Alle virksomheter må oppdatere sine rutiner for informasjonssikkerhet

Publisert:

Personopplysninger skal ikke komme på avveie eller bli tilgjengelig for utenforstående. Alle som behandler personopplysninger plikter derfor å innføre rutiner for informasjonssikkerhet.

Dame som skriver på tastatur

Den nye forordningen stiller strengere krav til sikkerhetsrutinene, slik at disse nå må gjennomgås og oppdateres.

Dagens krav til informasjonssikkerhet videreføres i stor grad i den nye forordningen. Virke anbefaler derfor at det kontrolleres at rutiner som oppfyller dagens regler er på plass. Se Datatilsynets veileder for informasjonssikkerhet for det gjeldende regelverket.

Når det nye regelverket iverksettes vil det komme nye krav som må innarbeides i rutinene for informasjonssikkerhet:

a) Ved stor risiko for personvernet skal personvernkonsekvenser vurderes særskilt

Også etter dagens regler skal informasjonssikkerheten baseres på en risikoanalyse, dvs. en vurdering av hvor sannsynlig det er at opplysninger kan komme på avveie, og hvilke konsekvenser dette i så fall kan ha for den registrerte. Etter den nye forordningen må det foretas en grundigere utredning av personvernkonsekvensene i tilfeller der behandlingen utgjør en særlig høy risiko for personvernet, f.eks. fordi det behandles sensitive opplysninger i stort omfang.

Dette vil for eksempel være aktuelt for medlemmer som behandler helseopplysninger.

Les mer om vurdering av personvernkonsekvenser.

b) Personvern skal "bygges inn" i nye løsninger

Nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Det betyr at standardinnstillingene må settes opp slik at det f.eks. ikke samles inn flere personopplysninger enn nødvendig, det er satt tekniske begrensninger for bruken av opplysningene og at opplysningene slettes automatisk når formålet med behandlingen er oppnådd.

Videre skal nye løsninger designes på en måte som i størst mulig grad ivaretar personvernet. Ved innhenting av opplysninger fra den registrerte kan det for eksempel benyttes nedtrekksliste i stedet for fritekstfelt, slik at det ikke innhentes mer informasjon enn det som er nødvendig.

Et slikt system vil automatisk styre brukeren til en arbeidsmåte som gir bedre personvern.

Les mer om kravet til innebygget personvern.

 

c) Strengere krav til håndtering av sikkerhetsbrudd

Som hovedregel skal Datatilsynet varsles innen 72 timer dersom personopplysninger har kommet på avveie, med mindre det er usannsynlig at dette vil få konsekvenser for den registrertes personvern. Virksomhetene skal dokumentere alle sikkerhetsbrudd, og hvilke tiltak som er iverksatt.

I tillegg skal de berørte personene varsles uten opphold, dersom sikkerhetsbruddet medfører høy risiko for personvernet. Dersom det er uforholdsmessig vanskelig å varsle hver enkelt av de berørte kan informasjonen offentliggjøres eller deles på annen måte, slik at de berørte likevel underrettes på en effektiv måte.

Les mer om hvilke krav som stilles til håndtering av sikkerhetsbrudd.

Se også Datatilsynets veileder for informasjonssikkerhet etter nytt regelverk.