For med økt overvåking i samfunnet og av virksomheter – er det i det hele tatt mulig å være anonym? God informasjonssikkerhet er ofte viktig for å ivareta personvernet, men mange sikkerhetstiltak innebærer inngripen i personvernet til den enkelte.

Et viktig personvernprinsipp i denne sammenhengen er proporsjonalitetsprinsippet:

Innsamling og behandling av personopplysninger er regulert i personopplysningsloven. Behandlingen av opplysninger om deg må ikke medføre urimelig belastning for din integritet eller selvråderett. Det må være balanse mellom hensyn til den som registrerer og den som blir registrert, og registreringen må være proporsjonal med formålet. Man skal alltid velge det alternativet som griper minst inn i personvernet til den enkelte når man har valget mellom to ulike måter å behandle personopplysninger på.

Hvor går grensen for hvem, hva, og når vi skal overvåke?
En del foreldre synes det er greit å overvåke barna sine. De ønsker selvsagt at barna skal vokse opp trygt og godt, og har begynt å ta i bruk teknologi for å bistå dem med dette. Noen putter en GPS-brikke i ranselen for å forsikre seg om at barna rekker skolen. Andre sjekker chatlogger, SMS-er, internetthistorikk, og kanskje til og med dagbøkene (elektroniske eller ikke).

Jeg er selv mor til to barn i barneskolen, og jeg får frysninger av dette. Jeg mener at mine barn skal få lov til å ta en avstikker når de beveger seg fra A til B, uten at jeg må vite om dette. Om min datter sier at hun skal gå til en venninne, men stikker innom en annen på veien, så hva så? Barna har rett til personvern de også, og hvis de føler seg overvåket på én kanal, så er jeg sikker på at de kommer til å bruke en annen kanal, kanskje en mer ubeskyttet kanal, for å kommunisere med sine venner. Fremfor å overvåke baserer jeg meg på å lære mine barn tillit og ha en åpen dialog. Vi snakker om hva som er greit og ikke greit å gjøre på nett eller i kommunikasjon med andre.

Hva tenker så foreldrene når de selv blir overvåket av sin arbeidsgiver? Er det like greit?
Vi har hatt noen saker inne til vurdering hos oss. Den ene saken dreide seg om dekryptering og innholdsinspeksjon av ansattes krypterte nettrafikk. Formålet for virksomheten er å sørge for tilfredsstillende informasjonssikkerhet gjennom å avdekke og avskjære trafikk inneholdende virus eller annen programvare som er skadelig for virksomhetens systemer. Et godt formål, men inngripende i den sikre kommunikasjonen som den ansatte skulle ha med sin bank, i sin private e-post, i sin aktivitet på sosiale nettsteder og liknende.

For virksomheten var det ikke et alternativ å avskjære kryptert trafikk. Dette skyldtes både av forretningsmessige og tekniske hensyn, så vel som hensynet til de ansatte. Avskjæring ville vanskeliggjøre nødvendig virksomhetsrelatert kommunikasjon med selskapets avtaleparter og tjenesteytere. Og å forby de ansatte å benytte virksomhetens systemer til private formål kunne anses å være et mer inngripende tiltak enn det å stille vilkår for slik bruk. Datatilsynet la til grunn risikovurderingen virksomheten hadde gjort og vurderte tiltaket som forholdsmessig. Vi la vekt på at virksomheten etablerte en whitelist og en blacklist, og at det bare var deler av kommunikasjonen som ble underlagt tiltaket. Innholdsinspeksjon ble gjennomført på en lite inngripende måte. Vi minnet også om plikten til å informere de ansatte om tiltaket.

Det finnes andre sikkerhetstiltak som også brukes, slik som Data Loss Prevention og Mobile Device Management. Jeg går ikke i inn på disse her, men jeg vil si at også ved bruk av slike sikkerhetstiltak og verktøy må man gjøre en vurdering av sikkerheten til virksomheten opp mot personvernet til de ansatte. Man bør ikke bruke et tiltak nøyaktig slik de er satt opp som standard fra leverandør, men heller vurdere hvilke informasjonsverdier det er viktig å beskytte for virksomheten, og hvordan de kan implementere tiltaket uten å få innsyn i den ansattes private kommunikasjon, helseopplysninger, bilder og liknende. Det handler igjen om proporsjonalitet og balanse.

Vi har tidligere gitt arbeidsgivere overtredelsesgebyr på 75.000 kroner for å ha foretatt ulovlig innsyn i de ansattes e-post. Siden det er mange som kontakter oss om overvåking i arbeidslivet, så har vi gode veiledningssider på våre nettsider med råd til arbeidsgivere og til arbeidstakere.

Men hva så med ansatte som snoker?
Det er dessverre ofte oppslag i media om ansatte ved helseforetak som benytter sin tilgang til pasientjournaler for å tilfredsstille sin nysgjerrighet. De gjør blant annet urettmessige oppslag på kjendiser, kollegaer og naboer. Her kan man ikke bestandig basere seg på tillit og ta stikkprøver av logger, men man bør innføre tekniske sperrer. Først og fremst bør det på plass en sterk autentisering, slik at man vet hvem som har vært inne og lest i hvilke journaler. I tillegg må man ha på plass logging og logganalyse. En løsning for logganalyse har Nasjonal IKT i samarbeid med andre aktører kommet frem til i et prosjekt om logganalyse og mønstergjenkjenning som metode. Prosjektet kalles «Etablering av nasjonal metode og rammeverk for statistisk analyse av logger fra oppslag i behandlingsrettede helseregistre».

Som Nasjonal IKT skriver i sitt prosjekt så er konfidensialitet en forutsetning for pasientenes tillit til helsevesenet. Det er ulovlig å gjøre oppslag i en journal uten at det foreligger et tjenstlig behov. Oppslaget må være begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp, eller ha særskilt hjemmel i lov eller forskrift. Helseforetakene har lovpålagt plikt til å beskytte helseopplysninger mot uberettiget innsyn. Ett av tiltakene er plikten til å loggføre alle oppslag, og føre jevnlig kontroll med loggen. Metoden har vist seg å være den best egnede for å kontrollere oppslagene i pasientjournalen. Metodens utgangspunkt er at de fleste oppslag som utføres er legitime, mens oppslag som bryter med det vanlige oppslagsmønsteret i klinikken blir kontrollert. Alle oppslag analyseres først maskinelt og oppslag som fremstår som uvanlige, kontrolleres etter en manuell prosedyre. Det er dermed oppslagsmønstrene som styrer metoden og ikke forhåndsdefinerte regler.

Hva med overvåking av myndighetene?
Nei, det er heller ikke greit, og det mente EU-domstolen også da den kom frem til at Datalagringsdirektivet er ulovlig. I tillegg fastslo en ekspertutredning at forslaget til norsk datalagringsregelverk, som kom etter direktivet, ikke lar seg forene med menneskerettighetskonvensjonen.

Dessverre hersker det andre tilstander i USA. Det er nærmest dagligdags å lese om hvilke tilganger myndighetene tilegner seg lovlig og ulovlig. En av de nyere artiklene jeg har lest, handler om at Obama-administrasjonen har bestemt seg for at de allikevel ikke skal be om en bakdør for å få tilgang til kryptert informasjon på iPhone og andre digitale enheter. Selv om dette er en god nyhet, var det helt klart ikke personvernet til den enkelte som stod i fokus da de bestemte dette. Det var i stedet virkeligheten som innhentet dem: Dersom det skulle lages en bakdør inn for amerikanske myndigheter, ville dette bli et kikkhull som også Kina, Russland, cyberkriminelle og terrorister kunne ha mulighet til å utnytte.

Så hvilke råd kan Datatilsynet gi til vokterne som skal vokte seg selv?
Jeg mener dette er enkelt. Ta i bruk løsninger som har innebygd personvern og still det som krav til leverandører, og gjør en vurdering av konsekvensene for personvernet.

Dersom en virksomhet skal innføre sikkerhetstiltak som kan virke inngripende på personvernet, gjør følgende:

• Vurder tekniske sperrer fremfor å basere seg på å inspisere logger i etterkant.
• Definer formålet med sikkerhetstiltaket.
• Finnes det et behandlingsgrunnlag?
• Hva slags personopplysninger behandles? Kan noe anonymiseres?
• Definer lagringstid.
• Involver tillitsvalgte i forkant.
• Innfør klare og tydelige retningslinjer om tiltak og innsyn, og gi god informasjon til de ansatte om tiltaket.
• Definer hva som er et grovt brudd på informasjonssystemet og som kan føre til innsyn.
• Gi god informasjon og tidsfrister for opphør av uønsket/ulovlig aktivitet før det blir gjort innsyn i den ansattes kommunikasjon.

Dere finner oversikt over virksomhetens plikter på datatilsynet.no.

Alt i alt handler det om moderasjon, respekt og åpenhet. Enkelt og greit.

Én skytjeneste er ikke lik en annen skytjeneste. Én måte å bruke en skytjeneste er ikke lik en annen måte å bruke en skytjeneste. Én personopplysning er ikke lik en annen personopplysning. Og sånn kan jeg fortsette. Vi i Datatilsynet kan ikke si «ja, dere kan bruke skytjenester», fordi vi er ikke juridisk ansvarlig for virksomheters behandling av personopplysninger. Det er den enkelte virksomheten som er ansvarlig og som kjenner til hva slags personopplysninger de besitter, og hvordan de samler inn, registrerer, sammenstiller, lagrer og utleverer opplysningene. Det er også den enkelte virksomheten som må vurdere skyleverandøren ut i fra hvilke lands lover som gjelder, lokasjon, sikkerhet og så videre.

Kommuner ser på andre kommuner og sier «Narvik kommune og Moss kommune fikk jo lov». Vel, det var ikke gjort i en fei, og det gikk noen runder frem og tilbake mellom Datatilsynet og kommunene. Og det var mye jobb som ble gjort før sakene ble avsluttet i 2012.

Så det er ikke bare å legge personopplysninger ut i skyen?
Nei, det er det ikke. Det er mange aspekter og problemstillinger man må vurdere.

Kortfattet må virksomhetene gjøre følgende:

• Etabler internkontroll etter personopplysningsloven (§§ 14 og 13).
• Få oversikt over type personopplysninger, klassifiser og vurder hvilke personopplysninger som skal legges i skyen.
• Gjør en risikovurdering av personopplysningene, av skytjenesten og vurder de ulike problemstillingene som relateres til skytjenester.
• Finn ut hvordan man kan revidere sikkerheten hos leverandøren.
• Få på plass en databehandleravtale med leverandøren, som tilfredsstiller kravene i personopplysningsloven (§ 15).

Det er virksomheten som behandlingsansvarlig som må forsikre seg om at leverandøren har tilfredsstillende sikkerhet, og at leverandøren følger personopplysningsloven og kapittel 2 i forskriften om informasjonssikkerhet. Dette er uavhengig av om leverandøren holder til i Norge eller i utlandet, og om leverandøren er stor eller liten.

Husk at det er den behandlingsansvarlige som bestemmer og er ansvarlig for personopplysningene som behandles! Er din virksomhet behandlingsansvarlig skal dere la være å bruke leverandører som ikke har tilfredsstillende sikkerhet og som ikke følger reglene i personopplysningsloven.

Personopplysningsloven skiller ikke på om det er en SaaS, Paas eller IaaS, privat, hybrid eller allmenn sky, men problemstillingene kan variere etter hvor lite eller mye man overlater til sine leverandører. European Union Agency for Network and Information Security (Enisa) ga ut en veileder tidligere i år – om sikkerhet i skyen rettet mot små og mellomstore virksomheter.

Men databehandleravtalene til Google og Microsoft har dere vel godkjent?
Nei, vi godkjenner ikke databehandleravtaler. Man kan heller ikke legge til grunn at samme avtale passer alle. Så hver enkelt virksomhet må gjøre en risikovurdering av sin bruk og vurdere om databehandleravtalen tilsier at sikkerheten er ivaretatt. Datatilsynet kan overprøve dette ved tilsyn, men vi «godkjenner» ikke avtaler.

Uklare formuleringer i avtalene er noe av det vi ser på som avvik. For eksempel har det hendt at det står at leverandøren kan bruke personopplysningene til å forbedre egne tjenester. Hva innebærer dette? Kan leverandøren videreformidle opplysningene til en tredjepart? Kan de lage profiler for å følge en person gjennom livet gjennom bruk av ulike tjenester på tvers av skole, jobb og privat bruk?

I april i fjor ble det ved en feil kommunisert at Artikkel 29-gruppen hadde godkjent Microsoft sin avtale. Dette ble siden tilbakevist i en pressemelding fra Artikkel 29-gruppen (Eus rådgivende organ i personvernspørsmål). Det betyr ikke at avtalen er ulovlig, men at en avtale ikke godkjennes.

Kan man bruke leverandører utenfor Norge?
EU/EØS-land baserer seg på samme regelverk som Norge, slik at personopplysninger skal være trygge her. Når det gjelder land utenfor EU/EØS-samarbeidet, har EU-kommisjonen vurdert noen land til å ha adekvat beskyttelse av personopplysninger.

Nasjonal sikkerhetsmyndighet (NSM) gitt noen gode råd om hva man bør tenke på i den nylig publiserte rapporten «Helhetlig IKT-risikobilde 2015»:

«Dersom man vurderer å ta i bruk en skyleverandør bør man i vurderingen ta hensyn til hvilke land dataene passerer ved lagring, transport og behandling. Dette blir særdeles viktig dersom dataene passerer leverandører eller IKT-infrastruktur i land vi vanligvis ikke sammenligner oss med. Momenter man bør ta hensyn til vil for eksempel være: Sikkerhetspolitiske betraktninger, vertslandets samfunnsforhold og stabilitet, hvorvidt det eksisterer en god handelsavtale med Norge, hvorvidt landet er underlagt regelverk knyttet til sikkerhet og personvern, hvorvidt leverandøren er seriøs i et lengre tidsperspektiv, og hvorvidt IKT-sikkerhet er ivaretatt i leverandørens virksomhetsprosesser. Videre er det avgjørende å inngå en solid og utfyllende leiekontrakt (Service Level Agreement – SLA) – spesielt med tanke på eierskapet til egen informasjon og metadata, tilgangskontroll til data, samt IKT-spesifikke krav (oppetid, konfidensialitet, krypto-nøkkelhåndtering, backup, exit-strategi og autonomi-krav).»

I tillegg må man vite om leverandøren bruker underleverandører og gjøre de samme vurderingene av hvor denne lagrer, transporterer og behandler data.

Tematikken om skytjenester i land utenfor Europa har blitt aktualisert av at Safe Harbor-beslutningen ble kjent ugyldig i forrige uke. Dersom man vurderer en amerikansk leverandør undersøk hvor data blir lagret, transportert og behandlet. Dersom data blir overført til USA, så må man undersøke hvilket avtaleverk som ligger til grunn. Men jeg må gjenta: Det er den behandlingsansvarlige som er juridisk ansvarlig for personopplysningene – både her og der.

Skjer det noe som vil gjøre det enklere for oss å ta i bruk skytjenester?
Det er en del ting som rører seg i Norge og i utlandet på området:

• Kommunesektorens organisasjon (KS) har gjort en mulighetsstudie for bruk av skytjenester i kommunene. Rapporten, som ble lansert i juni 2015, tar for seg både forvaltningsloven, lov om offentlige anskaffelser og GPA-avtalen, reglene om vern av personopplysninger, sikkerhetsloven, bokføringsloven og arkivloven.
• Kommunal- og moderniseringsdepartementet (KMD) har publisert en rapport fra en interdepartemental arbeidsgruppe som har vurdert hindringer for bruk av skytjenester i det norske regelverket. Samtidig pågår det et arbeide med å utvikle en policy for bruk av skytjenester i offentlig sektor i regi av KMD. Rapport er forventet å bli lansert i løpet av høsten 2015.
• På europeisk nivå er det en arbeidsgruppe kalt Cloud «Select Industry Group» (C-SIG) som sammen med EU-kommisjonen jobber med å utarbeide en Code of Conduct for leverandører av skytjenester. Dette vil innebære at leverandørene skal ha en enhetlig praksis på hvordan de skal etterleve personvernreglene i Europa. Artikkel 29-gruppen skal så ta stilling til om denne Code of Conduct er tilstrekkelig til å ivareta de usikkerhetsmomenter og problemstillinger som har vært praksis over lengre tid. Det er ennå ikke kommet en opinion fra Artikkel 29-gruppen, men vi ser frem til at den skal komme.

Min anbefaling er å gjøre det du som behandlingsansvarlig er pliktig til å gjøre, undersøk hvor og hvordan leverandøren opererer, og få på plass en god databehandleravtale. Har du betenkeligheter, så er det sikkert ikke uten grunn. Still krav og stå på kravene!

I forrige uke deltok vi på Security Divas, som i år ble arrangert for femte år på rad i Gjøvik. Vi deltok også i fjor på konferansen som arrangeres av Norsk senter for informasjonssikring (NorSIS) med mål om å ta vare på, og forsterke, sikkerhetsmiljøet med flere damer. Dette bidrar til nettverksbygging og faglige innspill til alle kvinner som er – eller ønsker å være – involvert i informasjonssikkerhet.

Det var 110 engasjerte kvinner som deltok på årets konferanse. Det var gode foredragsholdere, og interessante og høyst relevante innlegg. I pausene og under måltidene var det både tid og mulighet for å diskutere faglige tema, utveksle erfaringer og utvide nettverket.

Konferansens første dag dreide seg om digitalisering og sikkerhet, mens det dagen etter handlet om personvern, Big Data og beskyttelse av egen identitet.

Hva er så det viktigste vi sitter igjen med og som vi vil formidle videre?

Mørketallene – de usynlige lovbruddene
Leder for NSR Mørketallsundersøkelsen 2014 og informasjonssikkerhetsutvalget, Janne Hagen, fortalte om de usynlige lovbruddene. Mange digitale angrep skjer uten at de blir oppdaget og rapportert inn til myndighetene. Datatilsynet får blant annet mange færre avviksmeldinger på personopplysninger på avveier enn det vi antar at skjer. Datatilsynet deltok i arbeidet med Mørketallsundersøkelsen, og blogget også om den da undersøkelsen ble presentert i september. Undersøkelsen viser blant annet hvor stor tillit offentlig sektor har til nettskyleverandører. Få stiller krav om databehandleravtale, og vi mener at det er alt for mange som ikke vet hvordan leverandørene håndterer deres data eller hvor data blir lagret. Dette er nedslående og kan innebære to lovbrudd; at man ikke har oversikt over hvor data behandles, og at det kan ha skjedd en ulovlig overføring til tredjeland.

Funn fra tilsyn
Nasjonal sikkerhetsmyndighet (NSM) hadde et innlegg med en overskrift som vi kjente oss igjen i. Vigdis Grønhaug, kontrolldirektør i NSM, ga en beskrivelse av hvilke funn de hadde gjort innenfor informasjonssikkerhet. Oppsummeringen kunne like gjerne vært fra tilsynene vi i Datatilsynet gjør på internkontroll og informasjonssikkerhetsområdet. Ikke mye nytt å lære for oss, men interessant å se hvor like avvik vi finner i kontroller etter våre to regelverk (sikkerhetsloven og informasjonssikkerhetsområdet i personopplysningsloven).

Security Architect Divas?
Digitale angrep handler ikke lenger bare om angrep som fører til at informasjonssystem blir tatt ned eller kompromittert, men nå blir det også utført digitale angrep som fører til fysisk skade. Sofie Nystrøm er utvalgsmedlem i regjeringens nye Digitale Sårbarhetsutvalg (Lysneutvalget). Hun fortalte blant annet om en sabotasje på et smelteverk i Tyskland i desember i fjor, som førte til store fysiske skader.

En virksomhet som har en sikkerhetsarkitekt viser en høyere grad av modenhet. Sikkerhetsarkitekten er en person som ser på linken mellom krav og implementasjon, ser behovene og forstår hvordan de skal løse dem, sier Nystrøm.

Et stort problem med sikkerhetsarbeidet i enkelt virksomheter, er at det jobbes mye med enkelttiltak fremfor å jobbe med helhetlige tiltak. Statistikk fra Microsoft (2014) sa at det tar 48 sekunder fra en pc er kompromittert til en angriper har oppnådd administratorrettigheter på domenet. Vi som jobber med sikkerhet må tilstrebe å se på rotårsaker til at noe oppstår i stedet for å hotfixe (en kortsiktig reparasjon av et sikkerhetshull eller sårbarhet). Man skal selvsagt patche og oppdatere sine system, men man må også se på de underliggende problemene og se på helheten av et system.

Helhetlig tankegang må inn i systemutviklingen og i sikkerhetsarbeidet allerede fra starten av. Det er ofte et stort gap mellom krav, og implementasjon og produksjon. Kravspesifikasjonen inneholder sikkerhetskrav, policy, rammeverk, styringssystem, standarder, lovverk og kontrakter. Men de som jobber med utvikling forholder seg mest til implementasjon, testing, leverandører og underleverandører. En virksomhet som har en sikkerhetsarkitekt viser en høyere grad av modenhet. Sikkerhetsarkitekten er en person som ser på linken mellom krav og implementasjon, ser behovene og forstår hvordan de skal løse dem.

Hva vil den nye personvernforordningen medføre?
De kommende personvernreglene fra EU (forordningen) blir sannsynligvis vedtatt i løpet av våren 2015 og vil så bli implementert i Norge i løpet av et par år. Dette fortalte Eva Jarbekk, som er advokat og leder av Personvernnemnda. Reglene vil medføre at det blir langt viktigere enn tidligere med god intern styring og oversikt over personopplysninger i både offentlige og private bedrifter. Virksomheter med over 5000 registrerte må ansette personvernombud, Datatilsynet vil kunne gi enorme bøter til virksomheter som har store avvik, og krav om avvikshåndtering vil bli strengere. Det vil være krav om «retten til å bli glemt», og krav om innebygd personvern (Privacy by Design) når man utvikler nye system eller løsninger. Datatilsynet er i gang med arbeidet med å se på forordningen og vi har allerede mye veiledning innenfor nytt og eksisterende regelverk. Blant annet har vi oversatt de syv prinsippene for innebygd personvern  og vi har på trappene en veiledning på hvordan man skal gjøre en vurdering av personvernkonsekvenser (Privacy Impact Assessment).

Dagens forbrukere er i økende grad bekymret over at deres personopplysninger samles inn, (mis)brukes og videreselges, og flere begynner med digitalt selvforsvar, sier Tranberg.

«Don’t give data to a stranger»
Skal man være naiv, paranoid eller bruke sunn fornuft i dagens digitale samfunn? Skal vi bruke vårt egentlige navn på sosiale nettsteder, eller bør vi bruke pseudonym i all vår digitale kommunikasjon? Hvem kan vi stole på og hvem bør vi passe oss for? Vi hørte Pernille Tranberg, som er dansk journalist, snakke om god og dårlig bruk av Big Data. Dagens forbrukere er i økende grad bekymret over at deres personopplysninger samles inn, (mis)brukes og videreselges, og flere begynner med digitalt selvforsvar. Tranberg ga oss tips om å beskytte vår digitale identitet og ha ulike brukernavn på sosiale nettsteder. Hun snakket varmt om tjenester som tilbyr personvern som standardinnstilling (privacy by default), fremfor sporing som standardinnstilling (tracking by default).

Personvernutfordringer ved Big Data er ikke ukjent for oss i Datatilsynet, og vi skrev en rapport om Big Data for halvannet år siden. En av utfordringene er nedkjølingseffekt ved at mennesker begrenser seg i sin digitale kommunikasjon med fare for hvem som «lytter». Men blir dette riktig eller skal vi stille større krav til virksomhetene som behandler våre personopplysninger? Vi bør kunne forvente at opplysningene vi legger fra oss blir behandlet trygt og sikkert, ved at opplysningene ikke blir solgt videre til datameglere eller brukt av virksomhetene til «å forbedre egne tjenester». Men selvsagt må vi ha sunn fornuft når vi beveger oss i «det offentlige rom» og sikre oss for å unngå ID-tyveri. Her har både vi og NorSIS mange gode råd. Hvor utsatt er DU for ID-tyveri? Ta en test for å finne det ut.

Hilsen Krystalle Parmeggiani – mitt pseudonym generert på nett for i dag

Denne uken ble Mørketallsundersøkelsen 2014 presentert på Sikkerhetskonferansen i regi av Næringslivets sikkerhetsråd.

Undersøkelsen er et viktig bidrag til å kartlegge omfanget av IT-sikkerhetshendelser, samt omfanget av sikringstiltak i norske virksomheter. Årets undersøkelse hadde fokus på personvern. Datatilsynet har deltatt i Informasjonssikkerhetsutvalget, og vi har vært med på å analysere tallene fra undersøkelsen. Vi har særlig sett på bruken av nettskytjenester opp mot behandling av personopplysninger.

Nytt av året er et spørsmål om databehandleravtale inngår som element i avtalen med nettskyleverandøren. Blant offentlige virksomheter har i underkant av halvparten av de spurte svart at de stiller krav til databehandleravtale, mens blant private virksomheter er det kun 1 av 5 som har dette kravet. Hvis en virksomhet setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter, krever personopplysningsloven at dette reguleres i en databehandleravtale.

At så få stiller krav om en databehandleravtale er et alarmerende tall, særlig når vi ser på hvor mange virksomheter som har svart at de bruker nettskytjenester. 2 av 3 virksomheter bruker slike tjenester som igjen betyr at en stor del av norske virksomheter og offentlige etater som bruker nettskytjenester, ikke har inngått noen skikkelig databehandleravtale med de som behandler opplysningene som lagres i nettskyen.

Virksomhetene ble også spurt om de vet hvordan nettskyleverandøren kan bruke dataene deres. 1 av 5 vet ikke hvordan leverandøren kan bruke kundens data, og 1 av 5 vet heller ikke hvor dataene lagres. Dette er nedslående og kan innebære to lovbrudd; at man ikke har oversikt over hvor data behandles, og at det kan ha skjedd en ulovlig overføring til tredjeland.

3 av 4 virksomheter svarer at de har tillit til nettskyleverandørene. Tillit er bra, men 3 av 4 bør ikke stole blindt på sin leverandør. Man kan flytte data ut i skyen, men man kan ikke flytte ansvaret. Det er i realiteten det som skjer når man ikke har databehandleravtaler og kontroll på leverandørenes bruk av data.

Årets undersøkelse har i større grad enn tidligere anbefalinger og veiledninger til hva virksomhetene kan gjøre for å beskytte seg bedre. Vi i Datatilsynet er spesielt opptatt av  at små og store virksomheter blir klar over at de i mindre eller større grad behandler personopplysninger, for eksempel i et CRM-system (kundehåndteringssystem):

CRM og kundeopplysninger

 

CRM-system (Customer Relationship Management System), kan på norsk kalles kundehåndteringssystem. Et CRM-system inneholder personopplysninger og omfattes av personopplysningsloven. Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson. Ofte bruker virksomheter skytjenester for CRM-systemet, dette kan komme i konflikt med personopplysningsloven. Personopplysninger kan være opplysninger om ansatte, kunder, klienter eller pasienter. Virksomhetene som behandler personopplysninger, skal ha et formål med behandlingen. Et eksempel på formål kan være å ha oversikt over kundene til virksomheten, samt administrasjon av kjøp og salg.

 

En virksomhet som behandler personopplysninger gjør dette vanligvis etter samtykke fra den det samles informasjon om. I slike tilfeller kreves det utfyllende og konkretisert informasjon som setter den registrerte (kunden) i stand til å vurdere om vedkommende ønsker å gi sitt samtykke.

 

Det er normalt alltid virksomhetens leder som er ansvarlig for korrekt håndtering av personopplysninger. Personopplysningsloven stiller krav om at den som behandler personopplysninger skal etablere et system for internkontroll. Det betyr at virksomheter, som omfattes av loven, må iverksette systematiske tiltak for å sørge for at loven og tilhørende regelverk følges.

Hentet fra Mørketallsundersøkelsen 2014, s.10

Vi har også laget en anbefaling for hva virksomhetene må gjøre før de legger personopplysninger ut i skyen. De viktigste momentene er: kartlegg og klassifiser alle systemer som inneholder personopplysninger fra sensitive til ikke-sensitive opplysninger, gjennomfør risikovurderinger, vurder databehandleravtalen, og gjennomfør sikkerhetsrevisjon. Viktige problemstillinger de må vurdere er: sikkerhetskopiering, hvor lagres dataene, sletting, tilgangsstyring, segmentering og kryptering. God veiledning for dette finner man på våre nettsider.

Personlig tror jeg ikke at det er en uvilje mot å gjøre ting riktig, men heller at det er mangel på kunnskap og manglende forståelse for temaet. Når jeg selv snakker med andre om nettskytjenester, prøver jeg å forenkle begrepene for å få folk til å forstå hva det betyr for dem:

• Risikovurdering kan sammenliknes med hvilken vurdering du gjør for å unngå å krasje under bilkjøring. Konsekvensen for å krasje kan være stor, sannsynligheten for at det skal skje kan være liten. Risikoen blir da middels. Tekniske tiltak som du må ta i bruk er: airbag, bilbelte, og bilsete til barna. Organisatoriske tiltak: førerkortopplæring, sjekke speil og dødvinkel, holde fartsgrensen og fortelle barna at de skal sitte ordentlig i setet.
• En databehandler kan sammenliknes med en barnevakt. Det er en selvfølge at du kjenner barnevakten før du leverer barnet ditt hos vedkommende. Er det skittent der og søppel som flyter? Er det en barnevakt som står med en sigarettsneip i munnviken og en ølflaske i hånden? Er det en hage uten gjerde rett ved et stup? Hvis svaret er ja, lar du ikke barnet ditt være der. Sammenlikn barnet ditt med personopplysninger til dine kunder og gjør tilsvarende vurderinger. Du skal være sikker på at personopplysningene er like sikre hos din leverandør som de her hos deg. Siden du er juridisk ansvarlig, er du også ansvarlig for sikkerheten hos leverandøren din.