Risikovurdering av personopplysningssikkerheten ved behandling av personopplysninger v. 1.1

Hensikt

Hensikten med denne prosedyren er å sikre at personopplysninger som behandles elektronisk, eller oppbevares i arkivskap, er tilfredsstillende sikret, for å unngå krenkelser av personvernet til ansatte og innbyggere i Kristiansand kommune.

Gjelder for

Dette dokumentet gjelder alle som har en rolle i kommunens informasjonssikkerhetsoragnisasjon, se beskrivelse av roller og oppgaver i Informasjonssikkerhet - policy (Ikke tilgjengelig).

Ansvar for gjennomføring

Systemeier har ansvar for gjennomføring, men kan delegere myndighet for utførelse til fagsystemansvarlig, prosjektleder mv. Se også oppgavefordeling i Informasjonssikkerhet - policy (Ikke tilgjengelig)

Beskrivelse

Behandlingsansvarlig skal gjennomføre en risikovurdering før personopplysninger behandles og før man tar i bruk et IKT-system. Det skal gjennomføres risikovurdering i forbindelse med anskaffelse av et IKT-system. Risikovurderingen skal også gjennomføres ved endringer i forhold som kan påvirke informasjonssikkerheten, for eksempel endringer i behandlinger, endringer av informasjonssystem eller endringer i trusselbildet. I Årshjul for informasjonssikkerhet er det satt opp når kommunalområdene skal foreta vurdering av sårbarhet til IKT-systemene.

Kravene til risikovurderinger gjelder risiko for de registrertes rettigheter og demokratiske friheter. Vurderingen av risiko relateres blant annet il behandlingens art, omfang, formål og sammenhengen den utføres i. Det gjøres en verdivurdering og en trusselvurdering relatert til personopplysningene, og til de registrertes rettigheter og demokratiske friheter.

Forslag til ressurser som bør delta i gjennomføring av ROS analyse for IT;

Fagsystemansvarlig, IT sikkerhetsansvarlig, eller kontaktperson ved IT, den som er ansvarlig for tjensten (leder), informasjonssikkerhetsansvarlig i kommunen kan delta dersom behov, samt personvernombud kan også kontaktes for rådgivning i prosessen.

Systemeier skal sørge for at alle systemer som brukes vurderes til en akseptabel risiko og skal sette i gang tiltak for at dette skjer. IT enheten vil være ansvarlig for fellessikringer av informasjonssystemer og bør tas med i vurderingene for å redusere risiko ved det enkelte system.

En risikovurdering skal gi svar på:

Hva kan gå galt? (identifisere fare)
Hva er sannsynligheten for at det går galt? (sannsynlighetsanalyse)
Hva er de mulige konsekvenser? (konsekvensanalyse)

Ved å identifisere risiko og sette i verk tiltak som sikrer vedvarende Konfidensialitet, Integritet og Tilgjengelighet og robusthet, kan problemer synliggjøres og unngås før de oppstår.

Det som vurderes er at:

informasjonen ikke skal kunne leses av uvedkommende (Konfidensialitet)
informasjonen ikke skal kunne endres eller slettes av uvedkommende (Integritet)
informasjonen skal være tilgjengelig for rette vedkommende til rett tid (Tilgjengelighet og robusthet)

Eksempler sikkerhetstiltak:

Pseudonymisering og kryptering av personopplysninger
Sikre vedvarende Konfidensialitet, Integritet, Tilgjegelighet og robusthet
Gjenoppretting av tilgjengelighet og tilganger ved hendelser
Jevnlig testing, vurdering og evaluering

Kristiansand kommune ruller ut i disse dager en ny modul for risikoanalyser i styringsportalen.

Det er denne modulen som skal nyttes i det videre arbeidet med risikovurderinger av IKT systemer.

Det er også laget en mal i IKT-sikkerhetsgruppen med vedlagt mal som kan nyttes som hjelpemiddel inntil maler og veiledere er ferdig lagt i styringsportalen.

Se mer om ROS i styringsportalen på innafor med lenker til ROS i styringsportalen.

Se også mal for ROS utarbeidet av IKT sikkerhetsgruppen, ROS skjema IKT

med veileder til utfylling av skjemaet, se veileder for ROS IKT versjon 1.0

Datatilsynet har utarbeidet en veileder for gjennomføring av ROS analyser.

Definisjoner

En risikovurdering er et verktøy for å identifisere uønskede hendelser og risikoen for at disse skal inntreffe.

Risiko betegner forholdet mellom sannsynligheten for at en uønsket hendelse vil inntreffe og konsekvenser av en slik hendelse.

Informasjonssikkerhet dreier seg om å håndtere risikoen for at personopplysninger og andre informasjonsverdier blir ivaretatt på en tilfredsstillende måte. Dette gjøres ved først å identifisere hvilke personopplysninger virksomheten har. Deretter gjennomføres en risikovurdering for å avklare om eksisterende sikkerhetstiltak er tilfredsstillende.

Risikovurderingen må ses i sammenheng med etablerte akseptkriterier for risiko, og at den behandlingsansvarlige skal iverksette nødvendige tiltak for å oppnå tilfredsstillende informasjonssikkerhet. Se også Informasjonssikkerhet - policy (Ikke tilgjengelig)

Med god internkontroll og et bevisst forhold til å sikre opplysninger, sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

Vedlegg og referanser

Skjema for ROS analyse av informasjonssystemer, ROS skjema IKT
Veileder i utfylling av skjemaet, veileder for ROS IKT versjon 1.0
Datatilsynets veileder etter tidligere personopplysningslov viser til grunnprinsipper som i tråd med dagens regler og kan benyttes. som støtteverktøy inntil ny veileder foreligger: Datatilsynets veileder for gjennomføring av ROS analyser
Difis veileder risikovurdering
Norsk Sikkerhetsmyndighets (NSM) rammeverk for håndtering av IKT hendelser
personopplysningsloven

Forfatter:	Sigurd Paulsen (Seniorrådgiver)
Godkjent av:	Kjell Alfred Kristiansen (Kommunalsjef)
Dokumentadministrator:	Sigurd Paulsen (Seniorrådgiver)
Dokument-ID:	2413
Gyldig fra:	07.02.2023
Revisjonsfrist:	06.02.2026