Retningslinjer om innsynslogg

Veileder
Retningslinjer om
innsynslogg
Veileder
Retningslinjer om
innsynslogg
4
Innhold
1Innledning
1.1 Generelt om retningslinjene
1.1.1 Bakgrunn
1.1.2 Målgruppe – hvem skal bruke retningslinjene?
1.1.3 Avgrensninger
1.2 Om innsynslogg
1.2.1 Hva er innsynslogger?
1.2.2 Metoder for gjennomgang av innsynslogg
1.2.3 Metoder for innsyn i innsynslogger
1.3 Regelverk av betydning for innsynslogging
1.3.1 Krav til informasjonssikkerhet og internkontroll
i personopplysningsloven med forskrift
1.3.2 Innsynsrett etter personopplysningsloven
og offentlighetsloven
1.3.3 Særregler om innsynslogging i enkelte sentrale sektorer
1.4 Opplysningskategorier
1.4.1 Personopplysninger
1.4.2 Taushetsbelagte opplysninger
2Anbefalinger
2.1 System for internkontroll
2.2 Gjennomføre risikovurdering etter personopplysnings forskriften § 2-4
2.2.1 Innledning
2.2.2 Fastsette akseptabelt risikonivå
2.2.3 Forberedelser
2.2.4 Kartlegging av opplysningenes beskyttelsesverdi
2.2.5 Identifisere faktorer som muliggjør uønskede hendelser
2.2.6 Vurdere konsekvens av uønskede hendelser
2.2.7 Vurdere sannsynligheten for uberettiget innsyn
2.2.8 Foreta overordnet risikovurdering med forslag til tiltak
2.3 Informasjonstyper som bør logges
2.3.1 Informasjonstyper alle bør logge
2.3.2 Informasjonstyper noen bør logge
2.4 Hvordan organisere innsynslogging?
2.4.1 Sikre innsynsloggenes integritet
2.4.2 Lagringstid
2.4.3 Hvem bør ha tilgang til innsynsloggene?
2.5 Anbefalte metoder for gjennomgang av innsynslogg
2.5.1 Metode basert på risikokategori
2.5.2 Jevnlig revisjon av metoder for gjennomgang
7
7
7
8
8
10
10
10
12
13
13
14
16
17
17
18
21
21
22
22
22
22
22
25
25
26
28
29
29
29
31
31
31
31
31
31
32
5
2.6 Anbefalte rutiner for å følge opp innsynslogger
2.6.1 Hyppig oppfølging – enten manuelt, halvautomatisk
eller automatisk
2.6.2 Innsynslogg sammenholdes med annen
relevant informasjon
2.6.3 Det opprettes sak på den mistenkelige hendelsen
2.6.4 Saken vurderes av nærmeste leder
2.6.5 Samtale med den aktuelle systembruker
2.6.6 Personalsak
2.6.7 Avviksmelding til Datatilsynet
2.6.8 Informasjon til den registrerte
2.7 Den registrertes innsyn i egne innsynslogger
2.7.1 Informasjon den registrerte bør få innsyn i
2.7.2 Situasjoner hvor det bør vurderes ikke å gi innsyn
i innsynslogg
2.7.3 Praktisk gjennomføring av innsyn
3Avslutning
3.1 Liste med spørsmål virksomheten bør stille seg i forkant av
arbeid med innsynslogging
3.2 Flytskjema for vurdering av behov
6
32
32
34
34
34
34
34
35
35
35
35
37
37
41
41
42
Innledning
1. Innledning
1.1 GENERELT OM
RETNINGSLINJENE
1.1.1 Bakgrunn
Stortinget har bedt regjeringen
redegjøre for spørsmål om motvirking av såkalt ”snoking” i større
registre ved å loggføre bruken av
registrene, og videre gi de registrerte
innsyn i disse loggene. Med ”snoking” menes her at en systembruker
skaffer seg tilgang til informasjon
som ikke er åpent tilgjengelig og
som hun ikke har tjenstlig behov for
å se. Slikt innsyn vil heretter omtales
som uberettiget innsyn. En systembruker kan være enhver som utfører
arbeid på vegne av den behandlingsansvarlige, som for eksempel en
ansatt, en samarbeidspartner eller
innleid arbeidskraft.
Flere bestemmelser i personopplysningsforskriftens kapittel om
informasjonssikkerhet omtaler
uautorisert bruk av informasjonssystemer. Begrepet ”autorisasjon”
omfatter både teknisk og regulatorisk autorisasjon. Selv om en ansatt
teknisk sett har tilgang til en personopplysning, kan det hende at den
ansatte likevel ikke er berettiget til
å gjøre seg kjent med opplysningen
ut fra sine pålagte arbeidsoppgaver.
I så fall foreligger uberettiget innsyn.
Det er et grunnleggende personvernprinsipp at den enkelte skal ha
kontroll over sine egne personopplysninger. Videre har den enkelte rett
til å få vite hvilke opplysninger om
henne som behandles, hvordan og
hvem som behandler dem.
Regjeringen ønsker å motvirke uberettiget innsyn i personopplysninger
i alle viktige offentlige og private
registre. Med viktige registre menes
ikke bare størrelsen på det enkelte
system som en virksomhet bruker.
Også omfanget av behandlinger
som foretas av en virksomhet, og
hvilken risiko behandlingene innebærer, inngår i vurderingen av om
registeret er viktig. For å motvirke
uberettiget innsyn i slike registre,
er det nødvendig at den enkelte
virksomhet gjennomfører tiltak,
både når det gjelder egne systemer,
internkontroll etter personopplysningsloven og interne rutiner
generelt.
Disse retningslinjene gir anbefalinger om hvordan innsynslogging
og innsyn i innsynslogger kan og
bør gjennomføres. De skal hjelpe
virksomheter som behandler personopplysninger til å utvikle eller
forbedre systemer og rutiner for å
forebygge og begrense graden av
urettmessig innsyn.
«Det er et
grunnleggende
personvernprinsipp
at den enkelte skal
ha kontroll over sine
egne personopplysninger. Videre har
den enkelte rett til
å få vite hvilke opplysninger om henne
som behandles, hvordan og hvem som
behandler dem.»
Det stilles ingen konkrete krav i personopplysningsloven om at behandlingsansvarlige virksomheter skal
implementere systemer for innsynslogging i registre som inneholder
personopplysninger. Man kan ikke
utlede en innsynsrett i loggopplysninger fra personopplysningslovens
regler. Heller ikke kravene til informasjonssikkerhetstiltak i personopplysningsforskriften stiller krav om
innsynslogging. Anbefalingene som
gis her, er derfor ikke bindende. Likevel anbefales tiltak som kan bidra til
at de registrerte får bedre kontroll
over egne personopplysninger, og
de vil settes bedre i stand til å ivareta
sine rettigheter etter personopplysningsloven.
7
«Kunnskap og
oppmerksomhet om
personvern er viktig
å innarbeide i hele
virksomheten.»
1.1.2 Målgruppe – hvem skal bruke
retningslinjene?
Retningslinjene er primært rettet
mot virksomheter som behandler
personopplysninger, og de er ment
å være et hjelpemiddel i den delen
av virksomhetens arbeid med internkontroll og informasjonssikkerhet
som gjelder personvern.
Retningslinjene kan brukes av
ansatte i virksomheter som behandler personopplysninger i alle typer
viktige registre, og som har ansvar
for internkontroll og informasjonssikkerhet. De er ment for både privat
og offentlig virksomhet. Det er også
viktig at virksomhetslederne har
kjennskap til retningslinjene, slik at
virksomhetens systemer og rutiner
for å avdekke og forebygge uberettiget innsyn er forankret i ledelsen.
I tillegg til ledelsesforankring er
det svært viktig at alle ansatte i
virksomheten forstår behovet for
personvern og hvilke hensyn som
begrunner tiltakene. Kunnskap og
oppmerksomhet om personvern er
viktig å innarbeide i hele virksomheten, ikke bare hos ledelsen eller
de som er ansatt for å ivareta informasjonssikkerhet og arbeide med
internkontroll.
1.1.3 Avgrensninger
1.1.3.1 Om informasjonssikkerhet etter
personopplysningsforskriften
Disse retningslinjene dreier seg om
hvordan virksomheter kan motvirke
uberettiget innsyn ved hjelp av
innsynslogging. Reglene om intern-
1
2
8
kontroll og informasjonssikkerhet,
både etter personopplysningsloven
med forskrift og etter annet regelverk, favner mye videre enn dette
temaet. For en mer generell og
omfattende veiledning om informasjonssikkerhet etter personopplysningsloven med forskrift, vises det til
Datatilsynets veiledningsmateriell1.
For veiledning om internkontroll og
informasjonssikkerhet etter eForvaltningsforskriften, vises til Difis veiledningsmateriell for offentlig sektor2.
Personopplysningsforskriften
kapittel 2 om informasjonssikkerhet
har til hensikt å sikre behandlingsansvarlige virksomheter mot både
interne og eksterne trusler mot
personvernet. Eksterne trusler, som
hacking eller at eksterne skaffer seg
adgang til en virksomhets systemer,
er det svært viktig å bekjempe. Disse
truslene, som for eksempel kan oppdages ved hjelp av nettverkslogging,
er imidlertid ikke omfattet av disse
retningslinjene.
1.1.3.2 Om systembrukernes
personvern
Logger over oppslag i registre kan i
seg selv utgjøre personopplysninger,
i den grad logginformasjonen kan
knyttes til de enkeltpersoner som
har gjort oppslag. Det kan innebære
et inngrep i systembrukerens personvern å gi den registrerte innsyn i
logginformasjon. Hensynet til de
registrertes personvern må likevel
som hovedregel veie tyngre enn
hensynet til systembrukernes personvern i denne sammenhengen.
Det er grunn til å stille strenge krav
http://www.datatilsynet.no/Sikkerhet-internkontroll/internkontroll_informasjonssikkerhet/
http://internkontroll.infosikkerhet.difi.no/
Innledning
til de som behandler personopplysninger, slik at behandlingen ikke
unødig går ut over den registrertes
personvern.
Innsynslogging er et kontrolltiltak i
virksomheten, og som hovedregel
vil det innfri vilkårene for kontrolltiltak etter arbeidsmiljøloven § 9-1.
Forutsetningen er at innsynsloggen
brukes til sitt opprinnelige formål,
som er å motvirke uberettiget innsyn i personopplysninger. Arbeidsgivers plikter etter arbeidsmiljøloven
§ 9-2 om drøfting, informasjon og
evaluering av kontrolltiltak gjør seg
selvsagt gjeldende. Det er svært
viktig at systembrukerne informeres
på en god måte om implementering
av innsynslogg og de registrertes
innsyn i disse loggene.
Med unntak av punkt 2.7.2 omtales
ikke systembrukernes personvern
nærmere i disse retningslinjene.
1.1.3.3 Om bruk av sanksjoner
Uberettiget innsyn i personopplysninger kan i enkelte tilfeller medføre
rettslige sanksjoner. For eksempel
kan det tenkes at uberettiget innsyn
fører til en videreformidling som
innebærer et straffbart brudd på
taushetsplikt eller plikt som påhviler
en offentlig tjenestemann. Uberettiget
innsyn kan også medføre erstatningsplikt overfor skadelidende eller
føre til en arbeidsrettslig sak. Dette
er imidlertid forhold som ikke vurderes her. Disse retningslinjene gir
ingen anbefalinger om, eller eventuelt hvordan, det skal sanksjoneres
med grunnlag i innsynslogger som
bevismateriale.
Tilgangsstyring er ikke tema for
disse retningslinjene. Det bør likevel
understrekes at tilgangsstyringen
har betydning for innsynsloggenes
integritet. Dersom det er usikkert
hvem som har foretatt et uberettiget
innsyn, vil loggen svært vanskelig
kunne brukes som bevis for at en
bestemt person har hatt slikt innsyn.
Dette er forhold den enkelte virksomhet må ta i betraktning når det
vurderes om og eventuelt hvordan
uberettiget innsyn skal sanksjoneres.
1.1.3.4 Om innsyn i innsynslogger
Spørsmål om innsyn i innsynslogger
for andre enn de registrerte og de
som sørger for virksomhetsintern
gjennomgang av logger, vurderes
ikke her. Det betyr blant annet at
eventuelt innsyn i innsynslogger
etter offentlighetslovens regler ikke
drøftes inngående, selv om disse
reglene kan gjøres gjeldende.
«Det er svært viktig
at systembrukerne
informeres på en
god måte om implementering av innsynslogging og de
registrertes innsyn
i disse loggene.»
1.1.3.5 Andre virkemidler for å
forebygge uberettiget innsyn
Det mest effektive virkemiddelet
for å motvirke uberettiget innsyn er
god tilgangsstyring. Strenge regler
for tilgang er imidlertid vanskelig
for mange å gjennomføre. Flere
virksomheter er avhengige av vide
tilganger for å kunne gjøre jobben
sin, og må benytte andre virkemidler
for å motvirke uberettiget innsyn.
Innsynslogging er et slikt alternativt
virkemiddel. Hvis tilgangsstyringen
er vid, kan innsynslogging bidra til
å minimere risikoen for uberettiget
innsyn. Likeledes vil en streng tilgangsstyring kunne tilsi at behovet
for innsynslogging ikke er like stort.
De færreste virksomheter praktiserer så streng tilgangsstyring at det
ikke er behov for andre virkemidler.
For de fleste vil en kombinasjon av
tilgangsstyring, innsynslogging og
andre virkemidler gi best resultater
9
«Innsynsloggene
er tekniske logger
over hvordan et
informasjonssystem
(for eksempel et
register) brukes.»
med tanke på å minimere risikoen
for uberettiget innsyn.
Andre alternative virkemidler kan
være strenge autoriseringsrutiner,
anonymisering eller pseudonymisering i registrene, skjerming av
opplysninger og andre funksjoner
som er bygget inn i IT-systemene for
å bedre de registrertes personvern.
Informasjon om og opplæring i
behandling av personopplysninger
er også sentrale virkemidler.
Bruken av slike andre virkemidler
som kan bidra til å minimere risikoen for uberettiget innsyn, må
tas i betraktning i virksomhetens
risikovurderinger, se punkt 2.2.
Omfanget av eksisterende tiltak, og
nivået på restrisikoen for uberettiget
innsyn etter at tiltakene er vurdert,
vil få betydning for hvilke loggtiltak
det er nødvendig for virksomheten
å implementere.
1.2 OM INNSYNSLOGG
1.2.1 Hva er innsynslogger?
Innsynslogger, slik begrepet brukes
her, er det som på fagspråket kalles
klientbaserte logger. Innsynsloggene
er tekniske logger over hvordan et
informasjonssystem (for eksempel
et register) brukes. Dette kalles også
i enkelte sammenhenger aktivitetslogg. Innsynslogging omfatter
mange ulike typer logger. Disse
dokumenterer blant annet vellykkede og mislykkede innloggingsforsøk, oppnådd adgang til filområder
og andre hendelser i systemet. Ved
hjelp av innsynslogging kan man
blant annet avdekke uberettiget
innsyn i registre.
10
I motsetning til innsynsloggingen,
som skjer internt i et system, logges
dataflyten inn og ut av et nettverk
ved nettverksbasert logging. Nettverkslogging kan for eksempel
bidra til at virus blir oppdaget, og at
mistenkelig datatrafikk oppdages og
undersøkes.
Behandlingsansvarlige har en
generell plikt til å gjennomføre
nettverksbasert logging etter
personopplysningsloven § 13, men
det finnes ingen generell plikt til
innsynslogging etter denne loven.
Eventuell implementering av
innsynslogging må skje med basis
i en risikovurdering av uberettiget
innsyn i personopplysninger hos
den enkelte virksomheten.
1.2.2 Metoder for gjennomgang av
innsynslogg
Det finnes flere måter å gjennomgå
innsynslogger på, og valget av
metode vil avhenge av hvor omfattende loggingen er og hvilke ressurser
man bruker på innsynslogging.
I hovedsak kan det skilles mellom tre
ulike metoder for gjennomgang av
innsynslogg.
1.2.2.1 Stikkprøve - manuell
gjennomgang av innsynslogg
Stikkprøvekontroll er en manuell
metode for å følge opp innsynslogger
ved å sjekke tilfeldig utvalgte oppføringer i loggen for å se om det er
noe unormalt ved handlingen som er
logget. Stikkprøvekontroller er imidlertid ikke en tilfredsstillende metode
for å avdekke uberettiget innsyn,
selv om de kan bidra til å motvirke
og forebygge dette. Mengden og
hyppigheten av stikkprøver varierer
Innledning
11
”Enhver virksomhet
som behandler
personopplysninger
plikter å ha kontroll
over sin håndtering av
personopplysningene.”
med virksomhetens behov. Behovet avhenger av hvor omfattende
behandling av personopplysninger
virksomheten driver. Virksomheter
som har behov for omfattende
gjennomgang av innsynslogger, vil
dermed måtte bruke uforholdsmessig
store ressurser på manuell gjennomgang for å dekke dette behovet.
1.2.2.2 Regelbasert analyse
– halvautomatisk gjennomgang av
innsynslogg
Regelbasert analyse innebærer at
virksomheten identifiserer et antall
regler for hvilke typer handlinger i et
system som potensielt kan indikere
mistenkelig aktivitet eller uberettiget innsyn. Et automatisert system
undersøker innsynsloggen og varsler
når en av de angitte handlingstypene
er utført. De varslede hendelsene
undersøkes nærmere manuelt.
Typiske handlinger som kan regelfestes som mistenkelige, kan være
innsyn fra en ansatt i en annen
avdeling enn den som vanligvis har
befatning med opplysningene, eller
innsyn i opplysninger om ansatte i
virksomheten.
Metoden kan innebære at mange
falskt positive resultater sendes til
manuell gjennomgang. Den er også
avhengig av at reglene for hvilke
handlinger som defineres som mistenkelige, er tilfredsstillende. Faren vil
alltid være stor for at reglene enten
er for omfattende, slik at man får for
mange mistenkelige hendelser, eller
for lite omfattende, slik at man ikke
har en reell mulighet til å avdekke
uberettiget innsyn. Ofte vil det være
nødvendig å supplere halvautomatisk gjennomgang av innsynslogger
med manuelle stikkprøver.
12
1.2.2.3 Mønstergjenkjenning
– automatisk gjennomgang av
innsynslogg
Mønstergjenkjenning er en metode
for gjennomgang av innsynslogg
hvor det defineres noen handlingsparametre og nøkkeltall som
aggregeres og analyseres i forhold til
hverandre. Et avvik fra gjennomsnittet,
slik dette er definert gjennom parametre og nøkkeltall, vil flagges som
mistenkelig.
Det krever svært mye arbeid å finne
riktig nivå for parametrene slik at
man ikke ender med for få avvik eller
for mange falske positive funn. Likevel ser mønstergjenkjenning ut til å
være en av de mest effektive metodene for avdekking av urettmessig
innsyn. Større virksomheter med
mange behandlinger av personopplysninger vil kunne dra nytte av
denne metoden.
1.2.3 Metoder for innsyn i
innsynslogger
Det er flere måter en virksomhet kan
legge til rette for innsyn i innsynslogger på: manuell, halvautomatisk
og automatisk behandling av innsynsbegjæringer.
Den vanligste måten å gjøre dette
på er den manuelle metoden. Her
informeres de registrerte, enten i
brev eller på virksomhetens nettside,
eventuelt i kombinasjon med muntlig informasjon, om at de kan be om
innsyn i loggene som omhandler
egne opplysninger. Videre åpnes
det for innsynsbegjæringer ved brev
eller telefon til en gitt kontaktperson
hos den behandlingsansvarlige, som
behandler innsynsbegjæringen og
eventuelt sender informasjon til den
registrerte.
Innledning
En annen metode er å tilrettelegge
et automatisert system for innsynsbegjæringer, hvor den registrerte
kan logge seg på for å begjære innsyn i loggen sin – såkalt selvbetjent
bestilling. Behandlingen av innsynsbegjæringer gjøres i systemet av en
saksbehandler hos den behandlingsansvarlige, og ved godkjent innsyn
sendes innsynsloggen automatisk til
den registrerte.
Den tredje metoden er å legge til
rette for en påloggingsside hvor alle
innsynsloggene for den registrerte
kan hentes ut av den registrerte
selv uten forutgående begjæring og
saksbehandling. Dette er en fullt ut
selvbetjent løsning.
1.3 REGELVERK AV BETYDNING
FOR INNSYNSLOGGING
1.3.1 Krav til informasjonssikkerhet
og internkontroll i personopplysningsloven med forskrift
1.3.1.1Informasjonssikkerhet
I personvernsammenheng dreier
informasjonssikkerhet seg om å
håndtere risiko for virksomhetens
informasjonsverdier og behandling
av personopplysninger.
Dette er noen av bestemmelsene
om informasjonssikkerhet i personopplysningsloven med forskrift som
anses mest relevante for innsynslogging:
• Personopplysningsloven § 13 om
plikt til å sørge for tilfredsstillende
informasjonssikkerhet med
hensyn til konfidensialitet,
integritet og tilgjengelighet
ved behandling av
personopplysninger.
• Personopplysningsforskriften
§ 2-8 om plikt til kun å bruke
informasjonssystem for å utføre
pålagte oppgaver, og om
registrering av uautorisert bruk.
• Personopplysningsforskriften
§ 2-14 om plikt til å gjennomføre
sikkerhetstiltak som skal
hindre uautorisert bruk av
informasjonssystem og gjøre det
mulig å oppdage forsøk på slik
bruk.
• Personopplysningsforskriften
§ 2-16 om registrering av
uautorisert bruk eller forsøk på
uautorisert bruk.
Alle virksomheter som behandler personopplysninger, plikter å
gjennomføre risikovurdering etter
personopplysningslovens regler.
En risikovurdering er en generell
metode for å identifisere risikoer
som kan true oppfyllelsen av virksomhetens mål og krav. I personopplysningsloven handler det om
en kartlegging av sannsynligheten
for og konsekvensene av at kravene
til konfidensialitet, integritet eller
tilgjengelighet ikke er tilstrekkelig
ivaretatt ved behandling av personopplysninger.
For en detaljert beskrivelse av
risikovurdering etter personopplysningsloven vises det til Datatilsynets
generelle veileder om risikovurdering av informasjonssystem3.
Personopplysningsloven § 13.
Informasjonssikkerhet.
Den behandlingsansvarlige og
databehandleren skal gjennom
planlagte og systematiske tiltak
sørge for tilfredsstillende informasjonssikkerhet med hensyn
til konfidensialitet, integritet og
tilgjengelighet ved behandling
av personopplysninger.
For å oppnå tilfredsstillende
informasjonssikkerhet
skal
den behandlingsansvarlige og
databehandleren dokumentere
informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen
skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren.
Dokumentasjonen skal også være
tilgjengelig for Datatilsynet og
Personvernnemnda.
En behandlingsansvarlig som
lar andre få tilgang til personopplysninger, f.eks. en databehandler
eller andre som utfører oppdrag
i tilknytning til informasjonssystemet, skal påse at disse oppfyller
kravene i første og annet ledd.
Kongen kan gi forskrift om
informasjonssikkerhet ved behandling av personopplysninger, herunder nærmere regler
om organisatoriske og tekniske
sikkerhetstiltak.
Datatilsynet: Risikovurdering av informasjonssystem. Oppdatert 15.02.02.
Link: http://datatilsynet.no/Global/04_veiledere/Risikoveileder_pdf.pdf
3
13
Personopplysningsloven § 14.
Internkontroll.
Den behandlingsansvarlige
skal etablere og holde vedlike
planlagte og systematiske tiltak
som er nødvendige for å oppfylle kravene i eller i medhold av
denne loven, herunder sikre personopplysningenes kvalitet.
Den behandlingsansvarlige
skal dokumentere tiltakene.
Dokumentasjonen skal være
tilgjengelig for medarbeiderne
hos den behandlingsansvarlige
og hos databehandleren. Dokumentasjonen skal også være
tilgjengelig for Datatilsynet og
Personvernnemnda.
Kongen kan gi forskrift med
nærmere regler om internkontroll.
Virksomheter som ikke er i stand til
å gjennomføre tilstrekkelige risikovurderinger selv, bør vurdere å søke
ekstern bistand til dette arbeidet.
I disse retningslinjene vises hvordan
metoden for risikovurdering kan
benyttes i sammenheng med uberettiget innsyn i registre. En slik risikovurdering er nødvendig for å fastsette
behovet for innsynslogging ved
behandling av personopplysninger.
1.3.1.2 Internkontroll
Internkontroll er et kvalitetssystem
for etterlevelse av regelverk. Det er
ledelsens verktøy for å styre aktiviteten i virksomheten i overensstemmelse med lover og regler.
Enhver virksomhet som behandler personopplysninger plikter å
ha kontroll over sin håndtering av
personopplysningene. Dette er noen
relevante bestemmelser om internkontroll i personopplysningsloven
med forskrift:
• Personopplysningsloven § 14
om plikt til å dokumentere at
virksomheten har et rammeverk
for å oppfylle de rettigheter
og plikter de har etter
personopplysningsloven.
• Personopplysningsforskriften § 3-1
om plikt til å gjennomføre
systematiske tiltak for behandling
av personopplysninger i henhold
til plikten til internkontroll etter
personopplysningsloven § 14.
1.3.2 Innsynsrett etter
personopplysningsloven og
offentlighetsloven
Den registrertes innsynsrett i egne
personopplysninger er et sentralt
14
personvernprinsipp. Innsynsretten
bidrar til at de registrerte får oversikt
over hvilke opplysninger virksomheter har om dem og hvordan disse
behandles. Innsynsretten bidrar til at
de registrerte lettere kan utøve sine
rettigheter etter personopplysningsloven og i større grad råde over egne
personopplysninger.
1.3.2.1 Personopplysningsloven
Innsynsretten etter personopplysningsloven § 18 gjelder «informasjon», noe som omfatter mer enn
den registrertes personopplysninger.
Etter første ledd skal enhver
som ber om det, få vite hva slags
behandling av personopplysninger
som blir foretatt av den behandlingsansvarlige.
Når det gjelder innsynslogging,
kan det for eksempel være aktuelt
å gi informasjon om at oppslag i
systemet blir logget, hvem som har
brukt et system eller en maskin, når
dette har skjedd og at dette sjekkes
opp mot den aktuelle personens
rolle og tjenstlige behov.
Etter § 18 andre ledd har den registrerte rett til å få vite hvilke opplysninger om henne som behandles.
Disse opplysningene vil i stor grad
være de samme som nevnt ovenfor,
men etter tredje ledd kan dette på
visse vilkår kreves utdypet av den
opplysningene gjelder.
Personopplysningsloven § 23 gjør
enkelte unntak fra innsynsretten, og
det mest aktuelle for logginformasjon er første ledd bokstav b. Denne
bestemmelsen åpner for unntak av
hensyn til blant annet forebygging,
etterforsking og avsløring av straffbare handlinger.
Innledning
15
Personopplysningsloven § 18.
Rett til innsyn.
Enhver som ber om det, skal få
vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar, og kan kreve å
få følgende informasjon om en
bestemt type behandling:
a)navn og adresse på den
behandlingsansvarlige og
dennes eventuelle representant,
b)hvem som har det daglige
ansvaret for å oppfylle den
behandlingsansvarliges
plikter,
c) formålet med behandlingen,
d) beskrivelser av hvilke typer
personopplysninger som
behandles,
e) hvor opplyningene er hen tet fra, og
f ) om personopplysningene vil
bli utlevert, og eventuelt
hvem som er mottaker.
Dersom den som ber om innsyn er registrert, skal den behandlingsansvarlige opplyse om
a) hvilke opplysninger om den
registrerte som behandles,
og
b) sikkerhetstiltakene ved be
handlingen så langt innsyn
ikke svekker sikkerheten.
Den registrerte kan kreve at
den behandlingsansvarlige utdyper informasjonen i første ledd
bokstav a - f i den grad dette er
nødvendig for at den registrerte
skal kunne vareta egne interesser.
16
Fortsetter neste side
1.3.2.2 Offentleglova
Hovedregelen etter offentleglova § 3
er at alle kan kreve innsyn i saksdokumenter, journaler og lignende registre
hos virksomheter som er omfattet av
offentleglova, jf. § 2. Saksdokumenter er dokumenter som gjelder det
aktuelle organets ansvarsområde
eller virkeområde. Dokumenter som
viser logginformasjon fra organets
systemer eller maskiner, vil åpenbart
gjelde organets arbeidsområde. Rene
elektroniske spor regnes ikke som
saksdokumenter etter offentleglova,
men logginformasjon står i en annen
stilling, og dokumenter med slik informasjon faller trolig innenfor loven.
Det gjelder imidlertid flere unntak
fra hovedregelen om innsyn. Dette
gjelder blant annet for opplysninger
som er underlagt taushetsplikt i lov
eller i medhold av lov. Regler om
taushetsplikt finnes blant annet i
forvaltningsloven § 13 og i personopplysningsforskriften § 2-9, samt i
en rekke sektorlover.
Selv om enhver kan kreve innsyn
i opplysninger om hvordan en
virksomhet logger, er det ofte ikke
aktuelt å gi innsyn etter offentleglova
i selve innsynsloggene. Opplysningene i loggen kan være underlagt
taushetsplikt, slik at de ikke kan
gjøres tilgjengelige for andre enn den
registrerte og den behandlingsansvarlige. Dette kan for eksempel være
tilfelle dersom loggene inneholder
opplysninger om noens ”personlige
forhold”, jf. forvaltningsloven § 13
første ledd nr. 1, eller dersom innsyn
kan motvirke offentlige kontroll- eller
reguleringstiltak eller lette gjennomføringen av straffbare handlinger, jf.
offentleglova § 24.
1.3.3 Særregler om innsynslogging
i enkelte sentrale sektorer
Personopplysningsloven med
forskrift gir generelle regler om
behandling av personopplysninger
og gjelder for alle som behandler
personopplysninger, med mindre
annet er særlig bestemt med hjemmel i lov. Der det ikke er særregler
om behandling av personopplysninger, eller det stilles tilleggskrav til
behandlingen i konsesjon fra Datatilsynet, vil personopplysningsloven
med forskrift gjelde. Enkelte sektorer
har egne regler i lov eller forskrift
om behandling av personopplysninger. Virksomheter må gjøre seg kjent
med de reglene som gjelder for sin
sektor. I dag er det to sektorer som
har egne regler om innsynslogging:
helse- og omsorgssektoren og politisektoren. Begge disse sektorene går
lengre i å kreve innsynslogging enn
det som direkte følger av personopplysningsloven med forskrift. I
tillegg har Datatilsynet i konsesjon
stilt særlige krav om innsynslogging
i bankene.
1.3.3.1 Helseregisterloven med forskrift
I helseregisterloven § 6 er det gitt
regler om behandling av helseopplysninger. Slike opplysninger kan
bare behandles når det er hjemmel i
personopplysningsloven eller annen
lov og behandlingen ikke er forbudt
ved annet særskilt rettsgrunnlag.
Etter helseregisterloven § 24 har den
registrerte ”rett til innsyn i hvem som
har hatt tilgang til eller fått utlevert
helseopplysninger som er knyttet
til den registrertes navn eller fødselsnummer, fra helseregistre etter
§§ 8 til 11”. Tilsvarende rett følger
av pasientjournalloven § 18.
Innledning
Virksomheter som tilhører helse- og
omsorgssektoren må gjøre seg kjent
med reglene både i personopplysningsloven med forskrift og i pasientjournalloven og helseregisterloven.
virksomhet. Behandling av personopplysninger ved utstedelse av
pass og våpentillatelser er primært
underlagt de generelle reglene i
personopplysningsloven.
1.3.3.2 Politiregisterloven med forskrift
Den nye politiregisterloven § 17
første ledd krever at bruk av opplysninger skal kunne spores. § 17 andre
ledd nr. 3 åpner for å bruke opplysninger om bruk av systemet til å
avdekke og sanksjonere urettmessig
behandling av personopplysninger,
mens tredje ledd sier at opplysninger om bruk av systemet skal
registreres og lagres i minst ett år og
slettes senest etter tre år.
1.3.3.3 Bankkonsesjonen
Banker og finansinstitusjoner er
underlagt konsesjonsplikt for sin
behandling av personopplysninger. Datatilsynet reviderte i januar
2012 bankkonsesjonen. En av de
viktigste endringene i konsesjonen
besto i å pålegge bankene en plikt
til å logge systembrukernes innsyn i
registrene, og gjennom stikkprøver
eller andre former for kontroll undersøke om systembrukere gjør innsyn
uten tjenstlig behov. Avvik skal
rapporteres til Datatilsynet. Videre
gis kundene rett til innsyn i antall
elektroniske oppslag samt tidspunktet for oppslaget, og de har også rett
til å be banken om å gjøre nærmere
undersøkelser dersom de mistenker
urettmessig innsyn.
Kapittel 40 i politiregisterforskriften
omtaler informasjonssikkerhet. I § 40-13
stilles det krav til hva loggene skal
inneholde og hvordan de skal følges
opp og kontrolleres.
Forskriften trådte i kraft 1. juli 2014.
Den innsynsloggingen som det legges opp til i § 40-13, kunne imidlertid ikke implementeres i alle politiets
registre umiddelbart, siden flere av
disse registrene ikke har, eller kun
delvis har, logg- og sporingsfunksjonalitet. På bakgrunn av dette er
det i forskriftens § 86-3 bestemt at
kravene i kapittel 40 får anvendelse
”så langt det er mulig”. Samtidig
forutsettes det at den behandlingsansvarlige fører oversikt over
hvordan kravene ivaretas. Det er i
skrivende stund (januar 2015) ikke
mulig å si noe sikkert om når funksjonaliteten vil være på plass for alle
registre eller hvor lenge overgangsregelen vil gjelde.
Det presiseres at politiregisterloven
ikke gjelder for politiets forvaltnings-
Fortsettelse fra forrige side
Retten til informasjon etter
annet og tredje ledd gjelder ikke
dersom personopplysningene
behandles utelukkende for historiske, statistiske eller vitenskapelige formål og behandlingen
ikke får noen direkte betydning
for den registrerte.
Offentleglova § 3.
Hovudregel.
Saksdokument, journalar og
liknande register for organet er
opne for innsyn dersom ikkje
anna følgjer av lov eller forskrift
med heimel i lov. Alle kan krevje
innsyn i saksdokument, journalar
og liknande register til organet
hos vedkommande organ.
1.4 OPPLYSNINGSKATEGORIER
1.4.1 Personopplysninger
Enhver virksomhet som behandler
personopplysninger må skaffe seg
oversikt over hvilke opplysninger
de behandler, og hvor stor beskyttelsesverdi de forskjellige opplysningene har. En kategorisering
av opplysningstyper er nyttig når
man skal bestemme seg for hvilken
grad av beskyttelse de forskjellige
opplysningstypene bør ha for å
unngå uberettiget innsyn og annet
misbruk. I punktene 1.4.1.1 til 1.4.1.3
er det foretatt en kategorisering
av personopplysninger. Sensitive
personopplysninger må anses å ha
større behov for beskyttelse enn
”vanlige” personopplysninger.
17
«En kategorisering
av opplysningstyper
er nyttig når man
skal bestemme seg
for hvilken grad av
beskyttelse de forskjellige opplysningstypene
bør ha for å unngå
uberettiget innsyn og
annet misbruk.»
1.4.1.1 ”Vanlige” personopplysninger
Etter personopplysningsloven § 2
nr. 1 er personopplysninger definert
som ”opplysninger og vurderinger
som kan knyttes til en enkeltperson”.
Tilknytningen kan være direkte, ved
at personen er identifisert, eller indirekte, ved at det uten store vanskeligheter lar seg gjøre å finne ut hvem
opplysningene omhandler.
1.4.1.2 Særlig beskyttelsesverdige
personopplysninger
Personopplysningsloven skiller kun
mellom ”vanlige” personopplysninger og sensitive personopplysninger.
Likevel er det enkelte opplysningskategorier som anses å være beskyttelsesverdige, selv om de i lovens
forstand faller inn under kategorien
”vanlige” personopplysninger.
For eksempel er ikke opplysninger
om personlig økonomi ansett å
være sensitive i lovens forstand,
men dette er opplysninger svært
mange ønsker å verne spesielt om.
Dette er noe Datatilsynet også tar
hensyn til, blant annet i bank- og
forsikringskonsesjonene. Fødselsnummer er et annet eksempel på
en opplysning svært mange anser
som beskyttelsesverdig, selv om
det ikke er en sensitiv opplysning
i lovens forstand.
1.4.1.3 Sensitive personopplysninger
Personopplysningsloven § 2 nr. 8
definerer sensitive opplysninger
som opplysninger om
• rasemessig eller etnisk bakgrunn
• politisk, filosofisk eller religiøs
oppfatning
18
• at en person har vært mistenkt,
siktet, tiltalt eller dømt for en
straffbar handling
• helseforhold
• seksuelle forhold
• medlemskap i fagforeninger
Det stilles strengere krav til behandling av sensitive personopplysninger, fordi denne typen opplysninger
er ansett av lovgiver å være mer
beskyttelsesverdig enn andre personopplysninger.
1.4.2 Taushetsbelagte opplysninger
Flere regelverk har bestemmelser
om taushetsplikt for systembrukere
som behandler bestemte opplysninger. For eksempel er det regler om
taushetsplikt i helsepersonelloven,
i forvaltningsloven og i straffeloven.
Det er også en bestemmelse om
taushetsplikt i personopplysningsforskriften § 2-9. Taushetsbelagte
opplysninger er ikke det samme
som personopplysninger, og mange
personopplysninger vil normalt falle
utenfor taushetsplikten. Taushetsbelagte personopplysninger vil være
opplysninger om noens «personlige
forhold», jf. forvaltningsloven § 13
første ledd nr. 1, og ellers de opplysningene som er utpekt som
taushetsbelagte i den enkelte
bestemmelsen. Taushetsplikt vil
også kunne omfatte andre typer
opplysninger enn personopplysninger.
I denne sammenhengen er det
imidlertid taushetsplikt om noens
personlige forhold som er relevant.
Eksempelvis vil en lege eller psykolog
Innledning
ha taushetsplikt om alle helserelaterte opplysninger som gjelder
deres pasienter. Dette er svært viktig
for å opprettholde et tillitsforhold.
Likedan vil en saksbehandler i
offentlig forvaltning ha taushetsplikt om personlige forhold hun får
kjennskap til i sitt arbeid.
«Det stilles strengere
krav til behandling
av sensitive personopplysninger, fordi
denne typen opplysninger er ansett av
lovgiver å være mer
beskyttelsesverdig
enn andre personopplysninger.»
19
20
Anbefalinger
2. Anbefalinger
Disse retningslinjene inneholder
anbefalinger om hvordan virksomheter kan gjennomføre innsynslogging og innsyn i logger.
Anbefalingene gjelder generelt for
alle virksomheter som behandler
personopplysninger, med mindre
annet er presisert, eller særlovgivning setter egne krav eller begrensninger. Virksomheten må i tillegg
selv vurdere om andre iverksatte
tiltak og virkemidler for å motvirke
uberettiget innsyn i personopplysninger, tilsier at innsynslogging ikke
er nødvendig. Flytskjemaet i kapittel
3 kan være til hjelp for virksomheter
som er usikre på om de bør innføre
innsynslogging.
Å implementere mer avanserte
systemer for innsynslogging og
gjennomgang av logger er komplisert og kostnadskrevende. En
trinnvis tilnærming til loggproblematikken er ofte hensiktsmessig.
Veiledningen er presentert i den
rekkefølgen virksomheter anbefales
å tilnærme seg arbeid med innsynslogger på, men er ikke uttømmende.
2.1 SYSTEM FOR
INTERNKONTROLL
Alle virksomheter som behandler
personopplysninger plikter å ha på
plass et internkontrollsystem for å
sikre etterlevelse av personvernreglene, på lik linje med systemer
for etterlevelse av andre regelverk.
Når det gjelder innsynslogging, har
plikten til internkontroll etter personopplysningsloven § 14 følgende
elementer:
Styrende elementer: beslutninger og
føringer for internkontroll
• få kjennskap til de regler som
gjelder for virksomhetens
behandling av personopplysninger
• kartlegge virksomhetens
behandlinger
• identifisere formål og
behandlingsgrunnlag/hjemmel
for behandlingene, og vurdere
om formål er i samsvar med
hjemmel
• beskrive de overordnede
rammene for virksomhetens
behandlinger
«Å implementere mer
avanserte systemer
for innsynslogging
og gjennomgang av
logger er komplisert
og kostnadskrevende.
En trinnvis tilnærming til loggproblematikken er ofte
hensiktsmessig.»
Gjennomførende elementer: rutiner
tilpasset den enkeltes arbeidssituasjon
• kvalitetssikring av
personopplysninger
• informasjon til de registrerte og til
systembrukerne om innsynslogg
• behandling av innsynslogg
• behandling av
innsynsbegjæringer
Kontrollerende elementer:
gjennomganger for å fange opp avvik
• varsel om, og sanksjoner for,
brudd på rutiner
• korrigerende tiltak
• gjennomføre meldeplikt til
Datatilsynet ved avvik
21
Personopplysningsforskriften
§ 2-4. Risikovurdering.
Det skal føres oversikt over
hva slags personopplysninger
som behandles. Virksomheten
skal selv fastlegge kriterier for
akseptabel risiko forbundet med
behandlingen av personopplysninger.
Den behandlingsansvarlige
skal gjennomføre risikovurdering
for å klarlegge sannsynligheten
for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering
skal gjennomføres ved endringer
som har betydning for informasjonssikkerheten.
Resultatet av risikovurderingen skal sammenlignes med de
fastlagte kriterier for akseptabel
risiko forbundet med behandling
av personopplysninger, jf. første
ledd og § 2-2.
Resultatet av risikovurderingen skal dokumenteres.
Listen over styrende, gjennomførende og kontrollerende elementer
er ikke uttømmende. Videre gjelder
listen kun elementer av betydning
for innsynslogging.
uberettiget innsyn bør prioriteres.
Videre må virksomheten engasjere
de gruppene av systembrukere som
har best muligheter til å avdekke det
som skjer. Det er viktig at arbeidet
forankres hos virksomhetsledelsen.
2.2 GJENNOMFØRE RISIKOVURDERING ETTER PERSONOPPLYSNINGSFORSKRIFTEN § 2-4
2.2.4 Kartlegging av
opplysningenes beskyttelsesverdi
Datatilsynets veileder om risikovurdering av informasjonssystem viser
hvordan man bør kartlegge de ulike
behandlinger som virksomheten
gjør. I denne sammenhengen er
det kartlegging av sikkerhetsbehov
som er sentralt. For å finne ut hvilket
sikkerhetsbehov virksomheten
har, bør beskyttelsesverdien til de
personopplysninger som behandles
i virksomheten kategoriseres.
2.2.1 Innledning
Her fremstilles en anbefalt metode
for gjennomføring av risikovurderinger med tanke på uberettiget
innsyn i personopplysninger. Metoden er bygget opp identisk med
Datatilsynets veileder, slik at det er
mulig å sammenholde og integrere
risikovurdering for snoking med
andre risikovurderinger som virksomheten utfører.
2.2.2 Fastsette akseptabelt
risikonivå
Det er virksomhetens leder som fastsetter akseptabelt risikonivå, men
dette kan overprøves og fastsettes
av Datatilsynet. For uberettiget
innsyn bør uønskede hendelser
konkretiseres og formuleres skriftlig
i tillegg til de tallverdier som ofte
benyttes i metoden for risikovurdering. Tallverdiene som anbefales er
i området 1 til 4: lav, moderat, høy
og svært høy risiko. Dette er en mye
brukt skala i risikovurdering.
2.2.3 Forberedelser
Arbeidet bør organiseres som et
prosjekt, og de områdene hvor
det antas å være størst risiko for
22
Personopplysninger kan kategoriseres etter vurdert eller lovbestemt
verdi. Opplysninger med høy
beskyttelsesverdi må også antas å
være mer utsatt for uvedkommendes
ønske om innsyn enn opplysninger
med lavere verdi. Nedenfor gis forslag til verdivurdering inndelt i fire
klasser.
En annen informasjonstype, som kan
inneholde alle opplysningstypene
nevnt ovenfor, er taushetsbelagte
opplysninger. Dette er imidlertid
ikke alltid personopplysninger, og
derfor havner taushetsbelagte opplysninger i en noe annen kategori
enn de forskjellige typene personopplysninger.
Anbefalinger
Tabell 1
Klasse
Betegnelse
1
Lav
2
3-4
Moderat
Høy-svært
høy
Type
personopplysninger
”Vanlige” personopplysninger:
Informasjon som ikke
kan skade noe eller
noen, og som tilgjengeliggjøres basert på
virksomhetens bedømmelse og relevant
lovverk
”Vanlige” personopplysninger eller beskyttelsesverdige personopplysninger:
Informasjon som kan gi
moderate skader for
virksomheten eller
enkeltpersoner
Sensitive personopplysninger
Eksempler (ikke
uttømmende)
Informasjon som kan
legges ut på WWW.
Informasjon som etter
offentlighetsloven skal
utleveres ved innsynsbegjæring.
«Opplysninger med
høy beskyttelsesverdi
må også antas å
være mer utsatt for
uvedkommendes
ønske om innsyn enn
Opplysninger om
personlig økonomi,
fødselsnummer, mindre
sensitive atferdsopplysninger, opplysninger om
kundeforhold.
opplysninger med
lavere verdi.»
Helseopplysninger,
opplysninger om religiøs
eller politisk overbevisning, opplysninger om
kriminelt rulleblad,
enkelte typer atferdsopplysninger.
Tabell 2
Klasse
2-4
Betegnelse Type opplysninger
ModeTaushetsbelagte opplysrat-svært
ninger
høy
Eksempler
Informasjon underlagt
taushetsplikt etter
personopplysningsloven,
forvaltningsloven eller
andre regler.
Informasjon underlagt
taushetsplikt i avtale.
23
24
Anbefalinger
Kategoriene som brukes her er
bredere enn det som kanskje er
vanlig. Grunnen til dette er at for
svært mange opplysningstyper
kan verdien variere etter kontekst
og den totale sammensetning av
opplysninger.
2.2.5 Identifisere faktorer som
muliggjør uønskede hendelser
Det er viktig at virksomheten
identifiserer faktorer som bidrar til
at uønskede hendelser kan oppstå,
blant annet for å få oversikt over
hvor det er viktigst å sette inn tiltak.
Nedenfor finnes noen eksempler på
hva som kan være situasjonen når
noen foretar uberettiget innsyn i
personopplysninger:
• Tilgangsstyringen er vid nok til at
systembrukere kan foreta innsyn
der det ikke er tjenstlig behov.
Denne muligheten finnes i en
rekke systemer.
• Rutinene for pålogging er
dårlige, for eksempel ved
at systembrukere forlater
aktive arbeidsstasjoner uten
å logge av, brukeridentitet/
passord oppbevares åpent
eller passordrutinene er svake.
Slike rutiner kan bidra til at det
er lettere å bruke en annens
brukeridentitet for å foreta
uberettiget innsyn.
• Systemet for tilgangsstyring er
godt tilpasset tjenstlig behov,
men rutinene for tildeling og
tilbaketrekking av autorisasjoner
er dårlige. Dette kan føre til
at systembrukere får videre
tilganger enn de har tjenstlig
behov for.
• Spesielt datakyndige kan skaffe
seg utvidet tilgang.
Disse uønskede hendelsene har
ulike konsekvenser som blant annet
avhenger av hvilke opplysninger
det potensielt kan gjøres innsyn i.
I tabell 3 er dette nærmere behandlet.
”For svært mange
opplysningstyper kan
verdien variere etter
kontekst og den totale
sammensetning av
opplysninger.”
2.2.6 Vurdere konsekvens av
uønskede hendelser
Når virksomheten har kartlagt
hvilken beskyttelsesverdi de ulike
opplysningene som behandles har,
og hvilke faktorer som kan gi uønskede hendelser, bør virksomheten
videre vurdere konkrete uønskede
hendelser, og hva som kan være
konsekvensene av disse. I tabell 3
gis eksempler på hvordan dette kan
gjøres. Virksomheten må lage en
egen oversikt over hvilke hendelser
som er relevante.
25
«Det er viktig
at virksomheten
identifiserer faktorer
som bidrar til at
uønskede hendelser
kan oppstå, blant annet
for å få oversikt over
hvor det er viktigst
å sette inn tiltak.»
Tabell 3
Eksempel på hendelse
(ikke uttømmende)
Systembrukere har fått tilgang de ikke skal
ha, men har ikke benyttet dette videre.
Opplysninger av et visst omfang som anses
særlig beskyttelsesverdige, spres internt i
virksomheten (for eksempel opplysninger
om personlig økonomi)
En begrenset mengde sensitive eller
taushetsbelagte personopplysninger spres
utenfor virksomheten uten at mottaker har
behandlingsgrunnlag
En større mengde sensitive eller taushetsbelagte personopplysninger spres utenfor
virksomheten
Sensitive eller taushetsbelagte personopplysninger misbrukes utenfor virksomheten
2.2.7 Vurdere sannsynligheten for
uberettiget innsyn
Sannsynligheten for uberettiget
innsyn er ofte vanskelig å vurdere,
ettersom det er mange forhold som
spiller inn i vurderingen. Sannsynligheten vil avhenge av hvor god
tilgangsstyring en virksomhet har,
hvor mange opplysninger en virksomhet behandler og hvor mange
systembrukere som behandler
opplysninger.
26
Konsekvens
Skaden er opprettlig
Skaden har konsekvens for
virksomhetens rykte og anseelse
Skaden har konsekvenser for
enkeltpersoner
Skaden har alvorlige konsekvenser
Som vist i tabell 4 kan man konkretisere sannsynligheten for uberettiget
innsyn med utgangspunkt i de informasjonssystemene virksomheten
bruker og hvilke muligheter systembrukerne har for å foreta innsyn.
Anbefalinger
Tabell 4
Klasse Sannsynlighet Beskrivelse Hvor lett er det å
foreta
uberettiget
innsyn?
Hvilke
muligheter har
systembrukeren
for å foreta
uberettiget
innsyn?
Hendelsen krever
spesiell kompetanse i teknologi
og løsning.
1
Lav
Hendelsen
inntreffer
svært
sjelden
Det krever store
ressurser for å få
endret tilgangen
til å omfatte
opplysninger man
ikke har tjenstlig
behov for.
2
Moderat
Hendelsen
inntreffer
sjelden
Tilgangsstyring
fungerer godt,
men det finnes
fortsatt måter for
teknisk kompetente systembrukere til å omgå
tilgangsstyringen.
Hendelsen kan
skje med forsett
og krever utvidet
tilgang.
3
Høy
Hendelsen
inntreffer
ofte
Tilgangsstyring er
ikke fullt etablert
og systembrukere
kan enkelt få
tilgang utover
tjenstlig behov.
Hendelsen kan
skje ved forsett og
bruk av tildelte
tilganger.
4
Svært høy
Hendelsen
inntreffer
svært ofte
Tilgangsstyringen
er vid og ikke
tilpasset slik at
uberettiget innsyn
unngås.
Hendelsen kan
skje ved uaktsomhet og bruk av de
tildelte tilganger.
«Sannsynligheten
for uberettiget innsyn
er ofte vanskelig
å vurdere.»
27
«Det er ikke gitt at
innsynslogging er det
eneste tiltaket som
kan igangsettes for
å senke risikoen for
uberettiget innsyn.»
Sannsynligheten for uberettiget
innsyn avhenger også av omfanget
og struktureringen av opplysninger, og dette må virksomheten ta i
betraktning ved sin sannsynlighetsvurdering.
Tabellen nedenfor viser dette på
et overordnet nivå, med følgende
fargekoder:
2.2.8 Foreta overordnet
risikovurdering med forslag til
tiltak
Begrepet risiko uttrykker en
antakelse om hvilken fare en gitt
hendelse representerer overfor
verdiene i virksomheten. Risiko er
en kombinasjon av konsekvens av
en hendelse (punkt 2.2.6) og sannsynligheten for at den inntreffer
(punkt 2.2.7). Det er i denne sammenheng verdt å merke seg at flere
kombinasjoner av konsekvens og
sannsynlighet kan gi samme risiko
når man benytter tallverdier (liten
konsekvens, høy sannsynlighet –
stor konsekvens, lav sannsynlighet).
• lysere fargelegging at tiltak bør
vurderes nærmere
• mørk fargelegging antyder at
tiltak må iverksettes
•lyse felt angir akseptabel risiko.
Den enkelte virksomhet må
imidlertid selv vurdere hva som
er akseptabelt.
Hvilke tiltak som settes i gang
på bakgrunn av gjennomført
risikovurdering må vurderes av
virksomheten selv. Det er ikke gitt
at innsynslogging er det eneste
tiltaket som kan igangsettes for
å senke risikoen for uberettiget
innsyn. Bedre tilgangsstyring er for
eksempel et åpenbart godt alternativ,
men dette er ofte vanskeligere å
gjennomføre for store virksomheter.
Som understreket i punkt 1.1.4
avgrenses det her mot andre
virkemidler enn innsynslogging.
Tabell 5
Konsekvens 4
4
Sannsynlighet
Lav
Moderat
Høy
Svært høy
28
liten
moderat
stor
katastrofal
Anbefalinger
2.3 INFORMASJONSTYPER SOM
BØR LOGGES
2.3.1 Informasjonstyper alle bør
logge
Visse opplysningstyper er avgjørende å logge for i det hele tatt å
kunne avdekke uberettiget innsyn.
Hvis man ikke logger tilstrekkelig
mange opplysningstyper, vil ikke
informasjonen i innsynsloggen være
pålitelig. Dette vil gjøre det vanskeligere å konstatere at det er gjort
uberettiget innsyn. Uavhengig av
virksomhetstype, anbefales følgende opplysninger alltid å logges:
logger tilstrekkelig
mange opplysninger,
vil ikke informasjonen
i innsynsloggen være
Tabell 6
Informasjonstype
Den registrertes unike ID eller løpenummer
Brukeridentiteten eller løpenummeret til den som har
hatt innsyn eller aktivitet knyttet til noens personopplysninger
Tidspunkt for innsyn eller aktivitet
2.3.2 Informasjonstyper noen
bør logge
I virksomheter hvor det er særlig stor
risiko for uberettiget innsyn, eller
hvor særlig sensitive personopplysninger behandles, bør det antakelig
logges mer informasjon enn det som
kreves som et absolutt minimum.
«Hvis man ikke
Hvem bør logge?
Alle virksomheter
Alle virksomheter
pålitelig.»
Alle virksomheter
Dette er for å sikre at omstendighetene rundt innsyn kan belyses
tilstrekkelig. Samtidig er det viktig
å unngå at innsynsloggene blir så
omfattende at de blir vanskelige å
håndtere for virksomhetene. I tabell 7
gis eksempler på informasjonstyper
noen bør logge.
29
«Hvilke opplysninger
som logges i den
enkelte virksomhet
vil avhenge av virksomhetens art og
hvilken risiko som er
knyttet til registrene
i virksomheten.»
30
Tabell 7
Informasjonstype Forklaring
Angitt begrunnelse Man kan gi systemfor tilgang (årsak)
brukerne mulighet til å
forklare seg ved innsyn
som i utgangspunktet ikke
synes regulært. Dette kan
gjøres ved å legge inn en
tekstboks hvor systembrukeren kan begrunne
innsynet med egne ord.
Aktivitet
Hvilke handlinger er utført
– søke, skrive, slette, skrive
ut mv.
Kontekst
Hvordan er informasjonen
vist – skjermbilde med flere
søkeresultater, all informasjon om en registrert, etc.
Hvem bør logge?
Virksomheter som har
behov for svært vide
tilganger, eller særlige
tilganger i nødssituasjoner.
Organisasjonstilhø- Hvilken virksomhet,
righet, stilling og
avdeling/seksjon og rolle/
rolle
tilgangsnivå den som har
fått innsyn tilhører.
Virksomheter som har
gradert tilgang etter rolle
og oppgaver.
Søkekriterium
Hvilke innstillinger,
eventuelt søkeord, som
ligger til grunn for visningen av opplysningene.
De fleste virksomheter
bør logge søkekriterium –
dette kan si mye om
hvorvidt innsynet er
berettiget.
Hvilken informasjon som er vist for
systembrukeren
(rubrikker)
For å kunne se hvilken
informasjon systembrukeren faktisk har tilegnet seg.
Dette er kun mulig ved logging i den enkelte applikasjon, og anbefales for store
og komplekse systemer
hvor det er flere innganger
til informasjonen.
Kilde for tilgang
Hvilken enhet har systembrukeren fått tilgang fra?
Virksomheter hvor flere
systembrukere har tilgang
til samme PC/enheter.
Virksomheter hvor personopplysninger behandles på
flere måter.
Virksomheter som har mer
komplekse systemer for
informasjonsbehandling,
hvor det er flere innganger
til informasjon og den kan
vises på flere måter.
Anbefalinger
Hvilke opplysningstyper som logges
i den enkelte virksomhet vil avhenge
av virksomhetens art og hvilken risiko
som er knyttet til registrene i virksomheten. Hva som logges vil også
avhenge av hvilken metode for gjennomgang av innsynslogg den enkelte
virksomhet velger. En virksomhet som
bruker mønstergjenkjenning som
metode for gjennomgang av innsynslogg vil ha behov for å logge flere
opplysningstyper enn en virksomhet
som gjennomgår innsynslogg manuelt eller halvautomatisk.
for at loggene ikke kan endres eller
slettes i ettertid. Det må være klare
regler for hvem som har tilgang
til innsynsloggene, og ingen av
de som behandler personopplysninger i virksomheten bør selv ha
adgang til å administrere loggene.
Ideelt sett bør de som administrerer
innsynsloggene være noen som
ikke selv behandler personopplysninger i virksomhetens informasjonssystemer. For eksempel kan en
systemadministrator tildeles ansvar
for innsynsloggene.
2.4 HVORDAN ORGANISERE
INNSYNSLOGGING?
Videre er det viktig å sørge for at
innsynsloggene sikres på en tilfredsstillende måte og at bruken av
loggene gjøres til gjenstand for en
egen risikovurdering.
2.4.1 Sikre innsynsloggenes
integritet
Dersom informasjon som lagres
i innsynsloggene er feil, utdatert
eller misvisende, fører dette til at
loggenes integritet svekkes, og de
kan ikke brukes til noe. Derfor er det
viktig å sørge for at innsynsloggene
inneholder relativt nye, utvetydige
og verifiserbare data.
2.4.2 Lagringstid
Dersom virksomheter venter for
lenge mellom hver gang de gjennomgår loggene sine, vil det bli
vanskeligere å konstatere eventuelle misligheter. Personell kan ha
byttet roller eller husker ikke lenger
detaljer rundt innsynet, eller dokumentasjon i andre systemer kan
være slettet. Derfor er det viktig at
virksomheter har klare regler for når
loggdata skal slettes og faste rutiner
for sletting av innsynslogger.
2.4.3 Hvem bør ha tilgang til
innsynsloggene?
For at innsynsloggene skal ha
integritet er det også viktig å sørge
«[Det er] viktig
å sørge for at
innsynsloggene
inneholder relativt
nye, utvetydige og
verifiserbare data.»
2.5 ANBEFALTE METODER
FOR GJENNOMGANG AV
INNSYNSLOGG
2.5.1 Metode basert på
risikokategori
Det varierer fra virksomhet til virksomhet hvor mange behandlinger
som foretas, hvor høy risiko det er
for uberettiget innsyn og hvor sensitive opplysninger som behandles.
Hvilke metoder som bør anvendes
av virksomheten for gjennomgang
av innsynslogger, vil avhenge av
hvilken risikokategori virksomheten
tilhører. I punktene 2.5.1.1 til 2.5.1.4
er noen forskjellige risikokategorier
beskrevet med en anbefaling om
hvilke metoder for gjennomgang av
innsynslogg som bør brukes.
Risikokategorien vil også kunne
variere fra system til system innenfor
en og samme virksomhet. Dette er
ikke tatt i betraktning i inndelingen
her, men vil kunne få betydning for
31
«Verktøy og rutiner
for å gjennomgå
innsynslogg er dynamiske, og må være
i kontinuerlig
utvikling.»
svært store virksomheter som har
mulighet til å implementere forskjellige systemer og rutiner for innsynslogg i de enkelte systemene sine.
2.5.1.1 Virksomheter med få
behandlinger, lav sensitivitetsgrad og
lav risiko
Dersom det ikke er systemer eller
rutiner på plass for å gjennomgå
innsynslogger, anbefaler vi at virksomheten begynner med å innarbeide enkle rutiner for å gjennomgå
loggene sine, i første omgang ved
stikkprøver eller gjennomgang av
loggene fra gitte tidsrom. På et tidlig
stadium er det viktigste å skaffe seg
oversikt – resultatene vil kunne gi en
indikasjon på om det er nødvendig å
sette i gang mer omfattende tiltak.
2.5.1.2 Virksomheter med få
behandlinger, men høy risiko
Virksomheter som behandler sensitive personopplysninger, eller som gir
vide tilganger, bør ha gode systemer
og rutiner på plass for gjennomgang av innsynslogger selv om det
ikke drives storskala behandling av
personopplysninger i virksomheten.
Det anbefales at slike virksomheter
gjennomfører regelbasert analyse av
loggene, eller såkalt halvautomatisk
gjennomgang av innsynslogger,
i tillegg til manuelle stikkprøver.
2.5.1.3 Virksomheter med mange
behandlinger og høy risiko, men
moderat sensitivitetsgrad
Virksomheter som behandler svært
mange personopplysninger, eller
personopplysninger om svært
mange enkeltpersoner, bør ha
gode systemer og rutiner på plass
for gjennomgang av innsynslogg,
uansett om opplysningene som
behandles er sensitive eller ikke.
32
Denne typen virksomheter bør ta
sikte på å utvikle avanserte, helautomatiserte systemer for gjennomgang
av innsynslogg, som for eksempel
systemer for mønstergjenkjenning.
2.5.1.4 Virksomheter med mange
behandlinger, høy risiko og høy
sensitivitetsgrad
Virksomheter med svært høyt
transaksjonsvolum, hvor behandling
av personopplysninger er en viktig
forutsetning for å kunne utføre
arbeidet i virksomheten, bør ta sikte
på å utvikle avanserte, helautomatiske systemer for gjennomgang
av innsynslogg, som for eksempel
systemer for mønstergjenkjenning.
2.5.2 Jevnlig revisjon av metoder
for gjennomgang
Uavhengig av metode for gjennomgang av innsynslogger er det svært
viktig at virksomheten jevnlig reviderer systemene og rutinene sine for
innsynslogg. Verktøy og rutiner for å
gjennomgå innsynslogg er dynamiske
og må være i kontinuerlig utvikling.
Revisjoner bidrar til å forbedre og
perfeksjonere både systemer og
rutiner. Hvis reglene eller parametrene
for avvik ikke gir resultater, kan det
tenkes at disse bør endres.
2.6 ANBEFALTE RUTINER FOR Å
FØLGE OPP INNSYNSLOGGER
Nedenfor gjennomgås et sett med
rutiner for gjennomgang av innsynslogger som de fleste virksomheter
anbefales å implementere.
2.6.1 Hyppig oppfølging – enten
manuelt, halvautomatisk eller
automatisk
Innsynsloggene bør følges opp og
kontrolleres jevnlig. Hvordan dette
Anbefalinger
33
«Det er viktig at de
som gjennomgår
innsynsloggene har
kjennskap til hva
virksomheten gjør
og hvordan den er
strukturert.»
organiseres, må tilpasses virksomhetens størrelse og kompetanse,
og loggsystemets kompleksitet
og behov. Det er viktig at de som
gjennomgår innsynsloggene har
kjennskap til hva virksomheten
gjør og hvordan den er strukturert.
Kontrollen kan bestå av stikkprøver
eller ved at hendelser markeres som
mistenkelige i det automatiserte
eller halvautomatiserte systemet.
Hendelser som etter revisjonen
fortsatt anses som mistenkelige, må
følges opp på rett nivå. I virksomheter med omfattende behandling
av personopplysninger bør innsynsloggene gjennomgås oftere enn i
virksomheter som bare i begrenset
grad behandler personopplysninger.
Dette kan være en løpende prosess
eller en kvartalsvis eller halvårlig
gjennomgang.
2.6.2 Innsynslogg sammenholdes
med annen relevant informasjon
I tillegg til den informasjon som
ligger i innsynsloggen om bruken av
informasjonssystemet, er det enkelte
andre informasjonstyper det kan
være nyttig å sammenholde med
loggen. Dette er fordi informasjonen
kan kaste nytt lys over logginformasjonen og sette den i en kontekst. I
det følgende gis noen eksempler på
informasjonstyper som kan sammenholdes med innsynsloggen for
å gi et mer fullstendig bilde:
• dato for eventuelle vedtak rettet
mot den registrerte
• dato for eventuelle besøk
den registrerte har hatt hos
virksomheten
• ankomstdato for innskriving ved
institusjonen/virksomheten
34
• den registrertes
organisasjonstilhørighet og
relasjon til virksomheten
• hvilken avdeling som sist hadde
kontakt med den registrerte
Eksemplene ovenfor er ikke uttømmende, og hvilken informasjon som
er relevant vil avhenge av virksomhetens art.
2.6.3 Det opprettes sak på den
mistenkelige hendelsen
Dersom en hendelse etter gjennomgang av innsynsloggen (og eventuell kobling mot annen relevant
informasjon) synes mistenkelig, bør
hendelsen trekkes ut av loggen og
defineres som en sak til oppfølging.
2.6.4 Saken vurderes av nærmeste
leder
I større virksomheter kan det være
naturlig at nærmeste leder med personalansvar vurderer saken. I mange
sammenhenger vil den mistenkelige
hendelsen vise seg å være et berettiget
innsyn. I slike tilfeller avsluttes saken.
2.6.5 Samtale med den aktuelle
systembruker
Hvis nærmeste leder vurderer at
hendelsen er mistenkelig og innsyn
kan være uberettiget, bør leder ta
en samtale med personen som har
foretatt innsynet. Dette kan avklare
om det faktisk er den utpekte personen som har foretatt innsyn, eller om
det er andre forhold som leder ikke
kjenner til som kan forklare innsynet.
2.6.6 Personalsak
Dersom innsynet etter de ovenfor
nevnte stegene anses å ha vært
uberettiget, vurderes forholdet etter
virksomhetens ordinære rutiner for
Anbefalinger
personalsaker. Om hendelsen er
straffesanksjonert vil være av betydning for eventuell reaksjon.
2.6.7 Avviksmelding til Datatilsynet
Bruk av et informasjonssystem
som er i strid med fastlagte rutiner
behandles som avvik etter personopplysningsloven, jf. personopplysningsforskriften § 2-6. Det følger av
samme bestemmelse at avvik skal
meldes til Datatilsynet dersom det
har medført uautorisert utlevering
av personopplysninger hvor konfidensialitet er nødvendig. I situasjoner
hvor personopplysninger er kommet
på avveie som resultat av uberettiget
innsyn i personopplysninger, skal
dette meldes til Datatilsynet.
2.6.8 Informasjon til den registrerte
Dersom mislighet konstateres av
virksomhetsledelsen, bør også den
registrerte informeres om dette.
2.7 DEN REGISTRERTES INNSYN I
EGNE INNSYNSLOGGER
Etter personopplysningsloven § 18
har den registrerte blant annet rett
til innsyn i informasjon om hvilke
opplysninger om han eller henne
virksomheten behandler, hvorfor og
hvordan de behandles og enkelte
andre opplysninger knyttet til
behandlingen og den behandlingsansvarlige virksomheten.
En innsynsrett i opplysninger fra
innsynslogg kan ikke utledes fra
personopplysningsloven § 18. Det
kan imidlertid gis innsyn i slike
opplysninger uavhengig av om det
foreligger noen innsynsrett, så sant
det ikke er gitt noe forbud mot å
utlevere den aktuelle informasjonen.
Slikt forbud er mest aktuelt der
taushetsplikt gjelder, eller dersom
det for den enkelte virksomhet
stilles krav om lovhjemmel for å
utlevere denne typen informasjon.
Alle som er registrert med personopplysninger i et viktig offentlig eller
privat register bør så langt det lar
seg gjøre gis innsyn i eksisterende
logginformasjon som har tilknytning
til en selv. Begrunnelsen for dette
ligger i at den registrerte i størst
mulig grad bør ha råderett over
egne opplysninger, og det er ofte
den registrerte selv som er nærmest
til å vurdere om innsyn er berettiget.
Det vil i denne sammenheng være
nødvendig med gode rutiner for
informasjon til de registrerte om
hvordan opplysninger behandles.
I det følgende gis konkrete anbefalinger om hvilke loggopplysninger
de registrerte bør få tilgang til.
«Alle som er
registrert med
personopplysninger
i et viktig offentlig
eller privat register
bør så langt det lar
seg gjøre gis innsyn
i eksisterende logginformasjon som
har tilknytning til
en selv.»
2.7.1 Informasjon den registrerte
bør få innsyn i
I utgangspunktet bør det gis innsyn
i de opplysningene som er listet opp
i tabell 6, og som alltid bør logges:
den registrertes unike ID/løpenummer, systembrukerens brukeridentitet/løpenummer og tidspunkt for
innsyn eller aktivitet.
Enkelte virksomheter som logger
flere enn disse viktigste opplysningene kan imidlertid tenkes i enkelte
situasjoner å ha særlige grunner til
å unnta enkelte deler av innsynsloggen fra den registrertes innsyn. Det
må være opp til virksomheten selv
å vurdere om slike særlige grunner
foreligger.
35
36
Anbefalinger
2.7.2 Situasjoner hvor det bør
vurderes ikke å gi innsyn i
innsynslogg
2.7.2.1 Pågående kontrollsak eller
etterforskning
I situasjoner hvor det pågår en
kontroll eller etterforskning av den
registrerte, og hvor informasjon i
innsynsloggen vil avsløre dette, bør
det unnlates å gi den registrerte innsyn i loggen. Dette kan være tilfelle
i flere virksomheter som driver kontroll- og etterforskningsvirksomhet.
For enkelte registre vil kontroll eller
etterforskning være hovedformålet,
og alle oppslag i slike register må
anses å være gjort i kontroll- eller
etterforskningsøyemed. Der registeret i sin helhet har et slikt formål,
bør det ikke nødvendigvis gis innsyn
i innsynsloggen. For registre som
brukes til bredere formål må eventuell nekting av innsyn gjøres etter
konkrete vurderinger. Der innsyn
kan gis i etterkant av en pågående
sak eller etterforskning, anbefales
det å gi utsatt innsyn.
2.7.2.2 Høy risiko for at
behandlingsansvarliges
systembrukere kommer til skade
I noen tilfeller vil en registrert anses
å kunne utgjøre en fare for den som
har hatt innsyn dersom det blir gitt
tilgang til informasjonen i loggen
om innsynet. Dette tilsier at den
registrerte ikke bør gis innsyn i innsynsloggen eller bare få begrenset
innsyn. Eksempel på virksomheter
dette kan gjelde, er NAV, helsevirksomheter som behandler psykiatriske pasienter og politiet.
Det presiseres at hovedregelen
fortsatt må være at den registrerte
gis innsyn i innsynsloggene til alle
virksomheter. Unntak bør kun gjøres
etter en konkret vurdering. Det er
virksomheten som har ansvar for å
gjøre vurderingen og dokumentere
dette.
2.7.3 Praktisk gjennomføring av
innsyn
Det er foreløpig ikke mange virksomheter som får et stort antall
innsynskrav fra de som er registrert
med personopplysninger i deres
registre. Dette kan henge sammen
med at de registrerte ikke er godt
nok informert om hvilke rettigheter
de har til innsyn i egne personopplysninger. Man kan imidlertid tenke
seg at antallet innsynsbegjæringer
øker dersom samfunnets oppmerksomhet om personvern øker, og
etter hvert som stadig flere personopplysninger lagres i forskjellige
offentlige og private registre. Det er
viktig at virksomheter som behandler personopplysninger, og som
implementerer systemer for logging av oppslag i sine registre, også
implementerer gode systemer og
rutiner for behandling av innsynsbegjæringer fra de registrerte.
«Unntak [fra innsyn]
bør kun gjøres etter
en konkret vurdering.
Det er virksomheten
som har ansvar for å
gjøre vurderingen og
dokumentere dette.»
Det vil avhenge av virksomhetens
størrelse og omfanget av informasjonsbehandling om man velger
å legge til rette for IT-systemer for
håndtering av innsynsbegjæringer,
eller om man velger å løse dette
manuelt ved e-post, telefonhenvendelser eller personlige møter. For
virksomheter som ikke har kommet
langt i sitt arbeid med innsynslogging, vil manuell behandling av
innsynsbegjæringer nok være det
enkleste å starte med. Tre forskjellige
metoder å gi innsyn på er omtalt
under punkt 1.2.3, og virksomheten
37
«For at en
mulighet til innsyn
skal være reell, må de
registrerte være godt
informert om at den
eksisterer og hvordan
de kan benytte seg
av den.»
kan selv vurdere hvilken metode
som passer best. Nedenfor følger
imidlertid noen viktige kriterier for å
gjennomføre innsyn i innsynslogger
på en god måte.
2.7.3.1 Informasjon om muligheten til
innsyn
For at en mulighet til innsyn skal
være reell, må de registrerte være
godt informert om at den eksisterer
og hvordan de kan benytte seg av
den. Informasjon kan gis gjennom
nettsider, informasjonsbrev til de
registrerte eller muntlig ved personlige møter med den registrerte
(typisk i pasient-, klient- eller kundeforhold).
2.7.3.2 Faste kontaktpunkter og
personer med ansvar for å behandle
innsynsbegjæringer
Det er viktig at de registrerte får
oppgitt en eller flere kontaktpersoner som de kan henvende seg til for
å finne ut mer om hvordan de kan
praktisere sin innsynsrett.
38
2.7.3.3 Tilpasning av innholdet i
logginformasjonen
Ofte er innholdet i innsynslogger
presentert på en komplisert måte,
med tekniske termer som ikke gir
mening for andre enn de som arbeider
i systemet som loggene er hentet
fra. Dette kan gjøre det vanskelig
for de registrerte å forstå innholdet i
innsynsloggene, og således å kunne
reagere dersom noe ikke synes å
være som det skal. Loggene bør
bearbeides før de overleveres registrerte som har bedt om innsyn.
2.7.3.4 Møter for å redegjøre for
innhold i innsynslogg
Enkelte virksomheter vil få svært kompliserte og omfattende innsynslogger.
For mange vil det innebære mer
arbeid å omsette loggene til et språk
som er forståelig for den registrerte
enn det er å invitere til et personlig
møte hvor virksomheten kan gjennomgå innsynsloggen sammen med
den registrerte. Dette vil primært
gjelde virksomheter som ikke får
særlig mange innsynsbegjæringer.
Anbefalinger
39
40
Avslutning
3. Avslutning
Det er opp til virksomheten å vurdere risikoen for uberettiget innsyn,
også sammenholdt med andre
sikkerhetsmessige tiltak som måtte
være på plass. Har virksomheten for
eksempel svært god tilgangsstyring,
eller behandler den få og lite sensitive opplysninger, vil det være lavere
risiko for uberettiget innsyn, og det
kan tenkes at virksomheten ikke behøver å gjennomføre innsynslogging.
Videre kan det tenkes at virksomheter har gamle systemer som det
vil være uforholdsmessig dyrt eller
vanskelig å implementere innsynslogging i. For disse kan det være
bedre å avvente implementering
av innsynslogg til systemene skal
oppdateres eller skiftes ut.
I det følgende presenteres en liste
over spørsmål virksomheten bør
stille seg forut for arbeidet med innsynslogging, samt et flytskjema for
vurdering av behov for innsynslogging. Disse kan være gode hjelpemidler for virksomheter til å komme
i gang med sitt arbeid på området.
3.1 LISTE MED SPØRSMÅL
VIRKSOMHETEN BØR STILLE SEG I
FORKANT AV ARBEID MED
INNSYNSLOGGING
Listen med spørsmål nedenfor bør
gjennomgås av virksomheter som vurderer å implementere innsynslogging.
Dette er bare en liste over noen av de
viktigste spørsmålene en virksomhet
må ta stilling til ved implementering
av systemer for innsynslogging og
innsyn i logger. Listen er ikke uttømmende, og det vil også kunne dukke
opp andre spørsmål som er spesifikke
for den enkelte virksomhet. Det er
viktig at virksomheten setter vurderingen av innsynslogging i sammenheng med det overordnede arbeidet
med internkontroll og informasjonssikkerhet etter personopplysningsloven. Slik vil virksomheten oppnå
best mulig oversikt over de viktige
problemstillingene.
Forut for implementering:
«Det er opp til
virksomheten å
vurdere risikoen for
uberettiget innsyn,
også sammenholdt
• Hvilke regler gjelder for
virksomhetens behandling av
personopplysninger?
med andre sikkerhets-
• Hvilke opplysninger behandler
virksomheten, og hvordan?
på plass.»
tiltak som måtte være
• Er formålet med behandlingene i
samsvar med regelverket?
• Hvilket risikonivå er akseptabelt
for virksomheten?
• Hvilken risiko for uberettiget
innsyn knytter seg til de
forskjellige behandlingene
virksomheten gjør?
• Hvilke tiltak er nødvendige og
tilstrekkelige for å minimere
risikoen for uberettiget innsyn til
et akseptabelt nivå?
• Ligger det noen begrensninger
for innsynslogging i regelverk
eller i virksomhetens IT-systemer?
Ved implementering av innsynslogging:
• Hvilke opplysninger bør
virksomheten logge?
• Hvem bør ha tilgang til loggen?
• Hvordan bør loggene lagres?
41
«Det er viktig at
virksomheten setter
vurderingen av innsynslogging i sammenheng med det
overordnede arbeidet
med internkontroll og
informasjonssikkerhet
etter personopplysningsloven.»
• Hvilke rutiner skal virksomheten
ha for gjennomgang av loggene?
• Hvilke opplysninger kan de
registrerte få innsyn i?
• Hvordan bør innsyn
gjennomføres?
3.2 FLYTSKJEMA FOR VURDERING
AV BEHOV
Dette er et flytskjema som er ment
å gi en overordnet og generell
illustrasjon av hvordan virksomheter
kan foreta en trinnvis vurdering av
behovet for innsynslogging:
• Hvordan best orientere
systembrukerne og de registrerte
om logg/innsyn i logg?
Spesiell regulering for bruk av
logg?
Opplysninger av
Klasse 1 (lav)?
Opplysninger av
Klasse 2 (moderat)?
Iverksett logging
Ja 4
Ingen logging
Ja 4
Ja 4
Gis tilgang slik at
det er mulig med
«snoking»?
Ja 4
Iverksett
risikovurdering
Ingen logging
Nei 4
Opplysninger av
Klasse 3 / 4
(høy/svært høy)?
Ja 4
Tilgang til mange
systematisk lagrede
opplysninger av
klasse 3 / 4?
Ingen logging
Nei 4
42
Ja 4
Iverksett
risikovurdering
Avslutning
43
Utgitt av:
Kommunal- og moderniseringsdepartementet
Offentlige institusjoner kan bestille flere eksemplarer fra:
Departementenes sikkerhets- og serviceorganisasjon
Internett: www.publikasjoner.dep.no
E-post: [email protected]
Telefon: 22 24 20 00
Publikasjonskode: H-2336
Design: Itera AS
Layout/ombrekking: Konsis Grafisk AS
Trykk: Departementenes sikkerhets- og serviceorganisasjon
– 01/2015 - 100