Informasjonssikkerhet og personvern i konseptfasen

I konseptfasen må dere vurderere behovet for informasjonssikkerhet og personvern på det aktuelle arbeidsområdet.

Publisert: 03. Mai 2019, Sist endret: 21. okt 2019

Et digitaliseringsprosjekt må ha et bevisst forhold til informasjonssikkerhet og personvern fra start. Dersom tiltak må legges på til slutt resulterer dette ofte i økte kostnader og forsinkelser i prosjektet og løsningene kan ofte bli dårligere kvalitetsmessig.

I konseptfasen må dere vurdere overordnede behov for informasjonssikkerhet og personvern. Det vil si behov for å sikre konfidensialitet, integritet og tilgjengelighet og vurdere om arbeidsområdet kan være omfattet av regelverk eller avtaler som stiller spesielle krav til sikkerhetstiltak.

Dersom prosjektet skal fremskaffe løsninger som vil kunne omfattes av sikkerhetsloven, eller dersom prosjektgjennomføringen innebærer behandling av sikkerhetsgradert informasjon, må dere ivareta dette særskilt. Veiledning på sikkerhetslovens område, inkludert sikkerhetsgraderte anskaffelser, gis av Nasjonal sikkerhetsmyndighet.

Ofte vil produktene fra prosjektet behandle personopplysninger, og da må dere vurdere om dette gir personvernulemper.

I konseptfasen trenger dere ikke gå ned i detaljene, men notere eventuelle behov som dere må analysere grundigere i planleggingsfasen.

I konseptfasen skal dere utrede flere alternative konsepter, deriblant null-alternativet. Gir de ulike konseptene opphav til ulike informasjonssikkerhets- eller personvernbehov?  

Personvern

Personopplysningsloven (personvernforordningen/GDPR), stiller krav til behandling av personopplysninger. Loven krever at de som behandler personopplysninger bygger inn personvern fra start i et digitaliseringsprosjekt, ved å gjennomføre egnede tekniske og organisatoriske tiltak. For en utfyllende beskrivelse av hvordan dere går fram for å sikre innebygd personvern i et produkt, se Datatilsynets veileder Programvareutvikling med innebygd personvern.

Viktige spørsmål knyttet til personvern:

  • Berører konseptene personverninteressene på forskjellige måter, for eksempel hvis dere tar et makt-, integritets- eller beslutningsfokusert perspektiv på personvern?
  • Kan løsningen bidra til avmakt, bedre beslutninger eller et for nærgående bilde av personen?
  • Se også konseptfase-aktiviteten: Hvilke prinsipielle spørsmål reiser konseptene?

Det kan være verdt å merke seg at det å beholde dagens løsning kan gi dårligere informasjonssikkerhet og personvern enn å utvikle en ny løsning.

Eksempler på behov for informasjonssikkerhet:

  • Konfidensialitet (Sikre at informasjonen ikke blir kjent for uvedkommende)
    • Dersom dere skal behandle informasjon som er omfattet av lovpålagt taushetsplikt (for eksempel sensitive personopplysninger eller forretningshemmeligheter), eller informasjon som kan unntas offentlighet, kan dere ha et konfidensialitetsbehov.
  • Integritet (Sikre at informasjonen ikke blir endret utilsiktet eller av uvedkommende)
    • Dersom dere skal behandle informasjon som det er viktig at ikke blir endret kan dere ha et integritetsbehov.
  • Tilgjengelighet (Sikre at informasjonen er tilgjengelig ved behov)
    • Dersom dere skal behandle informasjon som må være tilgjengelig hele døgnet kan dere ha et tilgjengelighetsbehov
  • Etterlevelse av regelverk og avtaler
    • Behandler dere informasjon som kan komme inn under lov, forskrift, avtale eller lignende som for eksempel økonomiregelverket, forvaltningsloven, offentleglova, sikkerhetsloven eller personopplysningsloven? Se også om juridiske rammer for prosjektet

Hva bør man spesielt tenke på i konseptfasen?

  • Har din virksomhet spesielle føringer eller retningslinjer for informasjonssikkerhet og personvern som prosjektet må forholde seg til? Dette kan være spesielle krav for sektor, bransje eller en intern sikkerhetspolicy.
  • Er noen av de identifiserte behovene for informasjonssikkerhet eller personvern knyttet til et spesifikt konsept slik at dette kan påvirke konseptvalget? Identifiser i så fall behovene for hvert av konseptene.
  • Er noen av behovene kritiske?
  • Er det noen av behovene som gjør at et konsept ikke kan gjennomføres?

Sørg for at noen i prosjektet har ansvar for informasjonssikkerhet og personvern. Vurder å innhente ekstern kompetanse på områdene dersom dette ikke finnes internt i virksomheten.

Du finner råd og veiledninger fra statens kompetansemiljø for informasjonssikkerhet i Difi her.

Alle offentlige virksomheter skal ha internkontroll på informasjonssikkerhetsområdet, les mer på Difis sider om Internkontroll i praksis – informasjonssikkerhet.

Datatilsynet gir råd og veiledninger for personvern.

Deldette