Mellom IT-sikkerhet og personvernJarle Langeland
Mellom IT-sikkerhet og personvern 2
Mellom IT-sikkerhet og personvern
• IT-sikkerhet en forutsetning for godt personvern
Mellom IT-sikkerhet og personvern 3
Mellom IT-sikkerhet og personvern 4
Mellom IT-sikkerhet og personvern
• IT-sikkerhet en forutsetning for godt personvern
• IT-sikkerhetstiltak kan likevel etter omstendighetene være en trussel mot
personvernet og ulovlige etter personopplysningsloven
Mellom IT-sikkerhet og personvern 5
Trender
• IT-sikkerhet
• Skjerpet trusselbilde (NSM, PST, E-tjenestens vurderinger)
• Kompetansemangel
• «Security as a service»
• Økende bevissthet
• Mer data, mer analyse, IoT?
Mellom IT-sikkerhet og personvern 6
Trender
• Personvern
• Ny forordning i 2018
• Mer oppdatert regelverk
• (Vesentlig) høyere bøter
• Europeisk regulering
• «Privacy by design»
• Mye fokus
• Snowden
• Lekkasjer
• Myndigheter / store selskaper
Mellom IT-sikkerhet og personvern 7
Personopplysningsloven
• Svært mange virksomhetsprosesser innebærer behandling av
personopplysninger, jf. personopplysingsloven
• Enhver bruk av opplysninger som kan knyttes til enkeltperson, jf. § 2,
også lagring og overføring
• Virksomheten selv vil alltid være behandlingsansvarlig for sine
opplysninger og ha ansvaret etter personopplysningsloven
• Behandling av personopplysninger krever et behandlingsgrunnlag.
• Sikkerhet ofte å oppfylle lovkrav eller interesseavveining, jf. § 8 f.
Mellom IT-sikkerhet og personvern 8
Mitt tema denne morgenen
• Hvordan gjennomføre IT-sikkerhetstiltak på en måte som ivaretar personvernet
• Forholdsmessighet og dataminimalisering
• Bruk av logger/sikkerhetsovervåking
• Overføring til andre?
• Informasjon til brukerne
• Noen utviklinger
• Sikkerheten i skyen
• Personvernforordningen
• Kryptering og personopplysninger
Mellom IT-sikkerhet og personvern 9
Dataminimalisering
• Ikke behandle mer personopplysninger over lenger tid enn nødvendig for å oppnå
formålet med behandlingen, jf. personopplysningsloven § 28.
• Logger vil svært ofte inneholde personopplysninger
• Hvilke logger trenger dere?
• Hvor lenge trenger dere dem?
• Særregel for sikkerhetsrelatert informasjon
• «Registrering av autorisert bruk av informasjonssystemet og av forsøk på
uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registreringer
av alle andre hendelser med betydning for informasjonssikkerheten.» jf.
personopplysningsforskriften § 2-16
Mellom IT-sikkerhet og personvern 10
Dataminimalisering – hvorfor viktig?
• Når dataene først finnes, kan formålet med «behandlingen» lett endres:
• Kompromitteres
• I seg selv være mål for angrep
• Friste til å ta i bruk ny stordataanalyse / «BI»
Mellom IT-sikkerhet og personvern 11
Bruk av logger til andre formål
• Personopplysningsforskriften §§ 9-2 jf. 7-11: Arbeidsgiver har ikke rett til å overvåke
arbeidstakers» bruk av elektronisk utstyr, herunder bruk av Internett, ut over:
a) å administrere systemet, eller
b) å avdekke/oppklare brudd på sikkerheten i edb-systemet.
Personopplysninger som fremkommer som følge av slike behandlinger «kan ikke
senere behandles for å overvåke eller kontrollere den enkelte»
• Logger/informasjon fra sikkerhetsovervåkning kan som det klare utgangspunkt ikke
brukes til andre formål som f.eks.
• Personalsaker
• Måling av de ansattes effektivitet
Mellom IT-sikkerhet og personvern 12
Overføring til andre?
• Overføring av logger eller andre personopplysninger til andre krever
behandlingsgrunnlag eller databehandleravtale
• Sikkerhetskonsulenter
• «Managed Security» / Security as a service
• CERT
• Myndigheter?
• Overføring utenfor EU krever særlige forholdsregler
• No more Safe Harbor
• Standardavtaler
Mellom IT-sikkerhet og personvern 13
Informasjon til brukere/ansatte
• De ansatte skal vite
• at det foretas logging/sikkerhetsovervåkning
• hva loggene skal brukes til
• hva som utgjør uakseptabel bruk
• Nivå?
• ikke for teknisk språk
• kategorier data og bruk gjerne greit
Mellom IT-sikkerhet og personvern 14
Noen utviklinger
• Sikkerhet i skyen
Mellom IT-sikkerhet og personvern 15
Mellom IT-sikkerhet og personvern 16
Mellom IT-sikkerhet og personvern 17
Sikkerhet i skyen
• Sky vs. tradisjonell IT-drift
• Ulike risiki
• Tradisjonell IT-drift
• Fysisk sikkerhet (tilgang, brannsikring etc. etc)
• Operasjonell sikkerhet (vaskedame og reboot)
• Redundans
• Sky
• Nettilgang
• Datatilgang
• Internkompetanse
• Tilgangshåndtering
Mellom IT-sikkerhet og personvern 18
Personvern og sikkerhet i skyen
• Dokumentasjon – få og kunne dele (revisjonsrapporter, databehandleravtaler etc.).
• Hva logges – egentlig?
• AWS eksempel: We may monitor the external interfaces (e.g., ports) of Your
Content to verify your compliance with the Agreement. You will not block or
interfere with our monitoring, but you may use encryption technology or
firewalls to help keep Your Content confidential.
Mellom IT-sikkerhet og personvern 19
Ny personvernforordning
(49) The processing of personal data to the extent strictly necessary and proportionate
for the purposes of ensuring network and information security, i.e. the ability of a
network or an information system to resist, at a given level of confidence, accidental
events or unlawful or malicious actions that compromise the availability, authenticity,
integrity and confidentiality of stored or transmitted personal data, and the security of
the related services offered by, or accessible via, those networks and systems, by public
authorities, by computer emergency response teams (CERTs), computer security
incident response teams (CSIRTs), by providers of electronic communications networks
and services and by providers of security technologies and services, constitutes a
legitimate interest of the data controller concerned. This could, for example, include
preventing unauthorised access to electronic communications networks and malicious
code distribution and stopping ‘denial of service’ attacks and damage to computer and
electronic communication systems.
Mellom IT-sikkerhet og personvern 20
Kryptering og personvern
• Kryptering kan være et ypperlig tiltak for informasjonssikkerhet og personvern
• Opplysningene fortsatt personopplysninger, man kan ikke kryptere seg ut fra
personopplysningsloven
Mellom IT-sikkerhet og personvern 21