Retningslinjer om innsynslogg
Transcription
Retningslinjer om innsynslogg
Veileder Retningslinjer om innsynslogg Veileder Retningslinjer om innsynslogg 4 Innhold 1Innledning 1.1 Generelt om retningslinjene 1.1.1 Bakgrunn 1.1.2 Målgruppe – hvem skal bruke retningslinjene? 1.1.3 Avgrensninger 1.2 Om innsynslogg 1.2.1 Hva er innsynslogger? 1.2.2 Metoder for gjennomgang av innsynslogg 1.2.3 Metoder for innsyn i innsynslogger 1.3 Regelverk av betydning for innsynslogging 1.3.1 Krav til informasjonssikkerhet og internkontroll i personopplysningsloven med forskrift 1.3.2 Innsynsrett etter personopplysningsloven og offentlighetsloven 1.3.3 Særregler om innsynslogging i enkelte sentrale sektorer 1.4 Opplysningskategorier 1.4.1 Personopplysninger 1.4.2 Taushetsbelagte opplysninger 2Anbefalinger 2.1 System for internkontroll 2.2 Gjennomføre risikovurdering etter personopplysnings forskriften § 2-4 2.2.1 Innledning 2.2.2 Fastsette akseptabelt risikonivå 2.2.3 Forberedelser 2.2.4 Kartlegging av opplysningenes beskyttelsesverdi 2.2.5 Identifisere faktorer som muliggjør uønskede hendelser 2.2.6 Vurdere konsekvens av uønskede hendelser 2.2.7 Vurdere sannsynligheten for uberettiget innsyn 2.2.8 Foreta overordnet risikovurdering med forslag til tiltak 2.3 Informasjonstyper som bør logges 2.3.1 Informasjonstyper alle bør logge 2.3.2 Informasjonstyper noen bør logge 2.4 Hvordan organisere innsynslogging? 2.4.1 Sikre innsynsloggenes integritet 2.4.2 Lagringstid 2.4.3 Hvem bør ha tilgang til innsynsloggene? 2.5 Anbefalte metoder for gjennomgang av innsynslogg 2.5.1 Metode basert på risikokategori 2.5.2 Jevnlig revisjon av metoder for gjennomgang 7 7 7 8 8 10 10 10 12 13 13 14 16 17 17 18 21 21 22 22 22 22 22 25 25 26 28 29 29 29 31 31 31 31 31 31 32 5 2.6 Anbefalte rutiner for å følge opp innsynslogger 2.6.1 Hyppig oppfølging – enten manuelt, halvautomatisk eller automatisk 2.6.2 Innsynslogg sammenholdes med annen relevant informasjon 2.6.3 Det opprettes sak på den mistenkelige hendelsen 2.6.4 Saken vurderes av nærmeste leder 2.6.5 Samtale med den aktuelle systembruker 2.6.6 Personalsak 2.6.7 Avviksmelding til Datatilsynet 2.6.8 Informasjon til den registrerte 2.7 Den registrertes innsyn i egne innsynslogger 2.7.1 Informasjon den registrerte bør få innsyn i 2.7.2 Situasjoner hvor det bør vurderes ikke å gi innsyn i innsynslogg 2.7.3 Praktisk gjennomføring av innsyn 3Avslutning 3.1 Liste med spørsmål virksomheten bør stille seg i forkant av arbeid med innsynslogging 3.2 Flytskjema for vurdering av behov 6 32 32 34 34 34 34 34 35 35 35 35 37 37 41 41 42 Innledning 1. Innledning 1.1 GENERELT OM RETNINGSLINJENE 1.1.1 Bakgrunn Stortinget har bedt regjeringen redegjøre for spørsmål om motvirking av såkalt ”snoking” i større registre ved å loggføre bruken av registrene, og videre gi de registrerte innsyn i disse loggene. Med ”snoking” menes her at en systembruker skaffer seg tilgang til informasjon som ikke er åpent tilgjengelig og som hun ikke har tjenstlig behov for å se. Slikt innsyn vil heretter omtales som uberettiget innsyn. En systembruker kan være enhver som utfører arbeid på vegne av den behandlingsansvarlige, som for eksempel en ansatt, en samarbeidspartner eller innleid arbeidskraft. Flere bestemmelser i personopplysningsforskriftens kapittel om informasjonssikkerhet omtaler uautorisert bruk av informasjonssystemer. Begrepet ”autorisasjon” omfatter både teknisk og regulatorisk autorisasjon. Selv om en ansatt teknisk sett har tilgang til en personopplysning, kan det hende at den ansatte likevel ikke er berettiget til å gjøre seg kjent med opplysningen ut fra sine pålagte arbeidsoppgaver. I så fall foreligger uberettiget innsyn. Det er et grunnleggende personvernprinsipp at den enkelte skal ha kontroll over sine egne personopplysninger. Videre har den enkelte rett til å få vite hvilke opplysninger om henne som behandles, hvordan og hvem som behandler dem. Regjeringen ønsker å motvirke uberettiget innsyn i personopplysninger i alle viktige offentlige og private registre. Med viktige registre menes ikke bare størrelsen på det enkelte system som en virksomhet bruker. Også omfanget av behandlinger som foretas av en virksomhet, og hvilken risiko behandlingene innebærer, inngår i vurderingen av om registeret er viktig. For å motvirke uberettiget innsyn i slike registre, er det nødvendig at den enkelte virksomhet gjennomfører tiltak, både når det gjelder egne systemer, internkontroll etter personopplysningsloven og interne rutiner generelt. Disse retningslinjene gir anbefalinger om hvordan innsynslogging og innsyn i innsynslogger kan og bør gjennomføres. De skal hjelpe virksomheter som behandler personopplysninger til å utvikle eller forbedre systemer og rutiner for å forebygge og begrense graden av urettmessig innsyn. «Det er et grunnleggende personvernprinsipp at den enkelte skal ha kontroll over sine egne personopplysninger. Videre har den enkelte rett til å få vite hvilke opplysninger om henne som behandles, hvordan og hvem som behandler dem.» Det stilles ingen konkrete krav i personopplysningsloven om at behandlingsansvarlige virksomheter skal implementere systemer for innsynslogging i registre som inneholder personopplysninger. Man kan ikke utlede en innsynsrett i loggopplysninger fra personopplysningslovens regler. Heller ikke kravene til informasjonssikkerhetstiltak i personopplysningsforskriften stiller krav om innsynslogging. Anbefalingene som gis her, er derfor ikke bindende. Likevel anbefales tiltak som kan bidra til at de registrerte får bedre kontroll over egne personopplysninger, og de vil settes bedre i stand til å ivareta sine rettigheter etter personopplysningsloven. 7 «Kunnskap og oppmerksomhet om personvern er viktig å innarbeide i hele virksomheten.» 1.1.2 Målgruppe – hvem skal bruke retningslinjene? Retningslinjene er primært rettet mot virksomheter som behandler personopplysninger, og de er ment å være et hjelpemiddel i den delen av virksomhetens arbeid med internkontroll og informasjonssikkerhet som gjelder personvern. Retningslinjene kan brukes av ansatte i virksomheter som behandler personopplysninger i alle typer viktige registre, og som har ansvar for internkontroll og informasjonssikkerhet. De er ment for både privat og offentlig virksomhet. Det er også viktig at virksomhetslederne har kjennskap til retningslinjene, slik at virksomhetens systemer og rutiner for å avdekke og forebygge uberettiget innsyn er forankret i ledelsen. I tillegg til ledelsesforankring er det svært viktig at alle ansatte i virksomheten forstår behovet for personvern og hvilke hensyn som begrunner tiltakene. Kunnskap og oppmerksomhet om personvern er viktig å innarbeide i hele virksomheten, ikke bare hos ledelsen eller de som er ansatt for å ivareta informasjonssikkerhet og arbeide med internkontroll. 1.1.3 Avgrensninger 1.1.3.1 Om informasjonssikkerhet etter personopplysningsforskriften Disse retningslinjene dreier seg om hvordan virksomheter kan motvirke uberettiget innsyn ved hjelp av innsynslogging. Reglene om intern- 1 2 8 kontroll og informasjonssikkerhet, både etter personopplysningsloven med forskrift og etter annet regelverk, favner mye videre enn dette temaet. For en mer generell og omfattende veiledning om informasjonssikkerhet etter personopplysningsloven med forskrift, vises det til Datatilsynets veiledningsmateriell1. For veiledning om internkontroll og informasjonssikkerhet etter eForvaltningsforskriften, vises til Difis veiledningsmateriell for offentlig sektor2. Personopplysningsforskriften kapittel 2 om informasjonssikkerhet har til hensikt å sikre behandlingsansvarlige virksomheter mot både interne og eksterne trusler mot personvernet. Eksterne trusler, som hacking eller at eksterne skaffer seg adgang til en virksomhets systemer, er det svært viktig å bekjempe. Disse truslene, som for eksempel kan oppdages ved hjelp av nettverkslogging, er imidlertid ikke omfattet av disse retningslinjene. 1.1.3.2 Om systembrukernes personvern Logger over oppslag i registre kan i seg selv utgjøre personopplysninger, i den grad logginformasjonen kan knyttes til de enkeltpersoner som har gjort oppslag. Det kan innebære et inngrep i systembrukerens personvern å gi den registrerte innsyn i logginformasjon. Hensynet til de registrertes personvern må likevel som hovedregel veie tyngre enn hensynet til systembrukernes personvern i denne sammenhengen. Det er grunn til å stille strenge krav http://www.datatilsynet.no/Sikkerhet-internkontroll/internkontroll_informasjonssikkerhet/ http://internkontroll.infosikkerhet.difi.no/ Innledning til de som behandler personopplysninger, slik at behandlingen ikke unødig går ut over den registrertes personvern. Innsynslogging er et kontrolltiltak i virksomheten, og som hovedregel vil det innfri vilkårene for kontrolltiltak etter arbeidsmiljøloven § 9-1. Forutsetningen er at innsynsloggen brukes til sitt opprinnelige formål, som er å motvirke uberettiget innsyn i personopplysninger. Arbeidsgivers plikter etter arbeidsmiljøloven § 9-2 om drøfting, informasjon og evaluering av kontrolltiltak gjør seg selvsagt gjeldende. Det er svært viktig at systembrukerne informeres på en god måte om implementering av innsynslogg og de registrertes innsyn i disse loggene. Med unntak av punkt 2.7.2 omtales ikke systembrukernes personvern nærmere i disse retningslinjene. 1.1.3.3 Om bruk av sanksjoner Uberettiget innsyn i personopplysninger kan i enkelte tilfeller medføre rettslige sanksjoner. For eksempel kan det tenkes at uberettiget innsyn fører til en videreformidling som innebærer et straffbart brudd på taushetsplikt eller plikt som påhviler en offentlig tjenestemann. Uberettiget innsyn kan også medføre erstatningsplikt overfor skadelidende eller føre til en arbeidsrettslig sak. Dette er imidlertid forhold som ikke vurderes her. Disse retningslinjene gir ingen anbefalinger om, eller eventuelt hvordan, det skal sanksjoneres med grunnlag i innsynslogger som bevismateriale. Tilgangsstyring er ikke tema for disse retningslinjene. Det bør likevel understrekes at tilgangsstyringen har betydning for innsynsloggenes integritet. Dersom det er usikkert hvem som har foretatt et uberettiget innsyn, vil loggen svært vanskelig kunne brukes som bevis for at en bestemt person har hatt slikt innsyn. Dette er forhold den enkelte virksomhet må ta i betraktning når det vurderes om og eventuelt hvordan uberettiget innsyn skal sanksjoneres. 1.1.3.4 Om innsyn i innsynslogger Spørsmål om innsyn i innsynslogger for andre enn de registrerte og de som sørger for virksomhetsintern gjennomgang av logger, vurderes ikke her. Det betyr blant annet at eventuelt innsyn i innsynslogger etter offentlighetslovens regler ikke drøftes inngående, selv om disse reglene kan gjøres gjeldende. «Det er svært viktig at systembrukerne informeres på en god måte om implementering av innsynslogging og de registrertes innsyn i disse loggene.» 1.1.3.5 Andre virkemidler for å forebygge uberettiget innsyn Det mest effektive virkemiddelet for å motvirke uberettiget innsyn er god tilgangsstyring. Strenge regler for tilgang er imidlertid vanskelig for mange å gjennomføre. Flere virksomheter er avhengige av vide tilganger for å kunne gjøre jobben sin, og må benytte andre virkemidler for å motvirke uberettiget innsyn. Innsynslogging er et slikt alternativt virkemiddel. Hvis tilgangsstyringen er vid, kan innsynslogging bidra til å minimere risikoen for uberettiget innsyn. Likeledes vil en streng tilgangsstyring kunne tilsi at behovet for innsynslogging ikke er like stort. De færreste virksomheter praktiserer så streng tilgangsstyring at det ikke er behov for andre virkemidler. For de fleste vil en kombinasjon av tilgangsstyring, innsynslogging og andre virkemidler gi best resultater 9 «Innsynsloggene er tekniske logger over hvordan et informasjonssystem (for eksempel et register) brukes.» med tanke på å minimere risikoen for uberettiget innsyn. Andre alternative virkemidler kan være strenge autoriseringsrutiner, anonymisering eller pseudonymisering i registrene, skjerming av opplysninger og andre funksjoner som er bygget inn i IT-systemene for å bedre de registrertes personvern. Informasjon om og opplæring i behandling av personopplysninger er også sentrale virkemidler. Bruken av slike andre virkemidler som kan bidra til å minimere risikoen for uberettiget innsyn, må tas i betraktning i virksomhetens risikovurderinger, se punkt 2.2. Omfanget av eksisterende tiltak, og nivået på restrisikoen for uberettiget innsyn etter at tiltakene er vurdert, vil få betydning for hvilke loggtiltak det er nødvendig for virksomheten å implementere. 1.2 OM INNSYNSLOGG 1.2.1 Hva er innsynslogger? Innsynslogger, slik begrepet brukes her, er det som på fagspråket kalles klientbaserte logger. Innsynsloggene er tekniske logger over hvordan et informasjonssystem (for eksempel et register) brukes. Dette kalles også i enkelte sammenhenger aktivitetslogg. Innsynslogging omfatter mange ulike typer logger. Disse dokumenterer blant annet vellykkede og mislykkede innloggingsforsøk, oppnådd adgang til filområder og andre hendelser i systemet. Ved hjelp av innsynslogging kan man blant annet avdekke uberettiget innsyn i registre. 10 I motsetning til innsynsloggingen, som skjer internt i et system, logges dataflyten inn og ut av et nettverk ved nettverksbasert logging. Nettverkslogging kan for eksempel bidra til at virus blir oppdaget, og at mistenkelig datatrafikk oppdages og undersøkes. Behandlingsansvarlige har en generell plikt til å gjennomføre nettverksbasert logging etter personopplysningsloven § 13, men det finnes ingen generell plikt til innsynslogging etter denne loven. Eventuell implementering av innsynslogging må skje med basis i en risikovurdering av uberettiget innsyn i personopplysninger hos den enkelte virksomheten. 1.2.2 Metoder for gjennomgang av innsynslogg Det finnes flere måter å gjennomgå innsynslogger på, og valget av metode vil avhenge av hvor omfattende loggingen er og hvilke ressurser man bruker på innsynslogging. I hovedsak kan det skilles mellom tre ulike metoder for gjennomgang av innsynslogg. 1.2.2.1 Stikkprøve - manuell gjennomgang av innsynslogg Stikkprøvekontroll er en manuell metode for å følge opp innsynslogger ved å sjekke tilfeldig utvalgte oppføringer i loggen for å se om det er noe unormalt ved handlingen som er logget. Stikkprøvekontroller er imidlertid ikke en tilfredsstillende metode for å avdekke uberettiget innsyn, selv om de kan bidra til å motvirke og forebygge dette. Mengden og hyppigheten av stikkprøver varierer Innledning 11 ”Enhver virksomhet som behandler personopplysninger plikter å ha kontroll over sin håndtering av personopplysningene.” med virksomhetens behov. Behovet avhenger av hvor omfattende behandling av personopplysninger virksomheten driver. Virksomheter som har behov for omfattende gjennomgang av innsynslogger, vil dermed måtte bruke uforholdsmessig store ressurser på manuell gjennomgang for å dekke dette behovet. 1.2.2.2 Regelbasert analyse – halvautomatisk gjennomgang av innsynslogg Regelbasert analyse innebærer at virksomheten identifiserer et antall regler for hvilke typer handlinger i et system som potensielt kan indikere mistenkelig aktivitet eller uberettiget innsyn. Et automatisert system undersøker innsynsloggen og varsler når en av de angitte handlingstypene er utført. De varslede hendelsene undersøkes nærmere manuelt. Typiske handlinger som kan regelfestes som mistenkelige, kan være innsyn fra en ansatt i en annen avdeling enn den som vanligvis har befatning med opplysningene, eller innsyn i opplysninger om ansatte i virksomheten. Metoden kan innebære at mange falskt positive resultater sendes til manuell gjennomgang. Den er også avhengig av at reglene for hvilke handlinger som defineres som mistenkelige, er tilfredsstillende. Faren vil alltid være stor for at reglene enten er for omfattende, slik at man får for mange mistenkelige hendelser, eller for lite omfattende, slik at man ikke har en reell mulighet til å avdekke uberettiget innsyn. Ofte vil det være nødvendig å supplere halvautomatisk gjennomgang av innsynslogger med manuelle stikkprøver. 12 1.2.2.3 Mønstergjenkjenning – automatisk gjennomgang av innsynslogg Mønstergjenkjenning er en metode for gjennomgang av innsynslogg hvor det defineres noen handlingsparametre og nøkkeltall som aggregeres og analyseres i forhold til hverandre. Et avvik fra gjennomsnittet, slik dette er definert gjennom parametre og nøkkeltall, vil flagges som mistenkelig. Det krever svært mye arbeid å finne riktig nivå for parametrene slik at man ikke ender med for få avvik eller for mange falske positive funn. Likevel ser mønstergjenkjenning ut til å være en av de mest effektive metodene for avdekking av urettmessig innsyn. Større virksomheter med mange behandlinger av personopplysninger vil kunne dra nytte av denne metoden. 1.2.3 Metoder for innsyn i innsynslogger Det er flere måter en virksomhet kan legge til rette for innsyn i innsynslogger på: manuell, halvautomatisk og automatisk behandling av innsynsbegjæringer. Den vanligste måten å gjøre dette på er den manuelle metoden. Her informeres de registrerte, enten i brev eller på virksomhetens nettside, eventuelt i kombinasjon med muntlig informasjon, om at de kan be om innsyn i loggene som omhandler egne opplysninger. Videre åpnes det for innsynsbegjæringer ved brev eller telefon til en gitt kontaktperson hos den behandlingsansvarlige, som behandler innsynsbegjæringen og eventuelt sender informasjon til den registrerte. Innledning En annen metode er å tilrettelegge et automatisert system for innsynsbegjæringer, hvor den registrerte kan logge seg på for å begjære innsyn i loggen sin – såkalt selvbetjent bestilling. Behandlingen av innsynsbegjæringer gjøres i systemet av en saksbehandler hos den behandlingsansvarlige, og ved godkjent innsyn sendes innsynsloggen automatisk til den registrerte. Den tredje metoden er å legge til rette for en påloggingsside hvor alle innsynsloggene for den registrerte kan hentes ut av den registrerte selv uten forutgående begjæring og saksbehandling. Dette er en fullt ut selvbetjent løsning. 1.3 REGELVERK AV BETYDNING FOR INNSYNSLOGGING 1.3.1 Krav til informasjonssikkerhet og internkontroll i personopplysningsloven med forskrift 1.3.1.1Informasjonssikkerhet I personvernsammenheng dreier informasjonssikkerhet seg om å håndtere risiko for virksomhetens informasjonsverdier og behandling av personopplysninger. Dette er noen av bestemmelsene om informasjonssikkerhet i personopplysningsloven med forskrift som anses mest relevante for innsynslogging: • Personopplysningsloven § 13 om plikt til å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. • Personopplysningsforskriften § 2-8 om plikt til kun å bruke informasjonssystem for å utføre pålagte oppgaver, og om registrering av uautorisert bruk. • Personopplysningsforskriften § 2-14 om plikt til å gjennomføre sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystem og gjøre det mulig å oppdage forsøk på slik bruk. • Personopplysningsforskriften § 2-16 om registrering av uautorisert bruk eller forsøk på uautorisert bruk. Alle virksomheter som behandler personopplysninger, plikter å gjennomføre risikovurdering etter personopplysningslovens regler. En risikovurdering er en generell metode for å identifisere risikoer som kan true oppfyllelsen av virksomhetens mål og krav. I personopplysningsloven handler det om en kartlegging av sannsynligheten for og konsekvensene av at kravene til konfidensialitet, integritet eller tilgjengelighet ikke er tilstrekkelig ivaretatt ved behandling av personopplysninger. For en detaljert beskrivelse av risikovurdering etter personopplysningsloven vises det til Datatilsynets generelle veileder om risikovurdering av informasjonssystem3. Personopplysningsloven § 13. Informasjonssikkerhet. Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd. Kongen kan gi forskrift om informasjonssikkerhet ved behandling av personopplysninger, herunder nærmere regler om organisatoriske og tekniske sikkerhetstiltak. Datatilsynet: Risikovurdering av informasjonssystem. Oppdatert 15.02.02. Link: http://datatilsynet.no/Global/04_veiledere/Risikoveileder_pdf.pdf 3 13 Personopplysningsloven § 14. Internkontroll. Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet. Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. Kongen kan gi forskrift med nærmere regler om internkontroll. Virksomheter som ikke er i stand til å gjennomføre tilstrekkelige risikovurderinger selv, bør vurdere å søke ekstern bistand til dette arbeidet. I disse retningslinjene vises hvordan metoden for risikovurdering kan benyttes i sammenheng med uberettiget innsyn i registre. En slik risikovurdering er nødvendig for å fastsette behovet for innsynslogging ved behandling av personopplysninger. 1.3.1.2 Internkontroll Internkontroll er et kvalitetssystem for etterlevelse av regelverk. Det er ledelsens verktøy for å styre aktiviteten i virksomheten i overensstemmelse med lover og regler. Enhver virksomhet som behandler personopplysninger plikter å ha kontroll over sin håndtering av personopplysningene. Dette er noen relevante bestemmelser om internkontroll i personopplysningsloven med forskrift: • Personopplysningsloven § 14 om plikt til å dokumentere at virksomheten har et rammeverk for å oppfylle de rettigheter og plikter de har etter personopplysningsloven. • Personopplysningsforskriften § 3-1 om plikt til å gjennomføre systematiske tiltak for behandling av personopplysninger i henhold til plikten til internkontroll etter personopplysningsloven § 14. 1.3.2 Innsynsrett etter personopplysningsloven og offentlighetsloven Den registrertes innsynsrett i egne personopplysninger er et sentralt 14 personvernprinsipp. Innsynsretten bidrar til at de registrerte får oversikt over hvilke opplysninger virksomheter har om dem og hvordan disse behandles. Innsynsretten bidrar til at de registrerte lettere kan utøve sine rettigheter etter personopplysningsloven og i større grad råde over egne personopplysninger. 1.3.2.1 Personopplysningsloven Innsynsretten etter personopplysningsloven § 18 gjelder «informasjon», noe som omfatter mer enn den registrertes personopplysninger. Etter første ledd skal enhver som ber om det, få vite hva slags behandling av personopplysninger som blir foretatt av den behandlingsansvarlige. Når det gjelder innsynslogging, kan det for eksempel være aktuelt å gi informasjon om at oppslag i systemet blir logget, hvem som har brukt et system eller en maskin, når dette har skjedd og at dette sjekkes opp mot den aktuelle personens rolle og tjenstlige behov. Etter § 18 andre ledd har den registrerte rett til å få vite hvilke opplysninger om henne som behandles. Disse opplysningene vil i stor grad være de samme som nevnt ovenfor, men etter tredje ledd kan dette på visse vilkår kreves utdypet av den opplysningene gjelder. Personopplysningsloven § 23 gjør enkelte unntak fra innsynsretten, og det mest aktuelle for logginformasjon er første ledd bokstav b. Denne bestemmelsen åpner for unntak av hensyn til blant annet forebygging, etterforsking og avsløring av straffbare handlinger. Innledning 15 Personopplysningsloven § 18. Rett til innsyn. Enhver som ber om det, skal få vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar, og kan kreve å få følgende informasjon om en bestemt type behandling: a)navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b)hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter, c) formålet med behandlingen, d) beskrivelser av hvilke typer personopplysninger som behandles, e) hvor opplyningene er hen tet fra, og f ) om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker. Dersom den som ber om innsyn er registrert, skal den behandlingsansvarlige opplyse om a) hvilke opplysninger om den registrerte som behandles, og b) sikkerhetstiltakene ved be handlingen så langt innsyn ikke svekker sikkerheten. Den registrerte kan kreve at den behandlingsansvarlige utdyper informasjonen i første ledd bokstav a - f i den grad dette er nødvendig for at den registrerte skal kunne vareta egne interesser. 16 Fortsetter neste side 1.3.2.2 Offentleglova Hovedregelen etter offentleglova § 3 er at alle kan kreve innsyn i saksdokumenter, journaler og lignende registre hos virksomheter som er omfattet av offentleglova, jf. § 2. Saksdokumenter er dokumenter som gjelder det aktuelle organets ansvarsområde eller virkeområde. Dokumenter som viser logginformasjon fra organets systemer eller maskiner, vil åpenbart gjelde organets arbeidsområde. Rene elektroniske spor regnes ikke som saksdokumenter etter offentleglova, men logginformasjon står i en annen stilling, og dokumenter med slik informasjon faller trolig innenfor loven. Det gjelder imidlertid flere unntak fra hovedregelen om innsyn. Dette gjelder blant annet for opplysninger som er underlagt taushetsplikt i lov eller i medhold av lov. Regler om taushetsplikt finnes blant annet i forvaltningsloven § 13 og i personopplysningsforskriften § 2-9, samt i en rekke sektorlover. Selv om enhver kan kreve innsyn i opplysninger om hvordan en virksomhet logger, er det ofte ikke aktuelt å gi innsyn etter offentleglova i selve innsynsloggene. Opplysningene i loggen kan være underlagt taushetsplikt, slik at de ikke kan gjøres tilgjengelige for andre enn den registrerte og den behandlingsansvarlige. Dette kan for eksempel være tilfelle dersom loggene inneholder opplysninger om noens ”personlige forhold”, jf. forvaltningsloven § 13 første ledd nr. 1, eller dersom innsyn kan motvirke offentlige kontroll- eller reguleringstiltak eller lette gjennomføringen av straffbare handlinger, jf. offentleglova § 24. 1.3.3 Særregler om innsynslogging i enkelte sentrale sektorer Personopplysningsloven med forskrift gir generelle regler om behandling av personopplysninger og gjelder for alle som behandler personopplysninger, med mindre annet er særlig bestemt med hjemmel i lov. Der det ikke er særregler om behandling av personopplysninger, eller det stilles tilleggskrav til behandlingen i konsesjon fra Datatilsynet, vil personopplysningsloven med forskrift gjelde. Enkelte sektorer har egne regler i lov eller forskrift om behandling av personopplysninger. Virksomheter må gjøre seg kjent med de reglene som gjelder for sin sektor. I dag er det to sektorer som har egne regler om innsynslogging: helse- og omsorgssektoren og politisektoren. Begge disse sektorene går lengre i å kreve innsynslogging enn det som direkte følger av personopplysningsloven med forskrift. I tillegg har Datatilsynet i konsesjon stilt særlige krav om innsynslogging i bankene. 1.3.3.1 Helseregisterloven med forskrift I helseregisterloven § 6 er det gitt regler om behandling av helseopplysninger. Slike opplysninger kan bare behandles når det er hjemmel i personopplysningsloven eller annen lov og behandlingen ikke er forbudt ved annet særskilt rettsgrunnlag. Etter helseregisterloven § 24 har den registrerte ”rett til innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer, fra helseregistre etter §§ 8 til 11”. Tilsvarende rett følger av pasientjournalloven § 18. Innledning Virksomheter som tilhører helse- og omsorgssektoren må gjøre seg kjent med reglene både i personopplysningsloven med forskrift og i pasientjournalloven og helseregisterloven. virksomhet. Behandling av personopplysninger ved utstedelse av pass og våpentillatelser er primært underlagt de generelle reglene i personopplysningsloven. 1.3.3.2 Politiregisterloven med forskrift Den nye politiregisterloven § 17 første ledd krever at bruk av opplysninger skal kunne spores. § 17 andre ledd nr. 3 åpner for å bruke opplysninger om bruk av systemet til å avdekke og sanksjonere urettmessig behandling av personopplysninger, mens tredje ledd sier at opplysninger om bruk av systemet skal registreres og lagres i minst ett år og slettes senest etter tre år. 1.3.3.3 Bankkonsesjonen Banker og finansinstitusjoner er underlagt konsesjonsplikt for sin behandling av personopplysninger. Datatilsynet reviderte i januar 2012 bankkonsesjonen. En av de viktigste endringene i konsesjonen besto i å pålegge bankene en plikt til å logge systembrukernes innsyn i registrene, og gjennom stikkprøver eller andre former for kontroll undersøke om systembrukere gjør innsyn uten tjenstlig behov. Avvik skal rapporteres til Datatilsynet. Videre gis kundene rett til innsyn i antall elektroniske oppslag samt tidspunktet for oppslaget, og de har også rett til å be banken om å gjøre nærmere undersøkelser dersom de mistenker urettmessig innsyn. Kapittel 40 i politiregisterforskriften omtaler informasjonssikkerhet. I § 40-13 stilles det krav til hva loggene skal inneholde og hvordan de skal følges opp og kontrolleres. Forskriften trådte i kraft 1. juli 2014. Den innsynsloggingen som det legges opp til i § 40-13, kunne imidlertid ikke implementeres i alle politiets registre umiddelbart, siden flere av disse registrene ikke har, eller kun delvis har, logg- og sporingsfunksjonalitet. På bakgrunn av dette er det i forskriftens § 86-3 bestemt at kravene i kapittel 40 får anvendelse ”så langt det er mulig”. Samtidig forutsettes det at den behandlingsansvarlige fører oversikt over hvordan kravene ivaretas. Det er i skrivende stund (januar 2015) ikke mulig å si noe sikkert om når funksjonaliteten vil være på plass for alle registre eller hvor lenge overgangsregelen vil gjelde. Det presiseres at politiregisterloven ikke gjelder for politiets forvaltnings- Fortsettelse fra forrige side Retten til informasjon etter annet og tredje ledd gjelder ikke dersom personopplysningene behandles utelukkende for historiske, statistiske eller vitenskapelige formål og behandlingen ikke får noen direkte betydning for den registrerte. Offentleglova § 3. Hovudregel. Saksdokument, journalar og liknande register for organet er opne for innsyn dersom ikkje anna følgjer av lov eller forskrift med heimel i lov. Alle kan krevje innsyn i saksdokument, journalar og liknande register til organet hos vedkommande organ. 1.4 OPPLYSNINGSKATEGORIER 1.4.1 Personopplysninger Enhver virksomhet som behandler personopplysninger må skaffe seg oversikt over hvilke opplysninger de behandler, og hvor stor beskyttelsesverdi de forskjellige opplysningene har. En kategorisering av opplysningstyper er nyttig når man skal bestemme seg for hvilken grad av beskyttelse de forskjellige opplysningstypene bør ha for å unngå uberettiget innsyn og annet misbruk. I punktene 1.4.1.1 til 1.4.1.3 er det foretatt en kategorisering av personopplysninger. Sensitive personopplysninger må anses å ha større behov for beskyttelse enn ”vanlige” personopplysninger. 17 «En kategorisering av opplysningstyper er nyttig når man skal bestemme seg for hvilken grad av beskyttelse de forskjellige opplysningstypene bør ha for å unngå uberettiget innsyn og annet misbruk.» 1.4.1.1 ”Vanlige” personopplysninger Etter personopplysningsloven § 2 nr. 1 er personopplysninger definert som ”opplysninger og vurderinger som kan knyttes til en enkeltperson”. Tilknytningen kan være direkte, ved at personen er identifisert, eller indirekte, ved at det uten store vanskeligheter lar seg gjøre å finne ut hvem opplysningene omhandler. 1.4.1.2 Særlig beskyttelsesverdige personopplysninger Personopplysningsloven skiller kun mellom ”vanlige” personopplysninger og sensitive personopplysninger. Likevel er det enkelte opplysningskategorier som anses å være beskyttelsesverdige, selv om de i lovens forstand faller inn under kategorien ”vanlige” personopplysninger. For eksempel er ikke opplysninger om personlig økonomi ansett å være sensitive i lovens forstand, men dette er opplysninger svært mange ønsker å verne spesielt om. Dette er noe Datatilsynet også tar hensyn til, blant annet i bank- og forsikringskonsesjonene. Fødselsnummer er et annet eksempel på en opplysning svært mange anser som beskyttelsesverdig, selv om det ikke er en sensitiv opplysning i lovens forstand. 1.4.1.3 Sensitive personopplysninger Personopplysningsloven § 2 nr. 8 definerer sensitive opplysninger som opplysninger om • rasemessig eller etnisk bakgrunn • politisk, filosofisk eller religiøs oppfatning 18 • at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling • helseforhold • seksuelle forhold • medlemskap i fagforeninger Det stilles strengere krav til behandling av sensitive personopplysninger, fordi denne typen opplysninger er ansett av lovgiver å være mer beskyttelsesverdig enn andre personopplysninger. 1.4.2 Taushetsbelagte opplysninger Flere regelverk har bestemmelser om taushetsplikt for systembrukere som behandler bestemte opplysninger. For eksempel er det regler om taushetsplikt i helsepersonelloven, i forvaltningsloven og i straffeloven. Det er også en bestemmelse om taushetsplikt i personopplysningsforskriften § 2-9. Taushetsbelagte opplysninger er ikke det samme som personopplysninger, og mange personopplysninger vil normalt falle utenfor taushetsplikten. Taushetsbelagte personopplysninger vil være opplysninger om noens «personlige forhold», jf. forvaltningsloven § 13 første ledd nr. 1, og ellers de opplysningene som er utpekt som taushetsbelagte i den enkelte bestemmelsen. Taushetsplikt vil også kunne omfatte andre typer opplysninger enn personopplysninger. I denne sammenhengen er det imidlertid taushetsplikt om noens personlige forhold som er relevant. Eksempelvis vil en lege eller psykolog Innledning ha taushetsplikt om alle helserelaterte opplysninger som gjelder deres pasienter. Dette er svært viktig for å opprettholde et tillitsforhold. Likedan vil en saksbehandler i offentlig forvaltning ha taushetsplikt om personlige forhold hun får kjennskap til i sitt arbeid. «Det stilles strengere krav til behandling av sensitive personopplysninger, fordi denne typen opplysninger er ansett av lovgiver å være mer beskyttelsesverdig enn andre personopplysninger.» 19 20 Anbefalinger 2. Anbefalinger Disse retningslinjene inneholder anbefalinger om hvordan virksomheter kan gjennomføre innsynslogging og innsyn i logger. Anbefalingene gjelder generelt for alle virksomheter som behandler personopplysninger, med mindre annet er presisert, eller særlovgivning setter egne krav eller begrensninger. Virksomheten må i tillegg selv vurdere om andre iverksatte tiltak og virkemidler for å motvirke uberettiget innsyn i personopplysninger, tilsier at innsynslogging ikke er nødvendig. Flytskjemaet i kapittel 3 kan være til hjelp for virksomheter som er usikre på om de bør innføre innsynslogging. Å implementere mer avanserte systemer for innsynslogging og gjennomgang av logger er komplisert og kostnadskrevende. En trinnvis tilnærming til loggproblematikken er ofte hensiktsmessig. Veiledningen er presentert i den rekkefølgen virksomheter anbefales å tilnærme seg arbeid med innsynslogger på, men er ikke uttømmende. 2.1 SYSTEM FOR INTERNKONTROLL Alle virksomheter som behandler personopplysninger plikter å ha på plass et internkontrollsystem for å sikre etterlevelse av personvernreglene, på lik linje med systemer for etterlevelse av andre regelverk. Når det gjelder innsynslogging, har plikten til internkontroll etter personopplysningsloven § 14 følgende elementer: Styrende elementer: beslutninger og føringer for internkontroll • få kjennskap til de regler som gjelder for virksomhetens behandling av personopplysninger • kartlegge virksomhetens behandlinger • identifisere formål og behandlingsgrunnlag/hjemmel for behandlingene, og vurdere om formål er i samsvar med hjemmel • beskrive de overordnede rammene for virksomhetens behandlinger «Å implementere mer avanserte systemer for innsynslogging og gjennomgang av logger er komplisert og kostnadskrevende. En trinnvis tilnærming til loggproblematikken er ofte hensiktsmessig.» Gjennomførende elementer: rutiner tilpasset den enkeltes arbeidssituasjon • kvalitetssikring av personopplysninger • informasjon til de registrerte og til systembrukerne om innsynslogg • behandling av innsynslogg • behandling av innsynsbegjæringer Kontrollerende elementer: gjennomganger for å fange opp avvik • varsel om, og sanksjoner for, brudd på rutiner • korrigerende tiltak • gjennomføre meldeplikt til Datatilsynet ved avvik 21 Personopplysningsforskriften § 2-4. Risikovurdering. Det skal føres oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandling av personopplysninger, jf. første ledd og § 2-2. Resultatet av risikovurderingen skal dokumenteres. Listen over styrende, gjennomførende og kontrollerende elementer er ikke uttømmende. Videre gjelder listen kun elementer av betydning for innsynslogging. uberettiget innsyn bør prioriteres. Videre må virksomheten engasjere de gruppene av systembrukere som har best muligheter til å avdekke det som skjer. Det er viktig at arbeidet forankres hos virksomhetsledelsen. 2.2 GJENNOMFØRE RISIKOVURDERING ETTER PERSONOPPLYSNINGSFORSKRIFTEN § 2-4 2.2.4 Kartlegging av opplysningenes beskyttelsesverdi Datatilsynets veileder om risikovurdering av informasjonssystem viser hvordan man bør kartlegge de ulike behandlinger som virksomheten gjør. I denne sammenhengen er det kartlegging av sikkerhetsbehov som er sentralt. For å finne ut hvilket sikkerhetsbehov virksomheten har, bør beskyttelsesverdien til de personopplysninger som behandles i virksomheten kategoriseres. 2.2.1 Innledning Her fremstilles en anbefalt metode for gjennomføring av risikovurderinger med tanke på uberettiget innsyn i personopplysninger. Metoden er bygget opp identisk med Datatilsynets veileder, slik at det er mulig å sammenholde og integrere risikovurdering for snoking med andre risikovurderinger som virksomheten utfører. 2.2.2 Fastsette akseptabelt risikonivå Det er virksomhetens leder som fastsetter akseptabelt risikonivå, men dette kan overprøves og fastsettes av Datatilsynet. For uberettiget innsyn bør uønskede hendelser konkretiseres og formuleres skriftlig i tillegg til de tallverdier som ofte benyttes i metoden for risikovurdering. Tallverdiene som anbefales er i området 1 til 4: lav, moderat, høy og svært høy risiko. Dette er en mye brukt skala i risikovurdering. 2.2.3 Forberedelser Arbeidet bør organiseres som et prosjekt, og de områdene hvor det antas å være størst risiko for 22 Personopplysninger kan kategoriseres etter vurdert eller lovbestemt verdi. Opplysninger med høy beskyttelsesverdi må også antas å være mer utsatt for uvedkommendes ønske om innsyn enn opplysninger med lavere verdi. Nedenfor gis forslag til verdivurdering inndelt i fire klasser. En annen informasjonstype, som kan inneholde alle opplysningstypene nevnt ovenfor, er taushetsbelagte opplysninger. Dette er imidlertid ikke alltid personopplysninger, og derfor havner taushetsbelagte opplysninger i en noe annen kategori enn de forskjellige typene personopplysninger. Anbefalinger Tabell 1 Klasse Betegnelse 1 Lav 2 3-4 Moderat Høy-svært høy Type personopplysninger ”Vanlige” personopplysninger: Informasjon som ikke kan skade noe eller noen, og som tilgjengeliggjøres basert på virksomhetens bedømmelse og relevant lovverk ”Vanlige” personopplysninger eller beskyttelsesverdige personopplysninger: Informasjon som kan gi moderate skader for virksomheten eller enkeltpersoner Sensitive personopplysninger Eksempler (ikke uttømmende) Informasjon som kan legges ut på WWW. Informasjon som etter offentlighetsloven skal utleveres ved innsynsbegjæring. «Opplysninger med høy beskyttelsesverdi må også antas å være mer utsatt for uvedkommendes ønske om innsyn enn Opplysninger om personlig økonomi, fødselsnummer, mindre sensitive atferdsopplysninger, opplysninger om kundeforhold. opplysninger med lavere verdi.» Helseopplysninger, opplysninger om religiøs eller politisk overbevisning, opplysninger om kriminelt rulleblad, enkelte typer atferdsopplysninger. Tabell 2 Klasse 2-4 Betegnelse Type opplysninger ModeTaushetsbelagte opplysrat-svært ninger høy Eksempler Informasjon underlagt taushetsplikt etter personopplysningsloven, forvaltningsloven eller andre regler. Informasjon underlagt taushetsplikt i avtale. 23 24 Anbefalinger Kategoriene som brukes her er bredere enn det som kanskje er vanlig. Grunnen til dette er at for svært mange opplysningstyper kan verdien variere etter kontekst og den totale sammensetning av opplysninger. 2.2.5 Identifisere faktorer som muliggjør uønskede hendelser Det er viktig at virksomheten identifiserer faktorer som bidrar til at uønskede hendelser kan oppstå, blant annet for å få oversikt over hvor det er viktigst å sette inn tiltak. Nedenfor finnes noen eksempler på hva som kan være situasjonen når noen foretar uberettiget innsyn i personopplysninger: • Tilgangsstyringen er vid nok til at systembrukere kan foreta innsyn der det ikke er tjenstlig behov. Denne muligheten finnes i en rekke systemer. • Rutinene for pålogging er dårlige, for eksempel ved at systembrukere forlater aktive arbeidsstasjoner uten å logge av, brukeridentitet/ passord oppbevares åpent eller passordrutinene er svake. Slike rutiner kan bidra til at det er lettere å bruke en annens brukeridentitet for å foreta uberettiget innsyn. • Systemet for tilgangsstyring er godt tilpasset tjenstlig behov, men rutinene for tildeling og tilbaketrekking av autorisasjoner er dårlige. Dette kan føre til at systembrukere får videre tilganger enn de har tjenstlig behov for. • Spesielt datakyndige kan skaffe seg utvidet tilgang. Disse uønskede hendelsene har ulike konsekvenser som blant annet avhenger av hvilke opplysninger det potensielt kan gjøres innsyn i. I tabell 3 er dette nærmere behandlet. ”For svært mange opplysningstyper kan verdien variere etter kontekst og den totale sammensetning av opplysninger.” 2.2.6 Vurdere konsekvens av uønskede hendelser Når virksomheten har kartlagt hvilken beskyttelsesverdi de ulike opplysningene som behandles har, og hvilke faktorer som kan gi uønskede hendelser, bør virksomheten videre vurdere konkrete uønskede hendelser, og hva som kan være konsekvensene av disse. I tabell 3 gis eksempler på hvordan dette kan gjøres. Virksomheten må lage en egen oversikt over hvilke hendelser som er relevante. 25 «Det er viktig at virksomheten identifiserer faktorer som bidrar til at uønskede hendelser kan oppstå, blant annet for å få oversikt over hvor det er viktigst å sette inn tiltak.» Tabell 3 Eksempel på hendelse (ikke uttømmende) Systembrukere har fått tilgang de ikke skal ha, men har ikke benyttet dette videre. Opplysninger av et visst omfang som anses særlig beskyttelsesverdige, spres internt i virksomheten (for eksempel opplysninger om personlig økonomi) En begrenset mengde sensitive eller taushetsbelagte personopplysninger spres utenfor virksomheten uten at mottaker har behandlingsgrunnlag En større mengde sensitive eller taushetsbelagte personopplysninger spres utenfor virksomheten Sensitive eller taushetsbelagte personopplysninger misbrukes utenfor virksomheten 2.2.7 Vurdere sannsynligheten for uberettiget innsyn Sannsynligheten for uberettiget innsyn er ofte vanskelig å vurdere, ettersom det er mange forhold som spiller inn i vurderingen. Sannsynligheten vil avhenge av hvor god tilgangsstyring en virksomhet har, hvor mange opplysninger en virksomhet behandler og hvor mange systembrukere som behandler opplysninger. 26 Konsekvens Skaden er opprettlig Skaden har konsekvens for virksomhetens rykte og anseelse Skaden har konsekvenser for enkeltpersoner Skaden har alvorlige konsekvenser Som vist i tabell 4 kan man konkretisere sannsynligheten for uberettiget innsyn med utgangspunkt i de informasjonssystemene virksomheten bruker og hvilke muligheter systembrukerne har for å foreta innsyn. Anbefalinger Tabell 4 Klasse Sannsynlighet Beskrivelse Hvor lett er det å foreta uberettiget innsyn? Hvilke muligheter har systembrukeren for å foreta uberettiget innsyn? Hendelsen krever spesiell kompetanse i teknologi og løsning. 1 Lav Hendelsen inntreffer svært sjelden Det krever store ressurser for å få endret tilgangen til å omfatte opplysninger man ikke har tjenstlig behov for. 2 Moderat Hendelsen inntreffer sjelden Tilgangsstyring fungerer godt, men det finnes fortsatt måter for teknisk kompetente systembrukere til å omgå tilgangsstyringen. Hendelsen kan skje med forsett og krever utvidet tilgang. 3 Høy Hendelsen inntreffer ofte Tilgangsstyring er ikke fullt etablert og systembrukere kan enkelt få tilgang utover tjenstlig behov. Hendelsen kan skje ved forsett og bruk av tildelte tilganger. 4 Svært høy Hendelsen inntreffer svært ofte Tilgangsstyringen er vid og ikke tilpasset slik at uberettiget innsyn unngås. Hendelsen kan skje ved uaktsomhet og bruk av de tildelte tilganger. «Sannsynligheten for uberettiget innsyn er ofte vanskelig å vurdere.» 27 «Det er ikke gitt at innsynslogging er det eneste tiltaket som kan igangsettes for å senke risikoen for uberettiget innsyn.» Sannsynligheten for uberettiget innsyn avhenger også av omfanget og struktureringen av opplysninger, og dette må virksomheten ta i betraktning ved sin sannsynlighetsvurdering. Tabellen nedenfor viser dette på et overordnet nivå, med følgende fargekoder: 2.2.8 Foreta overordnet risikovurdering med forslag til tiltak Begrepet risiko uttrykker en antakelse om hvilken fare en gitt hendelse representerer overfor verdiene i virksomheten. Risiko er en kombinasjon av konsekvens av en hendelse (punkt 2.2.6) og sannsynligheten for at den inntreffer (punkt 2.2.7). Det er i denne sammenheng verdt å merke seg at flere kombinasjoner av konsekvens og sannsynlighet kan gi samme risiko når man benytter tallverdier (liten konsekvens, høy sannsynlighet – stor konsekvens, lav sannsynlighet). • lysere fargelegging at tiltak bør vurderes nærmere • mørk fargelegging antyder at tiltak må iverksettes •lyse felt angir akseptabel risiko. Den enkelte virksomhet må imidlertid selv vurdere hva som er akseptabelt. Hvilke tiltak som settes i gang på bakgrunn av gjennomført risikovurdering må vurderes av virksomheten selv. Det er ikke gitt at innsynslogging er det eneste tiltaket som kan igangsettes for å senke risikoen for uberettiget innsyn. Bedre tilgangsstyring er for eksempel et åpenbart godt alternativ, men dette er ofte vanskeligere å gjennomføre for store virksomheter. Som understreket i punkt 1.1.4 avgrenses det her mot andre virkemidler enn innsynslogging. Tabell 5 Konsekvens 4 4 Sannsynlighet Lav Moderat Høy Svært høy 28 liten moderat stor katastrofal Anbefalinger 2.3 INFORMASJONSTYPER SOM BØR LOGGES 2.3.1 Informasjonstyper alle bør logge Visse opplysningstyper er avgjørende å logge for i det hele tatt å kunne avdekke uberettiget innsyn. Hvis man ikke logger tilstrekkelig mange opplysningstyper, vil ikke informasjonen i innsynsloggen være pålitelig. Dette vil gjøre det vanskeligere å konstatere at det er gjort uberettiget innsyn. Uavhengig av virksomhetstype, anbefales følgende opplysninger alltid å logges: logger tilstrekkelig mange opplysninger, vil ikke informasjonen i innsynsloggen være Tabell 6 Informasjonstype Den registrertes unike ID eller løpenummer Brukeridentiteten eller løpenummeret til den som har hatt innsyn eller aktivitet knyttet til noens personopplysninger Tidspunkt for innsyn eller aktivitet 2.3.2 Informasjonstyper noen bør logge I virksomheter hvor det er særlig stor risiko for uberettiget innsyn, eller hvor særlig sensitive personopplysninger behandles, bør det antakelig logges mer informasjon enn det som kreves som et absolutt minimum. «Hvis man ikke Hvem bør logge? Alle virksomheter Alle virksomheter pålitelig.» Alle virksomheter Dette er for å sikre at omstendighetene rundt innsyn kan belyses tilstrekkelig. Samtidig er det viktig å unngå at innsynsloggene blir så omfattende at de blir vanskelige å håndtere for virksomhetene. I tabell 7 gis eksempler på informasjonstyper noen bør logge. 29 «Hvilke opplysninger som logges i den enkelte virksomhet vil avhenge av virksomhetens art og hvilken risiko som er knyttet til registrene i virksomheten.» 30 Tabell 7 Informasjonstype Forklaring Angitt begrunnelse Man kan gi systemfor tilgang (årsak) brukerne mulighet til å forklare seg ved innsyn som i utgangspunktet ikke synes regulært. Dette kan gjøres ved å legge inn en tekstboks hvor systembrukeren kan begrunne innsynet med egne ord. Aktivitet Hvilke handlinger er utført – søke, skrive, slette, skrive ut mv. Kontekst Hvordan er informasjonen vist – skjermbilde med flere søkeresultater, all informasjon om en registrert, etc. Hvem bør logge? Virksomheter som har behov for svært vide tilganger, eller særlige tilganger i nødssituasjoner. Organisasjonstilhø- Hvilken virksomhet, righet, stilling og avdeling/seksjon og rolle/ rolle tilgangsnivå den som har fått innsyn tilhører. Virksomheter som har gradert tilgang etter rolle og oppgaver. Søkekriterium Hvilke innstillinger, eventuelt søkeord, som ligger til grunn for visningen av opplysningene. De fleste virksomheter bør logge søkekriterium – dette kan si mye om hvorvidt innsynet er berettiget. Hvilken informasjon som er vist for systembrukeren (rubrikker) For å kunne se hvilken informasjon systembrukeren faktisk har tilegnet seg. Dette er kun mulig ved logging i den enkelte applikasjon, og anbefales for store og komplekse systemer hvor det er flere innganger til informasjonen. Kilde for tilgang Hvilken enhet har systembrukeren fått tilgang fra? Virksomheter hvor flere systembrukere har tilgang til samme PC/enheter. Virksomheter hvor personopplysninger behandles på flere måter. Virksomheter som har mer komplekse systemer for informasjonsbehandling, hvor det er flere innganger til informasjon og den kan vises på flere måter. Anbefalinger Hvilke opplysningstyper som logges i den enkelte virksomhet vil avhenge av virksomhetens art og hvilken risiko som er knyttet til registrene i virksomheten. Hva som logges vil også avhenge av hvilken metode for gjennomgang av innsynslogg den enkelte virksomhet velger. En virksomhet som bruker mønstergjenkjenning som metode for gjennomgang av innsynslogg vil ha behov for å logge flere opplysningstyper enn en virksomhet som gjennomgår innsynslogg manuelt eller halvautomatisk. for at loggene ikke kan endres eller slettes i ettertid. Det må være klare regler for hvem som har tilgang til innsynsloggene, og ingen av de som behandler personopplysninger i virksomheten bør selv ha adgang til å administrere loggene. Ideelt sett bør de som administrerer innsynsloggene være noen som ikke selv behandler personopplysninger i virksomhetens informasjonssystemer. For eksempel kan en systemadministrator tildeles ansvar for innsynsloggene. 2.4 HVORDAN ORGANISERE INNSYNSLOGGING? Videre er det viktig å sørge for at innsynsloggene sikres på en tilfredsstillende måte og at bruken av loggene gjøres til gjenstand for en egen risikovurdering. 2.4.1 Sikre innsynsloggenes integritet Dersom informasjon som lagres i innsynsloggene er feil, utdatert eller misvisende, fører dette til at loggenes integritet svekkes, og de kan ikke brukes til noe. Derfor er det viktig å sørge for at innsynsloggene inneholder relativt nye, utvetydige og verifiserbare data. 2.4.2 Lagringstid Dersom virksomheter venter for lenge mellom hver gang de gjennomgår loggene sine, vil det bli vanskeligere å konstatere eventuelle misligheter. Personell kan ha byttet roller eller husker ikke lenger detaljer rundt innsynet, eller dokumentasjon i andre systemer kan være slettet. Derfor er det viktig at virksomheter har klare regler for når loggdata skal slettes og faste rutiner for sletting av innsynslogger. 2.4.3 Hvem bør ha tilgang til innsynsloggene? For at innsynsloggene skal ha integritet er det også viktig å sørge «[Det er] viktig å sørge for at innsynsloggene inneholder relativt nye, utvetydige og verifiserbare data.» 2.5 ANBEFALTE METODER FOR GJENNOMGANG AV INNSYNSLOGG 2.5.1 Metode basert på risikokategori Det varierer fra virksomhet til virksomhet hvor mange behandlinger som foretas, hvor høy risiko det er for uberettiget innsyn og hvor sensitive opplysninger som behandles. Hvilke metoder som bør anvendes av virksomheten for gjennomgang av innsynslogger, vil avhenge av hvilken risikokategori virksomheten tilhører. I punktene 2.5.1.1 til 2.5.1.4 er noen forskjellige risikokategorier beskrevet med en anbefaling om hvilke metoder for gjennomgang av innsynslogg som bør brukes. Risikokategorien vil også kunne variere fra system til system innenfor en og samme virksomhet. Dette er ikke tatt i betraktning i inndelingen her, men vil kunne få betydning for 31 «Verktøy og rutiner for å gjennomgå innsynslogg er dynamiske, og må være i kontinuerlig utvikling.» svært store virksomheter som har mulighet til å implementere forskjellige systemer og rutiner for innsynslogg i de enkelte systemene sine. 2.5.1.1 Virksomheter med få behandlinger, lav sensitivitetsgrad og lav risiko Dersom det ikke er systemer eller rutiner på plass for å gjennomgå innsynslogger, anbefaler vi at virksomheten begynner med å innarbeide enkle rutiner for å gjennomgå loggene sine, i første omgang ved stikkprøver eller gjennomgang av loggene fra gitte tidsrom. På et tidlig stadium er det viktigste å skaffe seg oversikt – resultatene vil kunne gi en indikasjon på om det er nødvendig å sette i gang mer omfattende tiltak. 2.5.1.2 Virksomheter med få behandlinger, men høy risiko Virksomheter som behandler sensitive personopplysninger, eller som gir vide tilganger, bør ha gode systemer og rutiner på plass for gjennomgang av innsynslogger selv om det ikke drives storskala behandling av personopplysninger i virksomheten. Det anbefales at slike virksomheter gjennomfører regelbasert analyse av loggene, eller såkalt halvautomatisk gjennomgang av innsynslogger, i tillegg til manuelle stikkprøver. 2.5.1.3 Virksomheter med mange behandlinger og høy risiko, men moderat sensitivitetsgrad Virksomheter som behandler svært mange personopplysninger, eller personopplysninger om svært mange enkeltpersoner, bør ha gode systemer og rutiner på plass for gjennomgang av innsynslogg, uansett om opplysningene som behandles er sensitive eller ikke. 32 Denne typen virksomheter bør ta sikte på å utvikle avanserte, helautomatiserte systemer for gjennomgang av innsynslogg, som for eksempel systemer for mønstergjenkjenning. 2.5.1.4 Virksomheter med mange behandlinger, høy risiko og høy sensitivitetsgrad Virksomheter med svært høyt transaksjonsvolum, hvor behandling av personopplysninger er en viktig forutsetning for å kunne utføre arbeidet i virksomheten, bør ta sikte på å utvikle avanserte, helautomatiske systemer for gjennomgang av innsynslogg, som for eksempel systemer for mønstergjenkjenning. 2.5.2 Jevnlig revisjon av metoder for gjennomgang Uavhengig av metode for gjennomgang av innsynslogger er det svært viktig at virksomheten jevnlig reviderer systemene og rutinene sine for innsynslogg. Verktøy og rutiner for å gjennomgå innsynslogg er dynamiske og må være i kontinuerlig utvikling. Revisjoner bidrar til å forbedre og perfeksjonere både systemer og rutiner. Hvis reglene eller parametrene for avvik ikke gir resultater, kan det tenkes at disse bør endres. 2.6 ANBEFALTE RUTINER FOR Å FØLGE OPP INNSYNSLOGGER Nedenfor gjennomgås et sett med rutiner for gjennomgang av innsynslogger som de fleste virksomheter anbefales å implementere. 2.6.1 Hyppig oppfølging – enten manuelt, halvautomatisk eller automatisk Innsynsloggene bør følges opp og kontrolleres jevnlig. Hvordan dette Anbefalinger 33 «Det er viktig at de som gjennomgår innsynsloggene har kjennskap til hva virksomheten gjør og hvordan den er strukturert.» organiseres, må tilpasses virksomhetens størrelse og kompetanse, og loggsystemets kompleksitet og behov. Det er viktig at de som gjennomgår innsynsloggene har kjennskap til hva virksomheten gjør og hvordan den er strukturert. Kontrollen kan bestå av stikkprøver eller ved at hendelser markeres som mistenkelige i det automatiserte eller halvautomatiserte systemet. Hendelser som etter revisjonen fortsatt anses som mistenkelige, må følges opp på rett nivå. I virksomheter med omfattende behandling av personopplysninger bør innsynsloggene gjennomgås oftere enn i virksomheter som bare i begrenset grad behandler personopplysninger. Dette kan være en løpende prosess eller en kvartalsvis eller halvårlig gjennomgang. 2.6.2 Innsynslogg sammenholdes med annen relevant informasjon I tillegg til den informasjon som ligger i innsynsloggen om bruken av informasjonssystemet, er det enkelte andre informasjonstyper det kan være nyttig å sammenholde med loggen. Dette er fordi informasjonen kan kaste nytt lys over logginformasjonen og sette den i en kontekst. I det følgende gis noen eksempler på informasjonstyper som kan sammenholdes med innsynsloggen for å gi et mer fullstendig bilde: • dato for eventuelle vedtak rettet mot den registrerte • dato for eventuelle besøk den registrerte har hatt hos virksomheten • ankomstdato for innskriving ved institusjonen/virksomheten 34 • den registrertes organisasjonstilhørighet og relasjon til virksomheten • hvilken avdeling som sist hadde kontakt med den registrerte Eksemplene ovenfor er ikke uttømmende, og hvilken informasjon som er relevant vil avhenge av virksomhetens art. 2.6.3 Det opprettes sak på den mistenkelige hendelsen Dersom en hendelse etter gjennomgang av innsynsloggen (og eventuell kobling mot annen relevant informasjon) synes mistenkelig, bør hendelsen trekkes ut av loggen og defineres som en sak til oppfølging. 2.6.4 Saken vurderes av nærmeste leder I større virksomheter kan det være naturlig at nærmeste leder med personalansvar vurderer saken. I mange sammenhenger vil den mistenkelige hendelsen vise seg å være et berettiget innsyn. I slike tilfeller avsluttes saken. 2.6.5 Samtale med den aktuelle systembruker Hvis nærmeste leder vurderer at hendelsen er mistenkelig og innsyn kan være uberettiget, bør leder ta en samtale med personen som har foretatt innsynet. Dette kan avklare om det faktisk er den utpekte personen som har foretatt innsyn, eller om det er andre forhold som leder ikke kjenner til som kan forklare innsynet. 2.6.6 Personalsak Dersom innsynet etter de ovenfor nevnte stegene anses å ha vært uberettiget, vurderes forholdet etter virksomhetens ordinære rutiner for Anbefalinger personalsaker. Om hendelsen er straffesanksjonert vil være av betydning for eventuell reaksjon. 2.6.7 Avviksmelding til Datatilsynet Bruk av et informasjonssystem som er i strid med fastlagte rutiner behandles som avvik etter personopplysningsloven, jf. personopplysningsforskriften § 2-6. Det følger av samme bestemmelse at avvik skal meldes til Datatilsynet dersom det har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig. I situasjoner hvor personopplysninger er kommet på avveie som resultat av uberettiget innsyn i personopplysninger, skal dette meldes til Datatilsynet. 2.6.8 Informasjon til den registrerte Dersom mislighet konstateres av virksomhetsledelsen, bør også den registrerte informeres om dette. 2.7 DEN REGISTRERTES INNSYN I EGNE INNSYNSLOGGER Etter personopplysningsloven § 18 har den registrerte blant annet rett til innsyn i informasjon om hvilke opplysninger om han eller henne virksomheten behandler, hvorfor og hvordan de behandles og enkelte andre opplysninger knyttet til behandlingen og den behandlingsansvarlige virksomheten. En innsynsrett i opplysninger fra innsynslogg kan ikke utledes fra personopplysningsloven § 18. Det kan imidlertid gis innsyn i slike opplysninger uavhengig av om det foreligger noen innsynsrett, så sant det ikke er gitt noe forbud mot å utlevere den aktuelle informasjonen. Slikt forbud er mest aktuelt der taushetsplikt gjelder, eller dersom det for den enkelte virksomhet stilles krav om lovhjemmel for å utlevere denne typen informasjon. Alle som er registrert med personopplysninger i et viktig offentlig eller privat register bør så langt det lar seg gjøre gis innsyn i eksisterende logginformasjon som har tilknytning til en selv. Begrunnelsen for dette ligger i at den registrerte i størst mulig grad bør ha råderett over egne opplysninger, og det er ofte den registrerte selv som er nærmest til å vurdere om innsyn er berettiget. Det vil i denne sammenheng være nødvendig med gode rutiner for informasjon til de registrerte om hvordan opplysninger behandles. I det følgende gis konkrete anbefalinger om hvilke loggopplysninger de registrerte bør få tilgang til. «Alle som er registrert med personopplysninger i et viktig offentlig eller privat register bør så langt det lar seg gjøre gis innsyn i eksisterende logginformasjon som har tilknytning til en selv.» 2.7.1 Informasjon den registrerte bør få innsyn i I utgangspunktet bør det gis innsyn i de opplysningene som er listet opp i tabell 6, og som alltid bør logges: den registrertes unike ID/løpenummer, systembrukerens brukeridentitet/løpenummer og tidspunkt for innsyn eller aktivitet. Enkelte virksomheter som logger flere enn disse viktigste opplysningene kan imidlertid tenkes i enkelte situasjoner å ha særlige grunner til å unnta enkelte deler av innsynsloggen fra den registrertes innsyn. Det må være opp til virksomheten selv å vurdere om slike særlige grunner foreligger. 35 36 Anbefalinger 2.7.2 Situasjoner hvor det bør vurderes ikke å gi innsyn i innsynslogg 2.7.2.1 Pågående kontrollsak eller etterforskning I situasjoner hvor det pågår en kontroll eller etterforskning av den registrerte, og hvor informasjon i innsynsloggen vil avsløre dette, bør det unnlates å gi den registrerte innsyn i loggen. Dette kan være tilfelle i flere virksomheter som driver kontroll- og etterforskningsvirksomhet. For enkelte registre vil kontroll eller etterforskning være hovedformålet, og alle oppslag i slike register må anses å være gjort i kontroll- eller etterforskningsøyemed. Der registeret i sin helhet har et slikt formål, bør det ikke nødvendigvis gis innsyn i innsynsloggen. For registre som brukes til bredere formål må eventuell nekting av innsyn gjøres etter konkrete vurderinger. Der innsyn kan gis i etterkant av en pågående sak eller etterforskning, anbefales det å gi utsatt innsyn. 2.7.2.2 Høy risiko for at behandlingsansvarliges systembrukere kommer til skade I noen tilfeller vil en registrert anses å kunne utgjøre en fare for den som har hatt innsyn dersom det blir gitt tilgang til informasjonen i loggen om innsynet. Dette tilsier at den registrerte ikke bør gis innsyn i innsynsloggen eller bare få begrenset innsyn. Eksempel på virksomheter dette kan gjelde, er NAV, helsevirksomheter som behandler psykiatriske pasienter og politiet. Det presiseres at hovedregelen fortsatt må være at den registrerte gis innsyn i innsynsloggene til alle virksomheter. Unntak bør kun gjøres etter en konkret vurdering. Det er virksomheten som har ansvar for å gjøre vurderingen og dokumentere dette. 2.7.3 Praktisk gjennomføring av innsyn Det er foreløpig ikke mange virksomheter som får et stort antall innsynskrav fra de som er registrert med personopplysninger i deres registre. Dette kan henge sammen med at de registrerte ikke er godt nok informert om hvilke rettigheter de har til innsyn i egne personopplysninger. Man kan imidlertid tenke seg at antallet innsynsbegjæringer øker dersom samfunnets oppmerksomhet om personvern øker, og etter hvert som stadig flere personopplysninger lagres i forskjellige offentlige og private registre. Det er viktig at virksomheter som behandler personopplysninger, og som implementerer systemer for logging av oppslag i sine registre, også implementerer gode systemer og rutiner for behandling av innsynsbegjæringer fra de registrerte. «Unntak [fra innsyn] bør kun gjøres etter en konkret vurdering. Det er virksomheten som har ansvar for å gjøre vurderingen og dokumentere dette.» Det vil avhenge av virksomhetens størrelse og omfanget av informasjonsbehandling om man velger å legge til rette for IT-systemer for håndtering av innsynsbegjæringer, eller om man velger å løse dette manuelt ved e-post, telefonhenvendelser eller personlige møter. For virksomheter som ikke har kommet langt i sitt arbeid med innsynslogging, vil manuell behandling av innsynsbegjæringer nok være det enkleste å starte med. Tre forskjellige metoder å gi innsyn på er omtalt under punkt 1.2.3, og virksomheten 37 «For at en mulighet til innsyn skal være reell, må de registrerte være godt informert om at den eksisterer og hvordan de kan benytte seg av den.» kan selv vurdere hvilken metode som passer best. Nedenfor følger imidlertid noen viktige kriterier for å gjennomføre innsyn i innsynslogger på en god måte. 2.7.3.1 Informasjon om muligheten til innsyn For at en mulighet til innsyn skal være reell, må de registrerte være godt informert om at den eksisterer og hvordan de kan benytte seg av den. Informasjon kan gis gjennom nettsider, informasjonsbrev til de registrerte eller muntlig ved personlige møter med den registrerte (typisk i pasient-, klient- eller kundeforhold). 2.7.3.2 Faste kontaktpunkter og personer med ansvar for å behandle innsynsbegjæringer Det er viktig at de registrerte får oppgitt en eller flere kontaktpersoner som de kan henvende seg til for å finne ut mer om hvordan de kan praktisere sin innsynsrett. 38 2.7.3.3 Tilpasning av innholdet i logginformasjonen Ofte er innholdet i innsynslogger presentert på en komplisert måte, med tekniske termer som ikke gir mening for andre enn de som arbeider i systemet som loggene er hentet fra. Dette kan gjøre det vanskelig for de registrerte å forstå innholdet i innsynsloggene, og således å kunne reagere dersom noe ikke synes å være som det skal. Loggene bør bearbeides før de overleveres registrerte som har bedt om innsyn. 2.7.3.4 Møter for å redegjøre for innhold i innsynslogg Enkelte virksomheter vil få svært kompliserte og omfattende innsynslogger. For mange vil det innebære mer arbeid å omsette loggene til et språk som er forståelig for den registrerte enn det er å invitere til et personlig møte hvor virksomheten kan gjennomgå innsynsloggen sammen med den registrerte. Dette vil primært gjelde virksomheter som ikke får særlig mange innsynsbegjæringer. Anbefalinger 39 40 Avslutning 3. Avslutning Det er opp til virksomheten å vurdere risikoen for uberettiget innsyn, også sammenholdt med andre sikkerhetsmessige tiltak som måtte være på plass. Har virksomheten for eksempel svært god tilgangsstyring, eller behandler den få og lite sensitive opplysninger, vil det være lavere risiko for uberettiget innsyn, og det kan tenkes at virksomheten ikke behøver å gjennomføre innsynslogging. Videre kan det tenkes at virksomheter har gamle systemer som det vil være uforholdsmessig dyrt eller vanskelig å implementere innsynslogging i. For disse kan det være bedre å avvente implementering av innsynslogg til systemene skal oppdateres eller skiftes ut. I det følgende presenteres en liste over spørsmål virksomheten bør stille seg forut for arbeidet med innsynslogging, samt et flytskjema for vurdering av behov for innsynslogging. Disse kan være gode hjelpemidler for virksomheter til å komme i gang med sitt arbeid på området. 3.1 LISTE MED SPØRSMÅL VIRKSOMHETEN BØR STILLE SEG I FORKANT AV ARBEID MED INNSYNSLOGGING Listen med spørsmål nedenfor bør gjennomgås av virksomheter som vurderer å implementere innsynslogging. Dette er bare en liste over noen av de viktigste spørsmålene en virksomhet må ta stilling til ved implementering av systemer for innsynslogging og innsyn i logger. Listen er ikke uttømmende, og det vil også kunne dukke opp andre spørsmål som er spesifikke for den enkelte virksomhet. Det er viktig at virksomheten setter vurderingen av innsynslogging i sammenheng med det overordnede arbeidet med internkontroll og informasjonssikkerhet etter personopplysningsloven. Slik vil virksomheten oppnå best mulig oversikt over de viktige problemstillingene. Forut for implementering: «Det er opp til virksomheten å vurdere risikoen for uberettiget innsyn, også sammenholdt • Hvilke regler gjelder for virksomhetens behandling av personopplysninger? med andre sikkerhets- • Hvilke opplysninger behandler virksomheten, og hvordan? på plass.» tiltak som måtte være • Er formålet med behandlingene i samsvar med regelverket? • Hvilket risikonivå er akseptabelt for virksomheten? • Hvilken risiko for uberettiget innsyn knytter seg til de forskjellige behandlingene virksomheten gjør? • Hvilke tiltak er nødvendige og tilstrekkelige for å minimere risikoen for uberettiget innsyn til et akseptabelt nivå? • Ligger det noen begrensninger for innsynslogging i regelverk eller i virksomhetens IT-systemer? Ved implementering av innsynslogging: • Hvilke opplysninger bør virksomheten logge? • Hvem bør ha tilgang til loggen? • Hvordan bør loggene lagres? 41 «Det er viktig at virksomheten setter vurderingen av innsynslogging i sammenheng med det overordnede arbeidet med internkontroll og informasjonssikkerhet etter personopplysningsloven.» • Hvilke rutiner skal virksomheten ha for gjennomgang av loggene? • Hvilke opplysninger kan de registrerte få innsyn i? • Hvordan bør innsyn gjennomføres? 3.2 FLYTSKJEMA FOR VURDERING AV BEHOV Dette er et flytskjema som er ment å gi en overordnet og generell illustrasjon av hvordan virksomheter kan foreta en trinnvis vurdering av behovet for innsynslogging: • Hvordan best orientere systembrukerne og de registrerte om logg/innsyn i logg? Spesiell regulering for bruk av logg? Opplysninger av Klasse 1 (lav)? Opplysninger av Klasse 2 (moderat)? Iverksett logging Ja 4 Ingen logging Ja 4 Ja 4 Gis tilgang slik at det er mulig med «snoking»? Ja 4 Iverksett risikovurdering Ingen logging Nei 4 Opplysninger av Klasse 3 / 4 (høy/svært høy)? Ja 4 Tilgang til mange systematisk lagrede opplysninger av klasse 3 / 4? Ingen logging Nei 4 42 Ja 4 Iverksett risikovurdering Avslutning 43 Utgitt av: Kommunal- og moderniseringsdepartementet Offentlige institusjoner kan bestille flere eksemplarer fra: Departementenes sikkerhets- og serviceorganisasjon Internett: www.publikasjoner.dep.no E-post: [email protected] Telefon: 22 24 20 00 Publikasjonskode: H-2336 Design: Itera AS Layout/ombrekking: Konsis Grafisk AS Trykk: Departementenes sikkerhets- og serviceorganisasjon – 01/2015 - 100