthet kan være:

  • Regelmessige opplæringstiltak og bevisstgjøringskampanjer for å bygge personvern- og sikkerhetskultur i hele virksomheten
  • Prosedyrer for effektiv avvikshåndtering, noe som omfatter å
    • oppdage sikkerhetshendelser,
    • analysere sikkerhetshendelser for å finne ut om det har oppstått brudd på personopplysningssikkerheten,
    • gjenopprette normaltilstand,
    • rapportere brudd på personopplysningssikkerheten til ledelsen, de registrerte, behandlingsansvarlig, Datatilsynet mm,
    • implementere tiltak som lukker sårbarheten som medførte hendelsen,
    • evaluere og lære av hendelsen (omfatter også opplæring av ansatte)
  • Tilgangsstyring – ivareta konfidensialitet, integritet og tilgjengelighet
  • Regelmessig evaluering av effektiviteten av eksisterende tiltak
  • Kontinuerlig vurdere nye tekniske og organisatoriske tiltak med hensyn til «state of the art» og utviklingen i samfunnet
  • Regelmessig sikkerhetstesting av systemer, løsninger, programmer og verktøy
  • Etablere og vedlikeholde kontinuitetsplaner, inkludert rutiner for sikkerhetskopiering og gjenoppretting.
  • Etablere og vedlikeholde beredskapsplaner
  • Regelmessige øvelser for de ansatte på kriser og utfordringer i henhold til virksomhetens beredskapsplaner og kontinuitetsplaner
  • Styringssystem for personvern og informasjonssikkerhet

Sikkerhetsegenskapene skal ivareta personvernprinsippene

Manglende robusthet kan føre til sikkerhetshendelser. Det er ikke selve mangelen på robusthet som vil være et brudd på informasjonssikkerhet, men resultatet av mangelen på robusthet.

Artikkel 4 punkt 12 i forordningen definerer brudd på personopplysningssikkerheten slik: «et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet».

Alle de fire sikkerhetsegenskapene skal bidra til en effektiv ivaretagelse av personvernprinsippene, og dine og mine rettigheter og friheter. Den behandlingsansvarlige og databehandleren har plikt til å sørge for dette.

Fra at vi tradisjonelt sett har hatt de tre sikkerhetsegenskapene K – I – T, er vi med personvernforordningen beriket med fire? Skal vi forkorte dem R – I – K – T?

Om algoritmer og bearnaisesaus

En sausoppskrift er egentlig litt som en algoritme. Noe av det beste jeg vet er bearnaisesaus. Jeg skal kort fortelle hvilke muligheter man har til å lage en bearnaise. Vi kan kjøpe en pose fra Toro, ha i smør og melk, og koke i fem minutter. Resultatet blir helt ok....

les mer

Helseministeren skyter på feil blink

Det pågår en kamp om hvem som har skylden for at Smittestopp ble vraket. Helse- og omsorgsminister Bent Høie har ved flere anledninger gått langt i å antyde at Datatilsynet har skyld i at Folkehelseinstituttet (FHI) avviklet appen og slettet alle data. Han kritiserer...

les mer

Trenger hjernen egne rettigheter?

Denne bloggen er basert på et innlegg som jeg holdt på lanseringen av Dag Hareides bok «Mennesket og teknomakten» i september, og er derfor muntlig i formen. Mennesket, hjernen og teknologi er et interessant, skummelt og fortsatt litt science fiction-aktig tema. Det...

les mer

Influensatrender

Koronapandemien avdekker hvor mye verden har endret seg det siste tiåret. Kampen mot koronaviruset foregår over hele verden og på mange fronter samtidig. En viktig frontlinje er forsøkene på å etablere systemer som kan spore smitte og bryte smittekjeder mer effektivt...

les mer

Koronasvindlerne

Koronapandemien har vist at også cyberkriminelle vet å omfavne en god krise. Mange forbinder cyberkriminalitet utelukkende med tradisjonell hacking – å utnytte tekniske sårbarheter i datasystemene for å bryte seg inn i dem. Av den grunn er det også mange som knytter...

les mer

Koronaskolen: alt nytt på hjemmeskolefronten

Da samfunnet stengte ned i mars, ble vi alle kastet ut i ukjent territorium. Arbeidsplasser og restauranter skalket lukene. Å vandre gatelangs i Oslo på kveldstid minnet om å bevege seg i et dystopisk framtidsscenario.  Den levende byen ble over natten nærmest...

les mer

Siste kommentarer

    Arkiv

    Følg oss:

    Ønsker du å motta e-post når nye innlegg postes på Personvernbloggen, kan du registrere din e-postadresse her.

    E-postadressen blir lagret på vår server og kun brukt til dette formålet. Om du velger å slutte å følge oss, vil e-postadressen bli slettet fra vår server. Du samtykker til denne bruken av din e-postadresse ved å registrere den her.

    Loading