Informasjonssikkerhet og personvern i planleggingsfasen

I planleggingsfasen må dere avklare behovene for informasjonssikkerhet og personvern i det valgte konseptet. Dette må dere gjøre tilstrekkelig detaljert til at dere kan utforme krav til produktene/leveransene, og avklare hvilken kompetanse som er nødvendig på informasjonssikkerhets- og personvernområdet.

Publisert: 03. Mai 2019, Sist endret: 21. okt 2019

For en utfyllende beskrivelse av hvordan man går fram for å sikre innebygd personvern i et produkt, se Datatilsynets veileder Programvareutvikling med innebygd personvern.

Informasjonssikkerhet og personvern skal være tema i følgende aktiviteter i planleggingsfasen:

Beskrive prosjektets produkter

I denne aktiviteten analyserer dere behovene for informasjonssikkerhet og personvern og beskriver hvordan produktene/leveransene skal tilfredsstille disse. Behovene blir til krav.

Regelverk og avtaler som er identifisert i konseptfasen kan gi opphav til informasjonssikkerhets- og personvernkrav. Disse kravene kan også være funksjonelle (for eksempel hvilke brukergrupper som skal ha tilgang til hva).

I tillegg er det viktig å identifisere risikobaserte krav til informasjonssikkerhet og personvern. For å identifisere risikobaserte krav gjennomfører dere risikovurderinger.:

  • Identifiser om det valgte konseptet krever en vurdering av personvernkonsekvenser (DPIA). Dersom det er trolig at den planlagte behandlingen av personopplysninger vil medføre høy risiko for fysiske personers rettigheter og friheter, må dere gjennomføre en slik vurdering.
  • Gjennomfør eventuelt en vurdering av personvernkonsekvenser. En vurdering av personvernkonsekvenser ser på konsekvensen for de registrerte.
  • Gjennomfør risikovurderinger for det valgte konseptet. Vær ekstra oppmerksom på behovene som ble identifisert som kritiske i konseptfasen. Se på tidligere utførte risikovurderinger på arbeidsområdet. Foreta nye risikovurderinger dersom det ikke er gjennomført tidligere, dersom de er utdaterte, eller det har vært store endringer på området. Bruk noen med erfaring i å lede risikovurderinger. Risikovurderingene må dokumenteres og følges opp gjennom hele prosjektet. Risikovurderinger kan utføres flere ganger ettersom man får mer klarhet i systemets funksjonalitet og dersom endringer oppstår senere i prosjektet.
  • Risikoer som ikke kan aksepteres må håndteres, se Risikohåndtering. Risikoene identifiseres og beskrives, og danner grunnlaget for sikkerhetskravene. Merk at noen personvernkrav har nulltoleranse.
  • I de tilfellene der risikoen for personvernkonsekvenser er høy, skal dere implementere tiltak for å redusere risikoen. Dersom risiko for personvernkonsekvenser fremdeles er høy etter at tiltakene er implementert, og de ikke kan reduseres ytterligere, krever personvernregelverket at man kontakter Datatilsynet for en forhåndsdrøftelse.

Kravene til informasjonssikkerhet og personvern vil avhenge av hvilken type produkt og hvilket løsningsalternativ som skal utvikles eller anskaffes (for eksempel utvikling, system, drift, vedlikehold).

Virksomheten selv eller en ekstern leverandør kommer med forslag til tiltak for å håndtere kravene. Prosjekteier har ansvaret for å godkjenne tiltakene.

Beskrive tekniske rammer for prosjektet

  • Vurder om det er behov for en egen sikkerhetsarkitektur.
  • Løsningen kan omfatte flere virksomheter. Da vil informasjonssikkerheten avhenge av sikkerheten i de enkelte virksomhetene og kommunikasjonen mellom dem. Dette må dere ta hensyn til i risikovurderingene, se ovenfor.
  • Vurder mulig bruk av felleskomponenter for informasjonssikkerhet som for eksempel innloggingsløsninger.

Etablere prosjektorganisasjonen

Identifiser behovet for kompetanse på informasjonssikkerhets- og personvernområdet. Dette kan dreie seg om å lede risikovurderinger eller vurdere personvernkonsekvenser, eller sikkerhetskompetanse for testere og utviklere.

Dersom virksomheten ikke har riktig kompetanse internt må dere avklare behov for kompetansehevende tiltak og eventuelt innhente ekstern kompetanse på området. Dersom produktet skal anskaffes må leverandøren dekke behovet for sikkerhets- og personvernkompetanse på de områdene hvor leverandøren har ansvaret.

Sørg for at ansvaret for arbeidet med informasjonssikkerhet og personvern er plassert. Forholdet til virksomhetens sikkerhetsorganisasjon må avklares.

Henvisninger

Statens kompetansemiljø for informasjonssikkerhet i Difi gir råd og veiledninger på informasjonssikkerhetsområdet.

Alle offentlige virksomheter skal ha internkontroll på informasjonssikkerhetsområdet, les mer på Difis sider om Internkontroll i praksis – informasjonssikkerhet.

Datatilsynet gir råd og veiledninger for personvern.

Deldette