Personvern

• Personvern
  • Juridisk rammeverk: GDPR
    • Nøkkelbegreper i GDPR
    • Driftsansvar i henhold til GDPR
  • Tekniske kontroller og implementering
    • Sikkerhetstiltak
    • Dataminimering og sletting
  • Håndtering av brudd og rettigheter
    • Håndtering av avvik og databrudd
    • Individuelle rettigheter

Personvern handler om individets rett til å bestemme over egne personopplysninger. For en IT-drifter innebærer dette å sikre at IT-systemene og prosessene følger lovkravene for innsamling, lagring, behandling og sletting av personopplysninger.

Brudd på personvern kan føre til store bøter og alvorlig tillitstap.

Juridisk rammeverk: GDPR

Det viktigste regelverket for deg som IT-drifter i Europa er GDPR (General Data Protection Regulation). GDPR stiller strenge krav til alle organisasjoner som behandler personopplysninger om EU/EØS-borgere.

Nøkkelbegreper i GDPR

• Personopplysninger: Enhver informasjon som kan knyttes til en identifisert eller identifiserbar fysisk person (f.eks. navn, adresse, e-post, IP-adresse, fingeravtrykk, lokasjonsdata).
• Behandling: Omfatter alt man gjør med personopplysninger, fra innsamling, lagring, endring, deling, til sletting.
• Behandlingsansvarlig: Organisasjonen som bestemmer formålet med behandlingen (f.eks. bedriften du jobber for).
• Databehandler: Organisasjonen som behandler data på vegne av den behandlingsansvarlige (f.eks. en skyleverandør som Microsoft Azure).

Driftsansvar i henhold til GDPR

IT-drifteren har direkte ansvar for å implementere tekniske tiltak (sikkerhet) som understøtter lovkravene:

• Innebygd personvern (Privacy by Design): Ved utvikling eller innkjøp av nye IT-systemer, skal personvernhensyn være bakt inn fra start. Dette betyr for eksempel at systemet som standard setter de mest personvernvennlige innstillingene.
• Personvern som standard (Privacy by Default): Klienten (brukeren) skal automatisk få høyeste personvernnivå uten å måtte foreta seg noe.

Tekniske kontroller og implementering

Dette er de tekniske tiltakene du som drifter må iverksette for å oppfylle personvernkravene.

Sikkerhetstiltak

• Aksesskontroll: Bruk av IAM-systemer (f.eks. Active Directory) og prinsippet om Least Privilege (minste rettighet) for å sikre at kun de som absolutt trenger tilgang til personopplysninger (f.eks. HR-systemer) får det.
• Kryptering: Bruk av kryptering av data både under overføring (in transit, f.eks. via VPN/HTTPS/TLS) og under lagring (at rest, f.eks. via krypterte disker/dataserver). Kryptering er det mest effektive tiltaket for å ivareta fortrolighet.
• Logging og sporbarhet: Logging av all tilgang og endring av personopplysninger. Dette er nødvendig for å kunne dokumentere og undersøke eventuelle brudd (revisjonsspor).

Dataminimering og sletting

• Dataminimering: Kun samle inn og lagre de personopplysningene som er strengt nødvendige for formålet.
• Sletterutiner: Etablere og implementere automatiserte rutiner for sletting av personopplysninger når de ikke lenger er nødvendige (f.eks. etter at en kundeavtale er avsluttet). Sletting må være permanent og irreversibel.

Håndtering av brudd og rettigheter

Selv med gode systemer kan brudd inntreffe. Håndtering av brudd og individers rettigheter er et sentralt driftsansvar.

Håndtering av avvik og databrudd

• Reaksjonstid: Ved et brudd på personopplysningssikkerheten (databrudd), har organisasjonen en plikt til å varsle Datatilsynet innen 72 timer etter å ha blitt kjent med bruddet. Dette krever at drifteren raskt identifiserer, isolerer og dokumenterer bruddet.
• Dokumentasjon: Systematisk dokumentasjon av alle brudd, tiltak iverksatt for å stoppe det, og tiltak for å forhindre gjentakelse.

Individuelle rettigheter

IT-systemene må være designet for å kunne imøtekomme enkeltindividers rettigheter:

• Innsynsrett: Evnen til å raskt gi en person tilgang til alle personopplysninger organisasjonen har lagret om dem.
• Retten til å bli glemt (sletterett): Muligheten til å slette all data knyttet til en person på forespørsel (med visse lovpålagte unntak).

Godt personvern er en kontinuerlig prosess som krever at IT-driftere er like dyktige på å forstå lovverk og etikk som de er på å administrere systemer.

---

Relaterte kompetansemål

• planlegge, innføre og dokumentere IT-systemer slik at de er stabile, sikre og effektive gjennom hele livssyklusen
• reflektere over og anvende virksomhetens retningslinjer for datasikkerhet og personvern i virksomheten
• vurdere og gjøre rede for konsekvensene ved sikkerhetsbrudd for virksomheten, samfunnet og individet og foreslå tiltak
• gjøre rede for og følge virksomhetens rutiner knyttet til anskaffelser, implementering, oppsett, drift og avhending av utstyr
• gjøre rede for og reflektere over hvordan gjeldende lover og regler i arbeidslivet og etiske retningslinjer påvirker eget arbeid
• anvende gjeldende regelverk for personvern og informasjonssikkerhet i eget arbeid og reflektere over konsekvensene hvis regelverket ikke følges