Annonse


Dagbøter for dårlig IT-sikkerhet

Den nye Lov om behandling av personopplysninger, som trer i kraft fra årsskiftet, gir Datatilsynet hjemmel til å ilegge dagbøter til bedrifter som ikke har tilfredstillende sikkerhet for personopplysninger.
Dette kan blant annet stille strengere krav til sikkerheten ved trådløse nett i store og små bedrifter.

Det kan være enkelt å tappe informasjon fra trådløse nett.
Det er også lett å hindre tilgang for uvedkommende, enten dette gjøres ved hjelp av at maskinene må registreres først i nettet, eller ved å benytte VPN-teknologi (virtuelle private nett) som sikrer krypterte tunneler for hver enkelt bruker. Det er bare få som har gjort det hittil.

Den nye loven sier at: «Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. (.)
Kongen kan gi forskrift om informasjonssikkerhet ved behandling av personopplysninger, herunder nærmere regler om organisatoriske og tekniske sikkerhetstiltak..»

Forskriftene til den nye loven er nå til behandling i departementet, og etter det ukeavisen Telecom har fått opplyst skilles det ikke mellom små og store virksomheter, bare mellom sensitive og ikke-sensitive personopplysninger.

Annonse


Dette betyr i prinsippet at alle bedrifter som benytter IT i sitt arbeid må gjennomføre en risikoanalyse og foreslå sikkerhetstiltak, slik at Datatilsynet kan gå inn og vurdere om tiltakene er gode nok.

Riset.

– Det er riktig at vi i den nye loven har hjemmel til å ilegge dagbøter til bedrifter som har dårlig sikring av dataene i nettverket sitt. Om vi vil gjøre det er mindre sannsynlig.
Datatilsynets linje er heller å samarbeide med bedriftene for å få tilstrekkelig sikkerhet. Likevel er det godt å ha dette riset i bakhånd, sier Gunnel Helmers, informasjonsrådgiver i Datatilsynet til ukeavisen Telecom.

Loven stiller krav om tilstrekkelig sikkerhet for personopplysninger gjennom planlagte og systematiske tiltak. Helmers sier at dagens lov gir Datatilsynet mulighet til å pålegge retningslinjer for sikkerhet. Den nye loven stiller krav til at bedrifter som behandler personopplysninger skal tilfredstille sikkerhetskrav.
– Nå gjelder kravene rent generelt at de som behandler personopplysninger skal tilfredstille krav til internkontroll.

Forskriftene kommer med tekniske krav, men disse vil naturlig nok ikke være veldig konkrete. Da måtte de oppdateres for ofte.

Lønn

På grunn av at forskriftene ikke er ferdige, kan ikke Helmers uttale seg sikkert om hva som vil betraktes som sensitive data i bedriftene. Likevel er det sannsynlig at en hvilken som helst bedrift som kjører lønnssystemet sitt på eget nettverk vil kunne komme under loven.

Går dette på et usikret trådløst nett kan hvem som helst tappe informasjon. I lønnssystemene vil det blant annet kunne ligge informasjon om de ansattes påleggstrekk, noe som kan betraktes som sensitive personopplysninger.

Det er helt klart at lønnssystemet vil ligge under regimet til den nye loven, men det er svært mange grenser å gå opp. Det er klart at det vil være strengere krav til eksempelvis forsikringsselskaper enn til bedrifter som ikke har store registre med personopplysninger.

Det vil være forskjell på kravene til et slikt selskap og til et selskap som bare har sensitive personopplysninger i sitt lønnssystem, sier Helmers.

Annonse